HTTP Security Headers - A Complete Guide
SECURITY IS AWESOME SECURITY IS AWESOME I write about security and privacy. I regularly post original security research, custom tools, and detailed technical guides. Companies selling "security scorecards" are on the rise, and have started to become a factor in enterprise sales. I have heard from customers who were concerned about purchasing from suppliers who had been given poor ratings, and in a
Apache HTTP Serverのバージョンを当てる方法 | MBSD Blog
2017.09.04 プロフェッショナルサービス事業部 米山 俊嗣 セキュリティ診断(Webアプリケーション診断やネットワーク診断)の結果、バナーに表示されたバージョンを隠しましょう、TRACEメソッドを無効にしましょうなどの報告をすることがあります。これらの設定は、サーバを構築する上での”お作法”ではあると考えていますが、この”お作法”を行ったから大丈夫というわけではありません。 今回はこのような設定を行っても、バージョンは特定できるものなので、やはり、パッチはしっかりと当てましょうというお話になります。 さて、Apache httpd 2.2.XはEOLが2017年12月と発表されており、2.2.34が最終バージョンになる可能性が高く、このタイミングで、リプレースやバージョンアップを考えている方もいらっしゃると思います。既に運用中のシステムで何か変えることは色々と難しいと思いますが、リ
Hypertext Transfer Protocol (HTTP) Status Code Registry
Last Updated 2022-06-08 Available Formats XML HTML Plain text Registry included below HTTP Status Codes HTTP Status Codes Registration Procedure(s) IETF Review Reference [RFC9110, Section 16.2.1] Note 1xx: Informational - Request received, continuing process 2xx: Success - The action was successfully received, understood, and accepted 3xx: Redirection - Further action must be taken in order to com
HTTPで「418 I’m a tea pot」を実装してはいけない(2018/10/18追記) - Qiita
418 I’m a tea potとは ステータスコード 418 I’m a tea potは、エイプリルフールに発行されたジョークRFCであるRFC2324「Hyper Text Coffee Pot Control Protocol」 で定義されているステータスコードです。 Googleでも 418 を返すURLがあります。 Error 418 (I’m a teapot)!? https://www.google.com/teapot 昨日、golangとnodejsにおいて、418 I’m a tea pot の実装を削除するIssue が投げられています。 golang: net/http: remove support for status code 418 I'm a Teapot nodejs: 418 I'm A Teapot #14644 Issue中でも書かれている通
kazeburo/choconと、それを支えるnet/httpの実装について
【資料公開します】AWS Dev Day Tokyo 2017 にて登壇しました/choconの簡単なご紹介 - Mercari Engineering Blog こんにちは。SREの @ kazeburo です。2017年5月31日から6月2日にAWS Summit Tokyo 2017と同時に開催された「AWS Dev Day Tokyo 2017」に登壇しました。 登壇する機会をいただき、ま… 先日、というか昨日、この資料が流れてきまして、Private Networkの外部との通信を効率良く行うためのミドルウェア、choconというproxyサーバーが紹介されていました。SSL, HTTP/2を加味した上での超シンプルで高速なforward proxyサーバー実装という印象です。 使い方やAPIの叩き方は上記のリンクを参考にしていただくとして、やたらマイクロな実装でなぜこうも高速に
エンジニアなら知っておきたい、絵で見てわかるセキュア通信の基本 - Qiita
TLS 1.3は現在策定中ですが、 前方秘匿性 の問題から RSAのみ を用いた鍵委共有が禁止になる見込みです。(詳細は後述します) HTTPSとは 次に、HTTPSです。 HTTPS - Wikipedia HTTPS(Hypertext Transfer Protocol Secure)は、HTTPによる通信を安全に(セキュアに)行うためのプロトコルおよびURIスキームである。 厳密に言えば、HTTPS自体はプロトコルではなく、SSL/TLSプロトコルによって提供される セキュアな接続の上でHTTP通信を行うこと をHTTPSと呼んでいる。 とのことです。 HTTPの説明を割愛するとすれば、「SSL/TLSでセキュアにHTTPをやる」というだけの説明で済んでしまいます。 最近では個人情報等の観点から全てのサイトをHTTPSにするような動きが見られますが、元々HTTPSが使われやすかった
HTTP の新しいステータスコード 103 Early Hints | blog.jxck.io
Intro これは、 http2 Advent Calendar 2016 の 16 日目の記事である。 HTTP に新しいステータスコード 103 Early Hints が追加されようとしている。 HTTP/1.1 および HTTP2 双方と関わり、リソース配信の最適化に利用することができる。 いったい何のために必要なのか、どういうメリットが考えられるかを解説する。 HTTP2 Push の復習 まず HTTP2 の Push について復習する。 H2 Push は、簡単に言えば PUSH_PROMISE フレームを用いて、レスポンスよりも先に依存するリソースを返すための仕様である。 例えば /users のレスポンスは script.js と style.css をサブリソースとして含んでいるとする。 HTTP2 では SQL を発行して Users の一覧を取得している間に、先行し
gRPC
Why gRPC?gRPC is a modern open source high performance Remote Procedure Call (RPC) framework that can run in any environment. It can efficiently connect services in and across data centers with pluggable support for load balancing, tracing, health checking and authentication. It is also applicable in last mile of distributed computing to connect devices, mobile applications and browsers to backend
最近、httpstat なるものが流行っているらしい - tellme.tokyo
github.com おそらく先行実装は python で書かれたこれです。 curl にはウェブサイトの応答時間を計測する機能が搭載されており、このツールではそれを利用して出力結果をグラフィカルに表示させています。単なる curl のラッパーのようなツールなのですが、見た目がリッチになるのに加えて、単一ファイルで実行でき python のバージョンに影響されないような工夫がされているのが、受けているポイントのような気がします。 このツールを見たとき「Go で書いてみるの良さそう!(この手のツールで単一バイナリになるのは嬉しいですよね)」と思い、休憩時間やお昼休みなどにちまちま書いていたら、二日前に先を越されてしまいました(そりゃそうですよね。なんでもスピードが大事だと痛感)。 github.com また、ついこの間まで 800 Stars くらいだったのですが、ここ1週間で爆発的に伸びて
身につけておきたいWebサイト高速化テクニック #2|検証ツールとそもそもHTTPって何だ編 | DevelopersIO
第1回のアジェンダ編では、高速化に関わる要因と解決策の全体像を紹介しました。 アジェンダ編にもかかわらず多くのブックマーク、シェアをいただきありがとうございます! 余談ですが、記事にブックマーク、シェアをしていただくと、このブログでは執筆者に経験値がたまるような仕組みになっています。 たくさん経験値を貯めると四半期ごとに良いことがあるかもしれないので、気が向いたらこの他の執筆者の記事もシェアしていただけるとうれしいです。 言葉にせずとも、わかっていただけると思いますが、この記事も・・・ね? 右上にあるボタンをちょちょっと。 本題 余談はさておき、本題に入りましょう。 今回は「無駄なリクエストとレスポンスの削減」に視点を置き、解決策について調査、計測して紹介してみたいと思います。 と思ったのですが、長くなりすぎたため、まずは「検証ツールとHTTPについて」紹介することにしました。 この記事の
Ruby の Net::HTTP のタイムアウトにハマって、結局 Timeout について調べることになった件 - Qiita
Ruby の Net::HTTP のタイムアウトにハマって、結局 Timeout について調べることになった件RubyRailsRails4 外部API を実行するために、Net::HTTP で POST してたんだけど、 何故かタイムアウト値を設定しても適用されなかったので調べた時のメモ 下記が当初作ったコードで、ネットワークを接続しない状態で実行したところ、 何故か 20 秒たってやっとタイムアウトの例外 ( Net::OpenTimeout: execution expired ) が発生 open_timeout の 5 秒で例外が発生するんじゃないの?? サンプル1 def post(url, request_body) uri = URI.parse(url) response = Net::HTTP.start(uri.host, uri.port, use_ssl: uri
[Studying HTTP] HTTP Status Code
「HTTPステータスコード」とは HTTP通信(リクエスト-レスポンス一覧の流れ)と、その中で使われる「(HTTP)ステータスコード」については、以下の図のような関係になっています。 HTTPの仕様書であるRFC 2616の中では、「(HTTP)ステータスコード」について説明がされています。 section 6.1.1をご覧ください。 ステータスコード要素とは、リクエストを理解し満足するための試行についての三桁の数字による結果コードである。 これらのコードは、section 10 にて完全に定義されている。 説明句は、ステータスコードについて短いテキスト記述を与える目的を持つ。 ステータスコードは自動処理によって、また説明句は人間によってそれぞれ使われる事を意図している。 HTTPステータスコードとは、リクエストに対する「レスポンスの意味」を、文書を解析することなく、コンピュータが自動的に
Studying HTTP
RFC(Request For Comments) 2616をはじめとした、HTTP(Hypertext Transfer Protocol)に関する文献などを紹介し、HTTPやWWW(World Wide Web)に関連する技術についての知識を深めるためのサイトです。About [Studying HTTP] 当サイトは、RFC 2616をはじめとした、HTTPに関する文献などを紹介し、HTTPやWWWに関連する技術についての知識を深めるためのサイトです。 当サイトを初めてご利用になる方は、Studying HTTP : Helpをお読みいただき、記述の内容にご同意の上、ご利用下さい。 2014.11.26 更新 当サイトへのご連絡は、現在メールのみとなっております。 Main Contents HTTP Status Code HTTP/1.1仕様書などで定義されているHTTPステータ
RubyでハッシュをパラメータにしてHTTPリクエストを送信する。 - こせきの技術日記
以下の3つのことをまとめて実行するメソッドを書いた。 Hashからクエリー文字列作成。 URLのパース。 Basic認証。 response = http_request("get", "http://www.example.com/search", {:id => 123, :name => "koseki"}, "user", "pass") みたいにして使う。 require 'net/http' require 'uri' def http_request(method, uri, query_hash = {}, user = nil, pass = nil) uri = URI.parse(uri) if uri.is_a? String method = method.to_s.strip.downcase query_string = (query_hash||{}).ma
実はそんなに怖くないTRACEメソッド
Cross-Site Tracing(XST)という化石のような攻撃手法があります。「化石」と書いたように、既に現実的な危険性はないのですが、XSTに関連して「TRACEメソッドは危険」というコメントを今でも見ることがあります。 このエントリでは、XSTという攻撃手法について説明し、XSTおよびTRACEメソッドについてどう考えればよいかを紹介します。 TRACEメソッドとは HTTP 1.1(RFC2616)では、8種類のメソッドが定義されています。GET、POST、HEADなどはおなじみのものですが、それ以外にPUT、DELETE、OPTIONS、TRACE、CONNECTの5種があります。 このうち、TRACEメソッドは、HTTPリクエストを「オウム返しに」HTTPレスポンスとして返すもので、以下のようにGET等の代わりにTRACEとしてWebサーバーにリクエストします。 TRACE
TRACEメソッドって怖いんです - カイワレの大冒険 Third
※2013/01/24 add: 徳丸先生の書かれた実はそんなに怖くないTRACEメソッド | 徳丸浩の日記を先に見ておくをオススメします。深く追求できていないまま記事にしてしまい申し訳ありません。 タイトルの通りです。HTTPのメソッドには、よく使うものとしてGETやPOSTというものがありますが、TRACEメソッドというものがありまして、これを有効にしておくと危ないよという話しです。 TRACEメソッドについて 百聞は一見にしかず、どんな挙動をするか見ていきましょう。 $ telnet example.org 80 Trying example.org... Connected to example.org. Escape character is '\^]'. TRACE / HTTP/1.1 #ここと HOST: example.org #ここを手で入力して、エンターキー二回このよ
yohei-y:weblog: REST 入門
日本語の REST のリソース集を以前作ったのだが、 日本語では一般人向けの解説がない。 sheepman 氏の REST のページはすばらしいんだけど、多少わかっている人向けだ。 市山氏のプレゼン資料は RoyF の論文を詳しく解説していてよいのだけれど、いかんせんアカデミックすぎる。 技術的な要素も抑えつつ、入門者にもわかりやすい解説はないものかと探していたのだが、みつからない。 英語の文書を訳すことも考えたんだけど、あまりよいものが見つからない。 で、結局自分で書くことにした。 最初はひとつのポストで済ませるつもりだったんだけど、書き始めたら長くなってしまったので、複数のポストに分けることにした。 えらそうなことを書いたが、内容は「ないよりマシ」といったレベルだろう。 前書きが長くなったけど(ここから始まりです。ですます調なのは入門記事だから)、 この記事(から始まる一連のポスト)は
yohei-y:weblog: REST 入門(その5) 四つの動詞 -- GET, POST, PUT, DELETE
» REST 入門 目次 前回、URI で特定できるリソースに HTTP の GET という動詞を適用して、 ある時点・条件での状態の表現を転送するのが REST だという説明をしました。 URI (名詞)に適用できる動詞は GET だけではありません。 今回は GET 以外の三つの動詞を紹介します。 前提知識 ここでは実際に稼動している REST 実装の例としてはてなブックマーク AtomAPI を使います。 はてなブックマークそのものの説明はしませんので、あらかじめご了承ください。 はてなブックマークに登録したひとつのブックマークを考えてみてください。 このひとつのブックマークエントリが、対象のリソースになります。 たとえば REST 入門の目次をブックマークしたとします。 このブックマークの URI は http://b.hatena.ne.jp/atom/edit/175062 で
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
studyinghttp.net - このウェブサイトは販売用です! - 解説 仕様書 利用 技術 である 手法 日本語訳 プログラミング リソースおよび情報
サービス終了のお知らせ