Google Chrome62がセキュリティ強化で常時SSLを実装していない場合警告が!?どのような表示になるかチェックしてみた
ここ最近になってブロガー界隈ならびにサイト運営者の間で話題になることが多いSSL。 話題が膨れ上がったのは、2017年8月中旬に「Chrome のセキュリティ警告を "http://ドメイン" に表示します」といった内容のメールがGoogleが届いたタイミングです。 実際に届いたメールの内容 Chrome のセキュリティ警告を http://ドメイン名 に表示します http://ドメイン名 の所有者様 2017 年 10 月より、ユーザーが Chrome(バージョン 62)で HTTP ページのフォームにテキストを入力すると、「保護されていません」という警告が表示されるようになります。また、シークレット モードを使用している場合は、HTTP ページにアクセスするだけで「保護されていません」と表示されます。 貴サイトでは、たとえば以下に示す URL に、Chrome の新しい警告が表示され
Dnsmasqに7件の脆弱性、AndroidやLinuxなど広範に影響の恐れ パッチ適用を
米Googleは10月2日、オープンソースのDNSソフトウェアパッケージ「Dnsmasq」に7件の脆弱性が見つかったと発表した。AndroidやLinuxディストリビューションなどに広範な影響が指摘されている。 DnsmasqはDNSやDHCPサーバを簡単に構築できるオープンソースのソフトウェアパッケージで、GoogleによればAndroidやデスクトップ向けLinuxディストリビューション(Ubuntuなど)、ホームルータ、IoTデバイスなどの幅広いシステムに使われている。 Googleでは今回、Dnsmasqに7件の脆弱性を発見して影響や悪用可能性を調べ、それぞれについてコンセプト実証コードを作成。Dnsmasqの管理人と協力してパッチを公開した。7件のうち3件については、リモートでコードを実行される恐れがあり、1件は情報流出、3件はサービス妨害(DoS)攻撃に利用される可能性があると
ioドメイン障害を理解するため、DNSの仕組みについて勉強した - $shibayu36->blog;
先日、ioドメインの障害があったのだけど、自分がDNSの仕組みをよく分かっていないせいで、いまいちどういうことが起こっていたのか把握できなかった。そこで、DNSの仕組みについて軽く勉強したので、そのメモを残しておく。内容は間違っているかもしれないので、その場合は指摘してください。 DNSについて学んだこと Software Design 2015/4のDNSの教科書が非常に勉強になった。また、 インターネット10分講座:DNSキャッシュ - JPNICも参考になる。 権威サーバとフルリゾルバ まず、DNSサーバには権威サーバとフルリゾルバの二つの種類が存在する。 権威サーバ ドメインの情報を管理し、自分の管理しているゾーンの情報を提供するだけのサーバ 問い合わせたドメインが自分のゾーンの管理下ではない場合、別の権威サーバへ委任するという情報を返す コンテンツサーバとも言われる? 例) co
キャッシュサーバの効率を改善するHTTP Variantsという提案仕様 - ASnoKaze blog
HTTP Variants IETFのHTTP WGやQUIC WGのチェアをしているmnot氏より、キャッシュの効率が改善する「Variants」というHTTPレスポンスヘッダを定義する「HTTP Variants」という提案仕様が出ています。 この機能は、Fastly VCLの機能の標準化のようです。 少々想定している背景がわかりづらいのですが、自分なりに簡単にまとめてみる。 背景 Webにおいて、サーバはクライアントからのリクエストヘッダを見てコンテンツを出し分けています。 例えば、Accept-Languageリクエストヘッダを見てコンテンツの言語を変更しています。キャッシュサーバももちろんこのAccept-Languageを見て、それぞれ毎にコンテンツをキャッシュする必要があります。 次の例を見てみましょう 1. ブラウザは下記のHTTPリクエストを送信する GET /foo H
Tomcatに見つかった3つの脆弱性について
はじめに Apache Tomcatに立て続けに見つかったCVE-2017-12615~12617の3つの脆弱性は基本的には同じ原因によるものでした。3つのうち2つは任意のJSPファイルをPUTリクエストでアップロードできてしまい、アップロード後にアクセスすることでJavaのコードが実行できてしまう、というパターンのRCE。残りの1つはJSPがそのまま静的ファイルとしてアクセス可能なためにソースコードが漏洩してしまう、というものです。 今回JPCERT/CCも注意喚起するなど、広く知られることになりましたが、一方でなかなかパッチが提供されないという状況にもなっています。今回はこの脆弱性についての調査を報告します。 readonlyパラメータとは何か JSPがアップロードできてしまうのはreadonlyパラメータがfalseになっている場合です。このパラメータはデフォルトでtrueであり、f
git clone 時の秘密鍵指定と git のバージョンについて
こんにちは、野口です。 git clone 時に、特定の秘密鍵を指定したい場面があり、どのように対応したかを紹介します。 通常の状態で git clone すると、 ~/.ssh/id_rsa の秘密鍵をみてくれます。例えば /tmp/ssh/id_rsa をみてほしい場合、どうすればよいでしょうか。 ~/.ssh/config で秘密鍵を指定する ~/.ssh/config に秘密鍵のパスを指定すれば良いです。 $ cat ~/.ssh/config Host github.com User git IdentityFile /tmp/ssh/id_rsa ただ config ファイルはいじりたくなかったので、他の方法を探してみました。すると、 GIT_SSH_COMMAND で指定する方法が見つかりました。 環境変数 GIT_SSH_COMMAND で秘密鍵を指定する $ GIT_SS
総務省|報道資料|「IoTセキュリティ総合対策」の公表
総務省は、サイバーセキュリティタスクフォースにおいて取りまとめられた「IoTセキュリティ総合対策」を公表します。 あらゆるものがインターネット等のネットワークに接続されるIoT/AI時代が到来し、それらに対するサイバーセキュリティの確保は、安心安全な国民生活や、社会経済活動確保の観点から極めて重要な課題です。そこで、総務省では、サイバーセキュリティタスクフォースを開催し、必要な対策について検討を進めてきました。 今般、サイバーセキュリティタスクフォースにおいて、IoTに関するセキュリティ対策の総合的な推進に向けて取り組むべき課題を整理した「IoTセキュリティ総合対策」が取りまとめられましたので、公表します。 IoTセキュリティ総合対策(別紙)
システム開発の会社はできる限り教育コストをかけるべきではない | 株式会社アクシア
システム開発の会社はできる限り教育コストをかけるべきではないということで、こんなことを書くと多分怒る人がいるのだろうなと思いますが、経営者として様々な観点から論理的に考えれば考えるほど、システム開発会社はできる限り教育コストをかけない方が良いという結論に至ります。 アクシアではこれまでプログラミング未経験者の採用も行ってきており(今は行っていません)、経験者であっても必要があれば入社後に十分な教育を行ってきているわけですが、教育しなくてすむならしない方が良いというところが経営者としての本音です。 別にお金をかけたくないとかそういう次元の低い話ではなく、合理的に突き詰めて考えていくとその方が開発会社を運営していく上で都合が良いのです。異論・反論あるかもしれませんが、最後までお読みいただいてからご批判いただければ幸いです。 せっかくお金をかけて人材育成しても他社に奪われてしまう 一般論として教
[速報]Java対応のサーバレスプラットフォーム「Fn Project」、オラクルがオープンソースで公開。JavaOne 2017
サンフランシスコで開幕した「JavaOne 2017」。初日の基調講演では、オラクルがJava対応のサーバレスプラットフォーム「Fn Project」(エフエヌプロジェクトと発音されていました)を発表。オープンソースとして公開しました。 Fn Projectは、3つコンポーネントで構成されています。1つ目はFunction as a Serviceを実現する「Fn Server」。クラウドでも、手元のノートPCでも実行可能で、コンテナネイティブとして開発されています。 2つ目は、Java Function Development Kit(Java FDK)。JavaでFunctionを記述するためのSDKです。テストも可能。 3つ目は、Functionのオーケストレーションによる高度なワークフローを実現するFn Flow。 Fn Projectは言語に依存しないサーバレスプラットフォームと
![[速報]Java対応のサーバレスプラットフォーム「Fn Project」、オラクルがオープンソースで公開。JavaOne 2017](https://cdn-ak-scissors.b.st-hatena.com/image/square/24a4f0c70cd9f8b22fce16c27d12dcd22884f8d4/height=288;version=1;width=512/https%3A%2F%2Fwww.publickey1.jp%2F2017%2Fjavaone01.gif)
エンジニアと立ち話。Vol.8 @deeeet(SRE) ちょっとお話いいですか? | mercan (メルカン)
ソフトウェアエンジニアの@kajikenがメルカリで働くエンジニアたちを捕まえて、ちょこっとお話を聞いていく本シリーズ。第8回はメルカリ SRE(Site Reliability Engineering)チームメンバーの中島大一さん(@deeeet)です。 @kajiken:@deeeetさん、ちょっといいですか。 @deeeet:ちょっと待ってください今goroutineをcancelします。はい。どうぞ。 @kajiken:入社日と職種を教えてください。 @deeeet:2017年の1月に入社しました。SRE(Site Reliability Engineering)チームメンバーとして働いています。 @kajiken:これまでの経歴を教えてください。 @deeeet:大学の研究室ではNLPを、大学院に入ってからはロボットや音声対話の研究をしていました。新卒で楽天に入社して、最初はko
Go APIサーバーの設計について、golang.tokyo#9で話しました。 - Gunosy Tech Blog
どうも、Gunosyの新規事業開発室エンジニア、高橋(@__timakin__)です。 先日行われたgolang.tokyo#9にて、GoのAPIサーバーの設計についてトークをする機会を頂いたので、いってきました。 スライドはこちらです。全編英語となっておりますが、ご覧頂けると幸いです。 speakerdeck.com 概要 アジェンダの前の序文にも書いてあるのですが、GoのAPIが大企業で試験的に導入するというフェーズを超え、スタートアップなどでも「Goって最近トレンドだよね」という声が聞こえ、小規模のチームでも積極的に登用されるようになってきたように感じます。 あくまで個人の観測範囲での話なのでバイアスがあるとは思いますが、「試してみた」というトークが界隈でも最近少なくなったように思います。 そんな中、参考例となるGoのAPIのOSSは非常に少ないため、新規に始めるハードルは、学習コス
メルカリQA-SETチームが進めているテスト自動化についての質問まとめ | メルカリエンジニアリング
こんにちは。メルカリでQA-SETチームのマネージャ兼自動化エンジニアとして、スマホアプリのテスト自動化をぶりぶりしている@daipresentsです。 先日開催された Mercari Tech Conf 2017 において、自動テストのデモ展示を担当させていただきました。当日は多くの方にお越しいただき、スマホアプリの自動化への関心は大きいのかなぁと感じております。 この記事では、テスト自動化についてよく質問されたことをまとめてみたいと思います。どの現場も同じように悩んでおり、試行錯誤している点も似ていたので、ノウハウとして残れば幸いです。 Q. どんな技術をつかってアプリの自動化をしているのですか? A: AndroidはAppium(Ruby) を使っています。 Gemが豊富なので以下のようなGemを使って実装を効率化しています。 # Gemfile sample gem 'appiu
読みやすさのデザイン備忘録 | 深津 貴之 (fladdict) | note
noteのコア体験は、「読む楽しさ」と「書く楽しさ」だと考えています。 本来ならコア体験は、調査でしっかりと導くべきものです。しかしアカデミックなUXとは異なり、実際のスタートアップ環境では時間とリソースに限界があります。このため調べながらも、走り出さなければなりません。 まず序盤はヒューリスティック(経験)ベースのデザインを行いつつ、調査やテストが可能なところから、裏づけやチューニングを行う流れになりそうです。 以下、「読書体験」における「可読性」のパートのメモ。noteチームにとりあえず提案する予定の諸々です(現時点では個人の見解です)。基本的には「当たり前のことを、当たり前に」やる予定。「これもやっとけ」的なことがあれば、タイポグラファーの諸先輩の方々には、ぜひご意見をお伺いできればと。 書体をサンセリフ系に変えるべきか?デジタルでは、一般的にサンセリフ体の可読性は、ローマン体よりも
RSpec/Capybaraのテストコードを画面操作から出力するChrome拡張をつくった - memo_md
ほぼ表題の通りの内容で、Chrome拡張を作ってみた。 完成度としてはまだまだだけど、とりあえずざっくり触れる程度にはなったので公開した。 github.com chrome.google.com アイコン画像は、カピバラの写真を適当になぞって作った。 なんでこんなものを? Capybaraのテストコードを書くのが面倒だなって感じることが多かったのが1つの理由。 TDD的に、先にテストコードを書いていけるのが理想だな〜とは思うものの、Webアプリケーションの開発をしていると、現実には一度は画面から一通り確認して、その後にfeature specを書く流れが多いように感じる。 そしてCapybaraでfeature specを書こうと思うと、 「これはテキストじゃなくてIDで選択しないとダメか〜」 「あ〜、これはfindしてからsetしないといけないのか〜」 という感じで、スムーズに書けない
[告知] 2017 年に予定されていた IaaS 仮想マシンの計画メンテナンスの実施時期は再調整となりました ※ 2017/11/16 更新
Azure ご利用のお客様 弊社都合により、2017 年中に予定されていた IaaS 仮想マシンの計画メンテナンスは実施時期は再調整となりました。 本 Blog 投稿の 2017 年 11 月 16 日時点では、2017 年中のセルフ サービスによるメンテナンス実施・強制再起動ともに予定されていません。 再起動に向けてご準備・ご調整をいただいていたお客様には多大なるご迷惑をおかけいたしました事、深くお詫びを申し上げます。 時期が確定しましたら、Azure Monitor を設定していただいているお客様に向けて通知が行われます。 Azure Monitor の設定について、ご協力ください。 Azure Monitor を使ってメンテナンス通知を受け取る https://blogs.technet.microsoft.com/jpaztech/2017/09/15/maintenance_no
![[告知] 2017 年に予定されていた IaaS 仮想マシンの計画メンテナンスの実施時期は再調整となりました ※ 2017/11/16 更新](https://cdn-ak-scissors.b.st-hatena.com/image/square/d6e4cb632c7025e9f5e05fd314fbf6dcd6144e8d/height=288;version=1;width=512/https%3A%2F%2Flearn.microsoft.com%2Fen-us%2Fmedia%2Fopen-graph-image.png)
Microservices at Mercari
1) Mercari has transitioned some services to microservices architecture running on Kubernetes in the US region to improve development velocity. 2) Key challenges in operating microservices include deployment automation using Spinnaker, and observability of distributed systems through request tracing, logging, and metrics. 3) The architecture is still evolving with discussions on service mesh and c
[速報]エリソン氏、Amazon RedshiftからOracleへの移行で利用料半額以下、契約書に明記すると宣言。Oracle OpenWorld 2017
[速報]エリソン氏、Amazon RedshiftからOracleへの移行で利用料半額以下、契約書に明記すると宣言。Oracle OpenWorld 2017 オラクルの創業者兼CTOであるラリー・エリソン氏は、競合を名指しして攻撃することを積極的に行ってきた人です。 かつてはマイクロソフトやIBMが、少し前まではSAP、セールスフォース・ドットコムなどがその標的になってきましたが、クラウド市場で戦おうとしている現在はAmazon Web Servicesが攻撃対象です。 10月1日(日本時間10月2日)にサンフランシスコで開幕したOracle OpenWorld 2017。初日の基調講演でエリソン氏はAmazonからOracleのクラウドへ移行した場合には費用が半額になると発言しました。 RedshiftからOracle Autonomousへの移行で半額以下になることを明記する エリソ
![[速報]エリソン氏、Amazon RedshiftからOracleへの移行で利用料半額以下、契約書に明記すると宣言。Oracle OpenWorld 2017](https://cdn-ak-scissors.b.st-hatena.com/image/square/9d60aa63e63331a689411bd4d76de3cbfdd6cb31/height=288;version=1;width=512/https%3A%2F%2Fwww.publickey1.jp%2F2017%2Foracle18c11.gif)
Oracle DBのバージョンが「12c」から一気に「18c」へ、2018年由来。Oracle OpenWorld 2017
Oracle DBのバージョンが「12c」から一気に「18c」へ、2018年由来。Oracle OpenWorld 2017 オラクルはサンフランシスコで自社イベント「Oracle OpenWorld 2017」を開催中です。 すでに記事「[速報]「Oracle 18c Autonomous Database」発表。エリソン氏「世界初の自律的なデータベース」。Oracle OpenWorld 2017」で紹介したように、同社の次期データベースのバージョンは「Oracle 18c Autonomous Database」という名称となり、バージョン番号が現在の「12c」から一気にとんで「18c」となりました。 参考記事 米オラクルは3月27日(現地時間。日本時間3月28日早朝)、オンラインイベントを開催。同社創業者兼CTOのラリー・エリソン氏がクラウドサービス「Oracle Autonomo
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
