高木浩光@自宅の日記 - MacユーザはIPv6を切るかnet.inet6.ip6.use_tempaddr=1の設定を
■ MacユーザはIPv6を切るかnet.inet6.ip6.use_tempaddr=1の設定を Mac OS Xの初期設定の危険性 私の周囲に物理的に近づくことのできる人は、私が使っているノート型コンピュータの無線LANインターフェイスのMACアドレス*1を知ることができる。たとえば、セミナー等で私が講演している会場に来れば、講演中に私が無線LANのスイッチを切り忘れていたなら、無線LANのパケットを傍受することで私のMACアドレスを知るだろう*2。それだけでは他の人のアドレスと混じって区別できないだろうが、別の場所で再び同じことをすれば、両方に存在したものが私のMACアドレスだ。 これはもう隠しようがないので、先に自ら暴露してしまおう。「00:1f:5b:d1:ec:bd」は私のMACアドレスだ(図1)。 これを暴露するのはリスクのある行為であり、お薦め出来ない。また、仮に他人のMA
実践 Common Lisp - あどけない話
「セルの海 マクロの空」の懇親会で知り合いになったオーム社の方から、約束通り「実践 Common Lisp」を献本して頂きました。お礼も兼ねまして、感想を書いておきます。 お世辞抜きに、僕はこんな Common Lisp の本が欲しかったのです。 実践Common Lisp 作者: Peter Seibel,佐野匡俊,水丸淳,園城雅之,金子祐介出版社/メーカー: オーム社発売日: 2008/07/26メディア: 単行本(ソフトカバー)購入: 8人 クリック: 192回この商品を含むブログ (69件) を見る 看板に偽りなし Lisp の最も有名な宣伝マンは、ポール・グレアム氏でしょう。 「普通のやつらの上を行け」を読んで Lisp に興味を持った人もいるかもしれません。また、「スパムへの対策」で、最初のベンジアンフィルタが Lisp で書かれたことに驚いた人も何人か知っています。 ポール・
memcached+PostgreSQLで実現するハイパフォーマンスWebアプリケーション構築(1/4) ― @IT
本稿の前提環境 memcached 1.2.5 データベース:PostgreSQL 8.3.1 OS:CentOS 5(Linux kernel 2.6 ) シェル:bash CPU:Intel Core2Quad 9660 2.4GHz RAM:PC2-6400 8GBytes memcachedは、Danga Interactiveによって開発されたオープンソースのメモリキャッシュサーバです。 メモリ上にデータを保存するのでmemcachedを終了するとデータが失われますが、(OracleやMySQLといった)RDBMSと比較するとけた違いの高速レスポンス性能を有し、数千万件という大量のデータを扱ってもほとんど性能が劣化しないという特徴があります。 機能は限界まで切り詰められ、基本的にはキーとデータの組(以下、itemと呼びます)の保存と検索と削除しかできません。 にもかかわらず、me
Cookieを利用したセッション維持(Sticky)の問題点
ロードバランサーの機能のうち、セッション維持は重要な役割な一つです。セッション維持を実現するための方法としては主に4つあります。 ソースIPアドレス利用 Cookie利用 SSL Session ID利用 URL利用 一番手軽なのはソースIPアドレスを利用する方法なのですが、NAT(Network Address Translation)環境では全てのマシンが同じIPアドレスに見えてしまうのでこの方法が使えない場合も多いと思います。そんなわけで私はこれまでCookieを利用する方法をよく使っていました。しかし最近になってCookieを利用したセッション維持が失敗するケースが増えてきました。それはなぜでしょうか? Cookieを利用する方法の問題点 Cookieを利用したロードバランスでは、セッション情報をCookieに書き込みます。ところでCookieの仕様をRFC2965で確認してみると
PHPによる大規模商用サービスの裏側 ― @IT
2008年7月21日、日本PHPユーザ会主催のイベント「PHPカンファレンス2008」が東京・大田区産業プラザ(PiO)で開催された。 PHP5.3やPHP6の最新動向をお届けした前編「PHPに押し寄せるリスクと国際化の波」に引き続き、中編ではぐるなび、楽天、サイボウズといった企業におけるPHP開発事例の裏側をレポートする。 手作り感たっぷりのぐるなびが食のポータルサイトになるまで ぐるなびは、日本における飲食店情報を扱う草分け的Webサイトであり、代表的な“食”のポータルサイトの1つといっても過言はない。1996年6月に、交通広告代理店NKBの1事業部門としてスタートしたぐるなびは、2000年2月に株式会社として独立する。以来、さまざまな食に関する情報サービスを立ち上げ、月間7億2000万PV(2007年12月)、会員数588万人を記録するほどになった。 ぐるなびの技術departmen
緊急点検!Webアプリ・セキュリティ(前編) / SAFETY JAPAN [特集] / 日経BP社
「対策済み」こそ危ない それでも本誌の読者ならば,既に「対策済み」かもしれない。 だが,その安心感が足をすくいかねない。 クラッカは,開発者が対策済みであることさえも悪用し,その盲点を突くような攻撃パターンを編み出す。 「今日セキュアであったシステムが,明日セキュアである保証はない」(富士通情報セキュリティセンターセキュリティマネジメント部プロジェクト課長奥原雅之氏)のだ。 こうした変化に適応するには,次のようなアプローチが必要になる。 「対策状況を繰り返し検査する」(物質・材料研究機構材料基盤情報ステーション材料データベース研究グループリーダー山政義氏)――。 「ある対策を攻撃がすり抜けても別の対策で止められるように実装する」(ウィルソン・ラーニングワールドワイドウェブコミュニケーションセンター長葛野健司氏)――。 「上流工程で漏れをなくし,開発工程全体で脆弱性を是正する
【第36回】「お客様は神様」ではない 「迷惑な人」には上手に注意する:日経ビジネスオンライン
気になる記事をスクラップできます。保存した記事は、マイページでスマホ、タブレットからでもご確認頂けます。※会員限定 無料会員登録 詳細 | ログイン “モンスターペアレント”“クレーマー”“キレる老人”など、「他人に対して傍若無人に振る舞う人々」が話題になっていますが、こういう人はいつの時代でもいます。ことに、「自分が客としてお金を払う相手に対しては、強気に出ていい」と思っている人は、モンスターやクレーマーでなくても多いものです。 今回は、自分が客として他人と関わる時や、電車内など公共空間で他人と関わる時の人間関係のメンテナンスについて考えます。 「お客様は神様」か? 昭和を代表する大衆歌謡歌手の三波春夫が、テレビやステージで語った有名な言葉に「お客様は神様です」というのがありました。本人は「客はお金をくれるから神様だ」という意味ではなく、「自分は、神の前で歌を披露する存在なのだ」という意
[セキュリティ]javascript://のXSS 00:17 - 2008-07-30 - T.Teradaの日記
こんな場合、普通はjavascriptやdataスキームなどを使ってXSSさせるのでしょう。 <a href="ここにHTMLエンコードされて入る">link</a> しかし、このアプリは「javascript://...」のように、先頭からアルファベット数文字が続き、その直後に「://」が付いている値以外は、エラーではじいてしまいます。 この「:」のあとの「//」が曲者です。 dataスキーマを試してみましたが、「//」があるとどうやらダメらしいということで、javascriptスキームで頑張ってみます。 まずはこんな感じです。 <a href="javascript://hoge[0x0A]alert(111)">link</a> 「//」が行コメントの開始になるため、[0x0A](LF)や[0x0D][0x0A](CRLF)を入れてみて、その後に動かしたいJavaScriptコードを
![[セキュリティ]javascript://のXSS 00:17 - 2008-07-30 - T.Teradaの日記](https://cdn-ak-scissors.b.st-hatena.com/image/square/3ce21f422dafba32f7c257ef3ed09227bfdd2c5e/height=288;version=1;width=512/https%3A%2F%2Fogimage.blog.st-hatena.com%2F10257846132711010800%2F10257846132711092219%2F1548045373)
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
韓国ではFirefox 3が使い物にならない理由:趙 章恩「Korea on the Web」
はてなブログ | 無料ブログを作成しよう
PCIDSSセミナー(2008年7月17日)レポート SCS住商情報システム株式会社