はじめに 前回の記事で、誤ってインターネットに開放されたRedisを操作してOSコマンド実行するまでの攻撃方法を説明しました。 knqyf263.hatenablog.com こちらの方法ではCONFIG SETを使っていたのですが、最近コンテナが利用されることが増えたために刺さりにくくなっています。また、Redisの実行ユーザの権限が強い必要があったり、ドキュメントルートのpathを予測する必要があったりといった制約もありました。そういった制約を回避する方法が発表されていたので試してみました。 さらに、前回はRedisが完全に操作できる前提を置いていましたが今回は更に難しくSSRFのみが使える状況が想定されています。SSRFについては調べたら出ると思うので割愛しますが、今回の場合は簡単に言うと「Redisは公開されていないが、公開されているWebサーバなど経由で攻撃者が内部のRedisに

概要 Redisを間違ってインターネットに開放してしまっていた場合に、認証がなければ好きなRedisコマンドを実行されてしまいます。この場合に最大どの程度の被害になるのか、というのがセキュリティ界隈の人にも意外と知られていなかったので書いておきます。 Redisの実行ユーザによりますがrootなどで動いていて、他にいくつか緩い条件を満たせばOSの任意コマンドが実行可能です。 これは昔からある方法で有名なので攻撃する側からすると当然知っていて、侵入したら必ずと言っていいほど行うと思います。そのため、防御する側も知っておく必要があります。もしRedisの設定を間違ってanyから通信可能だった場合にホスト側にも侵入されたかも、というところを考慮できると良いと思って今回の記事は書いています。 自衛のためにも書いておきますが、悪用は禁止です。あくまで正しく脅威を把握するための啓蒙です。 参考 htt

何種類あるねん！！！ みなさんのメインの愛銃は何を使っていますか？M4タイプ？AKタイプ？ ARタイプの銃だとこの2つのタイプがメジャーな所ですよね。そんな僕はM4タイプの銃しか持ってないですが、AKの銃が欲しい今日この頃。 でも、AKって同じような銃ばっかでわからん！！！！ AKタイプの銃、似たような種類がたくさん存在しますよね。見た目かがそっくりだったり、見た目は違っても機能を受け継いでいたりと。今回はそんなたくさんあるAKタイプの銃、主にエアガン化されている物を紹介します！ AKの名前を冠してる銃たち AK-47 amazon:東京マルイ No.24 AK47 TYPE-3 7.62×39mm 18歳以上次世代電動ガン まずは、原型となるAK-47です！AK-47と一口に言っても型が分かれています。 東京マルイからはスタンダード、次世代の2シリーズともでモデルアップされていますが、両

2023年10月5日、兵庫県警は日本山村硝子から営業秘密情報を持ち出したとして不正競争防止法違反の容疑で男女二人を逮捕しました。男は同社の元社員で不正に持ち出された情報は中国企業に流出した疑いがあるとも報じられています。ここでは関連する情報をまとめます。 妻の会社を通じて不正取得した情報を提供か 不正競争防止法違反（営業秘密侵害）の容疑で逮捕されたのは日本山村硝子の元社員であった男とその妻の二人で両者とも日本に帰化した元中国籍。2016年6月28日19時5分頃に会社の営業秘密に当たる情報（日本山村硝子が独自に開発した超軽量ガラス瓶の成形技術（二酸化炭素削減につながる）に関連するプログラム）を妻と共謀し外部に持ち出しした疑い。 男は前の話は覚えていない、妻は犯罪に関わることはしていないと二人とも容疑を否認している。*1 男は中国語に堪能であったことから2016年在職当時中国担当のチームに係長

こんにちは。レシピ事業部の新井（@SpicyCoffee）です。 クックパッドではこれまで、レシピを投稿してから検索結果に反映されるまで最長で 24 時間程度の時間がかかっていました。今回、この時間を 5 分程度、最長でも 10 分程度に短縮することに成功しました。本記事では、プロジェクトオーナーの立場で関わった私が代表してその開発について紹介します。 プロジェクトの目的と数値目標 本プロジェクトでは上記の「レシピを投稿してから検索結果に反映されるまでの時間短縮」が目的とされました。しかし、時間短縮といっても現状 24 時間であるものを "1 時間" にするのか、"1 分" にするのか、"1 秒" にするのかでは話が全然違います。この数値目標は設計を始めとした後の意思決定に大きく影響を与えるため、しっかりとした意図を持った状態で明確に定めておく必要がありました。 そこで、私とプロダクトオー

Nuxt.jsはSSR(Server Side Rendering)を比較的簡単に実装できるフレームワークとして有名ですが、ご存知の通りSPA(Single Page Application)の作成やSSG(Static Site Generation)にも使えます。すでに、多くの方がそれぞれの挙動についての記事をあげてくださっているのですが、最近modeプロパティがdeprecatedになったり、一部挙動がわかりづらいと思ったので再度まとめようと思います。 なるだけ間違いがないようにはしていますがもし間違いや誤りがあった場合はコメントでご指摘いただけると助かります！！ (Nuxt.js v2.14.7時点での話をします。) SSRとSPAの挙動の違い NuxtはSSRをする場合はかなり便利なツールだと思いますが、SPAとして使う場面も多くあると思います。 SSRとSPAの違いは、SSRは

AK GBBRs are nothing new and GHK has reigned supreme but does the Tokyo Marui AKM has what it takes to steal GHK’s crown? Buy Now: https://www.redwolfairsoft...

この記事では、2023年9月29日に開催されたSRE NEXT 2023 IN TOKYOでの講演の概要に加えて、講演では触れられなかった部分の補足と、発表を終えての後記、最後にSRE NEXT全体の感想を書きました。 SRE NEXT 2020の基調講演に招いていただいたところから始まり、昨年のSRE NEXT 2022の公募セッションでも発表し、今回で3回目の発表になりました。今回の講演は、SRE NEXTの「NEXT」と価値観の一つである「Diversity」を踏まえて、自身のエンジニアと研究者の両方の経験を活かして、SREを深く実践する上で、技術論文を探して読むアプローチを提示するものです。昨今の国内のSREコミュニティでは組織的実践に主な関心が移っている状況と対比させて、コンピュータサイエンスに基づく技術的挑戦の可能性を示唆する意欲的な講演を目指したつもりです。 この講演での主要

心理的安全性という概念がある。ここ十年ほどチームづくりの最重要ファクターであるともてはやされ、他方では粗雑な理解によって批判されてきた。急に人気の出たアイドルの宿命みたいなものを背負っている。 世間的なイメージがどのようなものか、少し羅列してみよう。 なんでも言える。否定されない。安心して働ける。不安がない。感情を大切にしてもらえる。あなたはあなたのままでいいと肯定される。 こうしたイメージを抱いている人もいるかもしれないが、残念ながらこれらは、心理的安全性の正しい姿からは遠くかけ離れている。ただ安心してほしいのは、こうした誤解をしている人は決して少なくないということだ。 手持ちのグーグルで「心理的安全性　誤解」と検索してみると、何ページにもわたって理解を正す記事が並んでいる。NewsPicksも、プレジデントも、朝日新聞も、Qiitaも、東洋経済も、あらゆるメディアが心理的安全性の誤解に

MySQLのインデックスですが、B-treeではなくB+treeを使用するのはどうしてなのでしょうか？ 端的に言うと性能が良いからです。 これを理解するにはバッファプールへの理解が必要です。ディスク指向のデータベースの上では有限のメモリを最大限活用することでメモリに入り切らない巨大なデータ群に対して良好な参照性能を出す必要があります。バッファプールとはディスク上のデータの羅列を固定サイズのページ（InnoDBの場合16KB）の羅列であるとして読み書きに必要な分だけをメモリに移し取り複数の書き込みをできる限りメモリ内で受け止めて後でまとめてディスクに書き戻すという、ライトバック型のキャッシュのような機構です。 この中においてバッファプールは有限のサイズしか無いので適宜プール内のデータを書き戻して入れ替えながら上手くやっていく必要があります。 さてB+treeとB-treeの最大の違いは木のリ

なぜ飲み会に対して、飲めない人が恨み節を述べるのかあんまり理解されていない気もするので言葉にしておく。 ソフトドリンク飲んで楽しく話をしていればいい いや、そんなにソフトドリンク飲みたい？。 酒飲みが一杯500円くらいするお酒をどんどん飲んでいる横で、安いソフトドリンクをね、1杯は飲むとしても何杯もいらないでしょ。 飲み放題にしたって、ソフトドリンク飲み放題なんてサイゼリヤでおいくらよ。 そもそも釣り合ってない。自分が飲んだ分自分で払えと昔から思ってた。 お酒飲んだら即、頭痛 体質的なものもあるよね。飲める人がほんの少しの量で、頭痛が始まっちゃう。飲めなきゃいけないのかなと思ってた頃はもっと飲んで、家に帰って激頭痛と吐き気と戦ったこと十数度。もうああいうことはしないと心に決めて、比較的自分自身に合うお酒を少しだけ飲むようにしてしのいでる。 強い健康リスクを知っていて、なんであんな高いお金を

東京マルイの新製品、ガスブローバックAKMを実射レビュー！ご購入で迷っている方は是非参考にしてみてください！00:00 オープニング00:40 『AKM』とは02:19 外観紹介：本体03:03 レシーバー03:32 ストック05:27 グリップ06:12 セレクターとセーフティ06:50 ボルトハンドル07:5...

天才プログラマと言われて頭に思い描く人物が複数いて、共通点が実はそんなに無いので共通点を洗い出すのはやめて「自分だったらできないだろうなぁ」という事例を思い出した順に列挙してみます。 しょぼそうな高速化がめちゃくちゃ刺さる凡人に理解できないような天才的なアルゴリズムを用いてめちゃくちゃ計算量を減らしている、なんてことは実はほぼ見かけなくて実際によくあるのがこのパターンです。賢いアルゴリズムというだけなら素養のある秀才ならなんだかんだ思いつくので個人的には天才とまでは感じません。 天才は「Aを受け取って計算してBを返す」みたいな一見平凡な処理に対し「Aの配列を受け取って結果をBの配列にして返す」みたいな誰でも思いつくようなしょぼそうな効率化を行って途方もない効率化を果たします。もちろん凡人が任意の場所でそういう細かい最適化を入れて同様の効率化が再現されるわけではないのですが、天才はただのバッ

Instagramは2010年10月にサービスを開始後、2011年12月までのわずか1年間で1400万人に利用されるほど巨大なサービスに成長しました。こうしたスケールに対応できるシステムを組み上げたのはたった3人のエンジニアだったとのことで、どのように少人数でスケールするシステムを組み上げたのかについて、エキスパートエンジニアのレオナルド・クリードさんが解説しています。 How Instagram scaled to 14 million users with only 3 engineers https://engineercodex.substack.com/p/how-instagram-scaled-to-14-million レオナルド・クリードさんは、Instagramが3人のエンジニアで安定して巨大なサービスを提供できた理由として、下記の3つの原則を守ったからだと述べています

頻発したアニメ放送配信の延期、デジタル化と制作進行、アニメ業界で求められる人材……TRIGGER取締役・舛本和也さんにうかがった ■アニメ業界の働き方改革は「ファイル共有」から始まった!? 前編に引き続き、アニメスタジオ「TRIGGER」の取締役・舛本和也さんをお迎えして2023年2月に生配信したインタビューを再構成してお届けします。 ◆ まつもと　では、2つ目のコーナーにいきたいと思います。昨今、アニメの制作工程は変化していますし、これからも変化が必要であるという状況にあります。 舛本さんはアニメの制作進行を目指す人向けの本を星海社さんから出版されていますし、同じテーマで同人誌も精力的に発表しています。 制作進行と言われて我々がイメージするのは、アニメ『SHIROBAKO』で描かれたようなスタイルですが、それが変わってきている、あるいは変わらなきゃいけない、というようなお話もこのコーナー