一般的な脆弱性とアプリケーション要件としての脆弱性
脆弱性には2種類あります。 一般的に要求される最低限のセキュリティ水準を満たさない場合アプリケーション要件として規定しているセキュリティ機能が、要件を満たしていない場合たとえば、パスワードリセットするのに、(a)秘密の質問に対する答えを知っている、(b)あらかじめ登録したメールへの送信文を読める、の両方が必要という要件に対して、実際には片方だけでリセットできたとすると、「アプリケーションの要件を満たさない」という意味では脆弱性ですが、一般的な要求水準は満たしているので、「一般的には許容されるレベルだが、本来のセキュリティ機能を満足していない」という意味で「軽微な脆弱性」となります。 一方、個人情報入力フォームがSSL暗号化していない場合、「最低限の水準」を満たしていないとはいえないので一般的には脆弱性ではありませんが、プライバシーポリシー等に「個人情報は暗号化して送信されます」などと書いて
「Obama For America」の開発チームが作り上げた大規模な選挙キャンペーンシステムの舞台裏(後編)
日本でも選挙活動にインターネットを利用するという議論が始まっていますが、世界でもっとも大規模にインターネットを利用して選挙活動が行われたのが、昨年の米大統領選挙です。 その選挙戦を勝ち抜いたオバマ大統領のチーム「Obama for America」が、どのような選挙キャンペーンシステムを構築したのか。3月15日に都内で行われたAmazonクラウドのイベント「JAWS DAYS 2013」で、語られました。 (本記事は「「Obama For America」の開発チームが作り上げた大規模な選挙キャンペーンシステムの舞台裏(前編)」の続きです) アプリケーション開発を優先した開発環境に Amazon Web Services、Solution Architect ManagerのMiles Ward氏。 チームはボランティアのデベロッパーで構成されています。私たちがもしも会社であり、社内でRu
Percona Toolkit
All of Percona’s open source software products, in one place, to download as much or as little as you need.
Learn Git Branching
A interactive Git visualization tool to educate and challenge!
韓国サイバー攻撃事件、企業向けのPC管理システム経由での攻撃か | スラド IT
既に各所で既報であるが、3月20日に発生した韓国の大規模サイバー攻撃事件は、KBSテレビ、MBCテレビ、新韓銀行など韓国の複数の放送局や銀行に影響を及ぼした(日経ITpro)。各社のサーバーが一斉にダウンし、イントラネット上にあるクライアントも多くが被害を受けた。新韓銀行ではATMが利用不能になるなどの被害も受け、市民生活にも影響が及んでいる。 それに対し、セキュリティソフトメーカーAhnLabは事件に関する中間分析結果を明らかにした( 韓国AhnLabのリリース:韓国語)。当初韓国内ではAhnLabのセキュリティソフトのアップデートサーバーが感染源であるというような報道もあったが、それに対してAhnLabは「IDC内にあるアップデートサーバーがハッキングされたというのは事実ではない」「攻撃に使用されたのは、企業のイントラネット内における『資産管理サーバー』(AhnLabの場合APCサーバ
Perl のハッシュ値の再計算メカニズムの脆弱性 - JPA 運営ブログ
JVNでも公開されていますが、perl 5.8.2からperl 5.16系までのバージョンでハッシュ値の計算に対する脆弱性が報告されています。 perl 5.16系であれば perl 5.16.3、5.14系であれば perl 5.14.4 で修正がされていますので、アップグレードを推奨されています。 すでにEOLとなっているperl 5.8系、5.10系、5.12系ではgit レポジトリに存在するパッチを適用することでこの件に関しての修正を行う事ができます (perl 5.8 -> レポジトリ 対象コミット、 perl 5.10 -> レポジトリ 対象コミット、 perl 5.12 -> レポジトリ 対象コミット 各ベンダー提供のperlも自前でインストールしたperlもアップグレードが推奨されています。
ViewやModelを提供するWebアプリケーション向けJavaScriptライブラリ「Backbone.js 1.0」が登場 | OSDN Magazine
JavaScript製のWebアプリケーションライブラリ「Backbone.js」の開発チームは3月20日、「Backbone.js 1.0」をリリースした。疎結合されイベントやKey Value bindingといった通信機構を持つModelおよびView、Collectionを提供するJavaScriptライブラリで、Ruby on RailsやNode.jsなど、さまざまな言語やWebアプリケーションフレームワークと組み合わせて利用できる。 Backbone.jsは、MVC(Model-View-Controller)アーキテクチャに基づくWebアプリケーション向けにModelおよびViewやModelの集合にアクセスするためのCollection、これらが相互に通信を行うための機構などを提供するライブラリ。ModelとViewとの通信にはRESTfulなJSONインターフェイスが使
米Basho、Amazon S3互換のオブジェクトストレージ「Riak CS」をオープンソースで公開 | OSDN Magazine
米Basho Technologiesは3月20日、「Amazon S3」と互換性のあるオブジェクトストレージを構築できるソフトウェア「Riak CS(Cloud Storage)」をオープンソースとして公開したことを発表した。Amazon S3のようなストレージサービスを社内で構築したり、パブリックサービスとして提供できる。 Riak CSは、Bashoの分散データベース「Riak」をベースとする分散型のオブジェクトストレージソフトウェア。Riakはクラウドを想定した分散環境用のNoSQLデータべースで、マスターレス、フォールトラレント設計などの特徴を持つ。Amazon S3(Simple Storage Service)とAPIや認証機構などで互換性があり、プライベートクラウドでの利用も可能。大規模なオブジェクトサポート、マルチテナントのサポート、ユーザー単位のレポート、モニタリングな
僕がLINEを使わない3つの理由 - カイ士伝
【追記】もらったコメントは下の方で答えていくよ! 最近ちょいちょいと「LINEやってないんですか?」と聞かれることがあったので、いい機会とばかりに自分のスタンスをまとめておきます。最初に断っておくとLINEをdisってるわけではなく、いや内容の一部はちょっとdisかもしれないけれど本質的に伝えたいのは「僕のような偏ったユーザーにとってLINEはあまり向いていないコミュニケーションツール」というだけの話でありますはい。 クラウド対応してない(複数端末で使えない) 一番の大きな理由はこれ。電話もネットもスマホ1台という大多数の人にはまったくもって無縁の悩みだとは思いますが、仕事柄複数の端末を持ち歩く私にとって、スマートフォンは1台限りしかインストールできないLINEは結構困っちゃう。 メールアドレス登録しておけば他の端末でも使えるといえば使えるのですが、そうすると過去のデータが見られなくなって
asm.js - frequently asked questions
A. No, it's just (a subset of) JavaScript. An asm.js program will behave identically whether it is run in an existing JavaScript engine or an ahead-of-time (AOT) compiling engine that recognizes and optimizes asm.js—except for speed, of course! A. It's early to say, but our preliminary benchmarks of C programs compiled to asm.js are usually within a factor of 2 slowdown over native compilation wit
asm.js
Working Draft — 18 August 2014 Latest version: http://asmjs.org/spec/latest/ Editors: David Herman, Mozilla, <dherman@mozilla.com> Luke Wagner, Mozilla, <luke@mozilla.com> Alon Zakai, Mozilla, <azakai@mozilla.com> Abstract This specification defines asm.js, a strict subset of JavaScript that can be used as a low-level, efficient target language for compilers. This sublanguage effectively describes
Backbone 1.0
I'm pleased and gratified to announce the oft-promised 1.0 release of Backbone.js. Backbone has come a long way since its initial release as a small extraction of the JavaScript Model/View layer of an open-source web application (funnily enough, exactly 888 days ago). These days, you can find it helping to power web applications large and small, from major news organizations to comment widgets, a
BHEK2 による大量改ざん – IIJ Security Diary
本日、0day.jp のブログにおいて、日本国内において BHEK2 (Blackhole Exploit Kit Version 2) の改ざんが多発しているとの報告がなされていたため、IIJ でも独自に調査を行いました。 その結果、本日夕方の時点でこれらの Web サイトの少なくとも40件以上に、マルウェアに感染させる不正なサーバへ転送を行う、悪意のあるコードが残されていました。このような入口となる改ざんされたサイトも多数存在しますが、マルウェアに感染させるサーバも世界中に30件以上存在しています。別の情報によると、本日だけでも世界中にマルウェアに感染させるサーバが少なくとも400台以上存在するため、世界的な大規模マルウェア感染事件である可能性があります。このため、ホスト名や IP アドレスによるブロックは困難であると考えられます。一方、URL のパス部には以下のような特徴が見られるた
BHEK2 を悪用した国内改ざん事件の続報 – IIJ Security Diary
前回の BHEK に関するブログの続報です。今回はインストールされるマルウェアの解析結果や、ドライブバイダウンロードの入り口サイトとなった Web サーバへの侵入手段などを紹介しています。 改ざんと侵入手段 トレンドマイクロのブログでは、マルウェアに感染させる不正な Web サイト (マルウェア感染サイト) へ誘導するコンテンツが挿入された Web サイト (入り口サイト) は、悪性の Apache モジュールがインストールされ、それが原因で改ざんが発生していたことが報告されています。 IIJ で確認したところ、改ざんされたコンテンツにアクセスしたユーザは、マルウェア感染サイトに誘導されました。その感染サイトのコンテンツにより、Java、Adobe Flash、Adobe Reader などのブラウザプラグインの脆弱性を悪用し、マルウェアのダウンロードを行います。 これら入り口サイトの W
asm.js/OdinMonkeyメモ
dynamis (でゅなみす/レッサーパンダ) @dynamitter JSには型固定配列が実装されていてそれを使えばかなり高速化されるので型のある言語で書いたコードをTyped Array使ったJSコードにコンパイルすれば手で書いた型なしJSコードより高速になる dynamis (でゅなみす/レッサーパンダ) @dynamitter JSでもn=n|0は常にintのように型を固定する書き方がある。C等からそんなアセンブラ的JSに変換するコンパイラとそんなJSを高速実行するよう改良したエンジンにより、JSは後方互換性を保ったままJava/C#以上の速度を実現可能な実行環境に進化する dynamis (でゅなみす/レッサーパンダ) @dynamitter アセンブラ的JSサブセットがasm.js、C等から変換するコンパイラがEmscripten、新しいJSエンジンがOdinMonkey。これ
「Google Readerが終わっても、RSSは終わらない」――伊藤直也さんに聞く
「Google Readerが終わっても、RSSは終わらない」――伊藤直也さんに聞く(1/2 ページ) この3月、RSSに関連する大きなサービスが相次いで終わりを迎えた。3月5日にTwitterのRSSフィードが終了。3月14日にはGoogleが、RSSリーダー「Google Reader」を終了すると発表した。 これらの動きを受けてネットでは、RSSについての議論が盛んになっている。「RSSは時代遅れ」「RSSリーダーは終わる」といった論調もある。 だが、ニフティのブログサービス「ココログ」や、はてなのソーシャルブックマーク「はてなブックマーク」など、RSSに関連するサービスを多く手がけてきたフリーエンジニアの伊藤直也さんは、「RSSも、RSSリーダーも終わらない」と話す。 RSSは、サイトの更新情報を届けるためのものではない そもそもRSSとは何だろうか。サイトの更新情報を届けるための
SSD に関する雑感 - mura日記 (halfrack)
SSD は block erase やら wear leveling で作業領域としての DRAM に大きく頼らざるを得ない。 電源断により DRAM の dirty な領域が消失することを考慮しながらメタデータの破損を防ごうとすると、 DRAM -> NAND の書き込み順序に強い制約が生じ、高速化に支障を来す。(ファイルシステムにおけるそれと同じように) DRAM with BBU を仮定すると、ファームウェアが書き込みの順序をイジる自由度が大幅に増す。 HDD と違い、 NAND は短時間ならキャパシタの電力で書き込みを行うことが出来るので、 SSD 内部での DRAM with BBU が容易であり広く普及するだろう。 コンデンサは二次電池と違い、はめ殺しに出来る程度に寿命が長い。 定期的な交換を必要とせずメンテナンスが楽なので、コンシューマ向けにも普及するだろう。 安価な SSD
「Obama For America」の開発チームが作り上げた大規模な選挙キャンペーンシステムの舞台裏(前編)
日本でも選挙活動にインターネットを利用するという議論が始まっていますが、世界でもっとも大規模にインターネットを利用して選挙活動が行われたのが、昨年の米大統領選挙です。 その選挙戦を勝ち抜いたオバマ大統領のチーム「Obama for America」が、どのような選挙キャンペーンシステムを構築したのか。3月15日に都内で行われたAmazonクラウドのイベント「JAWS DAYS 2013」で、語られました。 そこでは、過去の選挙データやソーシャルメディアなどを元に有権者の動向を徹底的に分析し、テレビCMの打ち方からボランティアの働き方まであらゆるものを最適化する大規模なシステムをいかに構築したのか。そして、大規模システムでクラウドを活用するとはどういうことか、ということを学ぶ絶好のサンプルになっています。 国内でこのシステムの舞台裏がこれほど詳しく紹介されることは初めてのはずです。講演の内容
MANIFEST.SKIPに#!include_defaultを入れておくと良い - Perl勉強メモ アルパカDiary出張版
https://github.com/toritori0318/p5-App-RedisTop/issues/5 issueを頂いて知ったのですが、 MANIFEST.SKIPに #!include_default を書いておくと デフォルトでMANIFESTから除外したほうがよいようなファイルを SKIPに追加してくれるようです。 blib/ pm_to_blib #!include_default こんな感じで書いておくと、make manifest の時に以下のように展開してくれる。 blib/ pm_to_blib #!start included /Users/toriitsuyoshi/perl5/perlbrew/perls/perl-5.16.2/lib/5.16.2/ExtUtils/MANIFEST.SKIP # Avoid version control files.
out_exec_filter 入出力フォーマットの変更による負荷の変化 - たごもりすメモ
まず前置きですが、みんな大好きFluentdがなぜ*1実用上充分なくらい高速に動作するかというとそれは内部のシリアライズ/デシリアライズフォーマットとして使われているMessagePackのおかげによるところが大きいわけですね。 ところで Fluentd の組込みプラグインのひとつに out_exec_filter というのがありまして、これは任意のプログラムを子プロセスとして実行し、そのSTDIN/STDOUTにFluentdのメッセージを通すことでどんな処理でも記述可能なフィルタとして使いましょう、というやつ。 これは当初はTSVしかサポートしてなかった*2んだが、対応フォーマットがいくつか増えていまではjsonとかmsgpackでも入出力可能になっている。もちろん外部プログラムの側でもjsonやmsgpackを読み書きするように書かれてないといけない。 さてお仕事でこの exec_f
宮川さんPodcast ep6、KDP での本の作り方 - naoyaのはてなダイアリー
第6回は伊藤直也さん (@naoya_ito) をゲストに迎えて、Kindle 出版、GitHub、Google Reader などについて話しました。 ほぼ週一くらいで配信されている @miyagawa さんの Podcast、第6回目のゲストで出演しました。第1回目に続き、これで自分は2回目ですね。だんだん往年のいいともみたいになっていくのだろうか。 それはともかく、内容は先日だした Kindle の 入門 Chef Solo に絡めて KDP (Kindle Direct Publishing) の話、それから Google Reader にまつわる RSS の話に関して。二人とも KDP での出版経験があるのと、RSS に関しては昔二人で本を書いたりした当時のホットな話題でお互い良く知ってるしというので、面白く話せました。 Chef 本が実際 KDP でどのくらいダウンロードされて
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
https://dev.twitter.com/blog/application-only-authentication
conma.me
慎重に扱うべきコンテンツに関する警告