会社でフルリモート体制が築かれるにつれ、各スタッフの自宅の回線などについての相談を受けることが増えてきました。ということで、筆者 sorah の見解として 2020 年の NTT フレッツ光網について、主に通信速度や輻輳についての問題を理解するための背景と仕組みを説明しようと思います。 理解が間違っていたら教えてください。なるべく総務省や NTT の資料からソースを集めてきた上で説明していますが、出典不明の情報も混ざっているかもしれません。できるだけ具体的な出典を文単位で示していますが、複数の資料に渡る複雑なトピックに関しては文末に纏める形になっています。 技術的な意味での細かい解説よりも複雑な事情や背景の説明が中心です。フレッツ光とか NGN とか IPoE とか IPv6 とか v6 プラス・アルファみたいな言葉を聞いて、なんでそんな難しいんだと思った人も多いんじゃないでしょうか。エン
今なぜHTTPS化なのか?インターネットの信頼性のために、技術者が知っておきたいTLSの歴史と技術背景
【変更履歴 2018年2月15日】当初の記事タイトルは「いまなぜHTTPS化なのか? 技術者が知っておきたいSEOよりずっと大切なこと ― TLSの歴史と技術背景」でしたが、現行のものに変更しました。現在GoogleではWebサイトのHTTPS対応と検索結果の関係を強調しておらず、本記事の趣旨の一つにも本来は独立した問題であるSEOとHTTPS化を関連付けるという根強い誤解を解くことがありますが、当初のタイトルではかえってSEOとHTTPSを関連付けて読まれるおそれがあり、また同様の指摘もいただいたことから変更いたしました。 HTTPとHTTPSは、共にTCP通信上で動作します。したがって、いずれもTCPハンドシェイクで通信を開始します。 HTTP通信の場合には、このTCPハンドシェイク直後に、HTTPリクエストとレスポンスのやり取りが始まります。このHTTPのやり取りは平文通信であり、途
ゴールデンウィークのはじめ(4月29日)に投稿された以下のツイートですが、5月7日20時において、1,938.8万件の表示ということで、非常に注目されていることが分かります。 我が名はアシタカ!スタバのFreeWi-Fiを使いながら会社の機密情報を扱う仕事をしてたら全部抜かれた。どうすればよい! pic.twitter.com/e26L1Bj32Z — スタバでMacを開くエンジニア (@MacopeninSUTABA) April 29, 2023 これに対して、私は以下のようにツイートしましたが、 これ入社試験の問題にしようかな。『スタバのFreeWi-Fiを使いながら会社の機密情報を扱う仕事をしてたら全部抜かれた』と言う事象に至る現実的にありえる脅威を説明せよ。結構難しいと思いますよ。 https://t.co/LH21zphCTV — 徳丸 浩 (@ockeghem) April
以下は、WEBプログラマー用のWEB脆弱性の基礎知識の一覧です。 WEBプログラマーの人はこれを読めばWEB脆弱性の基礎をマスターしてWEBプログラムを書くことができるようになっているかもです。 また、WEB脆弱性の簡易リファレンスとしても少し利用できるかもしれません。 WEBアプリケーションを開発するには、開発要件書やプログラム仕様書通りに開発すれば良いというわけにはいきません。 そう、WEB脆弱性を狙う悪意のユーザにも対処しないといけないのです。 今回、WEBアプリケーションを開発にあたってのWEB脆弱性を、以下の一覧にまとめてみました。 このまとめがWEBアプリケーション開発の参考になれば幸いです。 インジェクション クロスサイト・スクリプティング セッション・ハイジャック アクセス制御や認可制御の欠落 ディレクトリ・トラバーサル(Directory Traversal) CSRF(
「高木浩光@自宅の日記 - Tポイント曰く「あらかじめご了承ください」」というエントリーによってTポイントツールバーは「騙す気満々の誘導」であると指摘、その2日後にTポイントツールバーのダウンロードが一旦停止されたり、ほかにも「ダウンロード刑罰化で夢の選り取り見取り検挙が可能に」「ローソンと付き合うには友達を捨てる覚悟が必要」「武雄市長、会見で怒り露に「なんでこれが個人情報なんだ!」と吐き捨て」「やはり欠陥だった武雄市の個人情報保護条例」というように、次々とセキュリティに関して絶大な影響を与え続けてきた独立行政法人産業技術総合研究所の高木浩光(通称:ひろみちゅ)氏によるCEDEC2012の講演が、非常に秀逸な内容となっており、ゲームに限らず、スマートフォンまでも含めてそもそも「個人情報」とは一体何か?ということから、個人情報の現在の扱い、プライバシーに関して今後あるべき方向に至るまで、縦横
Web サイトを常時 SSL 化する場合に、最低限知っておかなければならない知識や、注意点、実際の設定方法まで、ひと通りまとめてみました。メリットやデメリット、証明書の種別からリダイレクト設定などについても解説しています。 HTTPS をランキングシグナルに使用しますと Google が公式に発表したあたりから、Web サイトの SSL 対応、特に Google が推奨している Web サイトをすべて HTTPS で配信する、所謂 「常時 SSL 化」 についての話を聞いたり、実際にお客様から相談されたりするケースが増えてきました。 そこで、いい機会だしその辺に関する情報をまとめておこうかな~ と思って書いてみた、恒例の (?) 5分でわかるシリーズ。書き終わって見たところ絶対に 5分じゃ無理っていう文章量になっててどうしようかなぁとも思ったんですが、気にせず公開してみます。 常時 SSL
サイバーセキュリティにおいてLANケーブル(有線LAN)からの侵入について考えたことがあるでしょうか?本稿では、LANケーブルをニッパーで切断してネットワークへ侵入・盗聴した実験結果を紹介します。切断してから何秒で侵入・盗聴できたのでしょうか? 本記事は、ケーブルを切断してネットワークへ侵入・盗聴されるリスクがある事を知っていただく事を目的としています。 ご自身の環境以外では試さないようお願いします。 なぜLANケーブルからの侵入? 技術部の安井です。長年制御システムを開発してきた経験から制御システムセキュリティ向上に取り組んでいます。制御システムの業界では、近年外部ネットワークを経由しての侵入や内部に持ち込まれたUSBメモリからの侵入が注目されています。一方で、なぜかネットワークを構成する大きな要素であるLANケーブルや光ケーブルからの侵入への注目度は低いようです。制御システムに関わらず
この本がスゴい!2023
「あとで読む」と思った本が、後で読まれた試しがない。 今度の週末・連休にと、積まれた本は崩されない。次の盆休み・年末年始に繰り越され、山脈を成し床が消える。 読書を食事になぞらえて、「血肉化」と表現するならば、私がやっていることは、メニューを眺めて片っ端から注文しているくせに、いんすた映えを気にしながら撮るくせに、まともに咀嚼して嚥下して消化してない状態だ。 そのくせ、「積読も読書のうち」と開き直ったり、溜まった本こそ私の証などと屁理屈こね回す。読まない本に「負債」のような後ろめたさを感じつつ、新刊本を探しだす。新しい本はそれだけで価値があると盲信し、かくして積読リストは延びてゆく。 もう一つ、恐ろしい予感がある。感受性の劣化だ。 あれほど楽しみに「取っておいた」本が、まるで面白くなくなっている。いや、その本の「面白さ」が何であるかは理解できる。だが、それを面白いと感じなくなっているのだ。
GoFデザインパターンの一覧表と,活用のためのコメント,および入門者が独学するためのリンク集(サンプルコード付き)。 入門者の独学を支援するために,このページのURLを提示して熟読させ,各パターンを短時間で効率よく学んでもらう。 デザインパターンはプログラマの常識だ。 Java使いかどうかは問わない。 にも関わらず,入門書を買ったまま,途中で挫折する人が多い。 挫折の原因は,パターンの数が23もあって,多いからだろう。 全パターンをすんなり覚えてもらうためには,各パターンごとに 「要するにこういう目的のパターンなんだ。」 「10文字で表現すると,パターンの意味はこうなんだ。」 という要点・本質を,短いコメントで伝えれば助けになるだろう。 こういった学習を通して,Java言語の「設計思想」も併せて感じ取ってゆけるはず。 全パターンの一覧表(要約コメント付き) 全パターンについて,10文字以内
八木啓代のひとりごと 黒川弘務の正体
検察官定年延長のための検察庁法の改正が、よりにもよって、この新型コロナ騒動の最中に審議に上がるというので、このあまりの火事場泥棒っぽさに、さすがに批判の声が上がっている。黒川弘務東京高検検事長の定年を延ばし、検事総長に就けるようにするという意図が露骨だからだ。 事の発端は、1月31日に、黒川弘務東京高検検事長の定年延長を閣議決定したところ、2月10日になって、立憲民主(当時)の山尾志桜里議員に「国家公務員法は検察官に適用できない」とする1981年の政府答弁を指摘されると、13日に、安倍首相が、法解釈を変更したと説明したあげく、21日にはこの法解釈の変更が、口頭決済だったなんていうこじつけの出鱈目ぶりが明らかになってきて、みんな唖然としちゃったわけです。 で、26日に、小西洋之参院議員(無所属)が国立公文書館で、1980年10月の「国家公務員法の一部を改正する法律案(定年制度)想定問答集」と
みなさんは『攻殻機動隊』と聞いてどれを思い浮かべるでしょうか。押井守の最初の劇場版でしょうか、それとも神山健治のSACシリーズでしょうか。ハリウッドの実写版を思い出す方もおられるかもしれません。 しかしながら、私にとっての”攻殻”は士郎正宗による漫画『攻殻機動隊』なのです。はじめてこの漫画を読んだときは、世にこれほどまでに面白い漫画が存在するのかと震えました。未だに私にとっての漫画の最高傑作です。しかし、この原作漫画はアニメシリーズと比較して、残念ながら知名度が高いとはいえません。 その理由の一つに、非常に難解なストーリー展開があると思います。一読しただけでは物語の把握は困難で、注釈が無数にあって、そして理解を読者に求めます。 この作品は、画に描いてあることを解説してくれない漫画なのです。読者は画とセリフから能動的に意味を読み取り、物語を自分で組み立てなければなりません。 もちろんそういっ
![原作『攻殻機動隊』全話解説 [第一話]|ヒト](https://cdn-ak-scissors.b.st-hatena.com/image/square/ff09e5146dcedcffaa79647d59cad9342c22a2c2/height=288;version=1;width=512/https%3A%2F%2Fassets.st-note.com%2Fproduction%2Fuploads%2Fimages%2F117053446%2Frectangle_large_type_2_ce2a1b99fb7396ba5ab70227e7f5e8fd.jpeg%3Ffit%3Dbounds%26quality%3D85%26width%3D1280)
自分で新興宗教を作って教祖になってひと儲けしたいのですが、どういう準備をすればいいですか? - Yahoo!知恵袋
https://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1428548384 1・ご利益は実現できる範囲の事。 手からなんか出てアトピーを治すとか、本部の井戸水飲んで癌が治るとか言わない。薬事法に触れます。 2・奇跡はやめとく 胡座のまま空中浮遊とか、ガリラヤの湖を歩いて渡ったとか公言すると大槻教授やキッチュさんにボコボコにされます。韮沢さんしか擁護してもらえません。もう21世紀なので昔ほど簡単に民衆は騙せません。 3・年収の15%以上搾取しない。 某教祖の指針では信者の年収20%以上の搾取は組織の寿命を縮めるそうです。信者が長く活動できる事が肝要。 ※5%は優しさ。宗教に必要なのは[愛情]と[脅し] 4・「地獄」や「霊障」を武器にして壷やハンコを買わせない。 何の価値もない壷に[幸せになる]等のアホみたいな付加価値をつけて高額で
賃貸マンションに入れてはいけない客
相続で成り行き上賃貸マンションの大家になり10年が経った。約100部屋を自主管理している。年は50代。場所は関東のどこか、とだけ。 この仕事クッソつらい。 家賃が振り込まれてくるのを待つだけのカンタンな仕事じゃないのかよ。 この10年で失敗しまくってきた。そしてこの仕事のコツは「入居させてはいけない客」を入居審査で落とすことに尽きると痛感した。 一度入居させてしまったら追い出すのは基本的には不可能。 これから絶対に入れてはいけない客を書いていく。これから賃貸マンションの大家でもやろうとしてる酔狂な人がいたら参考にしてくれ。 ●タトゥー入れてる奴 経験上、100%ハズレ。 性別、職種は問わない。仮にそいつが公務員だったとしてもタトゥーが入ってるってわかったら入居審査で落とせ。家賃滞納、騒音、ゴミを分別しない、勝手なところに車を停める等、やって欲しくないことを全部やる。 客付けの不動産屋から「
**2007年3月8日** 【マジレス】誰かすぐ相談に乗ってくれませんか?160 92 名前:名無しさんといつまでも一緒[] 投稿日:2007/03/08(木) 15:40:56 0 ■相談です■ 26才既婚女性です。 浮気が理由での離婚の場合慰謝料と生活費は減りますか? 97 名前:名無しさんといつまでも一緒[] 投稿日:2007/03/08(木) 15:46:49 0 詳しく書けるほどの賢さがないからプリなんだよ (※プリ=不倫のこと) 98 名前:名無しさんといつまでも一緒[] 投稿日:2007/03/08(木) 15:48:28 0 あんたが浮気ならあんたが払う 旦那の浮気なら旦那が払う 減りますかってなんやねん 99 名前:92[] 投稿日:2007/03/08(木) 15:48:30 0 すみません。 私の浮気がバレました。 それはいいんですが、 離婚の時の慰謝料と生活費が
コンピュータを進化させてきた偉大なるアルゴリズムまとめ
By Kai Schreiber IT技術の進化のスピードには目を見張るものがありますが、それを支えているのはアルゴリズムと呼ばれる処理方法(技術的アイデア)です。さまざまなアルゴリズムの中でも、コンピュータの進化に革命的な影響をもたらしたとされる偉大なアルゴリズムは以下の通りです。 Great Algorithms that Revolutionized Computing http://en.docsity.com/news/interesting-facts/great-algorithms-revolutionized-computing/ ◆ハフマン符号(圧縮アルゴリズム) Huffman coding(ハフマン符号)は、1951年にデービッド・ハフマン氏によって開発されたアルゴリズム。頻出頻度の大小によって対戦するトーナメントツリーを考えて、ブロックごとに0と1の符号をもたせる
TLS 1.3は現在策定中ですが、 前方秘匿性 の問題から RSAのみ を用いた鍵委共有が禁止になる見込みです。(詳細は後述します) HTTPSとは 次に、HTTPSです。 HTTPS - Wikipedia HTTPS(Hypertext Transfer Protocol Secure)は、HTTPによる通信を安全に(セキュアに)行うためのプロトコルおよびURIスキームである。 厳密に言えば、HTTPS自体はプロトコルではなく、SSL/TLSプロトコルによって提供される セキュアな接続の上でHTTP通信を行うこと をHTTPSと呼んでいる。 とのことです。 HTTPの説明を割愛するとすれば、「SSL/TLSでセキュアにHTTPをやる」というだけの説明で済んでしまいます。 最近では個人情報等の観点から全てのサイトをHTTPSにするような動きが見られますが、元々HTTPSが使われやすかった
OpenSSLの脆弱性「Heartbleed」が世間を賑わせていますが、色々と乗り遅れてしまった感があるので、ゆるゆると落ち穂拾いをしようかと思います。 Heartbleedで秘密鍵を手に入れたらSSL通信の中身全部見えちゃうじゃん!! という事態になっていますが、なんとなく理論的にそうだろうなと分かるもののイマイチ具体的な手順が分からない。 というわけで今回のテーマとして、手元にサーバの秘密鍵と、SSL通信をパケットキャプチャしたpcapファイルがあるときに、Wiresharkでどんな感じでSSL通信を「ほどく」のか……という具体的な手順を、ハマり所を含めてまとめておこうかと思います。 というか、私自身がハマったので自分用メモですな。なおこの文書では"SSL"とだけ記述し、TLSは無視しています。 前提条件 とりあえず以下のような感じの検証環境で試しました。 IPアドレス 説明 ホストO
開発者のための正しいCSRF対策
著者: 金床 <anvil@jumperz.net> http://www.jumperz.net/ ■はじめに ウェブアプリケーション開発者の立場から見たCSRF対策について、さまざまな情報が入り乱れている。筆者が2006年3月の時点において国内のウェブサ イトやコンピュータ書籍・雑誌などでCSRF対策について書かれている記事を調べた結果、おどろくべきことに、そのほとんどが誤りを含んでいたり、現実的 には使用できない方法を紹介したりしていた。そこで本稿ではウェブアプリケーション開発者にとっての本当に正しいCSRF対策についてまとめることとす る。また、採用すべきでないCSRF対策とその理由も合わせて紹介する。 ■あらゆる機能がターゲットとなりうる ウェブアプリケーションの持つ全ての機能がCSRF攻撃の対象となりうる。まずこのことを認識しておく必要がある。 Amaz
こんにちは、@IT編集部の西村賢です。IT系のオンラインメディアで編集・記者をしております。タイトルに「ど素人」と書くと、ちょっと嘘になるので「素人」と書きましたが、素人がWebアプリを作ってみた体験談と感想を書いてみたいと思います。「オレもプログラミングを勉強して何か作ってみたい!」と考えている人や、「自分でサーバを借りて何かやってみようと思っていたんだよね」という人の参考になれば幸いです。 去年の夏、Webアプリケーション開発フレームワークのRuby on Railsのことを調べていて「面白そうだな」と思い、ドキュメントに従ってサンプルアプリをいくつか作ってみました。作ったり壊したりしている間に、こう思いました。 「あれ? これなら自分が欲しかったサービスが作れちゃうんじゃないの?」 で、「Worklista」(ワークリスタ)という名前のWebサービスを作りました。3カ月ほど前から親し
Lance Freeman 2010年4月8日 "Information Clearing House" アメリカ人の皆様には悪いお知らせがある。 アメリカ人の生活の質は先進国の中でも大差で最悪なのだ。 西ヨーロッパ、オーストラリア、ニュージーランド、カナダや、アジアの多くの場所で、人々が本当はどのような暮らしをしているかご存じになっていれば、皆様方はより良い生活を要求して街路で暴動しておられるだろう。実際、平均的なオーストラリア人やシンガポール人のタクシー運転手の方が典型的なアメリカ事務職の人より生活水準はずっと良い。 私はアメリカ人なので、これを知っている。それで皆さんが家とお呼びになっている監獄から脱出したのだ。 私は世界中で暮らしたことがある。豊かな国、貧しい国、そして、ただ一国だけ私が決して暮らしたくないと思う国がある。アメリカ合州国だ。アメリカのことを考えるだけで、恐怖で一杯に
Smoozサービス終了に寄せて
202012_smooz.md Smoozサービス終了に寄せて 前置き この文章と、それに含まれる考察や各サービスへの脆弱性報告などはmala個人の活動であり、所属している企業とは関係ありません。 一方で私は、企業が閲覧履歴を収集して何をしたいのか、所属してる企業や他社事例について、ある程度詳しい当事者でもあります。 一般論として書けることは書けるが、(業務上知り得た知識で開示されてないものなど)個別具体的なことは書けないこともあり、また観測範囲に偏りがある可能性もあります。 Smoozに報告した脆弱性2件 最近、Smoozというスマホ向けのブラウザアプリに2件脆弱性の報告をした。 この記事を書いている時点で、Smoozの配布が停止されていて、修正バージョンの入手が出来ない。 2件目についてはまだ返事が来ていない。 脆弱性情報の開示にあたって特段の許可は得ていないが、開発元からも利用停止す
ウルトラマイナーはなるべく避けた一方で、超有名どころ!みたいなのは外したつもり。それでも「いやFTLは超有名クラスだろ」とつっこまれるかもですが、ご容赦を。 Cookie Clicker / 208円 いきなり超有名作ですね。いわずとしれたクッキークリッカーの有料版。クリックと放置で天文学的数字の枚数のクッキーを焼き上げよう。クッキーは人生のメタファーであり、グランマは母なる地球のことだ。 Punch Club / 245円 ボクサー育成アドベンチャー。基本的にはステータス管理ゲーだが、「ストーリー重視」の謳い文句どおり、殺された父の犯人を追うというメインストーリーがある。というとシリアスっぽいがパロディネタにあふれたバカゲーでもある。 Celeste / 495円 超高難度スタイリッシュ2Dアクション。色んなアクションやギミックを駆使して足場から足場へと渡っていくのだが、とにかく死ぬ。ひ
21世紀の人類がZIPのパスワードを直後のメールで送るのは、なぜデスか?:こうしす! こちら京姫鉄道 広報部システム課 @IT支線(11) - @IT
井二かけるの追い解説 今回の漫画のテーマは、ITエンジニアの間でしばしば批判される「後続メールでのパスワード別送」です。 ここでいう「後続メールでのパスワード別送」とは、メールで添付ファイルを送付する際、添付ファイルをパスワード付きzipとし、後続メールでパスワードを送付するという方式です。 現在、情報セキュリティ対策の一環として、「後続メールでのパスワード別送」を採用する企業が数多く存在します。漫画のようにパスワード別送をシステムで自動化している企業も少なくありません。 では「後続メールでのパスワード別送」は何が問題なのでしょうか。代表的な2つの点を挙げます。 1.後続メールでパスワードを別送しても、セキュリティはほぼ向上しない 電子メールはその仕組み上、基本的に相手に届くまでに複数のサーバを経由します。メール送信にTLS/SSLを用いても、暗号化が保証されるのは自分が使用しているメール
OpenSSLの脆弱性で想定されるリスク - めもおきば
JVNやJPCERT/CCの記事があまりにもさらっと書かれていて、具体的なリスクが想像しづらいと思うので説明します。 今北産業 (今ニュース見て来たから三行で教えて欲しいという人向けのまとめ) インターネット上の「暗号化」に使われているOpenSSLというソフトウェアが2年間壊れていました。 このソフトウェアは便利なので、FacebookだとかYouTubeだとか、あちこちのウェブサイトで使っていました。 他の人の入力したIDとかパスワードとかクレカ番号とかを、悪い人が見ることができてしまいます。(実際に漏れてる例) 他にも色々漏れてますが、とりあえずエンジニア以外の人が覚えておくべきはここまででOKです。もう少し分かりやすい情報が以下にあります。 OpenSSL の脆弱性に対する、ウェブサイト利用者(一般ユーザ)の対応について まだ直っていないウェブサイトもあれば、元々壊れていないウェブ
この本がスゴい2009
今年もお世話になりました、すべて「あなた」のおかげ。 スゴい本は多々あれど、独力で発掘できるはずもないので、スゴ本を読んだ「あなた」を探す。好きな本ばかりで食傷気味で、お山の蛙か、井の中の大将になったつもりのわたしにとって、「あなた」は良い刺激であり指針でありアドバイザーなんだ。 そう、好きな本だけ読むのもいいし、本屋さんだけで事足れりとしてもいい、それでも読みきれないほど。そして、自分の周りに壁を築いて、ヒキコモるのもアリ(わたし自身がそうだった)。時折みかける独善に陥っている人を反面教師として、自らを戒める。ブンガク小説ばっかり読んで、世界を分かった気になっている人、科学リテラシーこそ全てで他はクズだとのまたう人、それぞれの得意分野では天狗だろうが、外から眺めていると、こっけいで仕方ない。 そんな「わたし」にならないために、広く、深く、遠くまで「あなた」を探す。「あなた」のおかげで、こ
統合失調症の母をついに入院させた話
先日、独居状態の高齢者である統合失調症の母をついに入院させた。 発症から入院までおよそ四半世紀程かかった。 ここ1年程で近隣とのトラブルが増え、ここ数カ月は週に一度のペースで警察からトラブル報告の電話が来て謝罪に行く日々だった。 そこで「医療保護入院」という形で、本人の了解なしに家族の同意により強制的な入院を行った。 「こんな長い期間なんで放っておいたんだ」「お前の責任でもあるだろう」という声もあるだろうが、 自分の気持ちを整理する意味でもこれまでの経緯を書く。 母は兼ねてより気性の激しい性格で、自分の行動が間違っていると思う事がなく、謝罪したことを見たことがない。 興奮すると激しく怒鳴り散らし、強い言葉で他人を攻撃する人であった。 日常的に暴力を振る事はあまりなかったが、私は10歳になるまではかなり厳しく躾をされ、 一時間以上正座状態で延々怒鳴りつけられ、時に激しく叩かれて育った記憶があ
やはりお前らの「公開鍵暗号」はまちがっている。
※タイトルの元ネタは以下の作品です。 はじめに この記事は、公開鍵暗号の全体感を正しく理解するためのものです。数学的な部分や具体的なアルゴリズムは説明しません。気になる方は最後に紹介するオススメ書籍をご覧ください。 少し長いですが、図が多いだけで文字数はそこまで多くありません。また、専門的な言葉はなるべく使わないようにしています。 ただしSSHやTLSといった通信プロトコルの名称が登場します。知らない方は、通信内容の暗号化や通信相手の認証(本人確認)をするためのプロトコルだと理解して読み進めてください。 公開鍵暗号の前に:暗号技術とは 公開鍵暗号は暗号技術の一部です。暗号と聞くと、以下のようなものを想像するかもしれません。 これは情報の機密性を守るための「暗号化」という技術ですが、実は「暗号技術」と言った場合にはもっと広い意味を持ちます。まずはこれを受けて入れてください。 念のため補足して
いま、中国の科学技術が急速に成長している。「科学技術強国」の建設を掲げてばく大な資金を研究につぎ込み、超大国・アメリカに迫ろうとしているのだ。これと対照的に、国際的な地位低下が指摘されている日本の科学技術。「科学技術立国」を標ぼうしながら、何がこの差を招いたのか。躍進を続ける中国の現実から目を背けてはならない。(科学文化部記者 横川浩士) 中国・上海から高速鉄道で1時間余り、江蘇省無錫市にある「国立スーパーコンピューターセンター」。ここに、中国が世界に誇る「神威・太湖之光」がある。 アメリカなどの専門家がまとめている計算能力の世界ランキングで、ことし6月までの4期2年、1位の座を保ってきたスーパーコンピューターだ。 高度な計算を伴う研究に欠かせず、各国が開発競争にしのぎを削っているスーパーコンピューター。最新のランキングでは、中国は上位500台のうち200台余りを占め、2位のアメリカを大き
前回、運転免許証記載情報の真正性を確認する方法を紹介しました。 パスポートにも免許証と同様にICチップが埋め込まれており、海外渡航時の入国審査では本物のパスポートかどうかチェックが行われています。 不動産取引や民間サービスの本人確認業務でも、同じ方法でICチップの確認を行えば身分証偽造による詐欺行為を防ぐことができます。 今回パスポートのICチップにアクセスして真正性を確認するAndroidアプリをつくったのでその仕組みを紹介します。 目次 電子パスポート仕様パスポートは世界で通用する身分証明書です。 それぞれの国が独自仕様のパスポートを発行すると大変なので、 国際民間航空機関(以下ICAO)がICチップの技術仕様を標準化し、各国のシステムで相互運用できるようになっています。 ICAOはDoc 9303 Machine Readable Travel Documents(機械可読な旅券)と
FTP の危険性に関して超簡単まとめ
今日話題になった Gumblar の亜種によって FFFTP の設定情報から FTP 情報が漏れる件で、FTP 自体の危険性と FFFTP 自体の特性、さらに Gumblar 対策という点で少し情報が混乱している状況が見受けられます。そこでその点を簡単にまとめてみました。 去年あたりから、「Gumblar (ガンブラー)」 に代表されるような、FTP のアカウント情報を何らかの手段で盗み出して Web サーバにアクセスし、Web サイトを改竄して被害を広めていくタイプのウィルスが問題になっていますが、今日になって広く利用されているフリーの FTP クライアントである 「FFFTP」 にアカウント情報漏洩の危険性が見つかったということで話題になっていました。 「FFFTP」のパスワードが"Gumblar"ウイルスにより抜き取られる問題が発生 : 窓の杜 ただ、この問題で、FTP 自体の危険性
Webでのプッシュ技術 HTTPはクライアント(ブラウザ)からリクエストしてサーバからレスポンスが返る一問一答型のプロトコルなので、基本的にはサーバ側からブラウザに新着情報をリアルタイムで通知(プッシュ)できるようにはできていません。 しかしそれでもプッシュをしたいという場合にどうするかという話が出てきます。やり方には以下のようなものがあります。 ポーリング クライアントからサーバに定期的に新着を問い合わせるようにします。 最も原始的かつ確実なやり方。欠点は、最大でポーリング間隔の分だけ通知が遅延しうることです。 ロングポーリング(“COMET”) ポーリングなのですが、問い合わせを受けたサーバは新着情報がなければレスポンスを返すのをしばらく保留します。 そのあいだに新着情報が発生すれば即座にレスポンスを返しますし、一定時間経過したら何もなかったとレスポンスを返しましょう。 飛び交う通信内
HTTPSにまつわる怪しい伝説を検証する - Google I/O 2016のセッションから - Qiita
今年はGoogle I/Oに初めて社員ではない立場で参加しました。全体の感想は Google I/O 2016まとめ(Web的視点) で公開していますが、今回はその中で、気に入ったセッションの1つである"Mythbusting HTTPS: Squashing security’s urban legends"について書いてみたいと思います。 セッションは大変良くまとまっていますので、YouTubeにあがっている動画を見れる人は動画を見て貰えれば良いのですが、時間が無いという人のために、その内容をまとめました。基本的には文字起こしに近いものです。 重要だとわかっているけど、なかなか導入に踏み切れない人も多いHTTPS。これについて、最新の状況が理解できるコンテンツとしてお役に立てるならば嬉しいです。 TL;DR HTTPSはPWAppなどWebにとって必須。 しかし、パフォーマンス悪化する
リンク、コピーは黙ってどうぞ。くわしくはこちらを見よ。 あとこのサイトはなるべく正しい html5で書くよう心がけてます。が、加筆するうちにバグが入り込む場合が多々あります。たまに、各ページの黄色い「Valid HTML5!」アイコンをクリックして、エラーが出るようなら教えてくださいな。 What's New and That Sorta' Crap 「アルク/マガジンアルク」連載」(2006-2017) を全部 html化。(2021/12/03) クルーグマン「ミレニアムを解き放つ」(2000) 翻訳。(2021/3/19) 古い雑誌連載の『CarX』/『MagX』連載 (2008-2012) が発掘されたので追加。あとなんとなくHTML5 に移行してみるが、テキストだからほぼ関係ないんだよね…… (2020/11/10) エリック・レイモンド「ハッカーになろう」翻訳をアップデート。
Update 2015/5/8: 指摘頂いたタイポや誤訳などを更新しました。 2015/5/8: 構成を一部修正しました。 Intro 4/30 mozaiila のセキュリティブログに下記のようなエントリが投稿されました。 Deprecating Non-Secure HTTP | Mozilla Security Blog エントリはそこまで長くないので、ここに翻訳の全文を記載します。 そして、元エントリのライセンスである CC BY-SA 3.0 に則り、 本エントリも同じく CC BY-SA 3.0 とします。 Deprecating Non-Secure HTTP 原文: Deprecating Non-Secure HTTP 今日は、 non-secure な HTTP から、徐々に廃止していくという方針についてアナウンスします。 HTTPS が Web を前進させる手段である
InfoQ: HTTPSコネクションの最初の数ミリ秒
ほとんどの人がHTTPSとSSL (Secure Sockets Layer) を結びつけて考えます。SSLは1990年代半ばにNetscape社が開発した仕組みですが、今ではこの事実はあまり正確でないかもしれません。Netscape社が市場のシェアを失うにしたがって、SSLのメンテナンスはインターネット技術タスクフォース(IETF)へ移管されました。Netscape社から移管されて以降の初めてバージョンはTransport Layer Security (TLS)1.0と名付けられ、1999年1月にリリースされました。TLSが使われだして10年も経っているので、純粋な"SSL"のトラフィックを見ることはほとんどありません。 Client Hello TLSはすべてのトラフィックを異なるタイプの"レコード"で包みます。ブラウザが出す先頭のバイト値は16進数表記で0x16 = 22。 これは
寺田さんのブログエントリ「他人のCookieを操作する」には、通信路上の攻撃者がいる場合は、SSLを使っても、Cookieの盗聴を防ぐことはできるが、Cookieの改変を防ぐことはできないと指摘されています。いかにも寺田さんらしい簡にして要を得たエントリで、これに付け加えることはあまりないのですが、残念ながらまだ読んでいない人が多そうだと言うことと、より広い読者に向けて具体的に説明した方がよいだろうと考えました。 そこで、通信路上に攻撃者がいる典型例として、公衆無線LANの偽AP(アクセスポイント)があるケースを題材として、「HTTPSを使ってもCookieの改変は防げない」ことを説明します(Secure属性使うと盗聴は防げますが、改変は防げません)。長いエントリなので結論を先に書いておきます。 Secure属性がないCookieはHTTPSでも盗聴できる Cookieの改変についてはSe
社内プロキシに虐げられてる人たちはVPSとか借りて社外にプロキシ立ててsshトンネルで繋ぐとウハウハですよってお話 - Qiita
概要 社内プロキシに様々なサイトへのアクセスをブロックされたり、社外サーバにsshできなかったりする人向けに社外プロキシを立ててあらゆるサイトにアクセスする方法のまとめです。(後述しますが半分くらいネタポストです。) 他にも以下のような効果がありますので、プロキシフリーな会社にお勤めもし良かったら参考にして頂ければと思います。 なぜか2015年になっても存在するカフェとかホテルとかでの保護されていなかったりする無線wifiを使っても盗聴されない。 日本からアクセスできないサイトにアクセスできる。(海外のデータセンタ上のVMを使った場合) なお、非認証プロキシを例にしてます。認証プロキシでもあまり変わらないとは思いますが、環境が無いため未確認です。また、プロキシの挙動や設定方法はプロキシサーバの種類や設定によって多岐に渡るため、全てのプロキシで同じ方法が使えるとは限らないとは思います。 最後
CSS2008(コンピュータセキュリティシンポジウム2008)において、無線LANの暗号化方式であるWEPを瞬時にして解読するアルゴリズムが神戸大学の森井昌克 教授から発表されたそうです。何よりすさまじいのが、既に知られているような特殊な環境が必要な方法ではなく、通常の環境で簡単に突破可能であるという点。しかも、諸般の事情によって解読プログラムの公開はひかえているものの、近々公開予定とのこと。 携帯ゲーム機であるニンテンドーDSは暗号化においてWEPしか現状ではサポートしていないため、今後、さまざまな問題が出る可能性があります。 一体どういう方法なのか、概要は以下から。 CSS2008において,WEPを一瞬にして解読する方法を提案しました. - 森井昌克 神戸大学教授のプロフィール WEPを一瞬で解読する方法...CSS2008で「WEPの現実的な解読法」を発表|神戸大学 教養原論「情報の
Webシステムのパスワードを忘れたときの利用者認証において合い言葉を使用する場合,合い言葉が一致した後の処理のうち,セキュリティ上最も適切なものはどれか。 アあらかじめ登録された利用者のメールアドレス宛てに,現パスワードを送信する。イあらかじめ登録された利用者のメールアドレス宛てに,パスワード再登録用ページヘアクセスするための,推測困難なURLを送信する。ウ新たにメールアドレスを入力させ,そのメールアドレス宛てに,現パスワードを送信する。エ新たにメールアドレスを入力させ,そのメールアドレス宛てに,パスワード再登録用ページヘアクセスするための,推測困難なURLを送信する。 パスワードを忘れたユーザーを救済するための仕組みをパスワードリマインダといいます。パスワードリマインダを設けることでユーザーの利便性は高まりますが、認証の機会が増えることでセキュリティが弱くなるため仕組みや設置の可否を慎重
国会ウォッチャーです。 タイトル変えて再投稿しました。 今朝は山尾しおり議員、階猛議員が、それぞれ共謀罪について、金田法務大臣、安倍総理大臣に質問をしていました。はっきりいって答弁を理解するだけでも困難なお2人がディフェンダーですから、まぁ聞くのは苦痛でしたががんばって聞きましたよ。 現与党の基本戦術 戦略的には、もう絶対安定多数を持っているわけですから、何にもしなくても(公明党との間でさえ合意が成立すれば)採決にさえ持ち込めば、全勝はもう決まっているわけです。ですから、後の問題は、「イメージの問題」しか残らないわけですね。野党は「審議が尽くされていないのに、強行的に採決した」とアピールしてくるので、そのアピールに対して「そうだ、与党ひどい」となるか「野党仕事しろ」といわれるかのどちらの反応が出てくるかを慎重に政権は見ているわけですよね。 安倍さんは、「世論調査で森友問題について8割の国民
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
NTT フレッツ光における通信速度などの現状について、背景や仕組みから正しく理解する 2020
フリーWi-Fiを使ったら秘密情報を抜かれる経路にはどのようなものがあるか - Qiita
WEBプログラマー必見!WEB脆弱性基礎知識最速マスター - 燈明日記
高木浩光による怒濤の講演「ゲーム業界におけるプライバシー保護」がすごいことに
5分でわかる正しい Web サイト常時 SSL 化のための基礎知識
LANケーブルをニッパーで切断し5秒でネットワークへ侵入・盗聴できるか実験してみました
GoFの23のデザインパターンを,Javaで活用するための一覧表 (パターンごとの要約コメント付き) - 主に言語とシステム開発に関して
原作『攻殻機動隊』全話解説 [第一話]|ヒト
【伝説の92】「あの・・・女なのに慰謝料払うんですか・・・?」|鬼女速
エンジニアなら知っておきたい、絵で見てわかるセキュア通信の基本 - Qiita
WiresharkでSSL通信の中身を覗いてみる - ろば電子が詰まつてゐる
素人がWebサービスを作ってみて分かった9つのこと:Rails Hub情報局:エンジニアライフ
アメリカの恐ろしい真実 - マスコミに載らない海外記事
増田公認!500円以下で買える Steam ウィンターセールのインディー名作ゲーム!
“科学技術強国”中国の躍進と日本の厳しい現実 |NHK NEWS WEB
パスポートのセキュリティ - AAA Blog
サーバからクライアントに送信する技術 - WebSocketを中心に - Qiita
The Official Yamagata Hiroo Page
HTTPS 化する Web をどう考えるか - Block Rockin’ Codes
HTTPSを使ってもCookieの改変は防げないことを実験で試してみた
一瞬にして無線LANのWEPを解読する方法がついに登場、まもなく解読プログラムを公開予定
基本情報技術者平成28年春期問40 パスワードリマインダ
安倍政権は「どこまですき放題やって大丈夫か」を試している - はてな匿名ダイアリー