HTTP Headers という 5万人が使っている Chrome 拡張のマルウェア疑惑。セッション盗まれて BTC も盗まれそうになった話。 - clock-up-blog
疑惑どころか 99.99% くらい黒な話。 (後記:セッション盗まれたと思ってたけど、よくよく考え直してみると生パスワードごと盗まれてる可能性もあるしやばい) 追記:続報 11月3日 今回指摘した HTTP Headers 以外にも、「Tab Manager」「Give Me CRX」「Live HTTP Headers」等で同様(?)の問題が報告されています。第三者が元の作者からソフトウェア権利を買い取って悪用する、というケースが割とある模様(?)。皆さま情報ありがとうございます。 11月4日 Zaif については、「不正な Chrome 拡張」と「スクリプトから保護されていなかったクッキー」のコンボによりセッションが盗まれていた可能性あり。 Zaif のセッション情報が盗まれた原因のひとつについて。JavaScript からクッキー値を取得させない方法。 - clock-up-blog
作りました IT勉強会ですよ Beta ・・・というのを作りました。 12月21日開発着手、12月31日公開、現在随時機能調整中。 スクショ。 機能 地域・内容・開催形式・期間の複数条件でIT関連イベントを絞り込めるものです。 他のサイトとの差別化 通信がある程度軽快(ただしブラウザにはけっこう負担かける設計になってます) 複数条件でイベントを絞り込める データ登録が自動 経緯 この冬期休暇を機にハッカソン参加しまくりたいと考える ↓ ハッカソン探す ↓ うまく見つからない ↓ イベント探し用のサービスを自分で作ることにする ↓ 12月21日(土)に開かれたハッカソンを機に開発に着手する。 ハッカソンレポート:夜通しハッカソン - clock-up-blog ↓ 12月28日(土)に開かれたトークソンにて状況報告。公開予定日を年内と宣言し自分を追い込む。 新サービス(勉強会まとめ)を作り始
概要 日本製 OSS のテキストエディタである サクラエディタ はずいぶんと前から SourceForge.net 上で Subversion 管理されている。 ずいぶんと長い間サービスを継続していただいている SourceForge に感謝の念は尽きない。が、今の時流としては SourceForge による Subversion 管理を続けるよりも、機会があれば GitHub 側に移行したほうが機能追加や修正等のプルリクエストを受け付けやすくなり、品質の向上に繋がるのでは、というのが自分の所感。 今回はコミュニティに対しては事後承認的な形で、サクラエディタ V2(UNICODE版) 部分のリポジトリを GitHub に移行してみる。 コミュニティの承認が得られれば今回の GitHub 移行を正式なものとみなし、更なる整備を進めたい。 移行結果(コミュニティの承認待ち) 移行元: http
README のファイル名は慣習的にすべて大文字(であることが多い) GitHub でプロジェクトを作るときに README を作成するオプションを入れておくと、README.md というファイルができる。それ以外の場所のプロジェクトでも README.txt や README など、ファイル名がすべて大文字になっているものをよく見かける。 なんか気持ち悪いなぁ、って思ってました。 readme でいいじゃん、と。 詳解 Linuxカーネル 第3版 作者: Daniel P. Bovet,Marco Cesati,高橋浩和,杉田由美子,清水正明,高杉昌督,平松雅巳,安井隆宏出版社/メーカー: オライリー・ジャパン発売日: 2007/02/26メディア: 大型本購入: 9人 クリック: 269回この商品を含むブログ (71件) を見る 調べてみた README - Wikipedia, th
横断的にDB操作の類似コマンドを探すためのサイト 例えば MySQL を知っている人が 新しく他のデータベース、例えば Oracle を学習する際に MySQL でいうところのアレは Oracle ではどういうコマンドなんだろう という感じに情報を探す場面が多くあります。 そういう類の情報を探すときに役に立ちそうなリファレンスサイトを作りました。 xref.jp xref.jp - Database 追記: コンテンツ増やしました yum, apt-get, rpm 等々の横断比較リファレンス - clock-up-blog ソースコード GitHub に上げてあるので興味ある人は見てみると良いです。 kobake/xref.jp · GitHub PHP で書いてます。すんごい汚いです。謙遜じゃなくて本当に。 プルリク歓迎。 機能 マトリクス方向の切替 比較表の見出しの向きって、その組み
公式のライフサイクルがちょっと分かりにくい Activity | Android Developers に載ってる図。 状態のフローなんだか処理のフローなんだかどっちつかずでややこしい。 何度見ても頭に入らないから毎度毎度図を見直すことになる。 状態遷移図として表現すると分かりやすい こんな感じです。どうでしょうか。 あくまでも図の形式は状態遷移図で、ハンドラ呼び出しは矢印に現れるだけ。 アクティビティ作成 アクティビティが作成されると、「未作成」状態から「最前面」状態へと一気に遷移する。 その過程で onCreate, onStart, onResume が呼ばれる。 半透明な他のアクティビティに覆われたとき 他のアクティビティが手前に来たら「非最前面」状態に遷移する。 その過程で onPause が呼ばれる。 手前に来た他のアクティビティが半透明の場合、 元のアクティビティは透けて見え
なんでもセキュリティ Advent Calendar 2016 15日目の記事です。 RSA鍵を作るにあたっては鍵長を十分に長くする必要があります。(この「十分に」というのは時代とともに(マシンスペックが上がるにつれ)変わっていくでしょう) 最近だと 2048ビット = 256バイトの鍵を作るのが一般的でしょうか。 この長さが短いと割と簡単に公開鍵から秘密鍵が割り出せてしまいます。 今回やること 今回は長さが十分で無いRSA公開鍵から秘密鍵を割り出す実験をしてみます。 準備 秘密鍵の準備 64ビット = 8バイトという極めて短い長さの鍵を作ります。 $ openssl genrsa -out private.pem 64 Generating RSA private key, 64 bit long modulus .+++++++++++++++++++++++++++ .+++++++
前提 思想:自由にやりたい 場所:東京 時代:2013~2014現在 職種:プログラマ 経験値:会社人ゲーム開発10年、フリーランスWeb開発1年 場所と時代は大きなファクターだと思う。 この前提から剥離している環境にいる人が、もし仮にこの記事を見て参考にしようとしても、あまり参考にならないかもしれない。 #108127768 / gettyimages.com 活動場所 自宅 コワーキングスペース (主に茅場町のCo-Edoを利用) カフェ ファミレス (カロリー注意) 仕事の記録 請けた仕事 Co-Edoの田中さんに仕事を貰いました。 Co-Edoでたまたま会ったFさんという人から仕事を貰いました。 Fさんの知り合いのNさんから仕事を貰いました。 興味のあった仕事をネットで見つけて応募して週2程度の定職を得ました。 元いた会社の繋がりのHさんから仕事を貰いました。 Co-Edoでたまた
概要 Chromeの常駐プロセス数を一定の数に抑え、メモリ圧迫を防ぐ。 注意 見つけたばかりのオプションであり、検証は不十分です。 自己責任で設定をお願いします。 設定の仕方 Chrome の起動オプションに「--renderer-process-limit=数字」を付けるだけ。 これでレンダープロセスの数が制限される。 どれくらいの値が適切かはいまいち分からないが、感覚としては「--renderer-process-limit=5」くらいあれば十分な気がする。自分はさらに絞って「--renderer-process-limit=2」で運用していますが、今のところ大きな問題には遭遇していません。 Chromeショートカットのプロパティから 「 --renderer-process-limit=数字」を付けます。 比較 Windows7 64bit / Chrome 27.0.1453.11
bitcoin.clock-up.jp ↑というサイトを設置した。 Bitcoin の仕組みに興味があって、ここ数週間ずっと Bitcoin の学習・解析を行っていた。 本当はもっともっと掘り下げてから公開したかったんだけど今現在頭がヒートアップしていてちょっと休みたいのと、そのうち放り投げて日の目を出ない可能性もあるので中途半端だけど公開してしまうことにした(経験則的に自分はそういう逃げに走ることが多い)。 このサイトを読めば Bitcoin についての何かがすごく分かる、ということはまったくなくて、粒度バラバラの知見というか断片的なメモ書きの集合体みたいなサイトです。インターネットは広大なので足りない情報は他の情報発信者が補完してくれるだろうし、あくまでもこのサイトはある種の集合知の一助にでもなればと思う。 日本語の Bitcoin 技術情報について 去年、Bitcoin の技術に触り
概要 高島屋にて、数量限定販売の商品を1人の人間が(おそらく転売目的で)人海戦術で買い占めた(疑いがある)。 ニュース記事の引用 「1人2体まで」の人形すべて購入、転売目的か : 社会 : 読売新聞(YOMIURI ONLINE) 京都高島屋(京都市下京区)で31日、100体限定で客1人2体までを条件に受注販売 京都市の玩具メーカーが開発した「スーパードルフィー」と呼ばれる精巧な人形 …… 価格は1体12万4200円(税込み) 京都高島屋によると、午前10時の開店前に約200人の行列ができ、1人2体分の整理券を先頭から50人に配布。この50人が複数のブースに分かれて購入手続きを進めたが、男性1人が各ブースを訪れ、すべての人の代金をまとめて支払うことを繰り返したという。計1200万円を超えるとみられ、引き渡しは5月末の予定。 人形は今後製作されるが、同店は「転売目的かどうかを判断するのは難し
会社を作った - clock-up-blog
何でもホイホイ作ってみれば良いと思う 物作りを生業とする以上は何でもかんでも呼吸のように生み出していきたい。 今回はホイホイ会社を作ってみた。 プログラムの設計をするように組織の設計をしていきたい。 パケットの送信をするように役所手続きをしていきたい。 オープンソースにコミットするように社内ノウハウを放出していきたい。 定款は Markdown で作った。 2015年度の目標は事務所を持つことだ。志高い方から見たら糞みたいな目標だと思う。 指摘を受ける前に先に自ら言及しておくが、既に会社の本質と手段と目的を履き違えている。でも僕はそれで良いと思う。 そもそも僕の会社の主業務はツール開発だ。手段が目的であり目的が手段なのだ。 モリモリとやっていきたい。 体験は確実に大きな糧となる。 会社サイト 歩元株式会社 登記申請までのアクティビティ GitHub の Issues で管理している。 会社
5年間ほどギークハウス(ギークの集うシェアハウス)やその周辺のハウスに住んだり離れたり住んだりしていたけど、そろそろ普通っぽい(平均っぽい)暮らしに戻ることにした。記録だけ残しておく。 入居のきっかけ ギークハウス東日本橋の住人募集始めました。興味のある方は御連絡ください http://t.co/J7uTgvrj— pha (@pha) 2012年5月3日 Twitter を見て応募した。小林銅蟲 (id:negineesan) 氏のリツイートで回ってきたような記憶がある。 職場と家(独り暮らし)の往復に退屈していたし、人恋しかったし、あまり口にしたくない精神の乱れがあったり、挙げればいくらでも後付けで理由が作れるんだけど、とりあえず本物っぽいギークに囲まれてみたかった。 本物ってなんだ 日本のプログラマ()を無作為にストリートに集めた光景を想像してみてほしい。 そこで石をひとつ投げたらど
概要 IntelliJ IDEA 13 (または RubyMine) と rdebug-ide の組み合わせで Ruby on Rails のIDEデバッグ環境を構築する。 大事なこと ブレークポイントを張れること ステップ実行できること コールスタックが参照できること 変数内容が参照できること 作業環境の前提 コーディング・デバッグは Windows7 上の IntelliJ IDEA から行う。 ブラウジングは Windows7 上の Chrome から行う。 サーバは Windows7 上の VirtualBox 内 CentOS にて立ち上げる。 IntelliJ IDEA 13.0.1 Ruby 2.0.0p353 Ruby on Rails 3.2.13 ※ Windows7 を MacOS なんかと置き換えても同じ手法が使えると思う。 リモート? VirtualBox だしリ
各々が各々の時代を持てば良いと思う。 少なくとも今の僕にとって時代はもくもく会だ。 まず会社以外でプログラミングに触れないってのは無しだと思う。勉強しよ? セミナーに参加するのは良いと思う。自社のエンジニアしか知らない状況は世界が狭すぎて危うい。そんな人間の未来は茹でゆでガエルだよ。(※1) セミナー後の懇親会に参加するのも良い。生身のエンジニアと双方向な対話をしよう。 勉強会という曖昧な名前のイベントも良い。が、その様態は多種多様なので各々自分の目で確かめる必要あり。 ハンズオンなんかは情報を聞くだけじゃなくて実際に参加者全員が手を動かして作業するイベント。確実な糧になる。すごく良い。(※1) ハッカソンというやつも良い。集まった人間の間でその場でチームを組み、時間内に何かを作る。成果物ができる。 もくもく会、良い。集まった人間が各々に各々の好きな作業をする。すごく良い。僕の中ではこれが
Zaif のセッション情報が盗まれた原因のひとつについて。JavaScript からクッキー値を取得させない方法。 - clock-up-blog
HTTP Headers という 5万人が使っている Chrome 拡張のマルウェア疑惑。セッション盗まれて BTC も盗まれそうになった話。 の続き。 今回は Chrome 拡張とは関係ない、サイト設計側の話です。 ※本記事では Zaif のセキュリティ上の問題について指摘していますが、非難の意図はありません。 続報:11月4日 Facebookコメントより。 Ryosuke Hosoi · テックビューロ CTO ご指摘ありがとうございました!少し事情があってすぐに対応出来なかったのですが、先ほどZaifの認証情報にもhttp_only属性がつくようになりました。 しかしながら、jsが汚染されていると他にもいろいろ攻撃出来てしまいますので、今回の件はこれでもう安心、というわけではないと考えています。 15時間前 11月14日時点で httponly 属性が付くようになったようです。対応
僕はPHPを肯定する - clock-up-blog
言語を選ぶこと C++ばかり10年ほど触っているロートルですこんにちは。 浦島になりたくないので最近はちゃんとWeb系とか触るようにしてます。 ところで僕が言語やフレームワークを選ぶときに見る基準の中で大きなところは、リファレンスの精度とコミュニティの大きさです。コアなエンジニアが PHP 嫌ってるの見たりしますが、僕は PHP 割と好んでます。 PHPの良さ。それはリファレンス PHP は特にリファレンスが素晴らしい。 さらっと思いつくだけでもこれだけの良さがあります。 Google検索で関数名を検索すれば、公式リファレンスが真っ先にヒットする バージョンが明記されている 型が明記されている 警告・注意事項が明記されている 例外処理が明記されている 使用例がいくつも示されている 関連関数へのリンクに簡単にアクセスできる 任意コメントを付けることができる 実際に有用なコメントが多く集まって
電子定款とかで使います 先日、公証役場で定款認証をしてもらってきました。 初めは紙で定款を渡すつもりだったのですが、電話口で、電子定款なら収入印紙代4万円かかりませんよ、って言われて、じゃあそれで、ってことで自分で電子定款を作ることにしました。電子定款ってのは電子署名の付いた定款PDF。 業者にお願いすれば1万円くらいで電子定款作れますよ、って言われましたが、自分自身がいろいろ手続き周りのお勉強をしてみたいという目的もあり、あえて自前で電子定款を作ることに。 こんなのを作ります。 なかなか曲者だったのでメモ。 準備するもの 署名を付ける対象のPDF まぁこれは好きに作れば良いです。 Acrobat で作るも良し、Word や Photoshop で作るも良し。 印影PDF 判子の見た目のPDF。これも好きなツールで好きに作れば良い。背景は透過させておくのが好ましい。 参考:背景透過の印影P
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
IT勉強会まとめサイトを作りました - clock-up-blog
サクラエディタ GitHub 移行 - clock-up-blog
README のファイル名が大文字である理由 - clock-up-blog
DBコマンド横断比較リファレンスを作りました - clock-up-blog
Androidアクティビティのライフサイクル解釈 - clock-up-blog
(短いビット長の)RSA暗号を解いてみる - clock-up-blog
フリーランスの仕事の回し方メモ - clock-up-blog
Chromeプロセス数を減らしてメモリを節約する - clock-up-blog
Bitcoin 技術情報まとめを公開した。とりあえず分かったところまで。 - clock-up-blog
高島屋で発生した転売屋問題の全体像と対応の是非 - clock-up-blog
退居エントリ:ギークハウス - clock-up-blog
ステップ実行可能なRailsリモートデバッグ環境 - clock-up-blog
時代はもくもく会だと思う。エンジニア向けイベントの区分と人種について。 - clock-up-blog
大人が装着できる変身ベルト、「仮面ライダーカブト」が登場 塗装にこだわり本物の質感を再現、「CLOCK UP」の音声も収録!
PDF に電子署名を付ける - clock-up-blog