サーバーセキュリティ構成の話 - Chienomi
序 最近、安易に建てられた危険なサーバーが増えているため、サーバーセキュリティを鑑みた基本的な設定や構成はどういうものかという話をする。 本記事では具体的な設定や構築を説明するが、環境や前提、用途などもあるため、これを真似すれば安全ということではない。 セキュリティは銀の弾丸があるわけではなく、全ての要素を合わせて考えたア上での最適を導かねばならない。それがセキュリティの難しいところでもある。 本記事はセキュリティが未熟だと自認する人にとっては参考になる内容だと思うが、どちらかというと、本記事の内容が当たり前に「すでに理解できている内容」になっていない人は、サーバーを建てるべきではない(危険な未熟の段階である)ということが重要であり、各々が自身の技量を測る指標として使ってもらえればと思う。 宣誓の儀 「サーバーを破られるということは、すなわち犯罪に加担するということである」 この言葉をしっ
ロシアによるウクライナへの軍事侵攻を食い止めるため、各国は協調してロシアへの各種制裁を試みており、国際銀行間通信協会(SWIFT)からの排除・IntelやAMDによる半導体販売の停止・Apple製品販売やアプリ配信の停止といった措置が相次いで講じられています。そんな中、ウクライナはロシアをインターネットから排除するため、ロシアの国別コードトップレベルドメインである「.ru」ドメインの取り消しや、IPv4およびIPv6の使用停止を要求しました。 Ukraine Pushes to Unplug Russia from the Internet - Rolling Stone https://www.rollingstone.com/politics/politics-news/ukraine-icann-russia-internet-runet-disconnection-1314278/
最初に言っておきます。 mitmproxyは、開発の生産性をUPさせるモノです。 上手く使えば、開発の生産性がかなり向上します。 しかし、悪用しようと思えば悪用も可能です。 SSL通信であっても、通信を傍受できてしまいます。 つまり、パスワードをのぞき見することが可能になります。 でも、これは確実に犯罪です。 したがって、決して悪用はしないください。 今回は、そんな危険な可能性を持ったmitmproxyを紹介します。 本記事の内容 mitmproxyとは?mitmproxyのシステム要件mitmproxyのインストールmitmproxyの動作確認 それでは、上記に沿って解説していきます。 mitmproxyとは? mitmproxyとは、SSL/TLS対応のインターセプトプロキシです。 わけがわからないですね。 もうすこしわかりやすく説明します。 インターセプトとは、通信の傍受という意味で
ソーシャル経済メディア「NewsPicks」で推薦や検索などのアルゴリズム開発をしている北内です。Pythonは頻繁に新機能や便利なライブラリが登場し、ベストプラクティスの変化が激しい言語です。そこで、2024年2月時点で利用頻度の高そうな新機能、ライブラリ、ツールなどを紹介したいと思います。 この記事では広く浅く紹介することに重点を置き、各トピックについては概要のみを紹介します。詳細な使用方法に関しては各公式サイト等での確認をおすすめします。なお、本記事ではOSとしてmacOSを前提としています。 環境構築 Pythonの環境構築はpyenvとPoetryの組み合わせがもっとも標準的でしょう。 以下の手順でpyenvとPythonをインストールできます。 brew install pyenv # Bashの場合 echo 'eval "$(pyenv init -)"' >> ~/.ba
Let's EncryptのDST Root X3ルート証明書の期限切れとOpenSSLの影響についていろいろ試してみた
Let's Encryptでこれまで長く使用されてきたIdentrust社発行のDST Root X3ルート証明書が、日本時間2021年9月30日23時1分15秒に期限切れになりました。十分時間を取って事前に移行計画や影響範囲、救える環境、救えない環境などアナウンスをしてきましたが、やはり、期限切れ以降、様々なサービスや製品で接続できないといった声が上がってきました。 特にOpenSSLに関しては、OpenSSL 1.0.2以前に影響があると9月13日に事前の注意喚起がOpenSSL公式ブログであったにもかかわらず、製品やサービスの奥底で使われていて気づかなかったのか、様々なOSや製品で古いものが組み込みで使われていたために影響が広かったように思います。 OpenSSLからの注意喚起の概要 2021年9月30日にLet's EncryptのDST Root X3ルート証明書の期限が切れるに
NTT東日本と情報処理推進機構(IPA)は4月21日、契約やユーザー登録不要で利用できるシンクライアント型VPN「シン・テレワークシステム」の無償提供を始めた。新型コロナウイルスに関する政府の緊急事態宣言や在宅勤務への社会的要請を受け、筑波大学やKADOKAWA Connected、ソフトイーサなどの通信の専門家と連携して開発したという。 オフィスや大学などにある遠隔操作したいPCと、自宅のPCに専用アプリをインストールすることで、リモート先のPC画面を自宅から操作できる。ルーターやファイアウォールの設定は不要で、通信はSSLによる暗号化で守られるとしている。システムは実証実験という位置付けで、10月31日まで利用できる。 この施策は、NTT東日本内に仮設された新型コロナウイルス対策プロジェクト特殊局が企画を取りまとめ、IPAの産業サイバーセキュリティーセンター技術研究室が主な開発を行った
証明書のピンニングはやめましょう
デジタルトラスト製品/サービス一覧: エンタープライズ IT、PKI、ID DigiCert® Trust Lifecycle Manager ウェブサイト&サーバー DigiCert CertCentral TLS/SSL Manager コード&ソフトウェア DigiCert® Software Trust Manager 文書&署名 DigiCert® Document Trust Manager IoT&コネクテッドデバイス DigiCert® IoT Trust Manager Matter による IoT デバイス認証 DigiCert® TrustCore SDK
SRE 兼よろず屋の id:sora_h です。最近は本社移転プロジェクトをやっています。趣味は Web *1 です。 さて、クックパッドでは 2020 年 12 月に TLS 1.0 および TLS 1.1 (以後 "Legacy TLS") を廃止しました。 Legacy TLS は RFC 7457 でまとめられているような既知の脆弱性の存在などから、Chrome, Firefox といった主要ブラウザを含め各所でのサポートが打ち切られつつあります。また、現在では IETF においても Legacy TLS は deprecated と RFC 8996 にて宣言されました。 クックパッドでもセキュリティ対策およびレガシーな技術と向き合う一環で廃止を進めました。我々は歴史の長いサービスも提供しているため、古い Android や Internet Explorer などからのアクセス
はてなブログをECSに移行してリリース頻度も改善した話 - Hatena Developer Blog
この記事ははてなエンジニア Advent Calendar 2022の26日目のエントリです。 こんにちは id:cohalz です。はてなブログでは2022年7月にインフラをAmazon EC2からAWS ECS(AWS Fargate)に移行するプロジェクトが完了しました。 プロジェクトは2021年9月から始まったので約10ヶ月間という大きなプロジェクトでした。 プロジェクト完了までに行ってきたことのうち、特に面白かったところなどをこの記事で実施した順に振り返ってみます。 はてなブログのインフラのこれまで アプリケーションを動かせるようにする ALBを追加する 検証環境を用意だけしておく プロキシの設定埋め込み 証明書の配信 アクセスログを配送できるようにする アクセスログの形式を新しくする EC2でもFirehoseを経由するように タイムゾーンをUTCに統一 FirehoseのLa
Docker イメージを利用したローカル開発環境向けメールサーバ構築のすゝめ|TechRacho by BPS株式会社
ebi です。 弊社では Rails だけでなく、 WordPress 等を利用した PHP 環境、WordPress 等のフレームワークを利用するまでもなく、素の PHP で構成されるページを作成、保守することもあります。 往々にして LP だったり、コーポレートサイトやサービスサイトが中心で、サイト上からのメールの送信を伴う問い合わせフォームがセットとなっていることが多いです。 Rails だとメール送信は Action Mailer を利用して、メール受信は letter_opener 等を利用すればすぐにそれっぽい画面で確認できて便利だな、と思っていたのですが、そこそこ前から Rails 以外のプロジェクトでも、 Docker を利用して letter_opener 相当の環境を手元に用意しているのが便利なので今回はそれを紹介します。 これまでの話 ところで、そもそもこれまではどう
2024年2月2日、Cloudflareは同社が運用するAtlassianサーバーが2023年11月に不正アクセスの被害にあっていたとして、その対応と調査結果について公表しました。ここでは関連する情報をまとめます。 CloudflareのAtlassianサーバーに不正アクセス blog.cloudflare.com 不正アクセスの被害が確認されたのは、Cloudflareが社内Wikiやバグ管理で使用していたオンプレミスのAtlassianサーバーおよびAtlassian製品。約10日間にわたって同社システムに対して攻撃者による活動が行われていた。 攻撃者は有効となっていたMoveworks用のサービストークンを悪用し、ゲートウェイ経由で認証後にAtlassian JiraとConfluenceに対して不正アクセスを行っていた。さらにSmartsheet用アカウントを使用してCloudf
[旧版]クジラに乗ったRuby: Evil Martians流Docker+Ruby/Rails開発環境構築(翻訳)|TechRacho by BPS株式会社
まえがき 本記事は、私がRailsConf 2019で話した「Terraforming legacy Rails applications」↑の、いわばB面に相当します。この記事を読んで、皆さんがアプリケーション開発をDockerに乗り換えるとまでは考えていません(皆さんが以下の動画で若干言及しているのをご覧になっていたとしても)。本記事の狙いは、私が現在のRailsプロジェクトで用いている設定を皆さんと共有することです。それらのRailsプロジェクトは、Evil Martiansのproduction development環境で生まれたものです。どうぞご自由にお使いください。 原文免責事項: 英語版記事は最新の推奨事項に合わせて更新を繰り返しています。詳しくは記事末尾のChangelogをご覧ください(参考: 原文Changelog)。 私がdevelopment環境でDockerを使
![[旧版]クジラに乗ったRuby: Evil Martians流Docker+Ruby/Rails開発環境構築(翻訳)|TechRacho by BPS株式会社](https://cdn-ak-scissors.b.st-hatena.com/image/square/21560bbf17dc149933029263d3a38154359b86f5/height=288;version=1;width=512/https%3A%2F%2Ftechracho.bpsinc.jp%2Fwp-content%2Fuploads%2F2019%2F09%2Fdockerizing_ruby_rails_development_eyecatch2-min.png)
Let's Encrypt に重大なバグが発覚。該当サイトは2020/3/4 までに対応が必須 - Qiita
Let's Encrypt にバグが発見されました。利用ドメイン全体の 2.6% のサイトに影響があるとの事です 有効な証明書の 2.6% に影響があるとの事です。影響があるサイトは 2020/3/4 までに対応が必要です。すでに期限は過ぎています。該当サイトには個別にメールが届きますが、メールが届かない場合もあるとの事なので注意して下さい。 この記事では問題の概要と該当するかどうかの確認方法、および対応方法について記載しています。 記事の修正を行いました(2020/3/6 追記) この記事は筆者の予想をはるかに超えて多くの方に読んで頂きました。ありがとうございます。改めて読み返してみると不完全な部分も多かったため、以下の修正を行いました。 2.6% の意味が不正確だったので修正 バグの概要と、その影響について以下の項に追記 問題の概要 どんな影響があるのか? 確認方法の詳細、補足説明、注
まともなのは、NHKとテレ東くらいだった。メディアとしての反省に言及しているのもNHKのみ。 タレントに非はないのは確かだが、放送局が契約しているのはタレント個人じゃなくてジャニーズ事務所なんだから、まともな企業になったと確認できない限り、事務所と新規の契約はしないくらい明言してほしかった。 今後も起用する派 テレビ朝日日本テレビ注視する派(すぐに行動はとらない) フジテレビTBSテレビ 何らかの行動をとるっぽい派 テレビ東京(対話を通じて働きかけ)NHK(事務所の出方を考慮して、出演者の起用を検討)テレビ朝日「これまで通り番組の企画内容などを踏まえ、ご出演頂きたいと考えております。」 https://company.tv-asahi.co.jp/contents/press/0082/files/iMLKOEWXnG.pdf ジャニーズ事務所が、性加害問題について記者会見を開き、藤島ジュ
Google DomainsがSquarespaceに買収されるので、持っているドメインとカスタムドメインのメールアドレスをCloudflare Registrarに移管した。 Cloudflare Registrar · Cloudflare Registrar docs 基本的にはCloudflare Registrarに表示される手順でやっておけば、問題は起きなかったので、よくできてると思った。 次のような手順で順番に移管していたので、移管時のメモ。 手順 Google Domainsの移行準備 Cloudflareのname serverを使うように移行する ドメインの移管 メールの転送設定 Google Domainsの移行準備 移管する前に、Google Domainに登録しているドメインの設定を変更しておく。 それぞれONになってると移管時に問題が発生する。 DNSSECを無
Real World HTTP 第2版
TOPICS Web 発行年月日 2020年04月 PRINT LENGTH 496 ISBN 978-4-87311-903-8 FORMAT PDF EPUB 本書はHTTPに関する技術的な内容を一冊にまとめることを目的とした書籍です。HTTPが進化する道筋をたどりながら、ブラウザが内部で行っていること、サーバーとのやりとりの内容などについて、プロトコルの実例や実際の使用例などを交えながら紹介しています。GoやJavaScriptによるコード例によって、単純なHTTPアクセス、フォームの送信、キャッシュやクッキーのコントロール、Keep-Alive、SSL/TLS、プロトコルアップグレード、サーバープッシュ、Server-Sent Events、WebSocketなどの動作を理解します。 第2版ではHTTP/3の規格化など、初版の発行後に起きたウェブ技術への変化にともなう内容のアップデ
セキュリティを重視した開発手法ベストプラクティス
モバイルアプリケーションから大規模な金融機関のインフラストラクチャーまで、ソフトウェアの構築方法は急速に進化しており、セキュリティは開発者が最初から考慮するものとなりました。開発のペースが速まると、セキュリティ侵害のリスクが大きくなります。セキュリティに気を使っている大企業でさえ、公開されているソースコードにパスワードを残したり、お客様の個人データを漏洩したり、明らかに脆弱性があるのに重要なアプリケーションを本稼働させたり、といったことは珍しくありません。多くの企業が新しいソフトウェアをいち早くリリースしようと懸命になり、ソフトウェアの安全性を保つことに苦労しています。 このように、企業におけるソフトウェア開発は迅速な作業とセキュアな構築の両立が課題になっています。新しい開発手法はコードをより早く市場に投入できますが、不適切なツールやプロセスを使うと、セキュリティが不十分になりかねません。
最近のRails関係の仕事内容
RubyやRailsのアップグレードを主なマイルストーンとしつつ全体的に開発体験を良くしていくというタイプの仕事を請けることが多いのですが、仕事を依頼する側の視点に立ってみると「実際のところ業務に参加するとどういうことが行われるのか?」というのがやはり気になると思います。 実際、最近の打ち合わせでもその手の不安について相談されることがあったので、ここ1ヶ月でそれ系の仕事で出したPull Requestを元に、実際に何をやっていたかの例を挙げてみたいと思います。 開発環境構築手順や説明方法の改善 荒れたRuboCopの改善 .rubocop.ymlからTargetRailsVersionを取り除く DEPRECATION WARNING対応いろいろ 既存のメソッドと名前が被っているスコープを別名に変更 RSpecのpositional-argumentsを置換 activerecord-im
しゅーとです。 コインチェックは 6月2日 、ドメインレジストラである「お名前.com」の管理アカウントに不正にアクセスされ、ドメイン登録情報が変更されたこと、またそれによって第三者によるメールの不正取得が行われたと発表しました。 プレスリリース(第一報)は以下です。 当社利用のドメイン登録サービスにおける不正アクセスについて(第一報) 攻撃を受けた時刻が 5/31 0:05 で、検知時刻が 6/1 12:00 と攻撃に気付くまでの時間は1日であり、また対応完了まで2日足らずとのことで、検知・対応は非常に迅速だったと思います。 今後第二報で詳細な内容が発表されると思いますが、プレスリリースから攻撃者がどのようにメールの不正取得を行ったのか、インターネット上の情報を用いて調査してみました。 ドメインハイジャックをされている関係上、メール以外にもSSL証明書の不正取得や偽Webサーバによる盗聴
自分のウェブサイト( http://www.3qe.us/ )をCloudFront+S3構成からCloudflareを使った構成に乗り換えたので、ひっかかった点やつまづいた点などをメモしておく。 結論としては普通に移行できたが、メールとの兼ね合いでDNSまわりでちょっと配慮が必要な部分があるかも、といった具合。試したいときは全部読んでからチャレンジしよう。 ウェブサイトの静的配信にCloudFrontとS3を使っていた モチベーション: ALBのコストが高い Cloudflare 構成 Cloudflare Pages Cloudflare+ Denoflare + R2 修正 R2のstatic hosting機能を直接使う 手順 Webサイト追加 R2バケット作成 APIトークン作成 Denoflareでworkerをデプロイする 完了 まとめ オチ 参考文献 ウェブサイトの静的配信
BASE の Service Dev にて主に決済周りのバックエンド開発をしている翠川(@midori44)です。 昨年は PayPal決済の導入 のプロジェクトでメインエンジニアとして携わらせていただきました。 今回は決済周りの開発をしていく中で、社内の開発環境を整えた話をします。 ローカル開発環境での課題 BASEでは現在、BASEかんたん決済 として6つの決済方法を提供しています。 日々の機能開発をしていく中で、すべての決済方法において各機能が正しく動作するかを確認するために、ステージング環境や社内検証用のQA環境だけでなく開発者のローカル環境でも決済をテストできるようになっています。 新機能のリリース時にはもちろん本番環境で実際の決済を通して動作確認するわけですが、開発中のテストの度に本番相当の決済をするわけにはいかないので、各決済代行会社様のほうで用意していただいている検証用サー
◆ Render https://render.com 紹介 「Render」は、Gitからインポートするだけで無料のSSL、グローバルCDN付きのWebサイトが構築できる統合プラットフォームです。 事前準備 まずはアカウントを登録します。 続いて、構築するサービス形態を選択しますが、今回は「New Web Service」にしました。 デプロイは全てGitからインポートする形式になっているのが、Renderの特徴でもあります。 インポートが完了するとリポジトリ一覧が表示されます。 デプロイ それでは早速Webサイトをつくっていきますが、まずは静的ページ(Static Site)の構築をやってみます。 必要な設定をポチポチするだけで、細かな設定は一切ありません。 Your site is live. と表示されれば構築完了です https://itnews-lp.onrender.com/
最大同時接続数を1に制限したRDSにRDS Proxyを構成して基本動作を押さえよう | DevelopersIO
CX事業本部@大阪の岩田です。 社内で需要がありそうだったので、RDS Proxyの基本動作について簡単にまとめてみました。クライアントからの最大同時接続数を1に設定したRDSに対してRDS Proxyを構成し、クライアントアプリケーションに見立てたEC2からいくつかのパターンで接続を試行した結果をまとめています。 環境 今回検証に利用した環境です。 RDS for PostgreSQL 11.8-R1 インスタンスクラス db.t3.micro max_connections: 9 バックグラウンドでrdsadminユーザー、rdsproxyadminユーザーがDBに接続するのを考慮して9に設定しています。今回の環境であればmax_connectionsを9に設定することで非マスターユーザーからの同時接続数を1に制限することができます。 RDS Proxy エンジンの互換性: Postg
実務で使える メール技術の教科書 基本のしくみからプロトコル・サーバー構築・送信ドメイン認証・添付ファイル・暗号化・セキュリティ対策まで | 翔泳社
システム管理者・開発者が知っておきたいメール技術のすべて 【本書の特徴】 ・豊富な図解で、わかりづらい仕組みもよくわかる ・メール技術を軸に学ぶことで、「サーバー構築」「DNS」「セキュリティ」の仕組みが腑に落ちる ・システム開発・運用の実務で「使える」知識を網羅。1冊あれば安心! 【本書の内容】 SNSやメッセージアプリに押されている印象のメール。 しかし、ほとんどのSNSやWebサービスのアカウント作成にはメールが必要です。ビジネスシーンでは、メールで連絡をする人がまだまだたくさんいます。 つまり、システムやサービスの開発・運営において、メールはいまでも不可欠なインフラなのです。 ところが、メール技術全般について体系立てて説明された情報源は、いつの間にかほとんどなくなってしまいました。結果として実務の現場は、必要な知識だけをインターネットで調べたり、先輩に聞いたりして、「その場をしのぐ
KeyTrap (CVE-2023-50387)を検証してみた - knqyf263's blog
DNSは趣味でやっているだけですし有識者のレビューを経ているわけでもないので誤りを含むかもしれませんが、DNS界隈には優しい人しかいないのできっと丁寧に指摘してくれるはずです。 追記:めちゃくちゃ丁寧にレビューしていただいたので修正いたしました。森下さんほどの方に細かく見ていただいて恐れ多いです...(学生時代に某幅広合宿で森下さんの発表を見てDNSセキュリティに興味を持った) 4万文字を超える大作、おつかれさまです。わかりやすく書けていると思いました。 ざっと読んで、コメントしてみました。ご参考まで。https://t.co/bVj5WeFHQr https://t.co/ku5NOx6ua8— Yasuhiro Morishita (@OrangeMorishita) 2024年2月19日 要約 背景 詳細 DNSSECとは? DNSSECの可用性 鍵タグの衝突 攻撃内容 SigJam
Zoom、Cisco WebEX、TeamsをCASBでセキュリティで比較。結局Zoomは何が駄目?(大元隆志) - エキスパート - Yahoo!ニュース
未だに多くの人が関心を寄せるZoomのセキュリティ。Zoomのようなクラウドサービス導入を検討する際にリスクアセスメントを迅速に行うCASBというツールが有るので、CASBを用いて比較を行った。 ■多くの企業がクラウドのセキュリティ評価に課題を抱えている 新型コロナウィルスによる「緊急事態宣言」発令によって多くの企業が急速にテレワーク環境の整備に追われている。テレワーク実現にあたって直ぐに利用を開始できるクラウドサービスの利用を検討する企業が多い。こういったクラウドサービスの利用に伴い情報システム部門を悩ませているのが「クラウドサービスのセキュリティ評価」だ。クラウドサービスは各クラウドサービス事業者が構築したシステムをサービスとして利用することになるため、セキュリティのレベルは各社統一されておらず、自社のセキュリティ基準を満たしているかを判断することが求められる。 こういったクラウドサー
Google Cloud の IDaaS「Identity Platform」で作る、さまざまな認証パターン
Identity Platform を使うと、さまざまな認証パターンが構築できる! この記事は2023年10月6日に行われたナレッジワークさん主催のイベント「Encraft #7 AppDev with Google Cloud」で発表したセッションの解説記事です。現地でご参加いただいた皆さん、オンラインでご視聴いただいた皆さん、ありがとうございました! 私のセッションでは Identity Platform を使ったさまざまな認証パターンについてご紹介しました。セッション後、いくつかのご質問や「こんなパターンもあるよ!」というコメントもいただきました(ありがとうございます!)。この記事では、セッション内でご紹介した内容に加え、別解、または発展系とも言えるいくつかのパターンについてもご紹介します。 Identity Platform とは まずはこの記事でメインで扱う Identity P
dom_gov_team 2022年3月11日 IPアドレス インターネットガバナンス ドメイン名 2022年2月下旬に始まったロシアによるウクライナ侵攻は、2週間以上が経った今も収まらず、事態が憂慮されます。日本はウクライナを支持しロシアを非難する立場から、支援や制裁を打ち出しており、多くの西側諸国でも同様です。そんな中インターネット基盤に関してどのような動きがあるか、本稿にまとめてみました。 ウクライナ副首相がICANNに対してロシアのccTLDの無効化などを依頼 ウクライナの第一副首相兼デジタルトランスフォーメーション大臣ミハイロ・フェドロフ氏からICANNに宛てられた2022年2月28日の書簡において、 ロシアのccTLD (.ru , .su , .РФ)の無効化 これらのccTLDに対するSSL証明書の無効化推進 ロシア連邦に設置された2つのルートDNSサーバの無効化 の3点が
New – Application Load Balancer Support for End-to-End HTTP/2 and gRPC | Amazon Web Services
AWS News Blog New – Application Load Balancer Support for End-to-End HTTP/2 and gRPC Thanks to its efficiency and support for numerous programming languages, gRPC is a popular choice for microservice integrations and client-server communications. gRPC is a high performance remote procedure call (RPC) framework using HTTP/2 for transport and Protocol Buffers to describe the interface. To make it ea
脆弱性を探す話 2023 - Qiita
最近年2回のサイボウズ以外はほぼバグバウンティしていない現状であるが、やる気が起きたときようにメモ 主にWebアプリに関すること 診断と自分で勝手に脆弱性を探す行為との違い 網羅性は全く必要ない 診断は網羅してないと怒られることがあるが好きな脆弱性だけ探せる。 期間が永遠 診断期間は自由なので後で気づいて頭を抱えることはない 攻撃に到るまでを説明する必要がある 「バージョンが古いのでダメです」だけでは許してもらえない 変なことすると逮捕される可能性がある 無闇にツール回すと不正アクセス禁止法に引っかかるので だがしかし海外勢は法律の違いもあるのか好きなサイトに気軽にツールを回すので太刀打ちできない 日本人としては許可されたところかローカルに環境作って攻撃するのが心理的安全性が高い 2023年度の傾向 コモディティ化が進む 自分だけしか知らないような脆弱性はない まだ知られていない手法もほぼ
NTT 東日本 - IPA 「シン・テレワークシステム」 新型コロナウイルス対策用 テレワークシステム 緊急構築・無償開放・配布ページ
NTT 東日本 - IPA 「シン・テレワークシステム」 Web サイトへようこそ トップ | 中間報告 | 自治体テレワーク for LGWAN | HTML5 Web 版クライアント (Mac, Chromebook 対応) | バージョン履歴 | ダウンロード | ユーザー数グラフ 入門 - 今すぐ使ってみよう | クライアント検疫機能・MAC アドレス認証機能 | 二要素認証・ワンタイムパスワード (OTP) 機能 | マイナンバーカードを用いたユーザー認証機能 | 仮想マルチディスプレイ機能 行政情報システムでの利用 | 組織 LAN におけるポリシー規制サーバー設置 | 企業システムにおける VM・HDD クローン対応 | Wake on LAN リモート電源 ON 機能 | 画面撮影・キャプチャ防止のための電子透かし機能 FAQ | 掲示板 (ユーザーサポートフォーラム)
はじめにPID 1 問題というのは、コンテナを実行した際にアプリケーションのプロセスが PID 1(プロセス番号が1番)で実行されることで、コンテナに対して SIGTERM などのシグナルを送信してもコンテナ内のプロセスが正常に終了しないというものです。ここでは2020年3月現在でこの PID 1 問題を回避する方法を Docker と Kubernetes のそれぞれで紹介します。 TL;DRアプリケーションが「明示的にシグナルをハンドリングするようにする」、または「PID 1 で実行されないようにする」の2つの回避策があるアプリケーションプロセスが PID 1 で実行されないようにする場合、Docker では Tini のような軽量 init を使う、もしくは Docker 1.13 以上の場合は docker run の --init オプションを使うで問題を回避できるKuberne
全然たいした話ではないのですが、へーって思ったので記録しておきます。 ALB にて外部からの不正アクセスを塞いだ話になります。 はじめに注意 ※追記3 この記事は、知識不足な状態で始まり、知識不足なまま初出した未熟な内容であり、外部の助力によりそれが解決に向かう、という流れになっています。 調査環境がAWSだったために、タイトルがこうなっていますが、実際はALB+ACM単独の問題ではなく、SSL/TLS としての仕様の話になっている、 ということを念頭において、読んでいただければと思います。 ※追記3ここまで 構成と問題点 手動で作成された ALB → EC2 環境があって、ワイルドカードなACM を使って 0.0.0.0:443 のみ開いており、EC2 は Global からのアクセスは遮断してありました。 にも関わらず、不正系なHostヘッダでアクセスされた形跡があり、コイツどこから来
Railsを高速かつセキュアにするHTTP/2プロキシ「Thruster」、37signalsがオープンソースとして公開
RailsのためのHTTP/2プロキシ「Thruster」がオープンソースで公開された。ほとんど設定不要で、導入によりRailsアプリをより高速かつセキュアにする。 Ruby on Rails(以下、Rails)の開発元である37signalsは、より高速でセキュアなRailsアプリケーションを実現するHTTP/2プロキシ「Thruster」をオープンソースとして公開しました。 We've released Thruster as open source! It's a tiny, no-config HTTP/2 enabling, asset caching, X-Sendfile sending proxy for Rails' default web server Puma. One of the secret sauce elements of ONCE, now availab
Amazon Web Services ブログ Amazon Braket –量子コンピューティングを開始しましょう ほぼ10年前、エイプリルフールの日にQuantum Compute Cloudについて書きました。未来が到来し、量子アルゴリズムを作成して実際の量子コンピューターで実行する機会が得られました。本日発表する内容は次のとおりです。 Amazon Braket –科学者、研究者、開発者が1か所で複数の量子ハードウェアプロバイダーのコンピューターで実験を開始できるようにする完全に管理されたサービスです。サービスの名称は、一般に量子力学的な状態を示すために使用されるブラケット表記にインスパイアされました。 AWS量子コンピューティングセンター – カリフォルニア工科大学(Caltech)に隣接する研究センター。世界をリードする量子コンピューティングの研究者とエンジニアを集めて、量子コ
Intro 最近とあるデータベースに関する記事を読んだのですが、Upstashについて誰も言及しておらずヤバいなと思ったので紹介することにしました。 ちなみに私も今日はじめてアカウント登録するのでご安心ください。 ゴールデンウィークは色々始めたくなるものです。 Upstashはサーバーレスデータベースを提供するサービスです。 Redisを主に扱っていますが一応Kafkaも使うことができます。 詳しく調べた感じだともう一つぐらい使えるデータベースが増えそうな気がしたので様子見していたのですが、 3月中旬に約2.3億円の資金調達を行いしばらくは既存サービスの強化を行うようなのでとりあえず使ってみることにします。 Upstash 様々な特徴がありますが特筆すべき点として、AOFモードで永続性が常に有効になっている点が挙げられます。 つまりRedisでありがちなキャッシュやエフェメラル用途で使える
気がついたら数年ぶりのBlog投稿でした。お手柔らかにお願いします。 さて、今回取り上げるのは、ドメインやサブドメイン、保有ネットワークを調査する手法(相手方に影響を与えない縛りです)を思いつくままに紹介していきます。ドキュメントとして纏まっているものもあまり見かけなかったので、重い腰を上げて書いてみました。この他にもこんな方法がある!などフィードバックを頂ければとても喜びますので、是非よろしくお願いします。 目次 <後編> ・サブドメインを調査する方法 ・IPアドレスを起点にサブドメインを探す ・公開ポートへのアクセス(Webポート) ・<通常コンテンツの返却> ・<エラーページの返却> ・<リダイレクト> ・公開ポートへのアクセス(Webポート以外) ・証明書の確認 ・<Webサーバの場合> ・<SSL/TLSで保護されたプロトコルの場合> ・<プロトコル内で暗号化(STARTTLS)
ぼっち・ざ・ろっく!-SPECIAL STUDIO LIVE- 「フラッシュバッカー」 Vo:長谷川育美 Guitar:音羽-otoha- Guitar:三井律郎 Drums:比田井修 Bass:高間有一 SSLはこのライブのために集まったスペシャルなメンバー構成で、 スタジオ収録したライブ映像をお届けする企画です。 ======= 「結束バンドLIVE-恒星-」2023年5月21日(日)開催! https://bocchi.rocks/special/live_kousei/ 「ぼっち・ざ・ろっく!です。」アーカイブ配信4/30(日)23:59まで https://ticket.rakuten.co.jp/features/bocchi_rocks_st/index.html/ ======= TVアニメ「ぼっち・ざ・ろっく!」
関連キーワード VPN | ネットワーク・セキュリティ | 在宅勤務 エンドユーザーはインターネットを利用する際、VPN(仮想プライベートネットワーク)を用いることでその接続の安全性を保てる。企業のネットワークチームは、従業員がリモートアクセスをするための手段としてVPNを重宝している。 VPNにはさまざまな選択肢がある。中には暗号化方式が古く、安全でないものもある。主要な5つのVPNを解説する。 主要な5つのVPNの特徴とは 1.L2TP/IPsec 併せて読みたいお薦め記事 連載:VPN徹底解説 前編:いまさら聞けない「VPN」の基礎知識 暗号化が必要になった理由は? VPNの新しい姿とは 「無料VPN」を好むZ世代はクールじゃない? 有料VPN世代との違い アラブ諸国で「VPN」が使い倒されていた“意外な理由” 「L2TP/IPsec」は、「Layer 2 Tunneling Pro
ウン十万接続のALB SSL証明書を平和に更新したい - Nature Engineering Blog
こんにちはSREの黒田です。 これは第2回 Nature Engineering Blog 祭9日目のエントリです。 昨日はCorporate ITのマロニーによる GASを使って社内のSaaSアカウントを可視化しよう - Nature Engineering Blog でした。 昨日に続いて今日のお話も、話題の新製品Remo nanoやMatterとは関係ありません。 TL;DR WebSocketで大量に永続接続されているALBのSSL証明書を更新すると、接続がばっこんばっこん切られて大変なので、ALBを二台用意して緩やかに接続を移行するようにしたら、大変平和になって僕もみんなもハッピーになった。 背景 そもそもNatureではどこに何のためにWebSocketを使ってるの?って話から始めると長いので、詳しくはこちらを見ていただければと思います (結構前の資料なので今とは違う部分も色々
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ウクライナがロシアをインターネットから締め出すために「.ru」ドメインの取り消しやIPアドレスの使用停止を要求
【悪用厳禁】mitmproxyを使えばSSL通信でも傍受できる
2024年のPythonプログラミング - Uzabase for Engineers
「シン・テレワークシステム」 NTT東とIPAが緊急開発 無料・登録不要のVPN 筑波大や角川など協力
レガシーとなった TLS 1.0/1.1 廃止までの道のり - クックパッド開発者ブログ
Cloudflareの社内サーバーへの不正アクセスについてまとめてみた - piyolog
ジャニーズ会見(9/7)を受けての、在局キー局各社の発表まとめ
Google DomainsからCloudflare registrarにドメインとメールを移管した
コインチェックのドメインハイジャックの手法を調査した
CloudFront+S3構成だった自分のサイトをCloudflare+R2に移行した - Lambdaカクテル
ローカル開発環境のために外部サービスをモック化する - BASEプロダクトチームブログ
インフラの知識不要!GitからインポートしてWebサイトが構築できる「Render」
ウクライナ侵攻とインターネット – JPNIC Blog
Docker/Kubernetes で PID 1 問題を回避する
AWS ALB+ACMの意外な落とし穴 | 外道父の匠
Amazon Braket –量子コンピューティングを開始しましょう | Amazon Web Services
無料で使えるデータベースUpstashをご存知、ないのですか!?
ドメインやサブドメインを調査する話(前編) | 技術者ブログ | 三井物産セキュアディレクション株式会社
【LIVE映像】「フラッシュバッカー」/ ぼっち・ざ・ろっく!-SPECIAL STUDIO LIVE-
「VPNプロトコル」5種の違い あの定番から“高速VPN”の新技術まで