おうちKubernetesをそれっぽく加工する話 - MetalLBとかExternalDNSとかcert-managerとか - メモ - RyuSA
おうちKubernetes(を含むベアメタルKubernetes)を「マネージドサービスっぽく」使えるようにしよう!というのが本記事の目標 ストレージのプロビジョニング nfs-subdir-external-provisioner インストール 動作確認 ロードバランサーの作成 MetalLB インストール 動作確認 NGINX Ingress Controller インストール 動作確認 ドメインとTLS External DNS インストール 動作確認 cert-manager インストール 動作確認 おわりに 一応前日譚 ryusa.hatenablog.com ストレージのプロビジョニング 生のKubernetesで適当なPVCを作成しても何も反応しません。これは当然で、生のKubernetesにはストレージをどのように用意すれば良いのかが定義されていないからです。 プラグインな
おはようございます、もきゅりんです。 Shall we mesh ? 弊社コンサルティングには、今一度 AWS の各サービスを初心に返って、基本的な部分から見つめ直してみよう、解説してみようといったブログリレーという企画があるのですが、本稿はそれを模して、個人的な AWS App Mesh 再入門という体にしてみました。 どちらかというと、未来の自分のための備忘録と言えます。 これまで AWS App Mesh (以下 App Mesh) に入門されていなかった方も、すでに脱会されてしまった方も興味があれば再入門して下さい。 App Mesh とは何か サービス(アプリケーション)間の通信制御と可視性を実現するサービスメッシュを提供する AWS マネージドサービス です。 ブラックベルトにならってまとめると以下のような機能があります。 HTTP通信のリトライやタイムアウト 通信のトレーシン
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Googleは米国時間10月3日、HTTPSに完全に移行していないウェブサイトに対する「Google Chrome」の動作を2020年から厳格化していくと発表した。現在のところChromeは、一部のページリソースがHTTPであってもロードするようになっている。 HTTP経由とHTTPS経由のリソースがページ内に混在している「混在コンテンツ」は、ウェブサイトがHTTPSへの移行を開始した当初から問題となっている。 これまでに、GoogleやMozillaはそれぞれ独自の手段でHTTPSの利用を強く推進してきた。そうした取り組みは成果を上げており、ますます多くのウェブサイトのオーナーやオンラインサービスがHTTPSを利用するよう、少しずつ促
.app 1 .dev 1 #11WeeksOfAndroid 13 #11WeeksOfAndroid Android TV 1 #Android11 3 #DevFest16 1 #DevFest17 1 #DevFest18 1 #DevFest19 1 #DevFest20 1 #DevFest21 1 #DevFest22 1 #DevFest23 1 #hack4jp 3 11 weeks of Android 2 A MESSAGE FROM OUR CEO 1 A/B Testing 1 A4A 4 Accelerator 6 Accessibility 1 accuracy 1 Actions on Google 16 Activation Atlas 1 address validation API 1 Addy Osmani 1 ADK 2 AdMob 32 Ads
Githubの新しいセキュリティ機能 CodeQLを使ってみる - Security Index
CodeQLは、Semmleが提供しているコードセマンティック解析に使用するツールで、脆弱性やコードの品質の可視化を行うことができます。 2019年9月18日にGithubがCodeQLを開発しているSemmleを買収し、現在「GitHub Code Scanning」(リミテッドベータ)として利用することができるようになりました。 Welcoming Semmle to GitHub - The GitHub Blog GitHub、コードの脆弱性を発見してくれる「GitHub Code Scanning」発表、修正方法のアドバイスも。GitHub Satellite 2020 - Publickey 現在でもSemmleのLGTMからCodeQLを利用することができます。 CodeQLを少し使ってみたので紹介したいと思います。 CodeQLを使ってみる Github連携 Alert :
なぜHTTP/3は急速に普及していったのか、その利点とは?
2022年にインターネット技術の標準を策定する団体のIETFがHTTPの新しいバージョンとして「HTTP/3」を標準化して以降、HTTP/3の利用はウェブの世界で急速に普及していきました。HTTP/3にどのような利点があり、なぜ急速に普及したのかについてウェブに関するエキスパートエンジニアのロビン・マークスさんがAPNICのブログに投稿しています。 Why HTTP/3 is eating the world | APNIC Blog https://blog.apnic.net/2023/09/25/why-http-3-is-eating-the-world/ GoogleやMetaなどの大企業がHTTP/3を採用しているため、GIGAZINEやAPNICのブログ記事の読み込みも含めて多くの通信でHTTP/3が利用されています。通信に利用されているHTTPのバージョンごとの推移を調査し
米Google(グーグル)が2024年2月以降、迷惑メール(なりすましメール)対策を大幅に強化した「メール送信者のガイドライン(Email sender guidelines)」を適用すると発表し、メールに携わるIT業界関係者に衝撃が走った。 メールの送信者がこのガイドラインの要件を満たしていない場合、世界最大規模のメールサービス「Gmail」にメールを送れなくなる恐れがあるためだ。具体的には送信したメールが拒否されたり、受信者の迷惑メールフォルダーに配信されたりする可能性がある。 メール配信事業者や企業のメールサーバー管理者などは、2024年2月の適用開始までに対策を施す必要がある。なお通信事業者やISP(インターネットサービス事業者)のほとんどは対応済みなので、それらが割り当てたメールアドレスのユーザーは影響を受けない。 1日5000通以上の送信者は特に注意 同社が2023年10月3日
2015年に標準化された、RFC7540 HTTP/2 の改定作業が進められています。 作業中のドキュメントは「http2bis」として公開されている。 現時点で含まれている変更点を見ていきます。なお、今後も変更が入る可能性はあります。 HTTPセマンティクス仕様を参照 もともとのHTTP/2の仕様では、HTTPメッセージのセマンティクスについて既存のHTTP/1.1の仕様を参照していました。しかし、HTTP/1.1の仕様はHTTPセマンティクス仕様に分離整理されました。 それにあわせて、改訂版ではその新しいHTTPセマンティクス仕様を参照しています。ヘッダやボディといった用語について変更された部分があるので、HTTP/2の改訂版仕様でも用語の使い方をあわせています。 セマンティクス側の変更点について以前書いた記事を参照ください。 asnokaze.hatenablog.com TLS 1
【新サービス】最大100万個の証明書を管理可能!Google Cloud Certificate Manager が発表されました | DevelopersIO
ウィスキー、シガー、パイプをこよなく愛する大栗です。 Google Cloud で大量の証明書やワイルドカード証明書を管理できる Certificate Manager がプレビューとして発表されたので試してみます。Certificate Manager は SaaS 規模の証明書でも管理可能です。 Introducing Certificate Manager to simplify SaaS scale TLS and certificate management Google Cloud Certificate Manager は2022年1月31日現在において、プレビューのステータスです。このプロダクトまたは機能は、Google Cloud Platform の利用規約の一般提供前のサービス規約の対象となります。一般提供前のプロダクトと機能では、サポートが制限されることがあります。
みなさん、こんにちは!プロダクト開発部の西原です。 現在、JMDCが保有している医療ビッグデータを活用して生活者や医療に新しい価値を提供する新規プロダクト開発チームのバックエンドを担当しております。 皆さんは普段プロダクト開発の際にパフォーマンステストはどのツールを使用していますでしょうか。私が所属する新規プロダクト開発のパフォーマンステストでは「Ddosify」というツールを使用しました。 今回はこちらの基本的な使い方についてご紹介致します。 Ddosifyとは Ddosifyは、Goで書かれたパフォーマンステストツールになります。 JSONファイルを使用してシナリオを作成することができます。シナリオを定義することで、異なるリクエストパス、ヘッダー、ボディを持つ複雑なテストケースを作成できます。 加えてDdosifyはDdosify Engine、Ddosify Self-Hosted、
Q-Successは2021年5月4日(米国時間)、Webサーバ技術の使用サイト数に基づく市場シェア調査結果を発表した。「Nginx」と「Apache」がともに33.8%を占め、わずかな差でNginxが首位、Apacheが2位となった。 2009年にWeb技術調査サービス「W3Techs - World Wide Web Technology Surveys」が開始されて以来、NginxがApacheを抜いて首位となったのは、今回が初めてだ。 2009年のシェアはNginxが3.7%、Apacheが73%超、Microsoftの「インターネットインフォメーションサービス(IIS)」が20%程度だった。Apacheのシェアは、1年前はNginxを6.6ポイント上回っていたものの、一貫して低下傾向が続いている。 調査対象のWebサーバ技術の数は現在、98に達しており、2021年5月4日付の市場
抜粋 : Release cadence - Amazon Linux 2023 メジャーリリースとマイナーリリースの内容は以下AWS公式ドキュメントに記載されています。メジャーリリース時には互換性があるか十分に検証した上でアップデートしましょう。 Major version release— Includes new features and improvements in security and performance across the stack. The improvements might include major changes to the kernel, toolchain, Glib C, OpenSSL, and any other system libraries and utilities. Major releases of Amazon Linux ar
こんにちは、セキュリティエンジニアの岩田です。今回はSmartHRで先月から導入したメールセキュリティ機能のBIMI(Brand Indicators for Message Identification)についてご紹介します。 BIMIとは? BIMIは、送信者ドメイン認証の仕組みであるDMARC(Domain-based Message Authentication, Reporting, and Conformance)により認証されたメールに対して送信元企業のロゴを表示することで、なりすましではない正規のメールであることを視覚的に判別できるようにするための仕組みです。 DMARCでは、SPF(Sender Policy Framework) または DKIM(DomainKeys Identified Mail) で認証されたメールの送信元ドメインと、メールヘッダの差出人(From
今流行りのgRPCについて簡単にまとめてみた(Goのサンプルコード付き) - Qiita
はじめに (当時)Go歴1ヶ月の私が急遽gRPCを用いてバックエンドのAPIを開発してる業務に参画することになり、必要にかられて急いで学んだので、その時の学びを共有します✎ gRPCって最近よく聞くけど、「なにそれ?」って方も多いと思うので(私もそのうちの1人でした)、自分の学びを纏めるためにもgRPCのエントリー記事を書こうと決意し、Go 5 Advent Calendar 2020に登録しました! gRPCとは gRPCって良いらしい 最近gRPC流行ってるらしい 等聞いたことは多いと思いますが、簡単に説明すると RPC (Remote Procedure Call) を実現するためにGoogleが開発したプロトコルの1つ Protocol Buffers を使ってデータをシリアライズし、高速な通信を実現できる IDL(インターフェース定義言語)を使ってあらかじめAPI仕様を .pro
Network Load Balancer (NLB) がセキュリティグループをサポートして何が嬉しいのか整理してみた | DevelopersIO
うおおおおおおおおお!!! ってなったけどなんで歓喜しているんだっけ? こんにちは、のんピ(@non____97)です。 皆さんはNetwork Load Balancer (以降NLB) にセキュリティグループをアタッチしたいなと思ったことはありますか? 私はあります。 本日8/11についにサポートされましたね! 早速、偉大な先人がアップデートをまとめてくれています。 細かい仕様は以下AWS公式ドキュメントにも記載があります。 うおおおおおおおおおおおおお!!! という感じで目が覚めたのですが、なぜ私はこんなに歓喜しているんでしょうか。 この感情を言語化してみました。 いきなりまとめ クライアントIPアドレスを保持する場合、NLBを介さずに直接アクセスされるのを防ぐことが簡単になった 従来はターゲットのセキュリティグループでクライアントのIPアドレスからの許可をする必要があったため、NL
GitHub - rung/messaging-security-2020: The State of Messaging Security 2020: メールおよびメッセージングアプリのセキュリティプロトコルの現在
2013年のスノーデン事件以降、PrivacyおよびSecurityは、インターネットの基盤として最重要視されるようになった。無償でTLS証明書を発行するLet's Encryptが設立され、Mozilla、Googleなどのブラウザベンダ、各大手CDNがスポンサーとなった。そういった活動などにより、日本を含む世界で、Webにおいては暗号化(HTTPS)の普及が一気に進んだ。 しかしながら、メールに関連する暗号化やセキュリティについては、特に日本において、エンドユーザ目線からの議論が十分に行われているとは言い難い。 Googleの公開する透明性レポートにおいて、メールにおけるTLS暗号化の普及率が、世界的には2014年の約30%から2020年には約90%に増加した。しかし、2020年10月時点でGmailなどから外部に送信されたメールドメインのうち、暗号化されず平文で送信されたメールのTo
.app 1 .dev 1 #11WeeksOfAndroid 13 #11WeeksOfAndroid Android TV 1 #Android11 3 #DevFest16 1 #DevFest17 1 #DevFest18 1 #DevFest19 1 #DevFest20 1 #DevFest21 1 #DevFest22 1 #DevFest23 1 #hack4jp 3 11 weeks of Android 2 A MESSAGE FROM OUR CEO 1 A/B Testing 1 A4A 4 Accelerator 6 Accessibility 1 accuracy 1 Actions on Google 16 Activation Atlas 1 address validation API 1 Addy Osmani 1 ADK 2 AdMob 32 Ads
コンテナストレージに Amazon EFS を使用するためのベストプラクティス | Amazon Web Services
Amazon Web Services ブログ コンテナストレージに Amazon EFS を使用するためのベストプラクティス 数万社におよぶ企業がペタバイト規模のデータを Amazon Elastic File System (Amazon EFS) に保存しており、その多くが EFS を使ってコンテナ化したアプリケーションのデータです。Amazon EFS ファイルシステムは、Amazon Elastic Container Service (ECS) と Elastic Kubernetes Service (EKS) の両方で起動したコンテナに接続できます。Amazon EFS はコンテナインフラストラクチャと同様に、データの追加や削除の際に設定が簡単でかつ柔軟なスケーリングが可能な完全マネージド型のサービスであるため、コンテナストレージにうってつけの選択肢です。さらに、ペタバイト
","naka5":"<!-- BFF501 PC記事下(中⑤企画)パーツ=1541 -->","naka6":"<!-- BFF486 PC記事下(中⑥デジ編)パーツ=8826 --><!-- /news/esi/ichikiji/c6/default.htm -->","naka6Sp":"<!-- BFF3053 SP記事下(中⑥デジ編)パーツ=8826 -->","adcreative72":"<!-- BFF920 広告枠)ADCREATIVE-72 こんな特集も -->\n<!-- Ad BGN -->\n<!-- dfptag PC誘導枠5行 ★ここから -->\n<div class=\"p_infeed_list_wrapper\" id=\"p_infeed_list1\">\n <div class=\"p_infeed_list\">\n <div class=\"
関連キーワード VPN | SSL | ネットワーク | パブリッククラウド 専用クライアントソフトウェアを利用して接続するクライアントベースのVPN(仮想プライベートネットワーク)は、設定や運用管理に手間がかかり、効率的なデータの送受信を妨げる可能性がある。そのため「クライアントベースのVPNが近いうちに過去の遺物になる」と予測する意見もある。だが欠陥は指摘されても、クライアントベースのVPNは必要とされ続ける。消滅するより、むしろ進化する可能性の方が大きい。 VPNを利用する目的は、信頼性の低いネットワークを介して信頼性の高いデータの送受信を実現することにある。VPNはデバイス同士を結ぶ仮想的なトンネルを作り、データを暗号化して伝送できる。このトンネルと暗号化によってデータを読み取られたり、改ざんされたりする事態を防ぐ。 クライアントベースのVPNと比較されるのは、TLS(Transp
GKEでサービスを外部公開する際には、 GKE Ingress とそのバックエンド GCP Cloud Load Balancing を使用するのがスタンダードです。が、これには費用 ($18/月~) がかかります。 これをCloudflare DNS + Contourで置き換えて、無料で済ませる方法を説明します。ノードは全台プリエンプティブインスタンスで構いません。 この記事はDoxseyさんによる Kubernetes: The Surprisingly Affordable Platform for Personal Projects を発展させた内容になります。 元記事と同様、紹介する構成は趣味利用にとどめてください。 GKEクラスタ作成 まずGKEクラスタを作成してください。3台以上で構築し、プリエンプティブを有効にするのがオススメです。 ちなみにDoxseyさんの記事ではf1
ALBのリダイレクト機能とGlobal Acceleratorを組み合わせることで、AWSで固定IPアドレスなフルマネージドリダイレクト環境が構成できます。事情により名前解決をAレコードで行う必要がある場合にベストなリダイレクト環境かと思います。 はじめに 清水です。固定IPアドレスでアクセスできるリダイレクト環境が必要になり、AWSでの構成を考えてみました。S3+CloudFrontのリダイレクト環境だとIPアドレスが可変であるため要件にマッチしません。それならEC2上でHTTPサーバを稼働させる必要があるかな、と考えていたのですが、ALBのリダイレクト機能とGlobal Acceleratorの固定IPアドレスを利用することで実現が可能だということに気が付きました。AWSのフルマネージドなサービスのみで実現できるため、管理運用の手間もありません。ACM証明書も利用可能です。そもそもどう
[asin:4908686009:detail] 最近ふとSSL/TLSの仕組みについて知りたくなったので、「プロフェッショナルSSL/TLS」を読んだ。 かなりいろんな話題を網羅していて、かつ具体的な設定例なども書かれていて良かった。TLSに関する仕事をするときや、SSL/TLSやHTTPS周りで何回かハマったことがあるなら非常にお勧めできる。 仕組みを理解したいなら1章 SSL/TLSと暗号技術・2章 プロトコル・3章 公開鍵基盤が参考になった。実運用なら8章 デプロイ・9章 パフォーマンス最適化・16章 Nginxの設定あたりが参考になりそう。またTLS周りでハマった時のトラブルシューティングには12章のOpenSSLによるテストが使えるだろう。 ただ最新のTLS 1.3に関してはそこまで多く言及はなかった(電子書籍版の巻末の付録のみ)ので、これについては別書籍や別資料で学ぶ必要があ
【書評】SSLちゃんと理解できているかな…。「SSLをはじめよう」を読んでみた #技術書典 | DevelopersIO
こんにちは(U・ω・U) AWS事業部の深澤です。 現在、オンラインで技術同人誌のオンライン即売イベントである「技術書典応援祭」が開催されています。(期間:4/5まで) そんな中に「SSLをはじめよう」というタイトルの本があります。SSLという身近な技術なのですが、自分の中で理解できているか不安があり今回手にとってみました。読み進めてみると意外とSSLを理解できていなかったんだなと気づかされる構成となっており、さらに初学者の方にも是非お勧めしたいと思える1冊でしたので今回ご紹介させていただこうと思います。 どんな本なの? こちらはかつて筆者であるmochikoさんが書かれた「DNSをはじめよう」、「AWSをはじめよう」の続編となる書籍です。 この画像にも記載されているとおり「SSLをはじめよう」から読み進めていただいても問題なさそうでした。ですが途中で「DNSをはじめよう」で取得したドメイ
割りと大きな問題なのだが、世間ではあまり話題にならないことがある。今回は、そんな Let’s Encrypt の問題について書く。 ネットを昔から利用している人は気づいているかもしれないが、普段見ているWebページのURLの多くが、いつのまにか http から https に変わった。 まず、http だが、HyperText Transfer Protocol(ハイパーテキストの転送通信規約)の略である。ハイパーテキストとは、ざっくりと言うとWebページのようなリンクを持った文書だ。http でデータをやり取りしますよ、というのが http で始まるURLだ。 HTTPS は、Hypertext Transfer Protocol Secure の略である。HTTP に Secure(安全)が加わったものだ。HTTPS は、HTTP をより安全にするために登場した。HTTPS は、通信内
AWS Open Source Blog Sustainability with Rust Rust is a programming language implemented as a set of open source projects. It combines the performance and resource efficiency of systems programming languages like C with the memory safety of languages like Java. Rust started in 2006 as a personal project of Graydon Hoare before becoming a research project at Mozilla in 2010. Rust 1.0 launched in 20
AWS でバックアップを保護するためのセキュリティベストプラクティス Top 10 | Amazon Web Services
Amazon Web Services ブログ AWS でバックアップを保護するためのセキュリティベストプラクティス Top 10 この記事は “ Top 10 security best practices for securing backups in AWS ” を翻訳したものです。 セキュリティは AWS とお客様の間で責任を共有することで実現されます。ここで、お客様は AWS で安全にバックアップを行う方法を求めています。この記事では AWS 上のバックアップデータの保全とその操作に関して、厳選したセキュリティベストプラクティスのトップ 10 を紹介します。この記事では AWS Backup サービスにおけるバックアップデータと操作に焦点を当てて紹介しますが、推奨されるセキュリティのベストプラクティスは AWS Marketplace で提供されるバックアップツールなど、他のバッ
Russ Cox, for the Go team 10 November 2021 Today we celebrate the twelfth birthday of the Go open source release. We have had an eventful year and have a lot to look forward to next year. The most visible change here on the blog is our new home on go.dev, part of consolidating all our Go web sites into a single, coherent site. Another part of that consolidation was replacing godoc.org with pkg.go.
あなたのキャリアに影響を与えた本は何ですか? 著名エンジニアの方々に聞いてみた - Findy Engineer Lab
書籍には、特定領域の専門家たちが習得してきた知識のエッセンスが詰まっています。だからこそ「本を読むこと」は、ITエンジニアがスキルを向上させるうえで効果的な取り組みといえます。では、著名エンジニアたちはこれまでどのような書籍を読み、そこから何を学んできたのでしょうか。今回は9人の著名なエンジニアのキャリアに影響を与えた“珠玉の書籍”を、ご本人にまつわるエピソードとともに紹介してもらいました。 *…人名の50音順に掲載。回答者は敬称略。 粕谷大輔(だいくしー)が紹介 『Scalaスケーラブルプログラミング』 私のキャリアを変えた一冊は、『Scalaスケーラブルプログラミング』です。現在は日本語版だと第4版が最新ですが、私が購入した当時の版は第2版でした。 この本は、Scalaの言語設計者であるMartin Odersky氏による著書です。2014年のScalaMatsuriで実際にOders
近年は動画ストリーミングサービスの利用者が増加しており、インターネットトラフィックの大部分を占めていると指摘されています。世界最大級の動画ストリーミングサービスであるNetflixが、日々大量のデータを全世界のユーザーに送信するためにどのような工夫を凝らしているのかを説明するスライドを公開しています。 2022-Streaming-Summit-Netflix.pdf (PDFファイル)http://nabstreamingsummit.com/wp-content/uploads/2022/05/2022-Streaming-Summit-Netflix.pdf Netflixは800Gb/sもの動画データを1つのサーバーで送信するシステムの構築を目指し、長い道のりを歩んできました。 Netflixのワークロードでは、動画を「静的メディアファイル」として送信しており、すべてのコーデック/
Bluetooth通信実装のセキュリティ観点を4ステップ + 1で理解する - Flatt Security Blog
Bluetoothは、米国Bluetooth SIG,Inc.の商標です。 イントロ BLE通信 概観 GATTプロファイル ペアリング 脆弱性 1: Characteristicの権限指定ミスによる平文通信 観点: GATT Characteristicと属性 対策: characteristicへの暗号化必須属性の付与 脆弱性 2. Legacy Pairingにおける暗号化された通信のブルートフォース LE Legacy Pairingにおける鍵生成と鍵交換 TKの生成 random値の生成 STK/LTKの生成 観点: ペアリングフローの盗聴による経路復号 既成ツールを用いたTKの総当りと通信の復号実践 対策: Legacy vs Secure Connection 脆弱性 3. Secure ConnectionのJust Worksにおけるperipheralのspoofing
2020年2月にApple社が「2020年9月1日以降に発行されるSSLサーバ証明書で、有効期間が398日を超える証明書をSafariでは無効とする」という発表を、グローバルサインブログで紹介しました。本日はその続報を紹介します。 その後、ブラウザベンダーのアナウンス CA/Browser Forumでは、SSLサーバ証明書の有効期間を398日未満とする、基本ルール(Baseline Requirements)を盛り込むよう、投票に向けた議論を重ねている最中ですが、2020年6月23日にオンライン会合の場で、GoogleやMozillaも相次いでAppleのアナウンスに同意するかたちで、9月1日以降に発行されるSSLサーバ証明書で、398日を超える証明書は無効化することをアナウンスしました。 これは、CA/Browser ForumのBaseline Requirementsの要件にかかわ
毎年恒例の1年の振り返り、どうも @nikuyoshi です。今年はAmazon Web Services Japan ( AWS ) に転職した話がメイントピックです。弱くてニューゲームしました。 去年までの記事は次のURLのとおりです。2018年は技術書典で初めて個人で本を出した話、2017年は子どもを授かってからITの力でいかに楽するかの話、2016年は脱臼手術と写真の話がメイントピックでした。 nikuyoshi.hatenablog.com nikuyoshi.hatenablog.com nikuyoshi.hatenablog.com AWSに転職しました 2019年1月1日付けで入社し、 ( 最初の出勤は1/4 ) ソリューションアーキテクト ( SA ) として現在活動しています。界隈の神様が同僚、上司だったりして、月並みな表現とはなりますが働いていて大変刺激を受ける職場
はじめに 2023年12月に「cURLの"--cacert"オプション利用時の挙動がmacOSとLinuxで異なる」という内容のissueが立ち、2024年3月にcURLの開発者であるDaniel Stenberg氏が「THE APPLE CURL SECURITY INCIDENT 12604」というタイトルで記事を公開しました。 この記事では本件に関する詳細の説明と検証、また独自の掘り下げを行い、macOS版cURLとオリジナルのcURLの違いについて解説します。ただし、本件は明らかになっていない部分が多くあるため、本記事には推測や仮説が含まれます。ご了承ください。 --cacertオプションにおけるmacOSのcURLとオリジナルのcURLの違い まずはDaniel Stenberg氏の記事で述べられた内容を元に、"--cacert"オプションにおけるmacOS版cURLとオリジナル
恐ろしく長い上に割と複雑なので最後まで読む人はほとんどいないと思うのですが、将来確実に忘れてしまう自分のために書いたので別に悲しくありません。 まえがき 背景 sigstoreの概要 sigstoreを構成するツール群 Cosign Rekor Fulcio 署名方法 コンテナイメージ 鍵ペアの生成 署名 検証 Blobs 鍵ペアの生成 署名 検証 署名の仕組み コンテナイメージ OCI Registryについて 署名の保存先 署名フォーマット 署名検証 検証が不十分な例 Blobs 参考 まとめ まえがき 鍵の管理不要でソフトウェア署名を可能にするKeyless Signingについて解説を書こうと思い、まず前提知識を書いていたら信じられないぐらい長くなったので前提知識だけで1つの記事になりました。 後述するsigstoreは急速に開発が進んでいるプロジェクトであり、ここで書いている記述
CTO室SREの @kenzo0107 です。 2021年6月24日に「 kakari for Clinic ホームページ制作 」がリリースされました。 kakari for Clinic ホームページ制作 今回は上記サービスで採用した、 AWS + ngx_mruby で構築した SSL 証明書の動的読み込みシステムについてです。 SSL 証明書を動的に読み込みする理由 kakari for Clinic ホームページ制作の1機能で、制作したホームページに独自ドメインを設定する機能がある為です。*1 複数ドメインでアクセスできる =複数ドメインの SSL 証明書を読み込む を実現する必要があります。 動的に SSL 証明書を読み込むには? 以下いずれかのモジュールを組み込むことで SSL 証明書の動的読み込みが可能になります。 ngx_mruby lua-nginx-module 以下理
ISUCON11予選でチーム ウー馬場ーイー2 として参加し、本選進出を決めました - Gマイナー志向
TL;DR ISUCON11予選にチーム ウー馬場ーイー2 として出場しました。 上位25チームに残り本選進出が決まりました。やったね。 最終スコアは389509で8位、予選中のベストスコアは394682でした。本選もがんばるぞ! 毎年素晴らしいコンテストを開催してくださる運営様には感謝しかありません。本当にありがとうございます!!1 体制 あいこん なまえ やくわり matsuu バリバリ実装する前衛 netmarkjp 司令塔 ishikawa84g SELinuxAppArmorとマニュアルやコードやDiscordを見るセキュリティ&情報官 3人がそれぞれ別々の場所にいたのでリモート接続しながら挑みました。 画面共有は VDO.ninjaの Remote Screenshare into OBS で生成されたURLを直接相互参照しました。遅延なく解像度も高くて最高。 音声と文字チャッ
by Sean MacEntee HTTPS通信に必要なサーバー証明書を無料で発行する認証局「Let's Encrypt」が、ソフトウェアのバグによって安全に証明書が発行できていなかったとして、バグの影響を受けたと考えられる証明書を2020年3月4日(水)に失効させることを発表しました。 2020.02.29 CAA Rechecking Bug - Incidents - Let's Encrypt Community Support https://community.letsencrypt.org/t/2020-02-29-caa-rechecking-bug/114591 Revoking certain certificates on March 4 - Help - Let's Encrypt Community Support https://community.letsen
最近、ようやく多くの企業や団体のWebサイトが「HTTPS」(SSL/TLS)に対応し始めた。SSL通信は暗号化されているため、途中で傍受されたとしても暗号が解読されない限りは内容が漏えいする心配はない。 しかし、米Googleや米IBMなどが開発している「量子コンピュータ」は、一部の暗号化アルゴリズムの安全性の根拠となる「素因数分解」を高速に解けることが理論的に示されている。このため、約10年後に訪れると見込まれる量子コンピュータの実用化の際には、現在の暗号の一部は解読されてしまう恐れがある。 実用化が10年後なのであれば、今は特に対策を打たなくてもいいのか。SSLサーバ証明書など電子証明書発行の大手、デジサート・ジャパンの林正人さん(プロダクトマーケティングマネージャー)は、「量子コンピュータの脅威を正しく認識し、耐量子コンピュータ暗号の導入に今から備えるべき」という。 日本企業は「怖
","naka5":"<!-- BFF501 PC記事下(中⑤企画)パーツ=1541 -->","naka6":"<!-- BFF486 PC記事下(中⑥デジ編)パーツ=8826 --><!-- /news/esi/ichikiji/c6/default.htm -->","naka6Sp":"<!-- BFF3053 SP記事下(中⑥デジ編)パーツ=8826 -->","adcreative72":"<!-- BFF920 広告枠)ADCREATIVE-72 こんな特集も -->\n<!-- Ad BGN -->\n<!-- dfptag PC誘導枠5行 ★ここから -->\n<div class=\"p_infeed_list_wrapper\" id=\"p_infeed_list1\">\n <div class=\"p_infeed_list\">\n <div class=\"
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
AWS App Mesh (with Fargate) 再入門 | DevelopersIO
グーグル、「Chrome」で混在コンテンツのブロック強化へ
ウェブ エコシステムの根本的なセキュリティ保護に向けて
「Gmail」にメールを送れなくなる恐れ、グーグルによる迷惑メール対策強化の衝撃
HTTP/2の改定版仕様(RFC9113)の変更点について - ASnoKaze blog
パフォーマンステストツール「Ddosify」を使ってみた - JMDC TECH BLOG
2021年5月のWebサーバ利用シェア、「Nginx」が「Apache」を初めて上回る
Amazon Linux 2023がGAされました | DevelopersIO
SmartHR、BIMIはじめました - SmartHR Tech Blog
ウェブのプライバシー強化: サードパーティ Cookie 廃止への道
「もう酒出すしか」借金500万円超…宣言延長に嘆き:朝日新聞デジタル
「VPN」がいまだに使われる理由、今後も残る理由
趣味GKEのIngressを無料で済ませる - ダルツ海峡冬景色
固定IPアドレスでフルマネージドなリダイレクト環境をAWSで構成する | DevelopersIO
「プロフェッショナルSSL/TLS」を読んだ - $shibayu36->blog;
話題にならないけど一大事!? 無料でHTTPSが利用できる「Let’s Encrypt」で問題発生の可能性浮上 « ハーバー・ビジネス・オンライン
Sustainability with Rust | Amazon Web Services
Twelve Years of Go - The Go Programming Language
Netflixはどのようにして800Gb/sものデータ転送を実現しようとしているのか?
SSLサーバ証明書の有効期間を短縮するという決定に関する続報
クラウドの会社に転職してからそろそろ1年経つ話 - nikuyoshiのブログ
macOS版cURLはcURLと証明書検証の仕様が異なる | さくらのナレッジ
sigstoreによるコンテナイメージやソフトウェアの署名 - knqyf263's blog
AWS + ngx_mruby で SSL 証明書の動的読み込みシステム構築 - メドピア開発者ブログ
「バグの影響で特定のサーバー証明書を失効させる」とLet’s Encryptが発表、影響を受けるのは全体の2.6%
SSL通信も量子コンピュータの前では無意味に? 今から備えるべき「耐量子コンピュータ暗号」とは
ブルーインパルスがドーム上空を飛行 プロ野球開幕祝い:朝日新聞デジタル