2018年3月29日のブックマーク (5件)

  • 3/28に公開されたRubyの脆弱性情報についてのポエム的解説 - pixiv inside

    こんにちは。Rubyコミッターのusaです。 なんかRuby の 最新 リリースと一緒に、脆弱性 情報 が いっぱい 公開 されましたね。うわー、なんかよくわかんないけど、やばそうですね!正味のところ、こいつら結局どれくらい危なそうなのか、それらの脆弱性の記事を書いた人がたまたまピクシブにいましたので、率直に音を語っていこうと思います。 CVE-2017-17742: WEBrick における HTTP レスポンス偽装の脆弱性について うまく利用するのは難しいとは思いますが、使いようによっては利用者(WEBrickで作って公開したサイトを訪問した人)をひどいめにあわせることができるかもしれない脆弱性です。 でも、WEBrickで作ったサイトをプロダクションで公開してる人なんているわけないよねははは。 CVE-2018-8777: WEBrick における巨大リクエストにともなう DoS

    3/28に公開されたRubyの脆弱性情報についてのポエム的解説 - pixiv inside
    rjge
    rjge 2018/03/29
    “ちなみにLinuxだと、UNIXドメインソケットのパス名の先頭がNUL文字だとなんか特殊なソケットとして扱うっていう機能があるらしく、どういう嫌がらせ” 一番の衝撃だった。誰得…
  • 手っ取り早くウェブアプリケーションにOAuth2認証を導入する - その手の平は尻もつかめるさ

    bitly/oauth2_proxyを用いて,ウェブアプリケーションに手っ取り早くOAuth2認証を導入するという話です. oauth2_proxyは良い感じでOAuth2による認証を肩代わりしてくれる君で,何らかのリバースプロキシの認証機構と組み合わせて利用すると簡単にOAuth2ログインを実現することができます. 今回は例としてKibanaにGoogleのOAuth2ログインを導入してみたいと思います. 構成 Kibana bitly/oauth2_proxy nginx +------+ +-------+ +--------------+ +--------+ | | | | ----auth----> | | | | | user | --request--> | nginx | | oauth2_proxy | <--auth--> | Google | | | | | <--

    手っ取り早くウェブアプリケーションにOAuth2認証を導入する - その手の平は尻もつかめるさ
  • 認可と認証技術についてのスライドを書きました - ngzmのブログ

    認可と認証技術 OAuth 1.0、OAuth 2.0 および OpenID Connect に関するスライドをアップしました。 アプリ開発で知っておきたい認証技術 - OAuth 1.0 + OAuth 2.0 + OpenID Connect - from Naoki Nagazumi www.slideshare.net 開発している Web アプリで、OAuth 1.0 や OAuth 2.0 および OpenID Connect の認可と認証技術を組み込んだ時に、あれこれ調査して知り得た技術をまとめたものです。 130ページくらいの力作です!ぜひご覧ください。 デモ これのデモはこちらにあります AuthsDemo デモのソースコードはこちらです。 GitHub - ngzm/auths-demo: This is a demo program with using OAuth

    認可と認証技術についてのスライドを書きました - ngzmのブログ
    rjge
    rjge 2018/03/29
  • 「エンジニアリング組織論への招待」はいろんな立場の人に読んで欲しい - $shibayu36->blog;

    最近メンタリング制度のことや、技術組織のことについて興味がある。最近「エンジニアリング組織論への招待」というが出版されて話題になっていたので読んでみた。 エンジニアリング組織論への招待 ~不確実性に向き合う思考と組織のリファクタリング 作者:広木 大地技術評論社Amazon このは、エンジニアリングで重要なのは「どうしたら効率よく不確実性を減らしていけるのか」ということと述べている。その考え方に従って、思考方法、メンタリング、チーム運営、組織運営といったプログラミング以外でのやるべきことについて、様々な背景も含めて教えてくれる。 全部読んでみたところ当に良いであった。メンタリングや組織運営といった、なかなか汎用化や言語化がしにくい分野を、納得のできる形で言語化されていて当にすごい。僕は最近はメンタリング制度について考えているので、特にChapter2のメンタリングの技術の章が一番

    「エンジニアリング組織論への招待」はいろんな立場の人に読んで欲しい - $shibayu36->blog;
    rjge
    rjge 2018/03/29
    “メンターにとっての課題は「メンティを自立的な問題解決」に導くことであって、「メンティの課題を解決すること」ではない” 後者をやってると、いつまでもメンティーが育ってくれないって勘違いが起こる
  • ルーターの設定情報改ざんについてまとめてみた - piyolog

    2018年2月末頃から何者かによるルーター内の設定情報が書き換えられる被害が報告されています。改ざんによりインターネットへ接続できなくなったり、マルウェア配布サイトへ誘導されたりする事象が発生し、日国内でも3月半ばぐらいから同様の事象が報告があがっています。 ここでは関連情報をまとめます。 確認されている被害事象 (1) ルーターの設定情報が改ざんされる ルーター内部に設定されたDNS情報が改ざんされる。 DNSはプライマリ、セカンダリともに改ざんされた事例が報告されている。 (2) マルウェア配布サイトへ誘導される 改ざんされたDNSへ名前解決のクエリを要求するとマルウェアを配布するサイトのIPアドレスが返され配布サイトへ誘導される。 一部サイト(Twitter,Facebookなど)は正規のIPアドレスが返されサイトへ接続できる。 誘導先の配布サイトではマルウェアのインストールを促す

    ルーターの設定情報改ざんについてまとめてみた - piyolog