GitHub - praetorian-inc/gokart: A static analysis tool for securing Go codeYou signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
Please, don't use equality operator when comparing password hashes | Nowhere Reference - Random thoughts in the wild.
Please, don't use equality operator when comparing password hashes As you saw in the title, you shouldn’t be using the equality operator to compare password hashes, and you may ask why? The answer to that question is that it will open your application to timing attacks because of how the equality operator works. In the following sections, I will talk about timing attacks, how the equality operator
Goでプライベートネットワークへのアクセスを制限する - 詩と創作・思索のひろば
Go において、いわゆる SSRF (Server Side Request Forgery) を防ぐような目的で、内部 IP アドレスにアクセスしない HTTP クライアントを作るには hakobe/paranoidhttp が便利だった。ただ、近年ではこれが作られて以降の Go 側のアップデートとして、net.Dialer.Control の登場がある(Go 1.11 より)。 type Dialer struct { ... // If Control is not nil, it is called after creating the network // connection but before actually dialing. // // Network and address parameters passed to Control method are not //
GitHub - google/wuffs: Wrangling Untrusted File Formats Safely
Wuffs is a memory-safe programming language (and a standard library written in that language) for Wrangling Untrusted File Formats Safely. Wrangling includes parsing, decoding and encoding. Example file formats include images, audio, video, fonts and compressed archives. It is "ridiculously fast". Per its benchmarks and other linked-to blog posts: It can decode bzip2 1.3x faster than /usr/bin/bzca
Command PATH security in Go - The Go Programming Language
Today’s Go security release fixes an issue involving PATH lookups in untrusted directories that can lead to remote execution during the go get command. We expect people to have questions about what exactly this means and whether they might have issues in their own programs. This post details the bug, the fixes we have applied, how to decide whether your own programs are vulnerable to similar probl
Let's EncryptがはまったGolangの落とし穴 - ぼちぼち日記
0. 短いまとめ 300万以上の証明書の失効を迫られたLet's Encryptのインシデントは「Golangでよくある間違い」と書かれているようなバグが原因でした。 1. はじめに、 Let's Encryptは、無料でサーバ証明書を自動化して発行するサービスを行う非営利団体として2014年に設立されました。 2015年にサービス開始されると証明書の発行数はぐんぐん伸び、先月末のプレスリリースでは累計10億枚のサーバ証明書を発行したことがアナウンスされました「Let's Encrypt Has Issued a Billion Certificates」。CTLogの調査から、2020年2月末の時点では有効な全証明書の38.4%がLet's Encryptの証明書であるとみられています「Certificate Validity Dates」。 無料の証明書を提供してもらえるのは非常に嬉し
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「Go 1.16.6」「Go 1.15.14」が公開 ~1件の脆弱性を修正/crypto/tlsに不正な証明書でクライアントがパニックに陥る問題
public-note/safesql at main · rung/public-note