知ってましたか? セキュリティ業界が歴史に学べること
VAWTRAKの攻撃スクリプトは「きれいなコード」 「VAWTRAK観察日誌」と題するセッションでは、セキュアブレインのニシダマサタ氏が、2014年5月以降に国内で猛威を振るったオンラインバンキングマルウェア「VAWTRAK」の挙動を解析した結果を紹介した。 VAWTRAKは、いわゆるMan in the Browserの手法を使って不正送金を行うマルウェアだ。国内の大手銀行のオンラインバンキングサービスに始まり、地方銀行やクレジットカード会社、さらにはオンラインショッピングサイトへとターゲットを広げてきた。既に2万台以上のPCが感染したとも言われている。 ニシダ氏によるとVAWTRAKはやや複雑なアーキテクチャを取っており、基本的な設定情報を与えるC&Cサーバーとは別に、マニピュレーションサーバーと呼ばれる攻撃用JavaScriptを配信するサーバーも用いる。マニピュレーションサーバーは
Google BigQueryで今期アニメに関するツイートを分析するぞい! - Qiita
BigQueryでアニメに関するツイートを分析する アニメツイートを記録したCSVをBigQueryに上げる データ形式を選択する CSV/JSON/AppEngine Backupが選べますが今回はCSVとします。 File Uploadでブラウザからファイルアップロード・・・といきたい所ですがファイルブラウザからのアップロードは10Mバイトに制限されています。 10Mバイト以上のファイルはGoogleのクラウドストレージにファイルをアップロードする必要があります。 Google Cloud Storage にデータを上げる Cloud StorageにBucketsを作成しファイルをアップロードします。 こちらではブラウザから10M以上のファイルのもアップロードできますが、数百Gバイトなどのでかいファイルはブラウザがタイムアウトなどを起こすのでGoogleの用意するツール(gsutil
2014年版 抑えておきたいサーバセキュリティ
Get ready to have a great online campaign. During this presentation by Care2 and Company K Media, nonprofit communications expert Kerri Karvetski dissects the marketing and communications tactics of a multi-channel online fundraising campaign from thought to finish, revealing each step, in order, that leads to success. And you'll see real fundraising examples that even small nonprofits can emulate
Elasticsearch の search api を sense で復習するメモ(1) | iret.media
ども、cloudpack の かっぱ(@inokara)です。 はじめに 前回の記事で @johtani さんに default_operator についてコメント頂いて、default_operator は全く意識しておらず自分のニワカっぷりに辛くなったので default_operator を含め search api と simple_query_string にフォーカスして改めて復習することにしました。(筆者の体力の都合上、全てを本ポストに記載するのは辛いのでシリーズ化してちょっとずつ書いていきます…) 今回は生で curl を叩くのではなくて Marvel に同梱されている sense を使って叩いてみたいと思います(案の定 Sensu と間違えました) 参考 search apis simple_query_string Elasticsearch Marvelの紹介と第一印
「ほとんどのユニットテストが役に立たない理由」を読んで | POSTD
数ヶ月前、私はJames O Coplienの ほとんどのユニットテストが役に立たない理由 という記事に出会いました。Jamesはほとんどのユニットテストは無意味であると考えていて、タイトルは内容をそのまま正確に表しています。彼は 追加記事 で議論をさらに展開しています。私は彼の議論に大変興味をそそられました。というのは、私はユニットテストから多くの利益を得ているからです。私たちはどうしてこのような異なる見解を持つに至ったのでしょうか? 私が何かを見逃したのでしょうか? 結局のところ私は彼の見解に賛成できませんでした。以下は彼の記事に対する私の意見です。 ユニットテストが必要な場合 私の経験では、ユニットテストはアルゴリズムロジックに対して行う時に最も有益です。結合度の高いコードについてはその性質から特に有益ではありません。結合度が高いコードはユニットテストのために多くのモックオブジェクト
SQLインジェクションは本当に避けられないのか - ドクジリアン柔術少女 すから☆ぱいそん - ワルブリックス株式会社
ありもしない完全な代替品を求めるよりも、より現実的な選択肢を改善することについて。 SQLからなるべく乖離しないでDRYを実現するっていうScalikeJDBCの落としどころが素晴らしい。「結局のところSQLは書かなきゃいけんねん」「SQLよりつぶしの効くRDB操作用言語は存在しえないねん」っていうORMの教訓を経てきた人類はここに到達したって感じで。 — 嶋田大貴 (@shimariso) 2014, 11月 21 というツイートをしたところ、 何をいうか。必ずORMを使うべきだ SQLは根本的にSQLインジェクションを回避できない問題がある みたいな趣旨の反応があったのだけれど、前者についてはWikipediaのここ を一読いただくとして、後者についてはプログラミング言語のほうが発達してて状況が違ってきてるよという話をしたい。 誤解しないでいただきたいのは、別にSQLが良いものであると
英語の語彙力測定には『Test Your Vocabulary』が信頼できてオススメ 子供の落書き帳 Remix
英語の勉強を細々と続けている。 7月に英単語の語彙の測定 子供の落書き帳 Remixという記事を書いた。どれくらい多くの英単語を知っているかを測るために、色々とネット上の試験を受けてみた、という話だ。 語彙の測定についてはその後も気になって色々調べていた。中でもこのサイトがなかなか信頼できそうだった。 Test Your Vocabulary やり方は簡単。意味を覚えている単語にチェックを付けるだけである。 8月10日に受けたら7850wordsだった。 8月23日にもう一度受けたら、8290wordsだった。 この間の13日で440個の単語を覚えたというわけではない。対象となる単語群は毎回少しずつ違うので、結果の数値には誤差がある。2014年8月時点での俺の語彙は約8000単語だった、というのが正しい結論だろう。(8月の話をなぜ11月に書いているかというと、この頃ずっとブログを書く気が起
自堕落な技術者の日記 : Internet Week 2014パネルで話しそびれたネタ2: イントラ内でSSLサーバー設定を確認するツールsslaudit - livedoor Blog(ブログ)
先週のInternet Week 2014でHTTPSサーバー設定のセッションのパネルパネルで言えなかった事の第二弾です。 自分のサイトが公開サイトである場合にはQualys SSLLabsのサイトを使って外部からSSLの暗号スイートの設定を確認すればよいんですが、イントラ内の場合には厄介ですよね。パケットキャプチャで調べるわけにもいかないし、OpenSSLのs_clientで暗号スイート一つ一つチクチク調べるのは面倒だし。 そんな時、クライアント側にWindowsが使えればwww.g-sec.luで公開しているsslauditというツールが便利です。 検査対象のサーバー(IPアドレスでも可)とポート(デフォルトでは443)を指定して、「Start」ボタンを押すだけです。利用可能なものだけを表示する場合には「Display supported ciphers」をチェックしてからスタートする
OpenSSL/InternetWeek2014 - kurushima @ 自堕落な技術者のヰキ(公開版)
InternetWeek2014:S14 サイト管理者が知っておくべきSSLの秘孔(ツボ) 講演「サーバーのSSL/TLS設定のツボ」サポートページ ニュース 2014.11.24 23:00 講演で紹介した3分類でのApache HTTP Server, nginx, lighttpdの設定方法を公開しました。 2014.11.21 12:18 講演資料の一般公開は来年1月になると聞いております。 2014.11.21 11:21 設定ファイルサンプル等は今週末(11/22-24)追加させて頂く予定です。また、パネル用に準備してボツになった情報などもブログ公開する予定ですので、しばしお待ちを。 ほぼコピペで使える(はずの)設定例 Apache HTTP Serverの設定 最新ブラウザ対応設定 レガシーを含む高互換性対応設定(RC4危殆化重視) レガシーを含む高互換性対応設定(BEAST
15分で作る、Logstash+Elasticsearchによるログ収集・解析環境 | さくらのナレッジ
たとえば、inputに「stdin」、outputに「file」というプラグインを使用すれば、標準入力からイベントを受け取り、それをファイルに出力することが可能となる。そしてLogstashが注目されている理由の1つのが、出力先として「Elasticsearch」が利用できる点だ。 検索機能に優れた分散型データベース「Elasticsearch」 Elasticsearchはオープンソースで開発されている分散型データベースシステムだ(図2)。「Elastic」という名前のため勘違いされやすいが、米Amazonが提供しているクラウドサービス「Amazon Elastic Compute Cloud(EC2)」とは無関係だ。 図2 ElasticsearchのWebサイト ElasticsearchはJavaで実装されており、またデータ検索エンジンとして「Lucene」が組み込まれているのが特
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Vint Cerf wants YOU to use IPv6