タグ

ブックマーク / developer.cybozu.co.jp (8)

  • ゼロ幅文字にエンコードした隠し情報で、文書をリークしたメンバーを特定 | 秋元@サイボウズラボ・プログラマー・ブログ

    とある会員制掲示板からの文書の流出に困った運営者が、ユニコードの見えない文字「ゼロ幅文字(Zero-Width characters)」を使って流出させたユーザーを特定した、という話が出ていました。 数年前の話、Tom さんが所属していた競技ビデオゲームのチームでは、ログインが必要なプライベートの掲示板を使って連絡していました。その掲示板に書かれた秘密情報や戦術に関する重大アナウンスなどがしばしば掲示板外のウェブにコピペされ、チームにとって大きな問題となっていたそうです。 外部ユーザーの攻撃で中身が漏れたというよりは、メンバーの誰かがコピーしているのでは、と考えた Tom さんは、当時気になっていたユニコードのゼロ幅文字を使ったトリックを仕掛けたそうです。 ユーザーを特定する情報を、見えない文字に変換して埋め込む ログイン中のログインユーザーのユーザーIDを、一定のルールによってゼロ幅文字

    ゼロ幅文字にエンコードした隠し情報で、文書をリークしたメンバーを特定 | 秋元@サイボウズラボ・プログラマー・ブログ
  • 恐怖の JVM 大量メモリ消費!メモリリークの謎を追え!! - Cybozu Inside Out | サイボウズエンジニアのブログ

    こんにちは、ミドルウェア開発チームの青木(@a_o_k_i_n_g)です。将来の夢は川口浩探検隊に入ることです。 先日、弊社のアプリケーションサーバーで大量にメモリを消費するという現象に遭遇しました。アクセス頻度の低いサーバーがメモリを大量消費するという謎深いものでした。 発生当初の状況はこんな感じです。 アプリケーションサーバーでは Jetty が稼働 現象が発生した JVM は 5GB 程度のメモリを消費しており、明らかに通常ではない量のメモリを消費している 複数台のサーバーで発生していたが、全てで発生したわけではない。 また、発生したサーバーはいずれもアクセス頻度が少ないサーバーだった。 ヒープ、パーマネント、スタック ひとまず、JVM でトラブルが発生した時は何はともあれヒープダンプとスレッドダンプを見るに限ります。各種情報の取得をインフラ部隊へ依頼し、得られたヒープを解析すると、

    恐怖の JVM 大量メモリ消費!メモリリークの謎を追え!! - Cybozu Inside Out | サイボウズエンジニアのブログ
  • Kazuho@Cybozu Labs: Pacific という名前の分散ストレージを作り始めた件

    大規模なウェブアプリケーションのボトルネックがデータベースであるという点については、多くの同意が得られるところだと思います。解決策としては、同じ種類のデータを複数の RDBMS に保存する「sharding」 (別名:アプリケーションレベルパーティショニング/レベル2分散注1) が一般的ですが、最近では、分散キーバリューストア (分散 KVS) を使おうとする試みもみられるようになってきています。 分散 KVS が RDBMS sharding に対して優れている要素としては、事前の分割設計が不要で、動的なノード追加(とそれにともなう負荷の再分散)が容易、といった点が挙げられると思います。一方で、Kai や Kumofs のような最近の実装では eventually consistent でこそ無くなってきているものの、ハッシュベースの分散 KVS は、レンジクエリができなかったり (例:

  • 秋元@サイボウズラボ・プログラマー・ブログ: 究極の.htaccess?

    via del.icio.us/popular Apacheのフォルダローカルな設定ファイル.htaccess で使いそうな設定をかたっぱしから書き込んだファイル。 メイン、スクリプト関連、ヘッダ(キャッシュや最速化)、URL書き換え、認証、SSL、開発中サイト、というようなジャンルごとに、よく使われそうなディレクティブがずらずらと並んでいる。PHPの設定、cool URLの設定、エラーページ、認証の掛けかた、などなど。 書き換えるべきところは英単語で何を書くのかわかるようになっているので、コメントとあわせて思い出しながらコメントを外していくとそれなりに使えそうな .htaccess が作れるかもしれない。僕なんかは細かい設定方法すぐ忘れてしまって検索することが多いので、これで楽になりそう。 # 当に不要なものはコメントにせずファイルから消すべきだし、安定運用に入ったら.htaccess

    秋元@サイボウズラボ・プログラマー・ブログ: 究極の.htaccess?
  • 秋元@サイボウズラボ・プログラマー・ブログ: Google Hacking Database - ハック向けGoogleキーワード集

    Googleの検索キーワードを工夫すると、サイトの持ち主が意図していなかった隠れたデータを探せる、というのはたびたび話題になる。 Googleを使ってサイトのセキュリティテストをするという著書もあるJohnny Long氏による、既知のそういったキーワードのデータベース Google Hacking Database のURLが変更されたようだ。(データの更新は2006年で止まったままのようだが) Google Hacking Database いろいろなカテゴリーの検索キーワードがある。いくつかカテゴリーを紹介すると すでに知られているセキュリティホールで放置されているものを探す エラーメッセージに出さなくてもいい情報まで表示されているものを探す 重要な情報、ユーザ名、パスワードなどを検索する 商品やオープンソースアプリのログイン画面を検索する ファイアウォールやサーバのログファイルを探

    uzuki-first
    uzuki-first 2007/03/29
    googleでセキュリティの脆弱性がばれてしまう件について。
  • DOS on Javaアプレット – JPC | 秋元@サイボウズラボ・プログラマー・ブログ

    via del.icio.us/popular JPCは、Java Applet上で動くx86 PC エミュレータだ。 デモ(Java アプレットが起動する)では、実際にブラウザ上でDOSを触ることができる。 この環境ではDOSやWindows95のバイナリがそのまま動くということなので、ひょっとすると昔のアプリケーションを使い続けるためだけに古いPCを維持しているような職場で、実際のハードウェアをこちらに移行し、サーバで管理したりできるのかもしれない。 このプロジェクト、今はまだクローズドで、入手については個別に連絡してくれということらしい。オープンソース化なども検討中ということ。 この記事は移転前の古いURLで公開された時のものですブックマークが新旧で分散している場合があります。移転前は現在とは文体が違い「である」調です。(参考)記事の内容が古くて役に立たなくなっている、という場合には

    DOS on Javaアプレット – JPC | 秋元@サイボウズラボ・プログラマー・ブログ
    uzuki-first
    uzuki-first 2007/03/29
    これすごい。どこまで本格的に動くのだろうか。
  • imified メッセンジャーxマッシュアップサービス | 秋元@サイボウズラボ・プログラマー・ブログ

    新しく公開されたimifiedは、メッセンジャーと各種ネットサービスをつなげて、メッセンジャーをネットサービスの通知アプリとして使えるようにしたサービス。 別の言い方だと、ネットサービスの更新を巡回してくれるbotの無料ASPかな。 メッセンジャー側は以下に対応している。 AOL Yahoo(ただし米国のYahoo) MSN/Windows Messenger(こちらは日も共通) Google Talk/Jabber 個人的にはSkype Chatが無いのが残念。 ネットサービス側は、まずは以下のサービスが対応 30 boxes Backpack Basecamp Blogger Google Calendar Movable Type Remember the Milk Typepad WordPress imified自身のnotes(メモ) imified自身のリマインダー imi

    uzuki-first
    uzuki-first 2007/02/06
    IMを通知媒体として使うのはおもしろいとおもた。これを拡張させて、mixi用+RSSリーダーと組み合わせるのはありでない??
  • 秋元@サイボウズラボ・プログラマー・ブログ: 本当に使える10個のWebサービスAPI

    via del.icio.us/popular LinuxWorldの記事で、10個のWebサービスAPIが解説と共に紹介されている。 Google Maps API Geonames.org OpenID Amazon S3 Amazon EC2 Atom API OpenSearch Open Media Profile MediaWiki API JS-Kit 特定のサービスを便利に使うためのAPI(Flickr APIとか。あれはあれでよくできているけど)ではなく、実際の問題を解決するために使える10個を選んだ、ということだ。 1, 4, 67は「PHPxWebサービスAPIコネクションズ」でも扱っている。2番も同じものではないが日で使えるものを紹介した。 上記のリストには、日向けに出てないものもあるし、日語の解説がまだまだ少ないものも多い。全部が伸びるかどうかはわからないけ

  • 1