OSC2015 Tokyo/Spring #osc15tk 2015年2月28日 14:00 - 明星大学 202 号室Read less
元ネタはこちら。 Apache AddHandler madness all over the place Gentoo Bug 538822 どういうことか 次のような指定は危険である。 AddHandler php5-script .php この時に指定される.phpはファイル名の末尾である必要はない。例えば、 aaa.php.html bbb.php.pngなどもphp5-scriptとして解釈されてしまうのだ。これは.XXX.YYYと複数の拡張子が書かれた場合、.XXXと.YYYもAddHandlerの対象となることが原因。 ちなみに次のような場合にはphp5-scriptとして解釈されない。 ccc.php_foo (.php_fooとして解釈されるため) ddd.php_bar.html (.php_barと.htmlとして解釈されるため)実はこのことはApacheのドキュメン
無償かつ高機能な「ModSecurity」をもっと活用しよう!:OWASP AppSec USA 2013 レポート(後編)(1/2 ページ) 前編に続き、講演内容を中心に、Webアプリケーションのセキュリティに関する国際的なカンファレンス「OWASP AppSec USA 2013」の模様をお伝えします。 2013年11月18日から11月21日の4日間にわたり、米国ニューヨークでWebアプリケーションのセキュリティに関する国際的なカンファレンスである「OWASP AppSec USA 2013」が開催されました。前回の記事に続き、そのトレーニングや講演の模様を紹介していきます。 注目すべきModSecurityの機能とは 筆者らが受講した2つ目のトレーニングは、「Web Application Defender’s Cookbook: LIVE」です。このコースはModSecurityを
MOONGIFTはオープンソース・ソフトウェアを紹介するブログです。2021年07月16日で更新停止しました こういう表現方法のアイディアって面白いですね。 健康というのは上限値と下限値があるものです。数値が低すぎてもダメな一方、高すぎてもダメというのもあります。一定の範囲があって、その中に収まっていれば問題なしというパターンが多いです。 そんな健康状態を一つのグラフに表現しているのがhGraphになります。レーダーチャート風ですが、一風変わった面白いグラフになっています。 中央に全体としての評価、その周囲に健康状態を表す各指標と範囲内かどうかの評価があります。濃緑の部分は問題なし、赤い部分は標準範囲外となります。 健康状態のグラフをレーダーチャートで表すのはよく見ますが、そこに標準範囲も入れることで全体としての健康状態が一目で分かるようになります。さらにクリックイベントでズームイン/アウ
Java で書かれた日本語形態素解析ライブラリ Kuromoji を Perl から使ってみたいなー、と思って、別の言語のプログラムから使いやすいようなインターフェイスを書きました。 Kuromoji について kuromoji - japanese morphological analyzer Java で書かれたオープンソースの日本語の形態素解析ライブラリです。 検索用のライブラリらしくて、Apache Lucene と Apache Solr に組み込まれているらしいです。 もちろん検索エンジンとは独立して利用することも可能です。 独立して使用する場合は、単に jar ファイルをダウンロードしてきて Java のライブラリパスに追加するだけ (あるいは公開されている Maven リポジトリを使用して依存関係を解決するだけ) で形態素解析できるようになります。 便利ですね。 Java
Windowsマスターの皆様、申し訳ございませんでした!(挨拶) 一つ前のエントリ( http://uzulla.hateblo.jp/entry/2013/08/12/013207 )、まったく私の不勉強を世間に晒すエントリなのは当人も理解しておりましたが、世間の風は2013も下期にはいったというのにXPばかりつかってきた糞マカーには予想よりもつらいものでした! アイッティー業界、ドッグイヤーなのに、XPとかでがんばってきた無精な人間は殺すべし、慈悲はない、インガオホー! そして、こちらのほうが重要だと理解しておりますが、「とりあえずなんかうまくうごいてなかったらゲイツをなぐるべし」という糞マカーの内輪の感覚を世の中に気軽に発信したばかりに、ギガ盛り牛丼つくったり、冷凍庫の中にはいった写真をツイットするような目で見られる事態になってしまいました。 自分の想像力の欠如、そしてインターネッツ
Description Labeled Tab-separated Values (LTSV) format is a variant of Tab-separated Values (TSV). Each record in a LTSV file is represented as a single line. Each field is separated by TAB and has a label and a value. The label and the value have been separated by ':'. With the LTSV format, you can parse each line by spliting with TAB (like original TSV format) easily, and extend any fields with
遺伝的アルゴリズム(GA)でサーバの自動チューニングをします。 GAを機械学習を一つと書いてしまいましたが違うようなのでタイトルを変更させて頂きました。 遺伝的アルゴリズムについては↓の動画が分かりやすいです http://www.youtube.com/watch?v=yZJ1V-zv_gU まずは通常の負荷テストができるところまで準備する必要があります。攻撃用のサーバをターゲットと(ネットワーク的に)近い場所に用意してください。負荷を掛ける側(Attacker)にも相応のスペックは必要です。 ストレスツールはコマンドラインから利用出来るものでしたらなんでもかまいません。ab(Apache Bench)などは最初から入っているので手軽ですが、今回は「グリーン破壊」というソフトを利用しました(グリーン破壊のインストール方法は本家サイトに譲ります) 自動チューニングを行うにあたり、ターゲット
RequireとOrder† Orderによるアクセス制限が非推奨となり、Requireを使う事になったヨウス。 なお後方互換のためmod_access_compatでOrderディレクティブは今のところ使用出来る。 <RequireAll> くくったRequireの内容はAND結合 否定条件のみはダメ <RequireAny> くくったRequireの内容はOR結合 否定条件(RequireNone、Require not xxxx)は含められない Require[All|Any|None]を省略した場合のデフォルト値 <RequireNone> くくったRequireの内容はOR結合 条件にヒットした場合アクセス拒否 <RequireAll>のなかで使う 以下、比較参考。 全許可 Order Deny,Allow Allow from all ↓ <RequireAny>(省略可。Re
会員制のサービスなど、ログインした状態でないとコンテンツをユーザーに見せたくないという仕様はよくありますが、HTMLなどはプログラムから簡単に保護ができるものの、ドキュメントや画像やFlashファイルなどを保護するのは若干の工夫が必要になってきます。 今回は、Apacheのモジュールの一つであるmod_actions を使って、ドキュメントルート以下に置いているWordやExcelファイル、画像やFlashなどプログラムから保護しにくいファイルに対して、セキュリティ実装を簡単に行ってみたいと思います。 mod_actionsでの実装を行ってみる前に、ドキュメントや画像やFlashファイルなどをログインしていないユーザーから保護するためにはどういった方法があるかを考えてみます。 最も簡単な方法は、Basic認証をかませてログインしていないユーザーに強制的にIDとパスワードを求めるというものが
・Apacheの機能はモジュールを追加することで拡張できる ・Apacheの核となる「Core」がまずあり、そこへモジュールを追加して機能を拡張する ・モジュール名は慣習的に「mod_XXX」と付けられる ・モジュールは「静的リンク」または「動的リンク」により追加できる ●静的モジュール概要 ・Apacheの実行ファイルそのものにモジュールを組み込む方式でApacheとモジュールはバイナリ的に一体化して動作する ・削除、追加には再インストールを行う必要がある ・本体とモジュールが一体で動作するため、モジュール組込みにかかる負荷が低くなる ●動的モジュール概要 ・モジュールを別ファイルとして作成し、必要に応じてモジュールのファイルから機能を呼び出す方式 ・httpd.confのLoadModuleで有効、無効に設定し、動的にロードする ・DSO(Dynamic Shared object
「第2回:Apacheをインストールしてみるのは難しくない」ではApacheをバイナリパッケージからインストール方法を説明しました。今回はソースコードからApacheをインストールする方法を解説します。 ソースコードからApacheをインストールする方法は次の通りです。 NO ステップ 概要
このディレクティブは実際のファイル名 (もしくは存在するディレクトリの 存在しないファイル) の後に続くパス名情報があるリクエストを受け付けるか 拒否するかを制御します。続きのパス名情報はスクリプトには PATH_INFO 環境変数として利用可能になります。 例えば、/test/ が、here.html というファイル 一つのみがあるディレクトリを指しているとします。そうすると、 /test/here.html/more と /test/nothere.html/more へのリクエストは両方とも /more を PATH_INFO とします。 AcceptPathInfo ディレクティブに指定可能な 三つの引数は: Offリクエストは存在するパスにそのまま マップされる場合にのみ受け付けられます。ですから、上の例の /test/here.html/more のように、本当のファイル名の
4. Solr 4.0 の主要機能 プラガブルなシミラリティクラス FST対応 Codecプラグイン NRT PivotFacet pseudo-join SolrCloud ・3.6は3.x系の最後 ・4.0は年内、alphaは7/3リリース 5. Similarity いろんなランキングアルゴリズムに差し替え可能 参考 Lucene 4.0のスコア計算 http://www.slideshare.net/KojiSekiguchi/similarity-functions-in-lucene- 40-12652624 ・Okapi BM25 Model ・Language Models ・Divergence from Randomness Models ・Information-based Models 6. Finite State Automa
MacPorts で MySQL5 と Apach2 と PHP5 を入れたメモ。 インストール完了まで意外と時間をくってしまった。 MySQL5 ややこしいことに mysql5 と mysql5-server の2つが対象としてあるので要注意。 mysql5 を選ぶと mysql_install_db5 で一手間必要だったり、 plistを自前で書く必要がでてくるので、mysql5-server を選ぶ。 $ sudo port install mysql5-server ---> Computing dependencies for mysql5-server ---> Fetching mysql5 ---> Verifying checksum(s) for mysql5 ---> Extracting mysql5 ---> Applying patches to mysql5
ここでは、Apache の設定ファイルであるhttpd.conf について解説していきます。行数にして1000行以上ありますが、実際に設定すべき箇所はそれほど多くはありません。けれども、設定しておくと便利なものもたくさんあるので、大まかについて簡単に知っておいた方がいいでしょう。ここでは、それぞれのディレクティブに対して、深く掘り下げては説明しませんが、大まかな概要について説明してありますので是非、参考にしてみてください。 ■Section 1: Global Environment Global Environment は、Apache 全体に影響を与えるセクションです。 ServerRoot は、Apache をインストールした場所のパスが指定されており、このディレクトリ以下に conf や logs などのサブディレクトリが格納されます。以降で出現するディレクティブの多くは、このSe
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く