JVNVU#94858949: 複数の NETGEAR 製ルータに脆弱性
R6250 R6400 R6700 R6900 R7000 R7100LG R7300DST R7900 R8000 D6220 D6400 コマンドインジェクション (CWE-77) - CVE-2016-6277 重要な機能に対する認証欠如の問題 (CWE-306) クロスサイトリクエストフォージェリ (CWE-352) NETGEAR 製の複数のルータにはコマンドインジェクションの脆弱性が存在します。 LAN 内の攻撃者は http://<router_IP>/cgi-bin/;COMMAND にアクセスすることで、認証を要求されることなく、当該製品の管理者権限で任意のコマンドを実行することが可能です。 また、当該製品にアクセス可能なユーザが、細工されたページにアクセスすることで、上のような URL へアクセスさせられ、結果として当該製品の管理者権限で任意のコマンドを実行させられる可
Google Public DNS over HTTPS を試す | IIJ Engineers Blog
【2018/11/16 追記】 本記事は、2016 年 4 月に Google Public DNS サーバに実装された、実験的な DNS over HTTPS プロトコルについて紹介しています。DNS over HTTPS プロトコルはその後 IETF の doh ワーキンググループにて標準化が進められ、2年半後の 2018 年 10 月に RFC8484 として出版されました。本記事で紹介したプロトコルは RFC8484 に規定されたプロトコルとはいくつもの点で異なっていることにご注意ください。 Google Inc. が公開 DNS サーバを運営していることはご存知でしょうか? Google Public DNS と呼ばれるこの公開 DNS サーバは、”8.8.8.8″ という特徴的な IP アドレスで全世界のインターネットユーザに対して無料の DNS サーバ(フルレゾルバ)を提供し
Cookieのexpireの扱いがブラウザによってちょっと異なる件 - mikanmarusanのブログ
弊社のアプリが動かないという残念な問い合わせがいくつかあったので、1日ばかりずっと悶々と調べてみたりした。結局Cookieの挙動によるものだったんだけど、Cookieの有効期限の挙動がブラウザごとに違っているらしく、ちょっとハマッたので備忘録としてまとめてみた。 Cookieの仕様のおさらい Cookieは、HTTP State Management Mechanism(HTTP 状態管理メカニズム)というタイトルで、RFC2965で定義されているみたいだが、各種ブラウザの実装は、Cookieを導入したNetscape Navigatorの実装に基づいているようだ。 ここでは、Cookieの仕様についての説明は割愛するが、超簡単にまとめると以下の通り。 サーバ クライアントに保持してもらいたい状態情報を、HTTPレスポンスのSet-Cookieヘッダに乗せて送出する Set-Cookie:
HTTPステータスコード451(政治的な検閲)が正式に承認される
mnot’s blog: Why 451? draft-ietf-httpbis-legally-restricted-status-04 HTTPステータスコード451がIETFで正式に承認された。近いうちにRFCとしても発行される。 元ネタは、Ray BradburyのFahrenheit 451(華氏451)というタイトルの小説で、これはディストピアな検閲社会を描いている。 451の意味は、403(禁止/権限がない)と似ているが、正確な意味は、ドラフトを引用すると、以下の通り。 このドキュメントはサーバーオペレーターが、あるリソース、あるいはあるリソースを含むリソース群に対し、閲覧を検閲するよう法的な命令を受け取った時に使うHypertext Transfer Protocol(HTTP)ステータスコードを規定するものである。 このステータスコードは、法律や一般大衆の雰囲気がサーバー
websec-room.com - websec room リソースおよび情報
This webpage was generated by the domain owner using Sedo Domain Parking. Disclaimer: Sedo maintains no relationship with third party advertisers. Reference to any specific service or trade mark is not controlled by Sedo nor does it constitute or imply its association, endorsement or recommendation.
公開鍵ピンニングについて | POSTD
ついに、インターネット技術タスクフォース(IETF)が RFC7469 HTTP公開鍵ピンニング拡張 (HPKP)を発表しました。このアイデアを出してくれた同僚のRyan Sleevi、Adam Langley、Chris Evansに感謝します。また、RyanとChris EはRFCの最終稿に先立つ大量のドラフトの執筆を助けてくれました。そして、ドラフトにコメントし、RFCとして公開できるまでにしてくれたIETFの多くの参加者にも感謝します。 ピンニングとは何か? 何を解決できるのか? HPKPは Web PKI の大きな問題の1つを解決する試みです。その問題とは、基本的に認証局(CA)や中間認証局は、どのWebサイトにもエンドエンティティ(EEまたは”リーフ”)証明書を発行することができてしまうことです。例えば、mail.google.comの証明書が”Google Internet
curl –resolveでコマンドラインから名前解決する
HTTP サーバに名前ベースのバーチャルホスト設定がされていて、設定されているホスト名でアクセスしたい場合は Host ヘッダーを渡せばOK IP アドレス 10.0.1.2 に http://www.example.com のホストでアクセスするときには以下のようにする。 curl $ curl --header "Host: www.example.com" http://10.0.1.2/ wget $ wget --header="Host: www.example.com" http://10.0.1.2/ telnet $ telnet 10.0.1.2 GET / HTTP/1.1 Host: www.example.com <Return> <Return> リクエストURLのホストをゴニョゴニョする処理が入っている場合、上の手順ではまずい。 そのため hosts ファイル
2015年Webサーバアーキテクチャ序論 - ゆううきブログ
2023年03月31日追記:この記事を基に、@sadnessOjisanさんより、コードレベルにより踏み込んだ、かつ、グリーンスレッドベースの新しいWebサーバアーキテクチャも含めて整理された記事 Webサーバーアーキテクチャ進化論2023 | blog.ojisan.io が公開されました。 主に新卒のWebエンジニア向けに、古典的なWebサーバアーキテクチャを学ぶ道のりと代表的な実装モデルの概要を紹介します。 この辺りの話題がWeb界隈で流行っていたのは数年以上前というイメージですが、Webサービスは相変わらずWebサーバの上で動いているので、流行り廃り関係なく学ぶべき内容だと思っています。 また、HTTP/2がいよいよRFC化し、既にh2oやtrusterdなどのHTTP/2のサーバ実装があり、今後Webサーバアーキテクチャを再訪することが増えるような気がしています。 ところが、We
X-XSS-Protection - セキュリティ
HTTPレスポンスヘッダにX-XSS-Protectionを指定することで、ウェブブラウザに対して、XSSフィルター機能(XSS Filter)を有効にする指示ができます。IE8以降に導入されたXSSフィルターがX-XSS-Protectionヘッダによって活性化できます。 読み方 X-XSS-Protection えっくす えっくすえすえす ぷろてくしょん XSS Filter えっくす えすえす ふぃるたー 概要 X-XSS-Protection は、ウェブブラウザ の XSS フィルターを有効化するためのオプションです。XSSの問題を完全に取り除くものではなく、XSSによる攻撃を緩和するためのものです。 Internet Explorer 8 から実装されました WebサーバーからのHTTPレスポンスヘッダの例は、以下の種類があります。 X-XSS-Protection: 1 X-X
HTTP2 時代のサーバサイドアーキテクチャ考察 - Block Rockin’ Codes
update 色々と twitter で議論が起こったのでまとめて貼っておきます。 togetter.com みなさんありがとうございました。 intro HTTP2 の RFC 化も目前ということで、そろそろ実際に HTTP2 を導入していくにあたってサーバサイドの構成についても、具体的にどう変わっていくかという点を考え始めていく必要があります。 そんな話を @koichik さんとしていたら、色々と考えが膨らんだのでメモしておきます。 前提 今回は、中規模のサービスを想定し、特に HTTP2 のサーバプッシュを踏まえた上でのコンテンツ配信などに、どういう構成が考えられるかを考えていきます。 また、本エントリ内では独自に以下の表記を採用します。 HTTP/1.1 = HTTP/1.1 (平文) HTTP/2 = HTTP/2 (平文) HTTPS/1.1 = HTTP/1.1 over
さくらインターネット、急激なアクセス増加に対応する「リソースブースト」機能を提供開始 | さくらインターネット
さくらインターネット、急激なアクセス増加に対応する「リソースブースト」機能を提供開始 〜さくらのレンタルサーバ、マネージドサーバのコントロールパネルからワンクリックで利用可能〜 インターネットデータセンター事業を運営するさくらインターネット株式会社(本社:大阪市中央区、代表取締役社長:田中 邦裕)は、レンタルサーバサービスの「さくらのレンタルサーバ」「さくらのマネージドサーバ」において、トラフィックの制限値を一時的に緩和する「リソースブースト」機能を4月22日より提供開始いたしました。 「リソースブースト」は、突発的なアクセスの集中などに対し、これまでの数倍のアクセス処理能力を実現する無料の機能です。お客様ご自身でコントロールパネルからワンクリックの簡単操作で機能を有効にできるため、キャンペーンでアクセスの集中が予想される場合や、ニュースポータルサイトで紹介されるなど、お客様のwebサイト
HTTPSを使うなら“HSTS”と“HSTSプリロード”でセキュリティを高めよう など10+4記事 | 海外&国内SEO情報ウォッチ
HSTS(HTTP Strict Transport Security)という仕組みがある。簡単にいうと、次のような仕組みだ。 「このサイトにはHTTPではなくHTTPSで必ず接続するように」と、サーバーがブラウザに指示するHTTPヘッダー。この指示を受け取ったブラウザは、その情報を記録しておき、以降は、そのサイトに対してアクセスするのにHTTPを使わず自動的にHTTPSで接続するようにする。 たとえHTTPSでサイトを構成していたとしても、通信を傍受されたりフィッシング詐欺に遭ったりする危険性がある(特に無線LANなどの環境で)。これを防ぐのにHSTSを利用できる。 グーグルは、HTTPSをランキング要因に組み込んだことを発表した際に、「サイトでHSTSを有効にするように」と指示している。 ところが、たしかにHSTSによってブラウザは必ずHTTPSで接続を試みるのだが、それは2回目以降だ
実はそんなに怖くないTRACEメソッド
Cross-Site Tracing(XST)という化石のような攻撃手法があります。「化石」と書いたように、既に現実的な危険性はないのですが、XSTに関連して「TRACEメソッドは危険」というコメントを今でも見ることがあります。 このエントリでは、XSTという攻撃手法について説明し、XSTおよびTRACEメソッドについてどう考えればよいかを紹介します。 TRACEメソッドとは HTTP 1.1(RFC2616)では、8種類のメソッドが定義されています。GET、POST、HEADなどはおなじみのものですが、それ以外にPUT、DELETE、OPTIONS、TRACE、CONNECTの5種があります。 このうち、TRACEメソッドは、HTTPリクエストを「オウム返しに」HTTPレスポンスとして返すもので、以下のようにGET等の代わりにTRACEとしてWebサーバーにリクエストします。 TRACE
[Ann] Initial release of H2O, and why HTTPD performance will matter in 2015
[Ann] Initial release of H2O, and why HTTPD performance will matter in 2015 Happy Holidays! Today I am delighted to announce the first release of H2O, version 0.9.0; this is a christmas gift from me. H2O is an optimized HTTP server with support for HTTP/1.x and the upcoming HTTP/2; it can be used either as a standalone server or a library. Built around PicoHTTPParser (a very efficient HTTP/1 parse
![[Ann] Initial release of H2O, and why HTTPD performance will matter in 2015](https://cdn-ak-scissors.b.st-hatena.com/image/square/e6b0734f1898403d17b2d355d0bd2019078215cb/height=288;version=1;width=512/http%3A%2F%2F3.bp.blogspot.com%2F-djwCFvHXR_g%2FVJx0ImnZCFI%2FAAAAAAAABI4%2FN6BuT1EY5ZU%2Fw1200-h630-p-k-no-nu%2Fh2o-bench.png)
HTTPステータスコード - Wikipedia
HTTPステータスコードは、HTTPにおいてWebサーバからのレスポンスの意味を表現する3桁の数字からなるコードである。RFC 7231等によって定義され、IANAがHTTP Status Code Registryとして管理している。以下に一覧を示す。 1xx Informational 情報[編集] リクエストは受け取られた。処理は継続される。 100 Continue 継続。クライアントはリクエストを継続できる。サーバがリクエストの最初の部分を受け取り、まだ拒否していないことを示す。 例として、クライアントがExpect: 100-continueヘッダをつけたリクエストを行い、それをサーバが受理した場合に返される。 101 Switching Protocols プロトコル切替。サーバはリクエストを理解し、遂行のためにプロトコルの切り替えを要求している。 102 Processin
なぜHTTPSはHTTPより速いのか
先週、httpvshttps.com というウェブサイトが公開されました。このウェブサイトでは、HTTP と HTTPS を用いてアクセスした場合のウェブページのダウンロード完了までにかかる時間の比較ができるのですが、多くの環境で HTTPS の方が HTTP よりも高速なことに驚きの声が上がっていました。 HTTP が TCP 上で平文を送受信するのに対し、HTTPS は TCP 上で TLS (SSL) という暗号化技術を用いて通信を行います。ならば、TLS のオーバーヘッドのぶん HTTPS のほうが遅いはずだ、という予測に反する結果になったのですから、驚くのも無理はありません。 実は、この結果にはからくりがありました。 Google Chrome、Mozilla Firefox、最近のSafari注1は、Google が開発した通信プロトコル「SPDY」に対応しており、HTTPS
TechCrunch
Here’s an interesting move. Founders Future, a well-known VC firm in the French tech ecosystem, acquired an equity crowdfunding marketplace called Sowefund. While terms of the deal remain undisclose General Motors, self-driving car subsidiary Cruise and Honda plan to launch a robotaxi service in Japan under a new joint venture, the three companies announced today. The companies intend to launch t
GitHub - facebook/proxygen: A collection of C++ HTTP libraries including an easy to use HTTP server.
Asynchronous PHP and Real-time Messaging
With every major browser supporting WebSockets, HTML 5 has changed how we handle client to server communications. The high demand for real time client and server messaging has developers flocking away from PHP to languages such as Node.js. In this session we'll explore the libraries and extensions that make Asynchronous PHP possible and analyze the performance differences with Node.js. In addition
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
httpbin.org
