今回はRustを使って、簡単なHTTPサーバを実装してみましょう。HTTPは単純ですが生活インフラとしても必須となっているWebの根幹となる技術です。Rustに対する理解を深めると同時にWebの根幹となるHTTPについても学びましょう。 RustでHTTPを実装してみよう HTTPプロトコルとは？ 「HTTP(Hypertext Transfer Protocol)」とは、WebサーバーとWebブラウザの間でデータをやりとりするための通信規則（プロトコル）です。 1990年末にイギリスの物理学者ティム・バーナーズ＝リー氏と、ロバート・カイリュー氏によって設計されました。 HTTPプロトコルは、RFCとして公に発表されています。RFCとは、IETFが発行しているインターネットに関連する技術仕様などを共有するために公開される文書であり誰でも読むことができます。1996年にHTTP/1.0に関す

Wizは7月26日(米国時間)、「GameOverlay Vulnerability Impacts 40% of Ubuntu Workloads｜Wiz Blog」において、UbuntuのOverlayFSモジュールに複数の深刻な脆弱性があるとして、注意を呼び掛けた。この問題の影響を受けるUbuntuのバージョンがクラウドで広く普及しているため、Ubuntuユーザーの約40%がこれらの欠陥に対して脆弱であると警告している。 GameOverlay Vulnerability Impacts 40% of Ubuntu Workloads｜Wiz Blog OverlayFSは、Linuxで広く利用されているファイルシステム。コンテナの普及により事前に構築されたイメージに基づく動的なファイルシステムのデプロイが可能となり、人気を集めるようになった。ただし、このファイルシステムには多くの論

The Rust teamは現地時間6月1日、プログラミング言語Rustの最新版となるRust 1.70.0のリリースを公式ブログで発表した。リリースノートはGitHubに設置してある。 パッケージマネージャーやビルドシステムして機能するCargoのデフォルトプロトコルが従来のgitプロトコルから新たなSparseプロトコルに変更されており、パッケージリポジトリcrates.ioとのやりとりのスピードが高速化している。従来プロトコルを使用する必要がある場合は、registries.crates-io.protocolで設定を変えられる。共有データなどに一度だけの初期化処理を提供するOnceCellやOnceLockなど30を超える安定化されたAPI(Stabilized APIs)が追加されている。

Discordは5月3日（米国時間）、他のユーザーとつながるフレンド機能の障害になっていたユーザー名の変更を発表した。4桁の数字のサフィックスを廃止し、ユニークなユーザー名と名前（表示名）からなる新しいユーザー名システムにする。この変更では全てのユーザーがユーザー名更新の対象になり、新しいユーザー名は登録順に割り当てられるため、ユーザーは注意が必要だ。 Discordが始まったばかりの時にはフレンド機能がなく、ゲーム内のキャラクターなど好きな名前を自由につけて、友達のサーバーに参加してボイスチャットすることが重要だった。当時はユーザー名を手入力する必要がなかったので大文字と小文字が区別されていても問題はなかった。しかし、Discordが成長し、サーバーにいない人とのチャットのニーズに対応するためにフレンド機能が実装され、サービス全体で個人を区別するための4桁の数字のサフィックスがユーザー名

JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は2月8日、「JVNVU#91213144: OpenSSLに複数の脆弱性」において、OpenSSLに重大なセキュリティ脆弱性が複数存在すると伝えた。これら脆弱性が悪用されると、サービス運用妨害(DoS: Denial of Service)を受けたり、ユーザーがサーバへ送信したアプリケーションのデータを復号されたりする危険性がある。 JVNVU#91213144: OpenSSLに複数の脆弱性 脆弱性の詳細は、OpenSSLプロジェクトによる次のセキュリティアドバイザリにまとめられている。 OpenSSL Security Advisory [7th February 2023] 脆弱性が存在するとされるプロダ

米国国立標準技術研究所(NIST: National Institute of Standards and Technology)は12月15日(米国時間)、「NIST Retires SHA-1 Cryptographic Algorithm｜NIST」において、暗号アルゴリズム「SHA-1」を廃止すると伝えた。SHA-1の暗号ハッシュ関数はすでに脆弱と評価されており米国政府機関での利用廃止が発表されている。 電子情報を保護するために初期に広く使われた手法の一つであるSHA-1アルゴリズムは、耐用年数が終了しているとして廃止が決定されている。SHA-1がまだ使用されているという現状から、より安全性の高い新しいアルゴリズムに置き換えることが推奨されている。 SHA-1という名称は「Secure Hash Algorithm」の頭文字からきており、1995年から連邦情報処理規格(FIPS:

大阪大学(阪大)は11月25日、米ローレンス・リバモア国立研究所にある世界最大級のレーザー装置「National Ignition Facility(NIF)」を用いて、磁場を使用する新方式「磁場支援型レーザー核融合」の実証に成功し、プラズマ温度の40％の上昇と、核融合反応の効率が3倍になることを確認したと発表した。 同成果は、阪大 レーザー科学研究所の藤岡慎介教授が参加する、米・ローレンス・リバモア国立研究所、米・マサチューセッツ工科大学、英・インペリアル・カレッジ・ロンドン、米・ロチェスター大学および同・大学 レーザーエネルギー学研究所、阪大 レーザー科学研究所で構成された共同研究チームによるもの。詳細は、米国物理学会が刊行する機関学術誌「Physical Review Letters」に掲載された。 核融合の技術的な困難の1つは、核融合反応を起こすプラズマを高温かつ高密度で長時間維持

Q-Successは11月23日(現地時間)、「Microsoft is the fastest growing professional email server provider. Google's leading Gmail service is declining at the moment.」において、メールサーバプロバイダーとして、Microsoftが最も成長していると伝えた。メールサーバプロバイダーの市場では、Gmailが第1位のポジションにあるが、Googleはシェアの下落の傾向を続けており、Microsoftとは逆の現象を見せている。 Microsoft is the fastest growing professional email server provider. Google's leading Gmail service is declining at the

OpenSSLプロジェクトは10月25日(現地時間)、「Forthcoming OpenSSL Releases」においてOpenSSLに存在する緊急の脆弱性に対処するためのアップデートを近日中に実施すると発表した。このリリースは2022年11月1月の協定世界時(UTC: Coordinated Universal Time)13時から17時の間に公開される予定となっている。 Forthcoming OpenSSL Releases リリースされる予定のバージョンは「OpenSSL 3.0.7」で、セキュリティ修正リリースとされている。このリリースで修正された脆弱性は、最も重大な問題である「緊急(Critical)」と分析されている。OpenSSLプロジェクトが対応した緊急脆弱性は2014年の重大な脆弱性であるHeartbleed問題「CVE-2014-0160」に続き史上2件目との指摘も

GitHub.comの利用をやめようと言われても、多くのソフトウェア開発者やGitHub.comのユーザーにとって、それはかなり困難で突拍子もない提案のように聞こえる。この便利なサービスなしには日々の生活が成り立たなくなっているユーザーは世界中にたくさんいる。 Software Freedom Conservancyは6月30日(米国時間)、「Give Up GitHub: The Time Has Come! - Conservancy Blog - Software Freedom Conservancy」において、同組織におけるGitHubの使用を中止するとともに、他のFOSSプロジェクトがGitHubからほかのサービスに移行するのを支援する長期計画を実施すると伝えた。 Software Freedom Conservancyは現在のGitHubの取り組みに疑問を呈しており、AI支援

WordPress Tavernは6月20日(米国時間)、「WordPress.org Strongly Urges Theme Authors to Switch to Locally Hosted Webfonts – WP Tavern」において、WordPress.orgのテーマチームがWebフォントの使用を停止し、ローカルでホストされているWebフォントを使用するようにテーマを更新することを強く推奨していると伝えた。 WebフォントはEU一般データ保護規則(GDPR: General Data Protection Regulation)に抵触するリスクがあるとして、今後はリモートでホストされているWebフォントの使用そのものを禁止する可能性もあると指摘されている。 WordPress.org Strongly Urges Theme Authors to Switch to L

JPCERTコーディネーションセンター（JPCERT/CC: Japan Computer Emergency Response Team Coordination Center）は6月10日、「JVNVU#94306894: Apache HTTP Server 2.4における複数の脆弱性に対するアップデート」において、Apache HTTP Server 2.4に複数の脆弱性が存在すると伝えた。これら脆弱性を悪用されると、攻撃者によってさまざまな影響を及ぼされる危険性があるとされており注意が必要。 JVNVU#94306894: Apache HTTP Server 2.4における複数の脆弱性に対するアップデート 脆弱性に関する情報は次のページにまとまっている。 Apache HTTP Server Project - Apache HTTP Server 2.4.54 Release

人気の高いプログラミング言語であるPythonには、膨大な量のパッケージコレクションが存在している。開発者はこうしたパッケージコレクションを通じて、開発に必要な機能を取得して利用している。パッケージコレクションアップデートも簡単に行え、開発において欠かすことのできない機能となっている。 しかし最近では、この機能がサイバー犯罪者に悪用されるケースが出てきている。パッケージを通じてマルウェアへの感染を促すケースから、情報窃取を行うケースまでさまざまだ。開発者はパッケージコレクションに登録されているパッケージは安全なものと認識しているが、実際にはこのようにリスクの高い「偽のパッケージ」が含まれていることがしばしば指摘されるようになってきている。 SANS Internet Storm Centerが5月24日(米国時間)、「ctx Python Library Updated with "Ext

オンラインバックアップサービス企業のBackblazeは5月4日(米国時間)、「Backblaze Drive Stats for Q1 2022」において、2022年第1四半期のハードディスク故障率の調査結果を公開した。Backblazeは2022年第1四半期に21万1,732台のハードディスクおよびSSDを使用（起動ディスク3,860台、データディスク20万7,872台）。統計データとして使用できるディスクとして、20万7,478台のデータディスクに関する故障率の分析データを公開した。 Backblaze Drive Stats for Q1 2022 2022年第1四半期における注目点は次のとおり。 Seagateの6TBモデル「ST6000DX000」が、平均使用年数7年(約83.7カ月)であるにもかかわらず、2022年第1四半期において故障率0%を達成。同様に東芝の4TBモデル「

Avananは5月2日(米国時間)、「The Gmail SMTP Relay Service Exploit」において、サイバー攻撃者がGmailのSMTPリレーサービスを悪用して他のGmailテナントであるかのように振る舞い、正当なメールに見えるフィッシング詐欺メールを用いた大規模なサイバー攻撃を実施していることを確認したと伝えた。2022年4月以降、Avananはサイバー犯罪者がこうしたサービスを使ったフィッシング詐欺メールを3万通近く観測したと伝えている。 The Gmail SMTP Relay Service Exploit 電子メールの差出人フィールド（Fromフィールド）は送信者が入力するテキストデータであり、誰であっても送信者を偽ることができる。しかし実際にそうした操作を行うユーザは少なく、メールアプリケーションが自動的に生成したものが使われることが多い。また、不正な差出

米Appleが「macOS Server」のサポートドキュメントを更新し、2022年4月21日をもってmacOS Serverを終了させることを明らかにした。更新からしばらくしてMac App Storeでの販売が終了し、2001年5月のMac OS X Server（10.0）発表から約21年の歴史の幕を閉じた。なお、販売終了後も既存のmacOS Server顧客は、引き続きmacOS Montereyでダウンロードしてアプリを利用できる。 2001年に登場した「Mac OS X Server （10.0）」のUnlimitedクライアントライセンスは999USドルだったが、2021年リリースの「macOS Server 5.12」のMac App Store価格は19.99USドル（日本では2,440円） macOS Serverは、Mac OS X Server 10.7（Lion）

2017年、インテルやARMのCPUに情報窃取の脆弱性が存在することが明らかになった。通常、CPUのプロセスはほかのプロセスの処理しているデータを読み取ることはできない仕組みになっているが、ある機能を悪用することで実行中のプロセスから本来は入手できてはいけないデータを窃取できることが明らかになった。この仕組みを悪用して複数の攻撃手法が開発されたが、「Spectre-v2 (またはBTI: Branch Target Injectio)」と呼ばれる手法が最も危険な攻撃方法と認識されている。 これら脆弱性に対して、オペレーティングシステム側が対策を導入したほか、CPUメーカーがハードウェア緩和策（eIBRSやCSV2など）を導入した。この緩和策は意図した通りに機能するが、どうやら研究者はこの攻撃手法を復活させることに成功したようだ。 研究者らは「Branch History Injection

1000年の都にして日本を代表する観光地だけに、新旧の多種多様なお土産がそろう京都。お土産にお菓子を選ぼうにも、目移りして困った経験がある人も少なくないはずです。 銘菓がたくさんある京都だからこそ、今度のお土産は“見た目”で選んではいかがでしょうか。 もちろん、見かけ倒しではなくちゃんと“おいしい”ことが大前提。目でも舌でも楽しめる、京都のおすすめ土産をご紹介します。 京あめクロッシェの「京あめ」 近年、京都土産として人気上昇中なのが、「京あめクロッシェ」の「京あめ」。クロッシェは、創業1876年の京あめの老舗「今西製菓」がプロデュースしたブランドで、現在京都市内に4店舗を展開しています。 そんなクロッシェが提案するのは、日本の職人が長年培ってきた伝統とヨーロッパの着色技術をミックスさせた、新感覚の京あめ。平安時代の十二単やヨーロッパのアールデコ調のドレスなど、和と洋の文化にインスピレーシ

Microsoftは10月14日(米国時間)、Windowsで提供しているシステム監視ツール「Sysmon」のLinux版「Syemon For Linux」をオープンソースとして公開した。SysmonはMicrosoftがWindowsシステムの管理者やアプリケーション開発者向けに提供しているユーティリティ「Windows Sysinternals」の一部であり、疑わしいアクティビティのログを記録して分析できるようにするコマンドラインベースの監視ツールである。Linux版Sysmonの公開は、Windows Sysinternalsの25周年を記念して行われた。 Wiondowsのユーザーは、Syemonを利用することでプロセスの開始や終了、ネットワークへの接続、デバイスへのアクセス、ファイルへのアクセスなどのログを記録できるようになる。記録したログは、Windows PowerShel

フィッシング対策協議会(Council of Anti-Phishing Japan)は9月28日、「フィッシング対策協議会　Council of Anti-Phishing Japan｜ニュース｜協議会からのお知らせ｜S/MIMEのメーラー別対応状況の調査結果を公表」において、主要な電子メールソフト・サービスにおけるS/MIMEへの対応状況に関する調査結果を発表した。 S/MIMEは公開鍵方式に基づき電子メールにおいてデジタル署名と暗号化を実現する規格。本人から送信されたメールであることの確認や、メッセージが改ざんされていないことをなどを確認できるとされている。 調査対象となった主要な電子メールソフト・サービスは次のとおり。 フィッシング対策協議会　Council of Anti-Phishing Japan ｜ ニュース ｜ 協議会からのお知らせ ｜ S/MIMEのメーラー別対応状況の