HTTPサイトのドメインを奪われてHSTSを有効化されたら - Qiita
はじめに 最近lovelive-anime.jpドメインが何者かによって移管され一時的にその者の手に渡った。もともとの管理者によってすでに取り戻されたが、攻撃者は一時的にこのドメインに対する全権を握った。この記事では、あくまでも思考実験として攻撃者が他人のHTTPサイトを運用しているドメインの全権を握ったときに、攻撃者がHSTS(HTTP Strict Transport Security)を有効にしてしまった場合どうなるかについて考える。まずはHSTSについて簡単に説明し、そしてその後で今回筆者が考えた攻撃について議論し、最後にまとめを述べる。 この記事を読んでわからないことや改善するべき点を見つけた場合は、気軽にコメントなどで指摘してほしい。 攻撃者によるHSTSの有効化 ここではHSTSに関する説明と、筆者が考える攻撃(?)について説明する。 HSTSとは HSTSとは、HTTPのレ
ネットワーク越しでパイプしたり、あらゆるデバイス間でデータ転送したい! - Qiita
何を解決したいか? Mac, Windows, Linux, iPhoneやAndroidのスマホ・タブレットとかのデバイス間でデータの転送したいことがあります。 SlackとかLineとかSkypeとかAirDropとかあっても 送りたい相手と共通して使っているサービスを探す必要とか、 GUIのソフトウェアのインストールが必要とか、 AirDropだとApple系OSである必要 があるなどの転送の障壁があって、GUIが使えないデバイスに送りたいときなどは困ってしまいます。 すでにたくさんのファイル共有系のサービスがありますが、コマンドを使ったCUIベースにあまり親切な設計なものはあまりないと思います。 そこで、上記の問題を解決するために、以下のようなファイル転送の仕組みを作りました。 他デバイス間でデータ転送ができ、 別途ソフトウェアのインストール不要で、 パイプにとても親和性が高くエン
商用環境で設定しておきたいセキュリティ関連 HTTP ヘッダまとめ - A Memorandum
TL;DR X-Content-Type-Options X-Frame-Options(XFO) X-XSS-Protection Content-Security-Policy (CSP) Upgrade-Insecure-Requests Strict-Transport-Security (HSTS) Public-Key-Pins (HPKP) 設定 TL;DR X-Content-Type-Options MIME スニッフィングの無効化 X-Frame-Options(XFO) フレーム表示を制限しクリックジャッキングを予防 X-XSS-Protection XSSフィルタの有効/無効 Content-Security-Policy (CSP) XSSなどの攻撃を軽減するセキュリティレイヤー Strict-Transport-Security (HSTS) HTTP の代わり
メルカリの個人情報流出、陥った「no-cache」の罠
フリーマーケットサービスのメルカリで個人情報が流出する事故が起こった。iOS/Androidアプリ版ではなくWebアプリ版で起こった。あるユーザーが自分の情報を表示しようとすると、他のユーザーの情報が表示されてしまうというものだ。 第三者の情報を閲覧できる状態になっていた可能性があるユーザーは5万4180人。このうち、住所・氏名・メールアドレスが見える状態になっていたユーザーは2万9396人だという。 第三者の情報を閲覧できる状態になっていた可能性があるユーザーでも、特定の条件を満たさなければ、実際には住所・氏名・メールアドレスが見える状態にはならなかったという。メルカリは、そうした条件には二つのケースがあるとしている。 第1のケースは、障害が発生した2017年6月22日の9時41分から15時5分の間にWeb版メルカリにログインしてアクセスし、そのときに閲覧したページがキャッシュサーバーに
HTTPステータスコードを適切に選ぶためのフローチャート : 難しく考えるのをやめよう | POSTD
HTTPステータスコードを返すというのはとても単純なことです。ページがレンダリングできた?よし、それなら 200 を返しましょう。ページが存在しない?それなら 404 です。他のページにユーザをリダイレクトしたい? 302 、あるいは 301 かもしれません。 I like to imagine that HTTP status codes are like CB 10 codes. "Breaker breaker, this is White Chocolate Thunder. We've got a 200 OK here." — Aaron Patterson (@tenderlove) 2015, 10月 7 訳:HTTPのステータスコードのことは、市民ラジオの10コードみたいなものだと考えるのが好きです。「ブレーカー、ブレーカー、こちらホワイト・チョコレート・サンダー。200
iOS実機のSSL通信をプロキシによって傍受したり改ざんする方法 - Qiita
はじめに スマートフォンアプリ開発でAPIを介しWeb/APIサーバーとやりとりをする場合、「httpsを使っていれば通信はユーザーにバレない」なんてことはなく、Webアプリでツールを使ってできるのと同じようにユーザーには通信内容の確認や改竄などができます。 そのため、そのことを前提にアプリやサーバーAPIの設計と実装を行わない場合、アプリ利用者によるゲームスコア結果送信の改竄や、ソーシャルゲームにおけるレイドボスなどへのダメージ操作、ECサイトアプリでの購入操作なども可能になってしまいます。 また、最近自分は「無料で音楽聴き放題!! - ネットラジオ」というアプリをリリースしたのですが、このアプリに導入するスタティックリンクライブラリが不明な外部サーバーへ通信していないか、SSLを使用しているつもりがそうでない通信をしてしまっていないかのチェックをするため、自分はmitmproxyという
HTTPステータスコード451(政治的な検閲)が正式に承認される
mnot’s blog: Why 451? draft-ietf-httpbis-legally-restricted-status-04 HTTPステータスコード451がIETFで正式に承認された。近いうちにRFCとしても発行される。 元ネタは、Ray BradburyのFahrenheit 451(華氏451)というタイトルの小説で、これはディストピアな検閲社会を描いている。 451の意味は、403(禁止/権限がない)と似ているが、正確な意味は、ドラフトを引用すると、以下の通り。 このドキュメントはサーバーオペレーターが、あるリソース、あるいはあるリソースを含むリソース群に対し、閲覧を検閲するよう法的な命令を受け取った時に使うHypertext Transfer Protocol(HTTP)ステータスコードを規定するものである。 このステータスコードは、法律や一般大衆の雰囲気がサーバー
なぜHTTPSはHTTPより速いのか
先週、httpvshttps.com というウェブサイトが公開されました。このウェブサイトでは、HTTP と HTTPS を用いてアクセスした場合のウェブページのダウンロード完了までにかかる時間の比較ができるのですが、多くの環境で HTTPS の方が HTTP よりも高速なことに驚きの声が上がっていました。 HTTP が TCP 上で平文を送受信するのに対し、HTTPS は TCP 上で TLS (SSL) という暗号化技術を用いて通信を行います。ならば、TLS のオーバーヘッドのぶん HTTPS のほうが遅いはずだ、という予測に反する結果になったのですから、驚くのも無理はありません。 実は、この結果にはからくりがありました。 Google Chrome、Mozilla Firefox、最近のSafari注1は、Google が開発した通信プロトコル「SPDY」に対応しており、HTTPS
Apacheでマトリョーシカを作ってみる - ろば電子が詰まつてゐる
以前から、「Apache1000本ノック」という単語だけ頭に明滅していたのですが、時間が取れたのでそれに近いものを作ってみました。 が、実際にやってみるとノックというよりはマトリョーシカに近いな……と思ったので、ここでは「Apacheマトリョーシカ」として紹介します。あるいはドミノ倒しというイメージも近いかもしれません。 なお、本稿の実用性はゼロです。お遊びです。 環境の概要 環境 VirtualBox 4.3.10 OS CentOS 6.5(64bit) Apache Ver. 2.2.27 Apacheマトリョーシカとは何か コンセプトとしては、Apacheのproxy_httpを使ってポートフォワードを多段接続してみよう! ということです。 イメージはこんな感じ。 WebブラウザでHigh Portに接続すると、そこから内部でひたすらポートフォワードしまくって、一番奥底にある80/
なぜ html の form は PUT / DELETE をサポートしないのか? - Block Rockin’ Codes
注意 内容については一切保証しません。 ここでは、主に W3C ML での議論や各種仕様などに基づいて書いています。 ここに書かれていることが正しいかどうかは、自身で判断して下さい。 事実としておかしいところなどは、コメントでどんどん指摘して下さい。遠慮はいりません。 ただし、このエントリでは「form が PUT/DELETE をサポートするべきかどうか?」の議論はしません。 「REST の是非」や「PUT/DELETE の意義」についても議論する気はありません。 ここでやっているのは、あくまでもどういった議論の末現状があるのかの調査です。 そうした意見がある場合は、 W3C などに投稿するのが最も有益だと思います。 History 2014/03/29: 公開 2014/03/29: XForm と XHTML の関係を明確化(thanx koichik) 2014/03/29: HT
YappoLogs: ギーク系女子に捧げる「クリスマスにプロポーズにされた時の対応プロトコル」2013年版
ギーク系女子に捧げる「クリスマスにプロポーズにされた時の対応プロトコル」2013年版 みなさんこんばんは!エビスビール割と好きなオッス!どっちかというと宍戸開とどっち選ぶかと言われたら宍戸錠派のYappoです。 先日とある僕が行くには場違いのような店で「後少しでクリスマスなんだけど、プロポーズとかされたらどうしよう><相手の人がギーク系統の人だったらどんなレスポンスが好印象かなっ//」って話題が出たので、ギーク系男子はこういうプロポーズの返事に弱いぜ!って感じのまとめを紹介するよっ! 予備知識 ギーク系男子は、プログラミングを全ての中心においている以上すべての事象に対して論理的克つ単純明快を好む傾向があるんだ、たとえコミュ障なプログラムが一大決心してプロポーズをしてきたとしてもこの前提は揺るぎなく「はっきり断ったら傷つけるかな?」「この人と仕事で関わるから気分をがいしちゃったらやばいな」み
マルチプラットフォームでmrubyを使ってHTTP通信する方法
人間とウェブの未来(旧) 「ウェブの歴史は人類の歴史の繰り返し」という観点から色々勉強しています。2014年までの人間とウェブの未来の旧ブログです。 mrubyも少しずつ知られてきていて、WindowsやLinux、MacOSX等マルチプラットフォームで色々遊んでいる人が多いことでしょう。そうなってくると、しばらく弄ってみた後はやっぱりマルチプラットフォームで同じようにHTTPで通信してみたいと思いませんか? 例えば、 mrubyでHTTPのGETとかPOSTとかしてみたり mrubyを組み込んだデバイスからTwitterに呟いてみたり 各種デバイスからZabbixをつついてみたり エアコンを監視してるRaspberry PiからGrowthForecastにデータを送ってグラフ化してみたり 組み込みデバイスや低レイヤーなソフトウェアからfluentdにデータを送って解析してみたり という
RubyでURL短縮展開のコードがきもいです...
Schwarze SQ: 短縮URLを展開するRubyスクリプトを作ってみた HTTPを直打ちしてLocationヘッダの内容を取得してるだけなので、ものすごく単純な上にウィルス感染の心配も無し いやいやいや、それはないわ。 Net::HTTP#head つかいなさいよ。GETメソッドなんてつかうんじゃない。なにをいってるんだおまえは。 ruby -rnet/http -ruri -e"uri = URI.parse(ARGV.shift);Net::HTTP.start(uri.host,uri.port){|io| r=io.head(uri.path); p r['Location'] || uri.to_s}" http://j.mp/dankogai ちゃんとかくとこうなります require 'net/http' require 'uri' def expand_url(url
WebSocketがもたらす「プロトコル爆発」 – Fujimura Seminar
インターネット上でデータが送れるのは、送り側と受け取り側でデータをどのようなフォーマットと手順で送信するかということが細かく決まっているからです。この取り決めをプロトコルと呼びます。インターネットのプロトコルは、IETFと呼ぶボランティア組織で決めています。IETFから出版される正式な文書はRFCと呼ばれ、これまでに6000を超えるのRFCが出版されています。ただし、この中には現在では古くなったRFCや、プロトコルそのものではなく、プロトコルを決めるルールや参考情報等があり、幅広く活用されているRFCはそれほど多くはありません。おそらく数百位だと思います。実は私も3本のRFCを出版していますが、残念ながらほとんど使われていません。 数多くのプロトコルのその中でも普段よく耳にするものの例として、ウェブで使われているHTTP、メールを受信するPOP3やIMAP4、ファイルを転送するFTPなどが
HTTPレスポンスコード一覧(HTTP/1.1)
2004.1.23 HTTPレスポンスコード一覧(HTTP/1.1) 1xx: Informational (情報) 番号メッセージ解説 100Continue仮レスポンス 101Switching Protocolsサーバ側プロトコル変更完了 2xx: Success (成功) 番号メッセージ解説 200Okリクエスト成功 201Createdリクエストが果たされ、新しいリソースが作成された 202Acceptedリクエストを受け付けた(最終的に動作するかは不明) 203Non-Authoritative Information 204No Content 205Reset Contentユーザーエージェントへの現在の画面のリセット指示 206Partial Content部分的なGETリクエストを受け付けた 3xx: Redirection (転送) 番号メッセージ解説 300Mult
HTTPの新ステータスコード「451 Unavailable for Legal Reasons」を、グーグルのTim Bray氏がIETFに提案
HTTPの新ステータスコード「451 Unavailable for Legal Reasons」を、グーグルのTim Bray氏がIETFに提案 WebブラウザとWebサーバのあいだでやりとりされる通信プロトコルのHTTPには、リクエストに対するレスポンスを表すためのさまざまなステータスコードがあります。例えば、「200 OK」「404 Not Found」などはその代表的な例です。 ここに新しいステータスを追加しようという提案がIETFに対して行われました。提案したのはXML仕様の策定に関わった主要な人物であり、現在グーグルでAndroidのデベロッパーアドボケイトをしているTim Bray氏。 提案されたステータスコードは「451 Unavailable for Legal Reasons」(451 法的な理由によって利用不可)です。 ISPとサーチエンジンに影響するようだ 提案では
HTTPのクエリパラメータにコロン(:)を書くのは不正なのか。 - こせきの技術日記
PHP の $_SERVER['REQUEST_URI'] と parse_url() の予想外な動作について。 - こせきの技術日記 の続き。 PHPのparse_url()は、 "/abc?a=x&time=09:00&x=y" はパースできるのに、 "/abc?a=x&time=09:00" だと失敗する。 相対URIで「動作しない」仕様だかららしいのだが、それはともかく、コロンのパーセントエンコードが必須なのか気になったので調べた。 URIの仕様 RFC 3986 まず、基礎となる URI の仕様 RFC 3986 がある。 RFC 3986 - Uniform Resource Identifier (URI): Generic Syntax Uniform Resource Identifier (URI): 一般的構文 日本語訳 RFC 1738 - A Gopher URL
HTTPで正しくキャッチボールをするには | Lab by engineering@dwango.jp
皆さんはキャッチボールは好きですか? 私はバスケットボールの方が好きです。 キャッチボールは、自分と相手双方がボールをうまくキャッチできるように投げる必要があります。これは、サーバーとクライアントの間でも同じで、クライアントから投げられたボール(リクエスト)をサーバーは正しく投げ返す(レスポンス)必要があります。 ここで、サーバーがボールをあさっての方向に投げたり、異常なスピードで投げ返すとどうなるでしょうか。おそらくクライアントはそのボールを取ろうとしますが、追いつけずにボールを落としたり、どこかにぶつけたりしてしまうでしょう。 今回は、HTTPについて、どうして正しくレスポンスを返さないといけないのかということについて、Rackを使用して解説していきます。 対象読者 Webアプリケーション開発に興味のある方、これから開発を行おうとしている方 Rackについて まず、今回使用するツール
サイトやブログの運営でよく使いそうな.htaccessの設定のまとめ
ウェブサイトやブログの運営でよく使いそうな便利な.htaccessの設定を紹介します。 こういうまとめは定期的にあがってきますが、やっぱり必要なのでシェアします。 10 useful .htaccess snippets to have in your toolbox [ad#ad-2] 下記は各ポイントを意訳したものです。 URLからwwwを削除 hotlinkingの防止 feedをfeedbunnerにリダイレクト カスタムエラーページ ダウンロードファイルの処理 PHPのエラーのログ URLからファイルの拡張子を削除 ディレクトリのファイルリストを見せない ファイルを圧縮して軽量化 文字コードの指定 URLからwwwを削除 SEOなどの理由で、URLからwwwを削除して使うことがあるかもしれません。このスニペットは、あなたのウェブサイトにwww付きでアクセスしてきてもwww無しに向
X-Content-Type-Options: nosniff つかわないやつは死ねばいいのに! - 葉っぱ日記
2011-01-06: IE8ということを追記 & ちょっと間違いを修正。あけましておめでとうございます。 年明け早々ですが、Internet Explorerの話題です。IEはご存じの通り、Content-Type だけでなくコンテンツの内容なども sniff することでファイルタイプを決定しているため、画像ファイルやテキストファイルをHTMLと判定してしまい、クロスサイトスクリプティングが発生することが昔からたびたび報告されていました*1。現在は幾分マシになったとはいえ、IEのファイルタイプの判定アルゴリズムは非常に難解であり、現在でも状況によってはWebサイト運営者のまったく意図していないかたちでのXSSが発生する可能性があったりします。そういうわけで、IEがコンテンツを sniff してHTML以外のものをHTML扱いしてしまうことを防ぐために、動的にコンテンツを生成している場合に
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
