I, newbie » PacSecで翻訳を技術者に依頼するわけ
PacSecではプロの翻訳者に極力依頼しないことにした。 プロの翻訳者はすごい。期日はきっちり守るし、訳抜けとか明らかな誤訳はない。翻訳に手を出したことのあるひとなら、この程度ですらきっちり仕上げるのは大変だということを理解できると思う。まぁ、金取ってるのだから当たり前と言えば当たり前。それでも、その分野の専門家ではないわけで(だからこそ、無難に翻訳できることがすごいのだけれど)、まったく新しい概念や、極めて専門的な内容まで押さえているわけではない。だからどうしても、その業界のひとが読むと「なにか引っかかる」訳になる。金さえ出せば、その辺も(翻訳会社とかの)reviewerがしっかりフォローできるかもしれないけれど、ふつーは無理。セキュリティの最先端の話題を理解できるreviewerなんてそうそういないだろうし。ま、それは翻訳者の責任ではない。そこまでの品質を求めるのであれば、金を積むか、
I, newbie » Yokohama.pm #2でしゃべってきた
お題は「mod_securityとParse::ModSecurity::AuditLog」でしゃべってきました。YAPCの容赦ない進行に恐れをなして、10分の制限時間で終われるように初めて事前にプレゼンのリハーサルしましたよ。実際には、ちょっと大目に見ていただけたようで、「時間が来たのでぶちっ」ということはありませんでしたが。 肝心のモジュールはまだCPANにあげてません。てか、CPANのアカウント申請してから音沙汰がないのであげられません。ということで、興味のある方はこちらからどうぞ。スライドもありますので、合わせてどうぞ。 結果はどうだったのかというと、「正直、むずかしいですねぇ」という反応が大勢で。ま、あまり期待はしていないというか、受け入れられるには時間がかかるだろうと予測はしているので、簡単にはあきらめません。あきらめない心が大事だってのは、この五輪で教わったしな!くじけない心
I, newbie » カナダ人とアメリカ人から聞いた話
日本の礼儀正しさは異常 「日本からカナダに帰国するとさ、日本のサービスがいかにすばらしいかよくわかるよ」 「飛行機から降りて受ける洗礼がいきなり、『メキシコ人はあっち!カナダ人はこっち行け!パスポートは開いて準備しておけ!』だぜ」 「まだ日本を離れて数時間なのにこれはツラい」 「そそ、こんだけ金払ってるんだからさ、もうちょっと丁寧なサービスしてほしいと思うことは多いねー」 「慣れるのに数日かかるよな」 アメリカの異常 「金融危機で大変なことになってるのは知ってるでしょ?」 「いまや誰も家を買わなくなって、街全体がゴーストタウンになってるわけ」 「んで、不動産屋の広告がイカしてるよ」 「『今この家をお買上げいただくともれなく別の区画の家をプレゼントします』だってwww」 「テレビでやってたんだけどさ、空き家になった家のクリーニングをしている業者の話をしてたのね」 「こういう
I, newbie » PacSec 2008 - もはやPDFは安全なファイルではない
まー、相変わらずばたばたしてましたが。 今年は、翻訳関連は全部の権限を奪って好きなようにさせてもらった。翻訳者の選定からスライドの割り当て、成果物のレビューも。自分は仕切りに回って、最後までなるべく手を空けておいたけど、それはやっぱり正解で、最後の最後でややこしい問題が起きてもなんとか余裕を持って対応できた。翻訳に関して言えば一番まともだったと思う。いくつかレビューが間に合わないものがあったり、ギリギリまでスライドを翻訳者にお渡しできなかったりしたけれど、全体としては充分合格点だった。ただ、自分として(翻訳の内容とかではなく)この結果にはまだ不満足で、もっとよくできたはずという思いが残った。このあたりを改善するには、もっと運営にcommitしなくてはいけないね。 運営のほうは改善すべき点がたくさんあって、これは日本人をもう少しスタッフに加えればなんとかなるはず。Dragosはできのいいリー
I, newbie � book review: XSS Exploits
結論: XSSの(現時点での)すべてをまとめた良書(ISBN-10: 1597491543)。 あのRSnake氏が書いた本ということでゲットした(死語)。まぁ、よく網羅したというか。基本的に、pentester向けの本なので、それが本職じゃないひとにはやや冗長かもしれない。でも、XSSの仕組みから具体的なexploitの作成、XSSがもたらすconsequenceまでが解説される過程で、攻撃者の豊かな想像力に圧倒され「中途半端な対策は無駄だ」と否が応でも悟らせる。自分は、防御側の方がはるかに困難で、だからこそやりがいもあると感じているひとなのだけど、これを読むとblack hatに(金銭的な側面を別としても)魅力を感じるのもわかる。この本の中で取り上げられているexploitはそのまま防御に役立つというわけではないけれど、攻撃者の思考や方法論を知ることはまったく役に立たないわけではない。
I, newbie » TCPにDoSな脆弱性?
いろいろと騒ぎになってるみたい。まだ詳細は不明だけど、「いまのところ影響を受けないOSは確認していない」そうなので、大変ですな。 New DOS Attack Is a Killer RSnake氏による記事 New attacks reveal fundamental problems with TCP TechTargetの記事 Researchers caution against TCP/IP weakness pcworld。若干詳しい New Denial-of-Service Attack Is a Killer /.の記事 How this really SEEMS to work Computing SYN cookies? この2つは興味深い I’m safe あほだ Clearing up some factual inaccuracies… 発見者によるコメント 個
I, newbie » POEによるevent-drivenなPerlプログラミング その1
POEはevent-drivenなmultitasking frameworkです。最近では名前こそ知られてきたものの、(上級者を除くと)広く使われてはいません(ただし歴史は長いし、採用事例もたくさんあります)。なぜかというと、かなーり奥が深くて、ドキュメントが膨大で、しかもソースコードの上から順に実行される一般的なPerlプログラムと大きく異なるイベント駆動なフレームワークだからでしょう。自分も、「なんかPOEってすごいらしいよ」と耳にしてから少しずつ勉強していたんですが、どーも理解が進まなくて苦労しました。そんな最初のハードルを低くするような文書が欲しかったので、書いてみることにします。 POEは、event-drivenなプログラムに最適です。event-drivenなプログラムとは、何らかのイベントが起きたらなんらかの処理をする、そういうプログラムです。例えば、GUIアプリケーショ
I, newbie » セミナーやプレゼンは自分のために決まってる
セミナーをやっていると「タダでノウハウを教えるひとって何なの?バカなの?」とか言われるんですが。 セミナーをやることでもっともメリットがあるのは本人なんですよ。プレゼンテーションやセミナーやるのは、ノウハウを集めることの100倍大変なんです。伝えることの裏取り、内容の吟味、教材の作成とかね。それが別のノウハウになるんです。それから、個々のノウハウなんて大した財産じゃない。ドッグイヤーのこの業界、目先の知識なんてすぐに陳腐化するし、1年後に通用しないことだってめずらしくない。それよか、そんなノウハウをどうやってキャッチアップして身につけるのか、変わりつづける分野の中で変わらない価値を身につけるにはどうすべきなのか、というノウハウのほうが重要。ちょっとしたtipsでブックマーク集めてそれがなんなんだ、という話です。とりあえずの答えを知るよか、どうやってその答えを見つけるのか、そのための方法論を
I, newbie » Linuxユーザが知らないかもしれないUnixコマンド
Recent posts: Links Roundup Links Roundup Links Roundup Links Roundup Links Roundup Links Roundup Links Roundup Links Roundup TCPにDoSな脆弱性? Links Roundup Links Roundup Links Roundup *BSD FreeBSD ports status I maintain New distfile scanner for my ports Gentoo My PORTDIR_OVERLAY Links puppet Categories: Book Review (5) Career (18) 翻訳 (22) FreeBSD (152) FS/OSS (14) General (83) Gentoo (114) Links Ro
I, newbie » バックアップならBaculaでしょ
「21世紀にssh(1)でtarとかありえない」みたいなことを書いたけど、使ってるツールそのものに加えてありえないのは、バックアップに求められる要件がありえない。20世紀だったら単なるファイルのコピーでもよかったかもしれないけど、今時要求されるバックアップってそんな単純なものじゃない。バックアップしたファイルの暗号化、通信経路の暗号化、柔軟な差分とスケジュール、複数のストレージへのバックアップとか。バックアップ対象にWindowsが入ってないし。 「2008年の」とか「最近の」というキーワードなら、ファイルシステムのスナップショット機能を活用したバックアップだと思う。UFS2とZFSで使える。LinuxならLVM。 FreeBSD UFS/ZFS Snapshot Management Environment sysutils/freebsd-snapshot Solaris ZFS Ad
I, newbie » 孤独な管理者がタイーホ
S.F. officials locked out of computer network A disgruntled city computer engineer has virtually commandeered San Francisco’s new multimillion-dollar computer network, altering it to deny access to top administrators even as he sits in jail on $5 million bail, authorities said Monday. ちょっと前に報じられた、ネットワーク管理者が自分以外のパスワードをすべて無効にして逮捕されるという記事ですが、別の情報源によるとだいぶ事情が違うようです(Why San Francisco’s network admin wen
I, newbie » DNSOPS.JPのBOFに参加した
資料はまだ公開されてないみたい。 SPFネタ。個人的にはいまさらな内容なので、SPFをadvocateする人たちはSPFについてどう考えているのかを聞きたかったのだけど、そういうのは「実装者じゃないんで。。。」とのことでした。SPFを推奨する理由が「Docomoさんに受け取ってもらえませんよ(意訳)」だけっていうのはずいぶんですね。SPFを書くだけじゃなくて実際に活用するにはforward問題の解決が必要なんだけど、大手のその手のサービスの対応状況についての調査はないそうだ。自組織でSPFがどう使われているか(もしくは使われていないか)について知っているのは、会場の1/3程度だった。技術者同士の断絶がここにも。おかしなSPFレコードがあったら警告をログに吐くだけのpolicydとか作るとおもしろいかも、と思いつく。 力武さんによるpublic suffixネタ。元ネタはDNSOPのスレッド
I, newbie » FreeBSDのportを書こう
FreeBSDのportsは18,000を越えるportがある。ヘッダとかを別のパッケージにしてしまうバイナリLinux distributionはパッケージ数が膨張する傾向があるので、これは十分すごい数だと思う。今回はportを自分で書いてしまおうというネタ。 いちおう、portを作る人のためのマニュアルがFreeBSD Porter’s Handbookとしてあるんだけど、いまいち最新の状況に追いついていない。ただ、ここで解説する内容はだいたいカバーしているので一読をお勧めする。 portsになくて、よさそうなソフトウェアがあったらportを書きましょう。portsにあるかないかは以下の手順で確認できる。 > cd /usr/ports > make search name=FOO もしくは、ports-mgmt/portsearchを使うという手もある。 > portsearch -
I, newbie » Perlモジュールのインストールがむずかしい?
「Mooseはインストールがむずかしい」という発言をYAPCのあるセッションで耳にした。こういう不満を聞く度に思うのは、「それって野良buildしてんの?」「ってか、それってOSのパッケージ管理システムがタコなだけなんじゃないの?」という疑問。「依存関係が多くてインストールが大変」とかいうけど、どうやってインストールしてるんですかね。少なくともPerlのmoduleに関して言えば、インストールが大変だったことはない。 FreeBSDやOpenBSDでは、portinstall p5-Mooseもしくはpkg_add p5-Mooseで一発インストールだし、Gentooのg-cpanに至ってはPortageにないmoduleですら自動的にebuildを作成してインストールしてくれる。インストールがむずかしいからこそ、苦労するのはmaintainer1人でいいんじゃないでしょうか。Window
I, newbie » サウンドハウスの情報漏洩
「不正アクセスに伴うお客様情報流出に関するお詫びとお知らせ」(詳細 PDF)が出てた。カカクコムに代表されるような「ごめんなさい、これからは気をつけます、詳しくは言えません」というお詫びではなくて、時系列付きの経過報告が半分近くを占めるという異例の(その点で画期的な)報告でした。しかし、文章がテキストとして処理できない。SEOですかね。 前半の時系列はインシデント対応の実例としてとても貴重。やや曖昧な時刻になっているのは、メールなどで正確な記録を確認できなかったからだと推測。それでも時系列を記録できているのは、記録の重要性に気づいていたからだと思う。 3/21(金) 11:50 三菱UFJニコス株式会社(以下三菱UFJニコス)より「サウンドハウス(以下SH)のサーバーがハッキングされている可能性がある」と電話にて連絡あり。 これが第1報。金曜の昼なので、対応は週末をはさむ+もろもろの対応が
I, newbie » Mooseによるオブジェクト指向Perl
Mooseは”an extension of the Perl 5 object system”だそうで、なんかすごいらしい。使ってみるとattributeやaccessorの追加も簡単で、型の確認も自動でやってくれてrobustなclassを作るのに便利。attributeがarrayやhashのreferenceだったら、contextに応じて自動的にdereferenceしてくれるとか、extendやoverrideがやりやすいとか、他にもいろいろあるらしい。Mooseは自動的にhash-basedのobjectを作ってくれる。methodを追加する方法も古典的なPerl5のOOPと同じ。 package Foo; use strict; use warnings; use Moose; sub say { my ($self, $str) = @_; print "$str\n";
I, newbie » DNSと512bytesの壁
512bytesを越えるDNS queryもしくはreply messageはTCPにfallbackするんだけど、UDP 53をallowしてTCP 53をdenyしてると、当然名前解決ができない。そもそもTCPはoverheadがでかいので、message sizeは512bytesに納めるのが鉄則(yahoo.comのMXを引くと、authority sectionを入れても511bytes)。 じゃ、512bytes以内なら大丈夫かというと、落とし穴が。最近はMTAでTXT RRを参照することが多いからか、MXだけでなく他のRRも一緒に引こうとしてなのか、よくわからないけどANYでqueryを投げる実装があるらしい。MXだけならUDPで済むのに、ANYで引くと余裕で512を越えてしまってTCPにfallback、denyされてtimeout。「そんなでかいRRはない」とか油断してい
I, newbie » Perlをこれから学ぶ人たちへ送る言葉
Perl 5.6.x以降を使え(可能なら5.8.x以降) 常に”use strict;”を使うこと 常に”use warnings;”を使うこと 信頼できないデータを扱うなら”-T”オプション(taint mode)を使うこと 警告を無視しないこと。 “use diagnostics;”と”perldoc perldiag”を参照のこと perlcriticを使うこと。Perl Best Practice嫁 perltidyを使うこと “perldoc perlfaq”を読むこと。最初のうちに感じる疑問のほとんどはそこに回答が書いてある 問題はCPANで解決されている! 他に何かありますか? One Response to “Perlをこれから学ぶ人たちへ送る言葉” H.I. Says: March 14th, 2008 at 10:03 am 1は「5.8以降を使え(不可能なら最低5
I, newbie » ssh(1)を使い倒す
sshを使いこなしていないひとを見るとイラっとする。パスワード認証大好き(もう21世紀ですよ)、パスフレーズ入れるのが面倒(keychain使えよ)、放っといたssh接続が切れて「また切れた!」(screen使えよ)とか。 ()は~/.ssh/configにおける同等の設定。詳しくはssh(1)とssh_config(5)を参照のこと。 一定期間ごとにパケットを送って、無通信時間経過によりセッションが切断されるのを回避する。 > ssh -o 'ServerAliveInterval 60' host.example.org (ServerAliveInterval 60) ssh-agentのforwardingを有効にして、login先のホストでもパスフレーズの入力を省略する。 > ssh -A host.example.org (ForwardAgent yes) remoteのコン
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
I, newbie » 「任意のドメイン名の検索を行わせるのは困難」とか言ってるひとって何なの?