徹底解剖 TLS 1.3 | 翔泳社
wolfSSLをもとに、SSL/TLSの正しい利用法と仕組みを理解する 暗号化された安全な通信は、ネットワークを使う全てのアプリケーションにとって、 考慮すべき重要な課題です。 セキュアな通信を実現するために用いられる技術SSL/TLSの最新版がTLS 1.3であり 各種SSLライブラリも対応してきています。 ただ、ライブラリだけが最新のものになっても、仕組みを知り、 正しく使わなければ、安全は担保されません。 そこで本書は、そんなTLS 1.3の基礎的なプロトコルの流れから、 暗号化・認証の仕組み、アプリケーション実装のベストプラクティスを 組み込みシステム向けの軽量&高機能なライブラリwolfSSLを例に 解説していきます。 さらに、ライブラリコードの解説を含め、内部実装にまで踏み込んだ解説も行い、 SSLライブラリを徹底的に理解できる一冊です。 Part 1:TLSの技術 ・Chap
2020/060/01 追記 nginx公式版が提供されました。こちらを御覧ください asnokaze.hatenablog.com NginxをHTTP/3対応させるパッチがCloudflareから提供されました (CloudflareのHTTP/3ライブラリ Quicheを利用しています。現状ではHTTP/3ドラフト23版の対応になります) github.com 基本的に、書いてるとおりにやればビルドできるのですが、無事HTTP/3しゃべるところまで確認できました ビルド rustインストールしておく $ curl https://sh.rustup.rs -sSf | sh $ source $HOME/.cargo/env書いてあるとおり $ curl -O https://nginx.org/download/nginx-1.16.1.tar.gz $ tar xzvf ngin
面倒くさいから nginx の LDAP 認証モジュール公開したよ | IIJ Engineers Blog
2021年11月にセキュリティ情報統括室に所属。頑固なので、ニックネームだけでもやわらかくひらがなにしてみました。普段はハニーポットで収集したDDoSの発生源であるマルウェアを対象に分析しています。 おはようございます。こんにちは。こんばんは。ふぇにっくちゅん です。 今回紹介するのは nginx で利用できる LDAP 認証モジュール(ngx_auth_mod)です。 nginx は Web サーバやリバースプロキシなどを構築でき、オープンソースとして公開されています。 nginx の詳細はこちらに記載されています。 本記事で紹介する ngx_auth_mod は CATSHAND と呼ぶ情報共有システムのモジュールとして開発したものです。 情報共有についての記事「情報を流れに乗せよう:セキュリティ調査の共有方法」も併せて一読ください。 CATSHAND のシステムは Web サーバとし
JetBrains社が提供している統合開発環境で詳しくは先人たちが紹介してくれている なんなら説明不要のIDEである。 ペアプログラミング 複数人で同時にプログラミングすること 昔は一台の端末に複数人がそれぞれキーボードをつなげてワイのワイのコーディングをしていたらしい。 基本的には ・教える人 ・教わる人 という役割を決めてペアを組んで行うそうな。 リモートペアプログラミング キーボードを端末に複数台つなぐのではなく、ネットワークにて一台の端末に接続して 同時にプログラミングをすること。 2020年は特に重要な要素でもあると思う。 JetBrains社が公式でペアプロ用プラグインの試用版をリリースした 個人的にはIDEといったらJetBrains系に勝るものはないと思っているのですが。 ペアプログラミングという面に関しては、なかなかよさげなものがない。 サードパーティ製のプラグインでCo
NTT東日本-IPA「シン・テレワークシステム」(新型コロナウイルス対策リモートワーク実証実験) |法人のお客さま|NTT東日本
「シン・テレワークシステム」を使えば、職場や大学のパソコンに自宅から 安全にアクセスし在宅勤務や研究等の継続をすることができます。 NTT東日本と独立行政法人情報処理推進機構(以下、IPA)は、新型コロナウイルスに関する政府の緊急事態宣言や在宅勤務への社会的要請を受け、国内の多くの方々の感染拡大防止と事業継続を支援するため、契約不要・ユーザー登録不要の、直ちに利用可能な、無償のシンクライアント型VPNを活用しテレワークを支援する「シン・テレワークシステム」を迅駛に開発し、提供を開始しました。本システムは、実証実験を延長しております。なお終了する場合は終了の6ヵ月前までにお知らせすることといたします。 本システムは、NTT東日本コロナ対策プロジェクト 特殊局(仮設)およびIPA 産業サイバーセキュリティセンター サイバー技術研究室が共同で構築し、筑波大学OPENプロジェクト、KADOKAWA
アメリカ合衆国サイバーセキュリティ・社会基盤安全保障庁が、先日2023/08/04に2022 Top Routinely Exploited Vulnerabilitiesというレポートを公開していました。 2022年に最も悪用された脆弱性トップ12がリストアップされているようです。 以下では該当の脆弱性をそれぞれ紹介してみます。 理論上危険とか原理上危険とかではなく、実際に使われた脆弱性ということなので、対策する必要性は極めて高いといえるでしょう。 心当たりのある人はすぐに対処しましょう。 2022 Top Routinely Exploited Vulnerabilities CVE-2018-13379 Fortinet社のVPN機器FortiGateに存在する脆弱性で、VPNのログイン情報を抜かれます。 VPNでなりすまし放題ということなわけで、極めて重大な脆弱性と言えるでしょう。
同根のバグレポートが散見されますが、ここ数ヶ月、状況をみるに修正される見込みがなさそうなので記録しておきます。 事象 MySQL 5.7 の libmysqlclient (libmysqlclient.so.20) を使用しているプロセスが、無限ループに突入して CPU (user%) を食いつぶし続ける。 PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 28150 hirose31 20 0 32488 6080 5492 R 93.8 0.3 0:16.70 mysql 発現条件 MySQLが提供しているパッケージのMySQL 5.7.25, 5.7.26, 5.7.27 で確認。 Ubuntu 18.10, mysql-community-client 5.7.25-1ubuntu18.10 Ubuntu 18.04, m
AWSの無料SSL証明書サービス”Certificate Manager”をELBに設定して『https』になるか確認してみる | DevelopersIO
こんにちは、初心者向けシリーズです。 今回はAWSの無料SSL証明書サービス”Certificate Manager”をELBに設定してみようと思います! そもそもSSL証明書とは? SSLとは、ブラウザとウェブサーバ間でデータの暗号化をする仕組みのことです。 インターネット上で送受信される個人情報や、クレジットカード情報等を暗号化して通信を行うことで、盗聴や情報改ざんを防ぐ役割を持っています。 SSL証明書が適用されてるサイトはHTTPSで通信されることになり、URLの頭に「https://~」と、鍵マークが表示されます。 認証レベル(方式)により、3タイプに分かれます。 ドメイン認証 個人・法人で発行可能。問い合わせフォーム等の各種フォームやイントラネット等で利用がおすすめ。 企業認証 法人のみ発行可能。個人情報やクレジットカード等の入力が必要なサイトにおすすめ。 EV認証 法人のみ発
REST API Design Best Practices Handbook – How to Build a REST API with JavaScript, Node.js, and Express.js
I've created and consumed many API's over the past few years. During that time, I've come across good and bad practices and have experienced nasty situations when consuming and building API's. But there also have been great moments. There are helpful articles online which present many best practices, but many of them lack some practicality in my opinion. Knowing the theory with few examples is goo
【早めに準備を!】2020年にAmazon Relational Database Service (RDS)/Amazon AuroraでSSL/TLS証明書をアップデートする必要が生じます | DevelopersIO
先日のDevelopers.IO 2019 TOKYOのランチ時に出てきたお弁当の中身が、実質1/2白米という半ライス状態だった事に驚きを隠せませんでした。え?半ライスってそういう事じゃなく? ▲ でも美味しかった 「うーん……白米とおいなりさんで米がダブってしまった」と脳内で呟いていた、AWS事業本部のShirotaです。ご飯に甘いもの、と聞くとちょっと気後れしてしまいますがおいなりさんは大好きです。 2020年3月5日、RDSで利用しているSSL/TLS証明書が期限を迎えます さて、見出しの通り 2020年3月5日 、現行のRDSで利用されているSSL/TLS証明書(CA証明書)が期限を迎えます。 現行のCA証明書は rds-ca-2015 となっている筈で、RDSのコンソールの「Connectivity& security」欄から確認できます。 この証明書の期限が切れる為、AWSでは
ランサーズ Advent Calendar 2019 19日目担当の@manamin0521mです! サーバーサイド力を上げていくぞ💪という機運なのと、ネットワークがわからなくて詰んだことが立て続けにあったので、最近はマスタリングTCP/IP 入門編 第5版を読んでいます。そこで今回はこちらの本を読んで学んだネットワークについて紹介します。 ネットワークの勉強をする上で躓くのは以下の3点ではないでしょうか? ①知識がどう役立つのかよくわからない ②何に使われているのかわからない ③用語が難しくて覚えるのが大変 そこで今回の記事ではそれらのギャップを埋められればと思います。初学者の方対象です。 ネットワークの知識がなくて困ったとき ・AWSの構成図がいまいち読めない ・ポートとIPアドレスの違いがいまいち説明できない ・IPアドレスを固有のものだと思いこんでいて認識がズレる ・雰囲気でdo
関連キーワード サイバー攻撃 | ハッキング | セキュリティ 無料でSSLサーバ証明書を発行する認証局(CA)「Let's Encrypt」について、ドメイン所有権の検証方法に脆弱(ぜいじゃく)性があることが分かった。サイバー犯罪者は実際に所有していないドメインのSSLサーバ証明書を取得できる可能性があるという。脆弱性は、ドイツの研究機関であるフラウンホーファー研究機構のサイバーセキュリティ分析部門が見つけた。 意図的に検証を失敗させる巧妙な手口
急に外部APIとの通信が "dh key too small" で失敗するようになったのはなぜ? - BANK tech blog
こんにちは。最近TRAVEL Nowの開発にも顔を出すようになったうなすけです。今回はTRAVEL Nowの開発において発生した問題について書こうと思います。 外部API連携部分で突然のエラー TRAVEL Nowでは、外部のOTAと連携し、旅行商品を皆さんに提供しています。 そんな数多くのAPIのうち、ある特定のAPIで次のような例外が発生して通信ができなくなってしまいました。 OpenSSL::SSL::SSLError (SSL_connect returned=1 errno=0 state=error: dh key too small) それも、本番環境でのみ発生します。 始めはこのエラーについてよく理解しておらず、 http.verify_mode = OpenSSL::SSL::VERIFY_NONE を指定してみたり、 apt install ca-certificate
ブラウザプラグインのFlash Playerは2020年末でサポートが終了しました。そのことにより、Flashコンテンツをブラウザで再生する手段がなくなっています。 筆者はBeautiflビューティフルというウェブサイトを個人的に運用しています。Beautiflは、ユーザーが投稿したFlash作品を紹介するギャラリーサイトです。Flash Player終了によってウェブサイトの目的であるFlashの再生体験ができなくなるので、窮地に陥りました。Flash Playerの終了は2017年にアドビが決定したことで覆せないので、ウェブサイト側として次の3つの対策を行いました。 FlashをHTMLで再生可能にする Flashをビデオとして残す SWFファイルをダウンロード可能にする 本記事ではウェブでFlashコンテンツをどうやって残していこうとしたのか、そのアプローチを紹介します。 Beaut
Rails 6.1のDocker開発環境構築をEvil Martians流にやってみた(更新)|TechRacho by BPS株式会社
更新情報 2019/11/20: 初版公開 2021/03/25: Rails 6.1.3.1に合わせて更新 2021/04/06: Ruby 3.0.1に更新 先々月に公開したこちらの翻訳記事の実践編ということで。試行錯誤しているうちにRailsが6.0.1になりました。 クジラに乗ったRuby: Evil Martians流Docker+Ruby/Rails開発環境構築(翻訳) Docker Desktop for Macについて これまではピュアな環境を求めてParallels Desktop for MacのUbuntu VM上でDockerを使っていたのですが、久しぶりにDocker Desktop for Macを使ってみると速度や使い勝手が随分よくなっていて驚きました。 Docker Desktop for Macの方がUbuntu VMのDockerよりビルドが速い(体感で
Amazon RDS Proxy for Scalable Serverless Applications – Now Generally Available | Amazon Web Services
AWS News Blog Amazon RDS Proxy for Scalable Serverless Applications – Now Generally Available At AWS re:Invent 2019, we launched the preview of Amazon RDS Proxy, a fully managed, highly available database proxy for Amazon Relational Database Service (RDS) that makes applications more scalable, more resilient to database failures, and more secure. Following the preview of MySQL engine, we extended
はじめに これまでG Suiteでメールアカウントの運用をしてきました。独自ドメインも使えるうえに無償だったのでとても重宝していましたが、無償利用も2022年5月で終わりそうな状況です(2022年2月時点)。 このご時世、うかつにメールサーバを自前で建てるのも大変そうだし、どこかによさそうなコンテナイメージはないものか探したところ、docker-mailserverが全部入り&お手軽でよさそうでした。 令和4年2月版として、ソースを漁りながら利用方法調査したので、まとめておきます。 docker-mailserver これはなにもの? メール送受信に必要なものがまるっと一式入った便利なイメージです。元はtvial/docker-mailserverという名前だったようです。 pros さくっとpostfix, dovecotを立ち上げられる fail2ban, DNSBLもオプションで有効
はじめに 現在進行形でC#のみを使って個人でソシャゲ作りを試しているyoship1639です。 本記事はQiita夏祭り2020「〇〇(言語)のみを使って、今△△(アプリ)を作るとしたら」のテーマに沿った内容となっています。 近年のソーシャルゲーム界隈は多様化が進んでクライアントサイドだけではなくサーバーサイドもあらゆる言語やフレームワークが試みられていますが、クライアントもサーバーも統一の言語で構成されているのはほとんどないかと思われます。言語にはその言語の得意分野があると思うので。 しかし、今まさに私が開発中の環境が好きな言語で開発しやすいという理由でクライアントもサーバーもC#で構成した作りになっているので、どのような構成でどうすれば最低限のソシャゲの基盤が作れるかを、解説が長くなり過ぎないようにまとめることが出来ればと思います。 三部構成で、クライアント実装、サーバー実装、AWS
Serverless.inc 社より、Serverless Components がついに GA されました。 近年のアプリケーション開発では、いくつかの SaaS を組み合わせることで超高速に開発を行うことができます。例えば「認証は Auth0、ホスティングは Netlify、バックエンド API は AWS Lambda を使用する」といった具合です。このように複数のサービスを組み合わせることで、Undifferentiated Heavy Lifting な作業を排除できます。開発者は価値を生み出すビジネスロジックにのみ集中できるようになるのです。 以下はサーバレスアーキテクチャの例です。複数の SaaS を組み合わせて構築しています。 SaaS を組み合わせるだけで、一定の機能群を作り上げることができる時代になりました。しかし、それにしても複雑な管理は残ります。アプリケーション開発
AWS Client VPN はリモートアクセスVPNを実現するためのAWSサービスです。 クライアントPCから AWSの各種リソースに安全にアクセスすることができます。 さて、実際に AWS Client VPNの作業手順などを調べてみると、 サーバー/クライアント証明書 や プライベートキー 、 認証局 などといった用語 がどんどん出てきます。 これらは全て AWS Client VPNに必要な要素です。 が、 これらがどのように関わり合って AWS Client VPNを実現しているのか はこれら手順を読んでも、中々理解するのは難しいものがあります。 そこで本記事は AWS Client VPNの中心技術である SSL について主に解説してみます。 SSLで使用される サーバー証明書 や 認証局 などがどんな役割を持つのかを理解していただき、 AWS Client VPN(SSL-V
ウン十万接続のECSサービスを平和にアップデートしたい - Nature Engineering Blog
こんにちは大塚(@maaash)です。7月からCTOに復帰しました。引き続きよろしくお願いいたします。 これは第2回 Nature Engineering Blog 祭11日目のエントリです。 昨日はファームウェア・エンジニアの村田さんによる Matterでやりたかったけどできなかったこと - Nature Engineering Blog でした。 今日のお話は、話題の新製品Remo nanoやMatterとは関係ありません。 背景 先週、黒田さんが ウン十万接続のALB SSL証明書を平和に更新したい - Nature Engineering Blog を書いてくれました。 その話は ALBを二台用意して緩やかに接続を移行するようにしたら、大変平和になって僕もみんなもハッピーになった。 という話でした。ALB blue-green deploymentを使うと、ウン十万のRemoたちが
ISUCON9 予選問題の解説と講評 : ISUCON公式Blog
予選の問題作成を担当したメルカリのkazeburoです。 ISUCON9の予選に参加していただいた皆さま、ありがとうございました。 お楽しみいただけましたでしょうか。 また、主催の941さんをはじめとするLINEの皆様、ポータルの作成と運用をやっていただいたさくらインターネットの皆様、問題作成と事前回答に協力にいただいた皆さま、サーバ環境を提供していただいたアリババクラウドの皆さま、本当にありがとうございました。 問題の公開今回の予選問題のソースコード、データ、およびプロビジョニングに使用した設定ファイルなどは以下のリポジトリで公開しております。アプリケーション、ベンチマーカーを起動する手順もありますので、手元で挑戦することもできるかと思います。 https://github.com/isucon/isucon9-qualify 蛇足ですが、本リポジトリのコミット数は1,700以上、PRも
俳句bot (nostr) nostr の日本リレーを監視し、投稿を 575 または 57577 判定し、引用でお知らせする。狙った俳句ではなく、天然物の俳句がマッチするとウケが良い。 Go で実装。内部では go-haiku を使って俳句を判定。監視は日本語の投稿が流れる日本のリレーをお借りしている。普通の Go アプリなので golan:1.20-alpine でビルドして scratch でイメージ作成。 # syntax=docker/dockerfile:1.4 FROM golang:1.20-alpine AS build-dev WORKDIR /go/src/app COPY --link go.mod go.sum ./ RUN apk add --no-cache upx || \ go version && \ go mod download COPY --link
ラズベリーパイを使ったIoTシステムに脆弱性があると指摘があったためセキュリティ対策を施した話 - West Gate Laboratory
概要 先日のブログで記事を書いた、ラズベリーパイを使って作ったIoTシステムに「脆弱性がある」と指摘を受けたので、素人ながら調べつつ最低限のセキュリティ対策を施した話。 westgate-lab.hatenablog.com (ちなみに、上の記事ははてなブログの週間ランキング2位になってしまった) 今週のはてなブログランキング〔2020年2月第1週〕 - 週刊はてなブログ 背景 先日上記のブログ記事を公開したところ、「システムに脆弱性がある」という指摘を多々頂いた。システムというのは、「ラズベリーパイでインターホンを監視して、呼出音を検知したら条件に応じて解錠ボタンを押す」というものである。 もともとは、予定された配達か否かで2通りの解錠方法を考えていた。 予定された配達の場合(廃止済み) 予定していなかった配達の場合(現行版は常にこれ) 受けた指摘は主に2つ。 もともと予定された配達時間
数年前からGoogleは「Progressive Web Apps」(PWA)という技術を提唱してその普及を推進している。PWAはネイティブアプリケーションのように動作するWebアプリケーションであり、オフラインでも動作し、プッシュ通知などの機能も利用できる。本記事ではこのPWAの中核となる技術の解説と、PWAに対応したWebアプリケーションを作成するための流れを紹介する。 「Progressive Web Apps」(PWA)とは 一昔前は「ネットサービス」といえばPCのWebブラウザからアクセスして利用するものがほとんどだった。しかし、スマートフォンが普及した昨今では多くのサービスがスマートフォン向けの対応を行っている。今ではPCからのアクセスよりもスマートフォンからのアクセスのほうが多いサービスは珍しくなく、スマートフォン向けの専用アプリを用意しているサービスも多い。 とはいえ、ネイ
今回は、Pythonで自動でGmailを送信する方法を紹介する。改めて言うまでもなくEメールは仕事に欠かせないもの。取引先や社内の連絡手段として、メールを使うのは一般的だ。毎月の取引明細や給料明細をメールで送信していることも多いことだろう。定期的に何しらのメールを送信しているなら、その作業を自動化してみよう。 Pythonでメールを送信するプログラムを作ろう 定期的なメール送信の間違いを減らそう 例えば、取引先に月々の取引内容をメールしているとする。その場合、取引先が数社であれば、それほど苦痛ではないかもしれない。しかし、毎月、メールソフトを開いて、複数の会社宛に個別のデータを送信する作業は、慎重を期する作業だ。もしも、請求書の宛先を送り間違えると大変なことになる。 人間が手作業で行うと、宛先の間違いや、添付ファイルの付け忘れなど、どうしても間違いが起こってしまう。そこで、毎月同じ作業をす
※こちらは初代ATOM Camに関する記事になります。 技術的に共通する部分も多いですが、ATOM Cam2に関する記事は ↓こちらに記載していますのでこちらもどうぞ はてなブログに投稿しました #はてなブログ ATOM Cam2が届いた&赤外線問題の検証 - honeylab's blog https://t.co/M9OHyihAP7 — ひろみつ(honeylab) (@bakueikozo) 2021年5月20日 ---------------------------- 激安防犯カメラ「ATOM Cam」 一部界隈で話題になった、クラウドファンディング形式で発売することが報じられ、一時期は達成は全然無理かと思われた「ATOM Cam」ですが internet.watch.impress.co.jp 最終的には十分な投資を集めて無事発売、にこぎつけたようです。 そして、こちらの製品を
golangで作るTLS1.2プロトコル
はじめに 前回自作でTCPIP+HTTPを実装して動作を確認することができました。 しかしご覧頂いた方はおわかりのように、通信はHTTP=平文でやり取りされておりパスワードなど機密情報が用意に見れてしまう状態です。 普段我々がブラウザに安心してパスワードを入力しているのは通信がTLSで暗号化されているからです。ではそのTLSの仕組みはどうなっているのでしょう? 恥ずかしい限りですが僕はわかりません。😇😇😇 ということで以下を読みながらTLSプロトコルを自作してみてその仕組みを学ぶことにします。 マスタリングTCP/IP情報セキュリティ編 RFC5246 プロフェッショナルSSL/TLS 今回の実装方針です。 TLS1.2プロトコルを自作する 暗号化などの処理はcryptパッケージの関数を適時利用する tcp接続にはconnectを使う 鍵交換はまずRSAで作成する TLS_RSA_W
Google Chromeチームは10月3日(米国時間)、「Google Online Security Blog: No More Mixed Messages About HTTPS」において、ChromeではHTTPS/HTTP混在ページにおけるHTTPをデフォルトでブロックの対象としていくと伝えた。挙動の変更は年末から2020年第1四半期にわたってリリースされるChromeで順次行われる。 予定されている挙動変更のスケジュールは次のとおり。
Huawei has been secretly funding research in America after being blacklisted
Cloudflare で mTLS を利用する
Cloudflare で mTLS を利用するのがあまりにも簡単だったので書いておきます。 mTLS について 一般的に TLS を利用する場合は「クライアントがサーバーから送られてきた証明書を検証する」という仕組みを利用し、 信頼できる機関が発行した証明書を利用しているかどうかや証明書のドメインが一致しているかどうかなどを確認します。 mTLS (mutual TLS) というのは TLS 利用時に「クライアントから送られた証明書をサーバが検証する」という仕組みです。 つまりサーバーがクライアントがわから送られてくる証明書を確認するというフェーズが挟み込まれます。 この証明書自体は何を使ってもよく、オレオレ証明書でもかまいません。 クライアント側に証明書を設定するという仕組みです。VPN とかを利用したりする方は経験があるかもしれません。 mTLS はめんどくさい クライアント側に証明書
経路1 WEBサイト閲覧・誘導による感染不正なコードが埋め込まれたWebサイトを閲覧することで、マルウェアに感染することがあります。また、官公庁や企業などの正規のWebサイトが第三者によって改ざんされ、閲覧者が気が付かないうちに不正なサイトへ誘導される事例もあります。以下のような怪しいウェブサイトにはアクセスしないことをお勧めします。 ・電子掲示板やSNS上のリンクには特に注意する。 不特定多数がアクセスするため、むやみにリンクをクリックしないように気を付けましょう ・SSL証明書を利用していないサイトには注意する。 (例: 鍵アイコンとHTTPS:// で始まるものではなく HTTP:// で始まるサイト) 経路2 メールの添付ファイルやURLクリックによる感染安全だと思った電子メールの添付ファイルやWebサイトのリンクをクリックすると、マルウェアに感染するというのはニュースなどでもよ
やまゆです。 現在 TLS の実装として一番に挙げられるライブラリは OpenSSL 1.1 ですね。 他に Google fork の BoringSSL や LibreSSL などがありますが、もともとはどちらも OpenSSL の実装をベースにしていますので、やはり大元としては OpenSSL になります。 執筆現在の OpenSSL 安定板バージョンは 1.1.1l です。 2.x はリリースされず 3.0 が次のリリースになる予定です。 このツイートによると、 来週火曜 に正式リリースされるようです。 追記 2021/09/07) OpenSSL 3.0.0 がリリースされました! こちらの記事から変更点について挙げていきます。 ライセンスの変更。今までは OpenSSL と SSLeay のデュアルライセンスでしたが、 Apache License 2.0 に変更されます。 バ
GitHub - francoismichel/ssh3: SSH3: faster and rich secure shell using HTTP/3, checkout our article here: https://arxiv.org/abs/2312.08396 and our Internet-Draft: https://datatracker.ietf.org/doc/draft-michel-ssh3/
SSH3 is a complete revisit of the SSH protocol, mapping its semantics on top of the HTTP mechanisms. It comes from our research work and we (researchers) recently proposed it as an Internet-Draft (draft-michel-ssh3-00). In a nutshell, SSH3 uses QUIC+TLS1.3 for secure channel establishment and the HTTP Authorization mechanisms for user authentication. Among others, SSH3 allows the following improve
18年目ブロガー、「副業クエスト100」管理人 高校卒業後、定職につかず、30以上の副業を実践するもすべて失敗。 コンビニのアルバイトで生活費を稼ぎつつ、「副業」をテーマにブログを始める。 記事数が100を超えるも、最初の3年間は収益ゼロ。一念発起し、ブログ運用の勉強を始める。 裏ワザや近道を探すことをやめ、徹底的なSEO対策とブログの改善により、5年目にして月収10万円を達成する。 そこからは順調に収益を伸ばし続け、2010年には年収1000万円突破。そして2014年には累計収益1億円、2020年には累計収益5億円を突破する。 しかし、常に順風満帆だったわけではなく、Googleのアルゴリズムアップデートにより、何度も収益が激減しており、そのたびにブログの刷新(ブログデザインの変更、時代に合わなくなった記事の書き直し・削除etc)を行い、高収益を維持し続けている。 基本を超徹底する王道の
つい最近(2019/10)CloudFlareがQUIC対応のQuicheをNginxで利用出来るパッチを公開したりHTTP-over-QUICがHTTP/3に改名したりで、HTTP/3がかなりアツくなってきています。 このビッグウェーブに乗るべく、CloudFlareのQuicheパッチを適用したNginxを用意して、NLB越しでQUICを喋ってみたいと思います。 もこ@札幌オフィスです。 つい最近、(2019/10)CloudFlareがQUIC対応のQuicheをNginxで利用出来るパッチを公開したりHTTP-over-QUICがHTTP/3に改名したりで、HTTP/3がかなりアツくなってきています。 このビッグウェーブに乗るべく、CloudFlareのQuicheパッチを適用したNginxを用意して、NLB越しでHTTP/3を喋ってみたいと思います。 NLBを利用してHTTP/3
JPCERT/CCは11月8日、CMSの「WordPress」に複数の脆弱性が見つかったとして最新版へのアップデートを呼び掛けた。影響度を示すCVSS v3のベーススコアは最大6.1。悪用されると、WordPressで運用するWebサイトの閲覧者が攻撃を受けたり、記事投稿者のメールアドレスを盗まれたりする恐れがある。 影響を受けるのはWordPress 6.0.3より前のバージョン。クロスサイトスクリプティングの脆弱性(CVE-2022-43497、CVE-2022-43500)、不適切な認証の脆弱性(CVE-2022-43504)が見つかった。 クロスサイトスクリプティングは、Webサイトの脆弱性を突いて攻撃スクリプトを設置し、閲覧者に悪影響を与える攻撃手法。今回の脆弱性を悪用されると、閲覧者のWebブラウザで攻撃スクリプトが実行されたり、メールを使って記事を投稿する「メール投稿」機能を
Building a more private web: A path towards making third party cookies obsolete
$200K 1 10th birthday 4 abusive ads 1 abusive notifications 2 accessibility 3 ad blockers 1 ad blocking 2 advanced capabilities 1 android 2 anti abuse 1 anti-deception 1 background periodic sync 1 badging 1 benchmarks 1 beta 83 better ads standards 1 billing 1 birthday 4 blink 2 browser 2 browser interoperability 1 bundles 1 capabilities 6 capable web 1 cds 1 cds18 2 cds2018 1 chrome 35 chrome 81
はてなブログでの独自ドメインの取得・設定方法を徹底解説! シンプルなネイキッドドメインの魅力とは?【公式】 - 週刊はてなブログ
何気ない日々の様子を書き残したり、撮りためた写真をまとめたり、あるいは、試行錯誤しながら自分らしいブログのデザインを追求したり。そうして少しずつブログに記録された記事や画像、デザインは大きな財産になります。 そんな大切なブログをより自分らしいものにしてくれるのが、独自ドメインです。はてなブログで独自ドメインを運用する場合、これまでwww.example.comのように冒頭にサブドメインの設定が必要でしたが、2020年4月以降example.comのような形でもご利用いただけるようになりました。このようにwwwなどのホスト名がつかないドメインを「ネイキッドドメイン」と呼びます。 この記事では、ネイキッドドメインの魅力から、独自ドメインを取得して、はてなブログProの独自ドメイン機能で設定する方法までじっくり解説いたします。 サブドメインなしの独自ドメインを使うメリットとは? 1. Googl
はじめに はじめまして、@takashi-kun です。 自分が所属するチームでの連載企画 "Blog Series of Introduction of Developer Productivity Engineering at Mercari" 、今回はメルカリが成長を続けている中で多くのレガシーな技術と私達 Core SRE チームがどのように向き合っているか具体例を基に紹介します。 突然ですが、「レガシーな技術」と聞いて何を思い浮かべるでしょうか? 古いミドルウェアを利用している、昔の言語で書かれている、オンプレ環境を利用している、などなど、いろいろな定義が浮かぶと思います。 メルカリは事業スピードの加速に伴いシステムが日々拡張/拡大されていくため、「owner/maintener ともに存在しないシステム」が少なからず存在します。owner も maintener もいない中でシ
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
NginxでHTTP/3が動いた (Cloudflareパッチ) - ASnoKaze blog
ついにJetBrains系IDEでペアプロができるようになりそう - Qiita
2022年に最も悪用された脆弱性12選 - Qiita
MySQL 5.7でクライアントプログラムがCPUを食いつぶす件 - (ひ)メモ
図解!ネットワークの7層を実務に当てはめてみた - Qiita
無料SSLサーバ証明書発行のLet's Encryptに脆弱性 犯罪者が悪用する“穴”とは?
Flash作品を残すために取り組んだこと - プラグイン無しでFlashを再生できるJSライブラリを採用して - ICS MEDIA
docker-mailserverをさくっと立ち上げる(令和4年2月版)
C#のみを使って、今ソーシャルゲームアプリを作るとしたら - Qiita
Serverless Components はオレたちの未来を劇的にスケールさせるか - Qiita
SSLを改めて理解してから AWS Client VPN に挑む | DevelopersIO
nostr と Bluesky に7つ bot を作り k8s で稼働させた
ネイティブアプリ風Webアプリ「PWA」を実現する3つの技術 | さくらのナレッジ
ゼロからはじめるPython(51) Pythonから自動でGmailを送信
ATOM Cam解析準備 - honeylab's blog
Google Chrome、HTTPS/HTTPの混在禁止 - 年末年始までに対応を
Engadget | Technology News & Reviews
【マルウェアの代表的な6つの感染経路別】多層防御アプローチによる対策一覧まとめ
OpenSSL 3.0.0 が出たので変更点を確認する
グーグルが公式発表している「すごい資料」、SEO対策のポイント11選
Nginx+NLBでHTTP/3環境をAWSに作ってみた | Developers.IO
WordPressに複数の脆弱性 クロスサイトスクリプティングで閲覧者・投稿者が影響受ける恐れ
レガシーなシステムとの向き合い方 | メルカリエンジニアリング