セキュリティ

OWASP関連リンク集

要件定義 Webシステム/Webアプリケーションセキュリティ案件書 設計・開発 owasp proactive controls: https://www.owasp.org/index.php/OWASP_Proactive_Controls owasp asvs: https://www.owasp.org/index.php/Category:OWASP_Application_Security_Verification_Standard_Project owasp cheat sheet series: https://www.owasp.org/index.php/OWASP_Cheat_Sheet_Series テスト owasp zed attack proxy: https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project owasp test...

SELinuxについてのメモ

SELinux ドキュメント(4章5章)をざっと読んで気になる点をまとめました。 ドキュメントの所在 Security Enhanced Linux SELinuxって? Linuxのセキュリティを強化する仕組みで、カーネルに追加される 米国国家安全保障局 (National Security Agency) が開発した SELinuxのセキュリティの仕組み プロセスとファイルの全てに、タイプでラベル付けを行う。 タイプはプロセスのドメインを定義しており、プロセスはドメイン毎に互いに分離している。 SELinuxポリシールールは、タイプに基...

ChromeBook KaliLinux の奇妙な使い方

 はじめに  ご承知のように、ChromeBookには何通りかの方法で、Linuxもしくはその環境をインストールできます。  私の使っているAsusFlipでの代表的なやり方としても、以下のようなものがあります。 ChromeBrew(ChromeOSにコマンドを追加) Crouton(Androidのように、ChromeOSと同時にUbuntu,Debian等を稼働させる) KaliLinux, Archlinux(外部SD,USBから切替ブート)  切替ブートについては、ChromeOSのブートイメージを借用→再署名する方法で、Fedoraなどでも可能なようです...

CoreOSをAmazon EC2上で動かす方法

基本的には公式サイトの記述の通りやればOKです。 ご丁寧にCloudFormationのテンプレートまで用意されているのでそれを使えば、セキュリティグループやAutoScalingの設定も含めてやってくれます。(ソースはこちらを参照) ただ、いくつか修正した方がよい箇所がありますが、それについては後述します。 とりあえずただ起動してみたい、という場合は、以下の手順通りでOKです。 起動する!! 上では色々書いてますが、まずは早速このテンプレートを使って起動しましょう。CoreOSのWebサイ...

参考メモ/ファーストパーティCookie, サードパーティCookie の参考URL

時々「あれ、そういえばサードパーティCookieってどういう意味だったっけ?」と思い出せなくなりますので、昔のメモを整理して、参考URLのメモを残しておきます。 malaさんのサードパーティCookieについての詳細と影響範囲の考察: サードパーティCookieの歴史と現状 Part1 前提知識の共有 - 最速転職研究会 http://d.hatena.ne.jp/mala/20111125/1322210819# サードパーティCookieの歴史と現状 Part2 Webアプリケーションにおける利用とその問題 - 最速転職研究会 http://d.hatena.ne...

ESP8266とMilkcocoaを使ってビニールハウスの監視制御をやってみる

こちらmilkcocoaアドベントカレンダーの16日の記事です。 導入  IoTが完全にバズワードになってまいりました。で、手っ取り早くIoTのプロトタイプを製作する場合は、ESP8266が便利だよね。あと、サーバーはMilkcocoaを使うと手っ取り早くサーバーにデータを上げたり、リアルタイムの通知が出来たりしてほんとに便利。  というわけで、この2つを組み合わせてわりとガチ仕様でどこまでのものができるのかやってみました。今回作成したのはビニールハウスの遠隔監視制御システムです。...

未来の職人のための道具Nim!? YAMLとJSONの扱いを一例に (あんま怖くないNim④)

はじめに  近い将来に、Scala+NimでIoTなサービスを作れたらいいなと考えている者です。 N高 Advent Calendar 2016初日『高校生にWeb上でプログラミングを教え始めたエンジニアがこの8ヶ月間で得た気づき』がなかなかいい話なのに、寄せられたコメントがアレ気味なのを見て、ちょっと気になったのではじめにコメント的なポエムを。...職人気質でC++erの方が「ついカッとなって」書いたであろうコメントをちら見するに、作家の橋本治(※)が昔々にいろんな意味を込めて書いていた「江戸...

第4回 Mirantis OpenStack と VMware との連携実現!

第4回 Fuel DVSプラグインの動作確認 まえがき 状態確認 動作確認:ESXi上インスタンスとCompute上インスタンスの疎通確認 インスタンス起動 PINGとSSHで疎通確認 HTTPの疎通確認 まえがき 前回はFuelによるOpenStack環境のDeployが完了するところまでご説明しました。 第1回概要:http://qiita.com/MakitaTatsuro/items/6812bbaa0d7c82654374 第2回vSphere環境構築:http://qiita.com/MakitaTatsuro/items/813c85f45f51367912c4 第3回OpenStack環境構築:http://qiita.com/MakitaTats...

JavaScriptでWrite once, run anywhere

愚痴 車輪の再発明したくない(見飽きた、モチベーションあがんない) スマホとかOSのアップデートとかに引っ張られてアプリの保守したくない 同じビジネスロジックをいろんな環境(プログラミング言語)で書きたくない サービスの本質の部分に時間を割きたい 極力作りたくない病(保守するものが増える) やりたいこと パラメータ受け取ってJSONを返す関数(ビジネスロジック)を共通化 色々な環境からコールができる、古いコードも動くJavaScriptが良さげ(サーバサイド、フロントエンド...

Macで仮想環境

サーバ周り(CentOS)を色々と弄ってみたかったのでローカルに仮想環境を構築することにした。 AWSで構築しようかとも思ったが敷居が高そうなので、先ずはローカルで頑張ってみることにする。 理由:負荷分散テストとか、セキュリティ関連の脆弱性テストを自分なりに試してみたいから。 2016.9.10(追記) ゴチャゴチャと色々とやってみたけど...素直にDocker for Macを入れてdocker-compose.yml記述するだけの方が楽だな・・・。 Linux系サーバ関連の基礎知識 かつてUnix系OSと言えばSu...

テスト用のFacebook、Twitter、LINEアカウントを用意する方法

はじめに 12日目、スマートテック・ベンチャーズの@hirofumi_05が担当します。 とてもありがたい記事になっているらしいです。 概要 アプリ開発などを行っている時にSNS連携を実装することはよくあると思います。 実装をすれば当然、テストを行うわけですが、 実際に投稿してみようということになると、それぞれのアカウントが必要です。 プログラマの方で "SNSなんか普段やらないからアカウントの作り方もよくわからん" という方を 何度かお見かけしたような気がします。 ということ...

Bluemix-Infra(SoftLayer)のPodを一覧表示するスクリプト

内容 Bluemix Infrastructure (旧SoftLayer) において、各データセンターにあるPodを、コマンドで一覧表示できるスクリプトをつくりました。 Podとは IBM Bluemix のデータセンター (DC) は、大きく分けて POD (Point of Delivery) と呼ばれるラックの塊と、発電機やバックアップ・バッテリー、冷却装置で構成されています。PODは各DCに1つ以上置かれ、DCを構成する基本単位になっています。ネットワーク、ストレージ、セキュリティがPOD単位で独立し、各PODの最上位にあるネットワー...

dd-agentでRDSのMySQLを監視してみた

概要 DatadogではMySQLをモニタリングするためのMySQL Integrationが提供されているが、基本的にMySQLが稼動しているサーバにdatadog-agentをインストールしてlocalhostのmysqldからデータを取得することをを想定して各種ドキュメントなどが書かれている感がある。 RDSでMySQLを利用している場合、CloudWatchで取得できる値は造作もなくDatadogへ食わせることができるわけだが、いかんせんOSリソース的なメトリクスが多く、MySQL固有の値をモニタリングの対象にしたい場合物足りない。...

ftpサーバー(ftpd)比較

Debian でFTPサーバーを立てようと思ったけど、イマイチ定番が分からない。 それっぽい記事を見つけたが、更新日時が2012年で不安だったので、改めて調べてみた。 結論 2015年の今になっても、上記記事で言われているとおり、 拡張性・高機能性を求めるなら、 proftpd とにもかくにもセキュリティなら、 pure-ftpd 大量のデータをさばきたいなら、 vsftpd って感じのようだ。 おまけ。 調べたパッケージ全部。 GOOD proftpd ProFTPD wikipedia モジュール志向な FTP/SFTP/FTPS サーバ...

AWS EC2とNginx-rtmp-moduleとVideo.jsとOBSを使ってライブストリーミング配信(RTMPとHLS)

主役:Nginx-rtmp-module 参考にさせて頂いたURL様: nginx-rtmp-moduleでお試しLive配信環境を作る nginx-rtmp-moduleを使ってスマートフォンへの生放送配信を実験 NginxでRTMP同時配信 nginx-rtmp-module wiki/Table of Contents AWS EC2サーバを適当に立てる ssh接続できるようにしておきます Amazon Linuxで作ってます EC2のセキュリティグループでポートの許可 Amazon Management ConsoleからEC2へ移動 左ペインのインスタンス 起動してる対象サーバのセキュリティグループを確認...

[email protected]】vRealize Automation 後編

内容 【[email protected]】vRealize Automation 前編 では、仮想アプライアンスのデプロイまで実施しました。 前回に引き続き、最小インストール構成の初期設定ウィザードによるvRealize Automationの導入を進めていきます。 参考 VMware公式ドキュメント vRealize Automation 7.0 情報センター Installing Minimal vRA 7 Part 1 - Which Version For The Lab? Part 2 - Deploying The vRA Appliance Part 3b - Iaas Install and Automatically Installing Pre-Requisits Part 4 – Run...

JSONPのことをよく知らなかったので調べてみた

JSをいじってるとよく出てくるキーワード "JSONP" JSONとの違いなどについてまとめてみました。 JSON: {'blog': 'ほげぶろぐ', 'author' : 'sseze'} JSONP: callback({"blog": "ほげぶろぐ", "author" : "sseze"}); なにが違う? JSONはテキストデータ、JSONPはscript クロスドメインでJSONを読み込む時は、JSONではなくJSONPが使われる(WebAPI等) JSONではクロスドメインの壁を越えられない(XMLHttpRequestメソッドの制約) scriptタグsrc属性を使うとデータが取得できる(ここでJSONP...

[Rails]ERBのエスケープを自在に扱おうぜ

コメントにてご指摘をいただきました HTMLタグを動的に生成する必要がある場合も、content_tagや(aタグでは)link_toなど、Railsの用意しているヘルパーを使えば、HTMLとして出力するかエスケープするかを適宜判断してくれます(自分でhやhtml_safeしなくて問題ありません)。 using_helper.rb def return_url2(text) link_to text, 'http://google.com/' end 純粋な文字列リテラルを.html_safeするのはありかもしれませんが、どこから来るかわからない入力で、テキストからHTMLを...

TLS 1.3 Overview

この記事はACCESS Advent Calendar 2016の14日目の記事です。 昨年に引き続きID技術・暗号技術を中心にいろいろやっていたので今年のネタも似たような感じで、現在最終承認に向けて調整が進みつつあるTLS 1.3の話をします。 SSL/TLSとは 認証 暗号化 改ざん防止 の3点を提供するセキュア通信のためのプロトコルです。現在一般的に使われているのは Transport Layer Security(TLS) ですが、過去に使われていた Secure Socket Layer(SSL) という名称が広く浸透しているのでほぼ同じ意味...

一人アドベントカレンダー25日分を終えての感想と反省

はじめに ちょっと遅れつつではありますがなんとか25日分書ききりました(正確にはこれを含めて) 今回書いた25日分の記事とその時の心境,感想と反省とかを書きたいと思います これから一人アドベントカレンダーとかやりたい方とか参考になれば幸いです (アドバイスのみを知りたければ最後の「おわりに」だけを読めばいいかと思います) 書いた記事と感想 1日目:Rubyでランダム文字列メーカ Qiitaにこんな適当な記事を書いてしまっていいのかなと不安に思った人生最初の投稿 2日目:Rubyを...