2015-03-26

Ubuntuをセキュアにインストールする方法

security

007の国が真剣に考えてみたらこうなりましたシリーズ

007の国が真剣に考えてみたらこうなりましたシリーズのUbuntuバージョンがリリースされました。

CentOSもまってます！

・元記事

<a href="http://gihyo.jp/admin/clip/01/ubuntu-topics/201503/20">2015年3月20日号　15.04の開発・イギリス政府のセキュリティガイド・UWN#407・#408</a>gihyo.jp

・[記事内リンク]セキュアなUbuntuの利用方法

<a href="https://www.gov.uk/government/publications/end-user-devices-security-guidance-ubuntu-1404-lts">End User Devices Security Guidance: Ubuntu 14.04 LTS - Publications - GOV.UK</a>www.gov.uk

・[記事内リンク]WindowsやAndroid，iOS・OS X・Chrome OSを対象にしたもの

<a href="https://www.gov.uk/government/collections/end-user-devices-security-guidance">End User Devices Security and Configuration Guidance - GOV.UK</a>www.gov.uk

2015-03-26

input type = password autocomplete = off は使ってはいけない

security

「WEBシステムのパスワードはブラウザーに保存させないこと」

という情報セキュリティ室の要件って結構ありますよね。

こちら、もう現状にあってないんですね。皆さんの会社はいかがですか？

input type = password autocomplete = off は使ってはいけない from Akira Murachi

www.slideshare.net

↓サイボーズ渡辺さんによる調査記事

<a href="http://developer.cybozu.co.jp/tech/?p=7452">ブラウザのパスワード保存と自動フィルイン | Cybozu Inside Out | サイボウズエンジニアのブログ</a>developer.cybozu.co.jp

2015-03-25

リブセンスはWAJAを、ZOZOはハニカムを傘下に

リブセンスがファッションECのwajaを4億円で買収、子会社化

リブセンスさんが海外ファッションサイトのWAJAを子会社したそうです。

SEOでヘマをしてから最近少し元気のないリブセンスさんですが、送客を得意としているのでECサイトの買収はなかなか良い選択かと思います。

最近、ファッションに力を入れたいと思ってる楽天さんとかがどのように評価しているかが気になります。

<a href="http://thebridge.jp/2015/03/livesense-acquired-something">リブセンスがファッションECのwajaを4億円で買収、子会社化</a>thebridge.jp

スタートトゥデイがアラタナを買収ハニカムも傘下に

ZOZOさんはアラタナさんを買収のようです。

<a href="http://www.fashionsnap.com/news/2015-03-25/starttoday-aratana/">スタートトゥデイがアラタナを買収ハニカムも傘下に</a>www.fashionsnap.com

去年、電子マガジンのヤッパを買収したときは、センスがいいなーっと思ってたのですが、今回の買収はどうなんでしょうか・・・・・

（システム部隊がしょぼいからなんですかね。。。）

<a href="https://netshop.impress.co.jp/node/471">電子雑誌店運営のヤッパを買収、スタートトゥデイ | ネットショップ担当者フォーラム</a>netshop.impress.co.jp

2015-03-25

Oracle WebLogicがDockerサポート (2015,3,24)

Oracle WebLogicがDockerをサポートしたそうです。

<a href="https://blogs.oracle.com/WebLogicServer/entry/oracle_weblogic_server_now_running">Oracle WebLogic Server Now Running on Docker Containers (The WebLogic Server Blog)</a>blogs.oracle.com

WLS 12c (12.1.3+) からのようですが、Dockerで利用できるなら12cへ移行してもそろそろ良い時期なのかもしれませんね。

Supported Virtualization Technologies with Oracle Fusion Middleware

2015-03-25

(メモ)HTTP2関連のリンク

HTTP2関連情報を調査するためのメモ。

HTTP/2情報

仕様書

HTTP/2: http:// http://tools.ietf.org/html/draft-ietf-httpbis-http2
ヘッダ圧縮(通称HPACK):http://tools.ietf.org/html/draft-ietf-httpbis-header-compression

HTTP/2の日本語情報集積所

<a href="http://http2.info/">HTTP/2 Japan Local Activity</a>http2.info

HTTP/2アドベントカレンダー(2014年12月)

<a href="http://qiita.com/advent-calendar/2014/http2">HTTP2 Advent Calendar 2014 - Qiita</a>qiita.com

前田さんのHTTP/2最速実装(カンタンな実装を作りたい人向け)

HTTP2 最速実装〜入門編〜 from Kaoru Maeda

www.slideshare.net

石澤さんのHTTP/2入門

<a href="http://techblog.yahoo.co.jp/infrastructure/http2/introduction_to_http2/">HTTP/2 入門</a>techblog.yahoo.co.jp

ALPN情報

仕様書

RFC 7301 - Transport Layer Security (TLS) Application-Layer Protocol Negotiation Extension

後藤さんのALPN解説

<a href="http://d.hatena.ne.jp/ASnoKaze/20130207/1360249692">TLS上でのプロトコルネゴシエーションの仕組み、NPNとALPN - あすのかぜ</a>d.hatena.ne.jp

書籍

オライリー本 High Performance Browser Networking

日本語版

ハイパフォーマンスブラウザネットワーキング ―ネットワークアプリケーションのためのパフォーマンス最適化

作者: Ilya Grigorik,和田祐一郎,株式会社プログラミングシステム社
出版社/メーカー: オライリージャパン
発売日: 2014/05/16
メディア: 大型本
この商品を含むブログ (2件) を見る

英語版

High-Performance Browser Networking

作者: Ilya Grigorik
出版社/メーカー: Oreilly & Associates Inc
発売日: 2013/09/30
メディア: ペーパーバック
この商品を含むブログを見る

Kindle版（英語）

High Performance Browser Networking: What every web developer should know about networking and web performance

作者: Ilya Grigorik
出版社/メーカー: O'Reilly Media
発売日: 2013/09/11
メディア: Kindle版
この商品を含むブログを見る

2015-03-24

Apache Struts1に脆弱性(2015.3.24)

security

2015年3月24日にApache Struts1に関連する脆弱性が公開されました。

JVN#86448949: TERASOLUNA Server Framework for Java(WEB) の Validator に入力値検査回避の脆弱性

タイトルはTERASOLUNA Server Framework for Javaの脆弱性となっていますが、Apache Struts1を利用している場合は影響受けます。

Struts1のValidator機能、またはCommons Validatorを使った入力値検証を任意のパラメータを送ることで回避することが出来るというもの。

影響はサイトによって異なりますが、入力値検査が回避されることで想定外のデータがデータベースに登録されるなどの可能性があります。

脆弱性概要

HTTPリクエストに一定の条件に当てはまるパラメータが含まれる場合、入力値検証が全て不正にスキップされてしまう。

本脆弱性は、Struts1のValidator機能のサブ機能である「Multi Page Validator(MPV）機能」が持つ脆弱性に起因。

しかしMPV機能を使用していない場合も、Common Validatorのpage機能を利用している場合、本脆弱性の影響を受ける。

影響範囲

Struts1のValidator機能、又はCommons Validatorを使って入力値検証を行っている場合

修正方法

株式会社エヌ・ティ・ティ・データさんが、本脆弱性を修正した Apache Struts 1.2.9 with SP2 by TERASOLUNA を単体でも公開したそうです。

こちらのパッチを当てれば良いかと。

（素晴らしい試みです。）

<a href="http://sourceforge.jp/projects/terasoluna/wiki/StrutsPatch2-JP">StrutsPatch2-JP - TERASOLUNA Framework Wiki - TERASOLUNA Framework - SourceForge.JP</a>sourceforge.jp

2015-03-24

OpenSSH 6.8リリース(2015.3.18)

security

OpenSSH 6.8 リリース

OpenSSH 6.8がリリースされたようです。

<a href="http://sourceforge.jp/magazine/15/03/20/064600">「OpenSSH 6.8」がリリース | SourceForge.JP Magazine</a>sourceforge.jp

リリースノート

http://www.openssh.com/txt/release-6.8

007の国が真剣に考えてみたらこうなりましたシリーズ

リブセンスがファッションECのwajaを4億円で買収、子会社化

スタートトゥデイがアラタナを買収 ハニカムも傘下に

HTTP/2情報

HTTP/2の日本語情報集積所

HTTP/2アドベントカレンダー(2014年12月)

前田さんのHTTP/2最速実装(カンタンな実装を作りたい人向け)

石澤さんのHTTP/2入門

ALPN情報

後藤さんのALPN解説

書籍

脆弱性概要

影響範囲

修正方法

OpenSSH 6.8 リリース

スタートトゥデイがアラタナを買収ハニカムも傘下に