input type = password autocomplete = off は使ってはいけない
「WEBシステムのパスワードはブラウザーに保存させないこと」
という情報セキュリティ室の要件って結構ありますよね。
こちら、もう現状にあってないんですね。皆さんの会社はいかがですか?
↓サイボーズ渡辺さんによる調査記事
リブセンスはWAJAを、ZOZOはハニカムを傘下に
リブセンスがファッションECのwajaを4億円で買収、子会社化
リブセンスさんが海外ファッションサイトのWAJAを子会社したそうです。
SEOでヘマをしてから最近少し元気のないリブセンスさんですが、送客を得意としているのでECサイトの買収はなかなか良い選択かと思います。
最近、ファッションに力を入れたいと思ってる楽天さんとかがどのように評価しているかが気になります。
スタートトゥデイがアラタナを買収 ハニカムも傘下に
ZOZOさんはアラタナさんを買収のようです。
去年、電子マガジンのヤッパを買収したときは、センスがいいなーっと思ってたのですが、今回の買収はどうなんでしょうか・・・・・
(システム部隊がしょぼいからなんですかね。。。)
Oracle WebLogicがDockerサポート (2015,3,24)
Oracle WebLogicがDockerをサポートしたそうです。
WLS 12c (12.1.3+) からのようですが、Dockerで利用できるなら12cへ移行してもそろそろ良い時期なのかもしれませんね。
Supported Virtualization Technologies with Oracle Fusion Middleware
(メモ)HTTP2関連のリンク
HTTP2関連情報を調査するためのメモ。
HTTP/2情報
仕様書
- HTTP/2: http:// http://tools.ietf.org/html/draft-ietf-httpbis-http2
- ヘッダ圧縮(通称HPACK):http://tools.ietf.org/html/draft-ietf-httpbis-header-compression
HTTP/2の日本語情報集積所
HTTP/2アドベントカレンダー(2014年12月)
前田さんのHTTP/2最速実装(カンタンな実装を作りたい人向け)
石澤さんのHTTP/2入門
ALPN情報
仕様書
RFC 7301 - Transport Layer Security (TLS) Application-Layer Protocol Negotiation Extension
後藤さんのALPN解説
書籍
オライリー本 High Performance Browser Networking
日本語版
ハイパフォーマンス ブラウザネットワーキング ―ネットワークアプリケーションのためのパフォーマンス最適化
- 作者: Ilya Grigorik,和田祐一郎,株式会社プログラミングシステム社
- 出版社/メーカー: オライリージャパン
- 発売日: 2014/05/16
- メディア: 大型本
- この商品を含むブログ (2件) を見る
High-Performance Browser Networking
- 作者: Ilya Grigorik
- 出版社/メーカー: Oreilly & Associates Inc
- 発売日: 2013/09/30
- メディア: ペーパーバック
- この商品を含むブログを見る
Kindle版(英語)
Apache Struts1に脆弱性(2015.3.24)
2015年3月24日にApache Struts1に関連する脆弱性が公開されました。
JVN#86448949: TERASOLUNA Server Framework for Java(WEB) の Validator に入力値検査回避の脆弱性
タイトルはTERASOLUNA Server Framework for Javaの脆弱性となっていますが、Apache Struts1を利用している場合は影響受けます。
Struts1のValidator機能、またはCommons Validatorを使った入力値検証を任意のパラメータを送ることで回避することが出来るというもの。
影響はサイトによって異なりますが、入力値検査が回避されることで想定外のデータがデータベースに登録されるなどの可能性があります。
脆弱性概要
HTTPリクエストに一定の条件に当てはまるパラメータが含まれる場合、入力値検証が全て不正にスキップされてしまう。
本脆弱性は、Struts1のValidator機能のサブ機能である「Multi Page Validator(MPV)機能」が持つ脆弱性に起因。
しかしMPV機能を使用していない場合も、Common Validatorのpage機能を利用している場合、本脆弱性の影響を受ける。
影響範囲
Struts1のValidator機能、又はCommons Validatorを使って入力値検証を行っている場合
修正方法
株式会社エヌ・ティ・ティ・データさんが、本脆弱性を修正した Apache Struts 1.2.9 with SP2 by TERASOLUNA を単体でも公開したそうです。
こちらのパッチを当てれば良いかと。
(素晴らしい試みです。)
OpenSSH 6.8リリース(2015.3.18)
OpenSSH 6.8 リリース
OpenSSH 6.8がリリースされたようです。
リリースノート