「サーバ」を含む日記 RSS

はてなキーワード: サーバとは

2018-10-17

webサーバが乗っ取られているとクレジットカード情報を保存するシステムでなくてもクレジット情報漏えいする」

多分この人キツネかなんかだと思うんだけど、流石に是正指示とかしないといけないんじゃねえのか?

オカルトの温床みたいになってるだろ、実際。

2018-10-16

anond:20181016113518

お得やん! って思ってアプリDLするとアプリの酷さに驚くぞ。

なんとアプリサーバ部分は技術力が低いことでおなじみのはてな製だからな。

1ページめくるのに10秒掛かるのはザラだし一気にめくる機能も無い。

正直こんだけ雑誌が詰め込まれてなければ絶対に購読しないレベルの酷さだわ。

ブロッキング通信の秘密への素朴な疑問

郵便局は宛先の住所見て外国への郵便は高い料金取るし、北朝鮮の住所書いても送ってくれないよね?

通信の秘密があっても普通郵便現金や法的書類送るなとか、爆発物は送るなとか中身にすらルール決めてるよね?通信内容が完全に秘密だったらわかりようがないんだからナンセンスだよね?

まり通信事業者は宛先を見てサービス変えてるし法律に応じて中身に口出しもしてるよね?

電話だって国際電話かけたら国内電話より高い料金とられるよね?それは宛先の情報取得してるからだよね?

で、ISPにとってIPパケット送信のための必要な宛先情報からISPサーバフィルタリングするしないに関わらず情報としては取得してるよね?

でなんで違法な宛先を断るのがダメなの?上の例で言ったら北朝鮮手紙送れって言ってるようなものじゃない?

俺もブロッキングは反対だけど、宛先見て遮断するだけのことに通信の秘密ってあまり盾になってなくない?

[返信への返信をコピペ追記]

郵便局の窓口ではラベルに宛先と内容物書かされて係員に見られるよね?

客「○○宅に爆発物を送りたいんですけど」 郵便局お断りします

客「違法サイトの80番ポートにコネクション張りたいんですけど」 ISPお断りします

この2つがどう違ってなんで後者だけ通信の秘密を盾にできるのかがよくわからない

例えばメールの内容の検閲等したらそれは完全に駄目だけど、違法コンテンツしかない違法サイトコネクション張らせないのは郵便でいう「宛先ラベル」の段階で断るだけだから検閲じゃなくない?

ついでに言うと、あえてルール違反する人は例えば普通郵便現金入れる人ならバレないように便箋で包んだりするよね。

爆発物送る人だって当然バレないように送るよね。

ISPブラウザから普通違法サイトコネクション張ってくれっていうのは「違法なことします」って言いながら郵便窓口に行ってるようなものでしょ。

違法なことしたかったらそれなりに自覚した上で、torだとかVPNだとか頭を使うべきで、何も考えてない大衆のもろに「違法サイトアクセスします」って公言してるパケットを通す権利守るのはキツくない?

2018-10-14

会社楽しい

会社には行きたくないけど(「行く」のがめんどくさくて)会社でやってることは楽しい。これはまだ一年目で責任が薄いからっていうのもあるんだろうけど、楽しいと思ってる内に誰かに言いたかったので

まず、自分プログラム書くのが好きだって言ったら先輩がプログラミングをする課題を投げてくれる(別にめちゃくちゃプログラミングできるというわけでもないけど)

うちの課だけで使う効率化のためのシステムから自由に書けるし期限もない。言語はなんでもいいって言われたのとか、難易度的にちょっとむずかしいくらいでやりがいがあるのとか、プログラム動かすだけのサーバが欲しくなったら前々から興味があったラズパイ貸してくれたのとか、楽しい残業代ちゃんと出るので最高

あと、先輩方がみなさん社内でも技術力が高い人たちらしいっていうのがいい。飛び交ってる話を聞いてるだけでも勉強になるし、教え方もうまい。別の課の先輩複数人に「その課に一年からいられるのなら間違いなく成長できる」みたいなことを言われるくらいにはいいところなんだと思う、空気もほどほどにゆるい。

この先輩のようになりたいって思える人ばかりでありがたい。褒めて伸ばすスタイルなのか、小さいことでもすぐ褒めてくれるのも嬉しい

最後に、ソリが合う同期たちが多くて楽しい

今までオタクめいた話が出来る友達なんて少なかったのに、今はそういう話が出来る上に趣味も合う人がいるから本当に話してて楽しいアニメゲームの話が弾む上にプログラムとかの話をしても「分からない」って言われない すごい

きっとだんだんしんどくなってくるんだろうとは思うから楽しいと思える今のうちにやる気出していろいろ頑張っときたいなあ

anond:20181014214016

対してphpで作られたredmineの「CandyCane」は

Webサーバに放り込むだけで動いて楽だったんだが、

こっちはもうろくに管理されてないんよな。残念。

2018-10-13

anond:20181013191517

フリーWeb開発者サーバサイドが主)で900万弱ぐらいもらっているのですが、正社員になったら年収いくらぐらいになるんでしょうか

一概には言えないと思いますので、なんとなくで…

2018-10-12

プログラミング本質カプセル化ブラックボックス

コンピュータマシン語命令文もデータも数値で表す。これは今も昔も同じ。

数値だけでは人間管理しづらいので命令文を mov や add のようなわかり易い単語に置き換えたのがアセンブラ

(わかりづらい数字人間理解やす英単語に置き換えた)

アセンブラも規模が大きくなると人間には管理しずらくなる。

そのため人間言語により近い高水言語が生まれた。

if や for などで制御をわかりやすくした。

複数の処理をひとまとめで扱うサブルーチン関数プロシージャ・ファンクション

いったものができた。

(処理の流れをわかりやすくした、構造化、カプセル化

複数データをひとまとめで扱うレコード型や構造体生まれた。

カプセル化

コードデータをまとめて扱うクラスができた。

カプセル化抽象化

アプリケーションからOS機能を呼ぶシステムコールAPIが生まれ

ブラックボックス化)

複数クラスコードデータをひとまとめにするにモジュールができた。

カプセル化

プログラムを外部から操作するRPC、CORBA、SOAPRMIができた。

リモートから操作ブラックボック化)

WebAPIアーキテクチャーを超えての疎結合が進む

さらなるブラックボックス化)

IaaS / SaaS / PaaS を使いネット上のサービスにつないでシステムを構築する。サーバ管理不要に。

ブラックボックス化)

CIツールサーバ数台〜数百台を1人で扱えるようになった

操作の簡略化)

DockerWEB/DB/KVSなどをまとめてコマンド1つで扱えるようになった。

カプセル化抽象化

プログラミングとはわかりづらいマシン語人間にわかやすくするのが本質

カプセル化ブラックボックス化・操作の簡略化は正義

2018-10-11

サーバ梱包袋をシュレッダーのくず受けに使ったら快適

シュレッダーのくず受けにかぶせて使ってた袋があるんだけど長年使い続けてすっかりボロボロになってしまった。

替えの袋がないかなと思ってたところにちょうど新しく導入するサーバ梱包材の袋が良さそうなサイズなので交換した。

すると、この新しい袋、シュレッダーのくずが静電気全然まとわりつかない。びっくり。

電子機器梱包用だから帯電防止のなにかが施されているみたいで、ともかく劇的な効果

静電気によってセンサーにくずがまとわりついて誤動作することや、くず交換が大変みたいなことが全然ない。

みんなもサーバの袋は取っておいたほうが良いよ。

2018-10-08

#技術書典 に対する疑問

技術書展に対する疑問があるので書いておきたい。反論などあったら聞かせてほしい。

まずネットが当たり前にあるこのご時世で、同人即売会同人誌(物理)というものへの疑問があるのだが、それは一旦置いておく。

まず売られていると嬉しい本について書く

売られていると嬉しい本①

著者自身バリューがあると良さそうだ。「この人はこういう本書くんだ、こういう考え方、切り口なんだ」作家みたいな感じ。

企業出展も多かった。この辺もその会社や扱ってるサービスが好きだと、著者にバリューがある場合と同じで楽しめそう。

この辺までは、考えてみると作家アーティストの本みたいな感じで需要がありそうだ。まず人やプロダクトに対するファンであって、本の内容が良かろうと悪かろうと、その考え方に触れるという意味で楽しめそう。

売られていると嬉しい本②

その他のサークルはどうだろう。

まず内容について、読み物、エッセイ、事例紹介、そして技術書などの種類があるかと思う。読み物、エッセイはもちろん、事例紹介も書き方によるだろうが個人経験視点に基づくものだろうから多様性がありおもしろうそうだ。

多様性同人アマチュア生命線と言えると思う。商業出版が叶わない需要量、クオリティでもどこかでそれを必要とする人がいる。ということでその頒布理解できる。

この先からが本題だ。

存在が疑問な本

存在が疑問なのが、上で挙げられている以外の本、つまり「その他のサークル」の「技術書」だ。「技術書」ってなんとなく使ってる言葉だけど、本屋に並んでる「〜入門」とか「〜アンチパターン」とか動物の絵が描いてる表紙のやつとか、そういうのを指している。技術についての情報が載ってるやつだ。

まず「編集者がいないので正確性の担保はどうなってるんだろう」と思ってたんだけど、自分はよく個人ブログのお世話になってるからそれは言う資格ない。

問題は「情報多様性はあるのか」ということだ。上で「多様性」と書いた。たしかに絵や漫画小説エッセイなどは多様性価値があると思うんだが技術情報はどうだろう?情報の中には多様性はない。真実はいつも一つ。多様性存在するとすれば、その情報を扱う視点、切り口、または情報自体ニッチさだ。

技術書展で頒布されている技術書を精査したわけではないのだが、大体「機械学習」「Webサーバ」「FPGA」「ブロックチェーン」手垢のついた単語ばかりが並んでいる。本自体タイトルも「〜入門」とか「〜アンチパターン」とか本屋で並んでるようなのが目につく。見本誌を手に取ると目次を見るだけで飽きるやつばかりだ(また似たような体裁の本ばかりなのだ)。

これになんの意味があるのだろう。ここで行われていることは、商業出版の本の再生産ばかりじゃないだろうか。いや、ブログならそれでも気にならないけどいきなりそれに数百円とはいえ値段がつくと面食らう。

ニッチな内容なら素晴らしいと思うけどけどそれもタイトルや表紙からからないものばかり。見本誌出してるところ多いけど混雑してるから内容精査できないし。

頒布する人はその内容や公開方法を少し考えてみてほしい。切り口を気にしてほしいし、その切り口を本の表紙やタイトルで伝える努力をしてほしい。

頒布方法が疑問

結局、技術書展で売られている技術書ブログで広く公開されていた内容が都内イベントしか手に入らなくなっただけではないだろうか。(しかも他の同人イベント同様、開演前に長蛇の列を作っていた)

タダで公開しろ、という権利自分にはない。ただ情報へのアクセスを難しくすることはやめてほしい、と思っている。技術書展に出展する人なんてこれまでもブログなりネット情報公開している人が多いんじゃないだろうか。

スマホゲームアプリ

パソコンエミュレータでの操作には制限があるか、アカウント作成NGスマホ普段使ってるアカウントで遊ぶのは良いとか、線引きはあるのか」

というユーザ質問に対する運営からの回答

・一人が持てるアカウントは機種問わず3アカウントまで(同サーバ内)

・大量のサブアカウント作成を防ぐため

・3アカウントを超えた場合は停止される場合がある

とのこと

まず、パソコンエミュレータ禁止してない、エミュにも広告出してるアプリ

特定ユーザーによる大量の無料アカウント作成禁止したいのはその通り

では機種を問わず1人3アカウント とは?

Google認証フェイスブック認証アップルIDでの認証対応しているゲーム

携帯番号認証は取り入れていない

この状態で端末を問わずに同一ユーザである

どうやって判定できるんだろう

開発元は中国ユーザーはアメリカはじめ世界中にいるゲーム

また課金要素が非常に強いゲームで、アイテム価値下落も激しい

射幸心闘争心を煽って課金を促すタイプゲームアプリ

システムにはそこまで金をかけないアプリと思われる

このようなゲームアプリで同一ユーザー3アカウント制限というのは可能なんだろうか

要は課金してくれということなのは間違いないが

SNSゲームコミュニティサイトアプリ情報を探すもまとまったものは見つからない

ただ、BANはそのアカウントの行動パターンによるらしい、間違いBANを以前くらった という書き込みがあった

結局のところ仕組みとしては一人3アカウント制限することは出来ず、ユーザー側に禁止事項として守ってもらう

大量アカウント作成についてはキャラクターの行動分析資源収集等)で一斉にBANする というところだろうか

2018-10-05

素人が見ても無駄サーバアクセス繰り返す仕様にしてるのにアクセス集中でご迷惑をおかけしてますとか言われてもなあ。

2018-10-03

ブログじゃなくて、サイトの感じで作りたいんだけど、いいサービスある?

イメージとしては、トップページからカテゴリに飛んで、カテゴリごとで見返せる、みたいな感じ。

条件は、自分サーバ立てないでもできる。

でも、サーバ立てて運用すればキャリアプラスになったりするかな?

そこら辺も含めて検討したいです。

2018-09-30

あと重要なのは組織内での情報のやり取りだが、これも昔と比べてスマホがある

デバイスローカルしか情報を残さず、サーバには実質何の痕跡も残さずに通信を行うアプリ… というのも簡単に作って配布することができる

こんなん、大昔の戦国時代武将とかが聞いたら喉から手が出るほど欲しがるんじゃないか

2018-09-29

ジサカートレンド2019

2018-09-25

僕が非正規でいる理由

ひきこもり歴が5年ある31童貞です。

データえっせい: なぜ非正規でいるか

これ読んで思うことがあったので書きます

現在客先常駐派遣技術者非正規)と言う立場で働いています。はじめはこんなポジションに付くつもりは全くなかったんですけど・・・

なぜ非正規でいるのかって所にスポットを当てたいので過去お話は省き経緯とこれからを書きます

情報系専門卒は就職先が決められていた

そうです決められていたのです、5年間のひきこもり生活から抜けて情報系の専門学校に通い卒業の年。

当時は正社員で雇ってくれる大手中小求人の条件には漏れなく「大卒以上」の文字記載されていました。

学歴より新卒資格基本情報CCNALPIC lv.2・ORACLE MASTER Bronze)と知識でどうにでもなると言う勢いで20社以上に挑みましたがエントリー段階で全滅。

今ほどweb系にスポットがあてられていない時代だったので他を探すとなると中小零細SIerしか選択肢がなく否応なくそこに入社

大卒」と言う学歴の強さを思い知った出来事でした、今はweb系と言う選択肢があるので専門卒でも幅広い選択肢がありますね。

中小零細SIerほとんど客先常駐だった

これは周知の事実です、つまり大手に行けなかった人は漏れなく「非正規」の仲間入りです。

派遣会社正社員として採用され客先に常駐してる人は全員含まれているでしょう(正社員だけど派遣社員)

自分のやりたいことを主張すると非正規派遣がメインの会社しかなかった

私はIT業界を目指しておきながらプログラミングに興味がなく、ネットワーク構築やサーバー構築が好きな人間です。

今でも家にCisco中古ルーター(当時1万以上した!)とかCento OSが入ったファイルサーバー(電源壊れて動かない)やライブカメラサーバ

あります最近はLeafletに興味が沸いたのでJavaScript勉強を暇なときにしています

前の会社を「これ以上、派遣できる現場はないか有給取って転職して出てって」と事実上解雇宣告を受けてからネットワーク構築やサーバー構築や

インフラ系の保守運用職種に行きたいと思って転職活動を始めました。

web系やSI系を歩き回り、だいたい10社くらい受けましたがweb系は「実務経歴がない知識だけの人に来られても困る、プログラミングできれば別だけど」などと言われ不採用

SI系は「この職種は辞める人が少ないから空きがないんだよね、3年以上の実務経歴があれば違うんだけど」と言われ不採用になりました。

転職活動を始めて3か月くらいの時にやっと2社から採用通知が来ましたがどちらも客先常駐メインの自称SIerでした。

でも非正規でやりたいことができる訳ではなかった

今、2社のうちの片方を蹴って某客先常駐メインのSIer仕事をしています

雇用条件求人条件通りか念押ししましたが実情は予想通りでした、ネットワーク関係仕事元請けメインで緊急時下請け派遣が行う現場でした。

日常業務ヘルプデスク定例会資料作成カスタマーエンジニア的な仕事事務処理がメインで面白くない仕事です。

ただ前の会社と違い有給休日出勤時の代休が取れて夜勤も滅多にないため妥協しそうな自分がいます。(期限付き資格有効期限は既に切れ済み)

なぜ非正規いるか

正規ネットワークインフラエンジニアプログラマに比べて空きがかなり少ない職種でした、就職活動の時は「大卒」が大きな壁になり

転職時は「実務経験」が大きな壁になりました。1度でも非正規に足を踏み入れると非正規で培った経験知識転職市場に売り込むこと

になるためなかなか「非正規」と言う立場から抜け出すことが出来ません。非正規転職市場で歓迎されるのは35歳までです、36歳以上は余程の実務経験知識がないとゴミ同然です。

プログラミングが注目を浴びている今はインフラネットワーク知識はあまり喜ばれないので何とか実務経験を積んでステップアップするしか非正規から

抜け出す方法はありません。その入りやすさと抜けにくさにはまった私はもう2年か3年くらい非正規でいることになります

非正規から抜け出せない人たち

なぜ非正規でいるのか、それは入りやすさにはまったまま抜け出せなくなった人が仕方なく選択しているからです。

非正規も暇ではありません、正社員もしくは元請け正社員と同等の働き求められるため一部の人で言われている「非正規責任がないから楽」は過去のものです。

そんなパフォーマンスを求められ有給取得もままならない環境のまま36歳になってしまってから気が付いても、もう転職市場では歓迎されません。

転職にわかりましたがweb系も年功序列思考がうっすら残っています、そこそこ名の知れたweb企業面接官に

「一人前になるのは20年、二十二歳で入れば42歳でうちの給与水準通りの働きをしてくれるけど君30歳でしょ?」と言われ不採用の通知が来ました・・・現実は厳しいものです。

そんな現実があるので、解雇制限がなくなったら非正規がみんなハッピーになれるとは思いません。

36歳未満の諸君がんばろう

頑張りましょう、今が非正規から抜け出すチャンスです

元のブログは「みんな非正規にしてしまえ」と言う結論でしたが、転職市場では年齢制限が当たり前のように存在するため

正社員と言うポジションがなくなった瞬間相当数の労働者が路頭に迷うことになるか低賃金でボロ雑巾のように働かせられる事になると考えています

小学生プログラミングコンテストを見て、この内の何人が社会人になってもキラキラした技術者になれてこの内の何人が非正規に追いやられるのかなと考えてしまます

2018-09-24

パスワード文字数上限設ける意味って

なんかあるの?

公開されてるようなものじゃないけど自分で作ったものだと上限は無し、それで問題起きたことない


普通ハッシュ化して固定文字長になるからデータベースの都合ということもないと思うし

しろ、上限あると生のパスワードそのまま保存してそうで怖い


(追記)

いや、ハッシュ化したところであまり文字数多かったら記憶しきれんだろ

安全を確保できる最低の文字数があれば十分だし

記憶というのはユーザが、ということだよね

32 文字もあれば十分だろうと言う人もいるだろうけど、フレーズパスワードにする人から見たらそれじゃ少ないって言うかもしれない

1000 文字もあれば絶対大丈夫だろうと思うけど、そんなことを考えるくらいならわざわざ上限なんて設けなくていいと思う

え?上限なしってマジ?凄くね? 10文字とかでも大丈夫って事?

webからサーバの POST サイズ限界に引っかからなければ

10文字って半角英数なら 10バイトたか100 KB だし普通に行けると思う

長すぎはハッシュ計算時間掛かりそうだし異常と言えるのは弾いてもいいと思う

今回言いたいのは何百万文字とかそういう話じゃなくて 12 文字とか 8 文字とかそういう不便に思うような制限を未だにつけてるシステム存在する理由

2018-09-22

JWTに関してのお伺い

http://b.hatena.ne.jp/entry/s/co3k.org/blog/why-do-you-use-jwt-for-session

適当コメントを書いたら

スーパーエンジニアに「そういうことではない」

と厳しい叱責を受けたため、無能の見識を書いてみた。

「聞くは一時の恥、聞かぬは一生の恥」のとおり、

せっかくの機会のため、びしばしセキュリティに関する認識の甘さを指摘してほしい所存

expの期限と任意セッションが切れないデメリットに対する私見

作ったシステムではexpは約1時間でやってしまいました(機密保持契約違反を恐れ多少ぼかしております)

私は無能なのでたぶんユーザーから報告を受けて

確認している間に1時間はかかるからいいやと思ってしまっていた

師はきっとJWT生成直後3秒でユーザー

「これは、セッションハイジャックか・・・!?

と気づいて通報

そして師が2秒で

「これは、セッションハイジャックだ!」

と検知してセッション遮断、秒速で一億円の被害が出るところを阻止する前提なのではないかと推測している

これは確かにJWTだと厳しそうだ

そもそもログインできるアプリなら

セッションハイジャック成功直後にパスワードを変更された場合

セッション任意に切れることに意味はないのでは、と思えてきたが、浅はかだろうか

(師はログインを即座に検知してセッションを切れるから問題ないのか)

とにかくアカウントロック機能を作れば上記懸念全てにきれい対応できそうに見えている

「定期的な鍵交換が必要」に関する私見

この理屈だと例えば.envに書くような他のkeyも定期的な交換が必要に見える

これはまずい、自分の今までの見識の甘さを思い知らされた

今使っているフレームワークリファレンスを見たが

keyは初回に設定したのみで、定期的な交換を勧める文が見つからない

私の検索力不足なのかと思ったが、もしかして彼らもこの危険性に気付いていないのではないか

JWTはhash化してつないでいる前提で

hashのkeyを総当たりで破る仮定で書く

私は無能なのでライブラリを用いることにしている

32文字keyが生成された

解読時間は下記を参考に、計算windows10電卓アプリを用いて手動で行った

https://ja.wikipedia.org/wiki/%E7%B7%8F%E5%BD%93%E3%81%9F%E3%82%8A%E6%94%BB%E6%92%83

数字大文字文字で約60の時は10桁で20万年と書いているが

現代の解析技術20万倍は速度が出ると仮定して1年として計算する

果たして、どのくらいの速度で鍵はやぶられると推定されるのか

とりあえず60を10乗した時点で(20文字相当)

6.0466176e+17

日本語に直すと60京4661兆7600億年かかる計算となった

実際にはこれが6.0466176e+17倍されさらに3600倍されつまりどういうことだ

これだけ長くともkeyの交換は必要なのであろうか

そもそも師は何年で交換したら安全と書いていないが、何年なら安全という意見だったのだろうか

「JWTはセッションIDを含めれば安全」に関する私見

から「そういうことではない」と指摘された点である

私の理解ではとかくuser_idのみ必要なら意味がないと思っていたため落ち込んでいる

まず、IDとpassを内蔵するネイティブアプリに対するapiサーバでの実装経験しかないこと

JWTが切れたら都度IDとpassを投げる方向でリフレッシュトークン実装しなかったことを告白しておく

そのためapiサーバ上記前提で用いた場合に考えたことを書く

webアプリのJWT実装経験はないので、そちらの論は差し控えさせていただく

JWT送信→user_id取得

では危険

JWT送信セッション(cookie形式?)送信切り替え→セッションからuser_id取得

だと安全になるのか検討する前提で記載する

とりあえず思いついたのは下記だった

通信途中で傍受されてログイン情報が奪われる危険が上がる
アプリから直接ログイン情報が奪われる危険が上がる

通信途中で傍受される危険に関して

tokenはheaderにbearerで付けユーザーID(あるいはそれに代わる特定可能識別子)が含まれ

おそらく一般構成仮定で書く

https通信するのでパケットキャプチャによる傍受は不可能と思っていた

(http通信するのはJWTとかcookieとか関係なく傍受できるため考慮しない)

0に何をかけても0なので、何回送っても解読されないならJWTを何回送っても問題ない

というかJWTが抜けるなら同様にheaderに付けるcookieでも抜けると思うので

JWTだからといって危険性に差はない、という論拠により安全性は変わらないという個人的結論になった

※余談だが、たまに送る回数が少ない方が安全という

言説を見るのだが、個人的には上記理由で納得できていない

アプリから情報が抜かれる危険性に関して

クライアントネイティブアプリ場合

攻撃者がアプリに保存されたJWTが取得できるならIDもpassも同じ方法で抜けそうに見えた

(厳密には保存場所が違ったかもしれんが実装依存なので同一とする)

その前提のため、わざわざ

JWT送信セッション(cookie形式?)送信セッションからuser_id取得 

接続しても、おそらくcookie形式で送れる何かもJWTらと同じ方法で抜かれると思われる

まりcookieだろうがJWTだろうがアプリから直接情報が抜かれる危険性には変わりがないという結論になった

結論

まりcookieだろうがjwtだろうがidpasswordの組だろうが同じ危険性で抜かれる可能性があり、いずれでも同じことができるなら

JWT→user_id

でいいじゃん、わざわざcookieと同様の形式を間に挟むの無駄じゃん、となりコメント発言に至った

ここまで書いて、常にJWTにsession_idを含めておいて送ることを意図されていた可能性にも気づいたが

それならもっと無駄なため考慮しない

セッションにするメリットとして唯一思いついているのは任意サーバ側でセッションを切れることだが

それを指していたのであろうか

それは最初段落問題と同一と思っている

余談だが、ブコメ雰囲気日和って「ユーザーIDのみ入れ」(そもそもJWTを自然に作れば入るのだが)

というセッションストア的にJWTに他の情報を入れると入れない時に比べて危険性があがることに同意したような記載をしてしまったが

結局JWTが奪えたら中身に関係なくbearerとしてセットして接続するだけなので

正直JWTを使った時点でついでにセッションストアのように使おうが使わまいがセキュリティ的にそこまで変わらないのでは、と思っている

強いて上げるならセッションに保存している内容が分かる可能性があり、サーバー内部の実装が推測できる危険があるくらいだろうか

でも暗号化したらよいのでは、と思った

私的結論

expの期限と任意セッションが切れないデメリットに関して

expを適切に設定しつつ、必要ならアカウントロック機能を入れる

(アカウントロック機能はJWTに関係なく被害の増加を抑えられる可能性がある)

定期的な鍵の交換について

長いkeyを設定すれば不要

「JWTはセッションIDを含めれば安全」について

少なくともapiサーバネイティブアプリに関して、セッションIDを含めても危険性は変わらない

正直webアプリでも大して変わらんのでは、と思っているのは内緒である

と思ったので短慮なところ、見落としている視点があるようなら今後のためにご教示をいただきたく

以上、よろしくお願いいたしま

結婚式引出物クレームを言う奴かな、コイツ

ハッカソンの優勝賞品はPCにしない方がいいという話」を読んで。

https://matsudamper.hatenablog.jp/entry/2018/09/16/174505

運営ダメってのはよーくわかった。

でも優勝賞品にケチつけるのは絶対おかしい。

だって、賞品とかそういうもんじゃん。

なんで自分の最善の道具になると思い込んでるの?

たとえ高スペックMac持ってても、Windows or Linux信者でも、べつにもらって誰かにあげたりサブとか寝室用とか試験用とかメディアサーバ化とか別の使い方すればいいじゃん。

おもちゃとしてもらった、くらいでいいじゃん。なんでメインで使おうとしてんの?ただの賞品に。

ハッカーならなおさら、それ実験的に使えるとか分解してなんかするとか楽しみ方あるじゃん

ゲームしない俺(ゲーム会社に勤務)は景品でゲーム機セットで当てたことあるけど、別に文句はないよ。欲しい親戚にあげただけ。

人生においてお祝いでいろいろもらうけど、もちろんもらって直接自分にとって嬉しいものばかりじゃないよね。

こいつ、そのたび文句言うの?

結婚式引出物文句行っちゃうタイプ

まりはこいつとは関わりたくない。

2018-09-19

とある会社機械学習環境を整備しているんだが心が折れそうだ

昨今流行りの機械学習プロジェクトがぽこぽこ立ち上がっている状況なのだが、一部の人を除き、apt-getで躓いているのは会社にとって損失だと考え、オンプレクラウドのようなものを構築することにした。

グループ全体の規模はそこそこ大きいが、将来単なるアッセブリー屋になることが目に見えている事もあり(今後20年以内には喰われてしまうという憶測もあり)ネットワークLinuxコンテナプログラミングが出来る自分が社内の機械学習、引いてはITインフラ民主化、なんだったら外販できるくらいのもの作ってやろうと鼻息巻いて無理やり一人プロジェクトを興すことにした。

まずは既存DHCPサーバ名前解決ができないDNSサーバからゲートウェイPCを用いてネットワーク的に分離、社内の物理的な設置スペースの問題デスクトップPCサーバPCが離れた所にあるため、WireGuardでVPN構築、ゲートウェイPCはそれぞれKea DHCPサーバ、PowerDNSサーバを稼働させ、OpenStack導入検討時に悩んだ鶏が先か卵か先か問題解決することにした。

上述の通り、システム構築にあたってOpenStackやMAAS,RancherOSなどを検討したが、社内のニーズを「100%」汲みとった上で、次世代オンプレクラウド個人的にはエッジクラスタがゆるく繋がるアメーバクラウド?のような呼称があっている気がするが)を構築するにはどれも痛し痒しで何かしら制限がついて回るのは許容できなかった。これは今後5年、特に海外事業所の開発者の事を考えた時には外せない要件だった。

とはいえmiekg/dnsを用いてCoreDNS進化版を作るにはリソースが足りず、BINDを用いるにはSA対応がしんどすぎるため、APIを備えており、今後も進化が見込めるであろうOSS、また必要であれば商用製品保守サービスが受けられる事から上記2つを選択した。

PowerDNSはさておき、ISC KeaはナウでYANGなLinux YANGに対応しようとしているなど(言いたかっただけ)、世の中のオンプレ環境を塗り替えるためには兎にも角にもAPIゲートウェイ重要だと考えたため、双方が提供しているAPIをうまく吸収するミドルウェア(とちょっとしたAPIサーバ)をGo言語作成した。

次に世の中のパブリッククラウドOpenStackなどを触ったことのある開発者はCloud-initに慣れているはずという前提の元、対応コスト勘案の結果、NoCloudで対応しつつ、上記APIサーバ連携し、ベアメタルマシン管理した事のある人はわかる、ベアメタルマシン特有の諸問題解決することにした。

まぁなんだかんだ大企業なのでお金解決する手段もあるが、そもそも高集積ラック搭載GPUサーバ購入の稟議が通るような会社だったら既にKubernetes導入しているだろうし、俺もこんなことしてない。

脱線したが、上記以外にも検証バックアッププランとしてAnsible記述などの作業はありつつも、3ヶ月かけてようやく基礎となるインフラ基盤が構築できたため、nuxt.js+go簡単フロントエンドサーバを構築し、一人情シス様相を呈している部下のリソース開放、Calico対応+Kubernetes導入、不安がっている上席が安心できるように、分かりやすい餅を用意しようとしている、というのが現状。

ここまで寝る時間も惜しんでトップスピードを維持したまま頑張ってきたものの、少し限界を感じている。

特にオンプレクラウド部外者が中々見えてこないものがあり、なんならその見えないもの限界まで吸収できるように、かつ現実的に実現可能ギリギリラインを狙っているのだが、そもそも周りに相談しようとしても何を言っているのか解説する所から始めないといけない。

覚悟はしていたが、ふとした時にとてつもない脱力感に襲われてしまう。

世の中を切り開いてきた諸氏はおそらく一度はぶつかったであろう、この内なる自分の壁をどのように突破してきたのだろうか?

ひたすら孤独との戦いだというのは頭では理解しているものの、突発的にくるこの脱力はいかんともしがたい。

推敲もせずに大変失礼極まるが、コメントをいただければ幸いである。

2018-09-18

anond:20180916201718

普通にサーバ職業名と番号で綴れや。

webならweb00-web99とかで、

ワイとかだと遊撃サーバにはbandit00とか付けてたやぞ。

[]2018年9月17日月曜日増田

時間記事文字数文字数平均文字数中央値
0012718680147.144
011281228796.034
02536353119.962
03213898185.6106
04184795266.443
054463115.885.5
06151686112.488
0712112093.372
08304798159.941.5
09505318106.433
10689484139.536.5
1196609263.535.5
1288826493.937.5
1379515665.335
1478526967.636.5
15699244134.074
1690771085.752
1774724097.841
18545466101.250.5
1979699688.644
209314064151.264
2111912245102.950
229410335109.963.5
2311615635134.845.5
1日1655182598110.345

頻出名詞 ()内の数字単語が含まれ記事

人(200), 自分(163), 話(86), 増田(79), ラノベ(64), 今(60), 人間(58), 問題(55), 子供(54), 前(53), 気持ち(48), 表紙(47), 好き(45), 日本(43), 感じ(43), 相手(43), 必要(41), 女性(41), 気(41), 最近(39), 社会(39), 女(39), 元増田(37), ネット(36), 金(36), 頭(36), 関係(36), 仕事(35), 男(35), 存在(34), 意味(33), 議論(33), ー(32), あと(32), 時間(31), 主張(31), 人たち(30), 作品(28), 表現(28), 親(28), ゲーム(28), 理解(28), 言葉(27), 誰か(27), 場合(27), 勝手(26), 普通(26), 会社(26), 目(26), 他人(26), 世界(25), 時代(25), 結果(25), 最初(25), エロ(24), 規制(24), オタク(24), 意見(23), 内容(23), 今日(23), 現実(23), 手(23), 理由(23), 一番(23), 批判(23), 状態(22), しない(22), じゃなくて(22), フェミ(21), 日本人(21), 他(21), 嫌(21), 心(21), 無視(21), 情報(20), まとも(20), 権利(20), フェミニスト(20), レベル(20), 男性(20), 結局(19), 無駄(19), 別(19), 差別(19), 漫画(19), 本人(19), 生活(19), 逆(18), 本(18), 子(18), 全部(18), 考え(18), 無理(18), 完全(17), 明らか(17), しよう(17), 説明(17), 前提(17), 昔(17), 先(17), 年齢(17), アニメ(17), 記事(17)

頻出固有名詞 ()内の数字単語が含まれ記事

増田(79), ラノベ(64), 日本(43), 元増田(37), じゃなくて(22), フェミ(21), キモ(16), ゾーニング(15), 可能性(15), ネトウヨ(13), 東京(12), 安倍(12), スマホ(12), 被害者(11), ツイート(11), 何度(10), わからん(10), ブクマ(10), ブログ(10), エビデンス(10), 好きな人(9), 1回(9), LGBT(9), OK(9), ツイッター(9), いない(9), 低能先生(9), アメリカ(9), 自分たち(9), キモい(8), エロい(8), ロシア(8), 中国(7), 自民党(7), マジで(7), なのか(7), ブコメ(7), お気持ち(7), な!(7), Twitter(7), 2回(7), ライトノベル(7), トラバ(7), 個人的(7), いいんじゃない(7), 花椒(6), お色気(6), 最終的(6), お姉さん(6), 増田民(6), 石破(6), twitter(6), 定期的(6), KKO(6), 生存権(6), ぶっちゃけ(6), 数年(6), 北海道(6), 麻婆豆腐(6), なんだろう(6), 表現自由(6), 筋トレ(6), にも(6), 危険性(6), 券売機(5), モチベーション(5), 高齢者(5), ネット上(5), アレ(5), PC(5), 人間関係(5), ポリコレ(5), 基本的(5), B(5), 叶姉妹(5), 社会人(5), キチガイ(5), 公共の福祉(5), はてブ(5), 脳内(5), スレ(5), AV(5), 学生時代(5), 女性専用車両(5), なんの(5), 母の日(4), いつまでも(4), 敬老の日(4), 健常者(4), 1人(4), 自家用自動車(4), 堀江貴文(4), 歩行者(4), 性犯罪(4), コスパ(4), 差別的(4), 九大(4), である(4), 価値観(4), 多様性(4), 1億円(4), キモイ(4), 父の日(4), bot(4), 1日(4), あいつら(4), 著作権(4), カス(4), article(4), youtube(4), 関係性(4), はてなー(4), 巨乳(4), 松屋(4), 低学歴(4), アプリ(4), 韓国(4), はねバド!(4), 生産性(4), 基地外(4), 毎日(4), なんでだろう(4), togetter(4), ブクマカ(4), 西村博之(4), hatena(4), 10年(4), 5ch(4), プレイ(4), 安倍総理(4), 笑(4), tyoshiki(4), 正当性(4), 9割(4), 三連休(4)

投稿警察もどき日中に再投稿された本文の先頭20文字 ()内の数字投稿された回数

そうなんですか? (3), パンティー (2), うんち (2), 孫から敬老のお祝い→OK 子供から敬(2), ゴミを貼るな (2)

頻出トラックバック先(簡易)

敬老の日ギフトを贈ったら親がキレた /20180916222326(17), ■哲学的マンガ /20180916200956(13), ■そもそもエロ子供有害というエビデンスはあるのか? /20180917130856(11), ■オタク他者に対する思いやりの欠如が根本的な問題だと思う /20180917205518(9), (タイトル不明) /20180917153111(8), ■うちにパワハラ上司(30代)がいるんだが・・・どうしたらいい? /20180917103431(7), ■エレベーターで左側を歩く人 /20180917192759(7), ■なんかハッとすること言ってくれ /20180916081838(6), ■メールソフト送信も受信もしないでメッセージをやり取りする方法 /20180917150132(6), ■花椒の入ってない麻婆豆腐が好き /20180917161708(6), ■スーパー弁当を品定めするお爺さん /20180917001512(6), ■「~」をチン毛って呼ぶことにしない? /20180916031045(6), ■ /20180917144812(6), ■anond20180917172911 /20180917212702(5), ■松屋店員にワザワザ注文する客 /20180916181131(5), ■100台以上のサーバホスト名に使えそうなシリーズ教えてください /20180916201718(5), ■anond20180917005244 /20180917010740(5), ■自由は最優先ではない /20180917013817(5), ■anond20180917140234 /20180917143939(5), ■はてな議論勝敗が判定できないバカばかり /20180917202950(5), ■日本人は公開の場で個人名上げて批判すると相手物理危害を加えようとする /20180915235240(5)

増田合計ブックマーク数 ()内の数字は1日の増減

5620845(970)

2018-09-17

anond:20180916201718

ごめんごめんちょっとまって

あなたは100台以上のサーバ名前を覚えていて正確にタイピングする事が出来るの?

[]2018年9月16日日曜日増田

時間記事文字数文字数平均文字数中央値
007717170223.058
0151366371.851
0237339591.879
03232729118.778
04172342137.8106
05141492106.641
06247405308.586
0716128680.445
08274967184.078
09677311109.176
10556942126.239
1176626182.441.5
129111480126.235
1371654792.239
1444333775.851.5
15498893181.538
166414838231.863
17609299155.048.5
18748085109.353.5
1981518664.035
20859120107.344
211041004596.649
228811253127.942
239213616148.063.5
1日1387176662127.448

頻出名詞 ()内の数字単語が含まれ記事

人(169), 自分(123), 今(68), 話(65), 前(54), 好き(53), 問題(52), 日本(47), 仕事(42), 人間(42), 女性(39), あと(39), 増田(37), 感じ(36), 最近(35), 気(34), 必要(34), 関係(34), 気持ち(33), 子供(33), 男(32), 相手(32), オタク(32), 理由(31), 目(31), 漫画(30), ラノベ(29), ー(29), 時間(29), 頭(28), 女(27), アニメ(27), 表紙(26), 意味(26), 金(26), 普通(26), 社会(26), 結局(24), 他(24), 店(24), 結婚(23), ネット(23), 安倍(23), 海外(23), 名前(22), 存在(22), しない(22), 誰か(21), 理解(21), 場合(21), ゾーニング(21), 逆(21), お金(20), 昔(20), 嫌(20), 会社(20), 手(20), 記事(20), 状況(20), レベル(20), 日本人(19), 仕方(19), 規制(19), 無理(19), 人生(19), じゃなくて(19), 性的(19), 意見(19), 人たち(19), 内容(19), 下手(19), 絶対(19), ダメ(18), 話題(18), 安倍総理(18), 別(18), 一番(18), 最初(18), 作品(18), しよう(18), 世界(18), 状態(18), 家(18), 自由(17), 時代(17), 勝手(17), 親(17), ネトウヨ(17), 完全(17), 今日(17), 批判(17), ゲーム(17), 家族(17), 男性(17), 消費(16), 扱い(16), 差別(16), 毎日(16), 自民党(16), 興味(16), 主張(16), 他人(16), 言葉(16), 可能性(16)

頻出固有名詞 ()内の数字単語が含まれ記事

日本(47), 増田(37), ラノベ(29), 安倍(23), ゾーニング(21), じゃなくて(19), 安倍総理(18), ネトウヨ(17), 自民党(16), 可能性(16), なのか(14), スマホ(13), ブコメ(13), ブクマ(12), フェミ(11), はてサ(11), iPhone(10), はてブ(10), いない(10), 元増田(10), SE(10), キモ(9), アメリカ(9), BL(9), 東京(9), クリエイター(8), 中国(8), 生活保護(8), 2018年(8), 個人的(8), わからん(8), 何度(8), お気持ち(7), 資本家(7), 笑(7), マジで(7), 社会人(7), 資本主義(7), 分からん(7), 安倍自民党(7), bot(7), ブログ(7), 漫画家(7), ツイッター(7), あいつら(6), …。(6), 付加価値(6), 婚活(6), 自分たち(6), 多様性(6), 二次創作(6), 電子書籍(6), twitter(6), 基本的(6), OK(6), イケメン(6), iPhone SE(6), いいね(6), ブクマカ(6), リアル(6), ポリコレ(6), LGBT(6), いいんじゃない(6), Android(6), 毎日(5), 非表示(5), アップロード(5), wiki(5), コスパ(5), Apple(5), 女子高生(5), 価値観(5), 安倍政権(5), 最終的(5), 山口敬之(5), 社会学者(5), 2人(5), 1日(5), FGO(5), キモい(5), なんだろう(5), アニメーター(5), 10年(5), .s(5), Twitter(4), NG(4), アイマス(4), タトゥー(4), 知らんけど(4), 韓国(4), アプリ(4), 大阪(4), u.(4), 5年(4), 松屋(4), 漫画村(4), キチガイ(4), ???(4), 同人誌(4), t(4), ブックマーク(4), 引きこもり(4), 悪いこと(4), なんの(4), 上の(4), P(4), 関係者(4), 麻生(4), 意味不明(4), 娘(4), 購入者(4), 艦これ(4), PC(4), ダブスタ(4), 安室奈美恵(4), LINE(4), ぶっちゃけ(4), 安倍晋三(4), トマト缶(4), エロい(4), E(4), アレ(4), 高齢者(4), キモオタ(4), 1万円(4), 1人(4), パワハラ(4), にも(4), 表現の自由(4), w(4)

投稿警察もどき日中に再投稿された本文の先頭20文字 ()内の数字投稿された回数

うんち (4), パンティー (3), メタブウォッチャー (3), 効いてる (3), お前が人間付き合い下手なだけじゃん (2), 「労働によって生み出された物・サービ(2), 進撃の巨人にしてもバトルシーンの絵は(2), 寝ろ。邪魔くせえ。 (2), 搾取存在するのは事実から問題(2), ていのいい断りの可能性が一つ。 鈍く(2), だってキャラルックスを見てみろよ、(2), レトルトパスタソースってまずいよ (2), juventus sassuolo (2)

頻出トラックバック先(簡易)

■なんかハッとすること言ってくれ /20180916081838(14), ■iPhone SE好きでも良いじゃん /20180916000143(13), ■海外における日本オタク創作物割れについて /20180916030951(12), ■Twitter嘘松四天王 /20180915205851(11), ■100台以上のサーバホスト名に使えそうなシリーズ教えてください /20180916201718(10), ■漫画で最もワクワクした「新展開突入」は何? /20180916105750(8), ■ /20180915210128(7), ■トマトパスタって全然やすくない /20180915193233(7), ■ぶっちゃけ大阪なおみって日本人じゃないよな(笑) /20180916190936(6), ■個人情報握れば二言目には「よし特定」 /20180916115758(6), ■自転車こけて子供を死なせて書類送検されたお母さん辛い /20180916215841(5), ■松屋店員にワザワザ注文する客 /20180916181131(5), ■CoCo壱番屋の良いところが見つからない /20180916082553(4), ■自由意志、存在するだろ /20180915031753(4), (タイトル不明) /20180916211002(4), ■「絵がが下手な漫画」が嫌いって言う奴なんなの? /20180915160424(4), ■男ってマジで頭悪いのな /20180916124538(4), ■日本人は公開の場で個人名上げて批判すると相手物理危害を加えようとする /20180915235240(4), ■オタクさんて /20180916114150(4), ■助けてくれ /20180916171214(4), ■どこにでもいる /20180916223743(4), ■女として産まれたことが、憎い。 /20180916122243(4), ■わざわざ荒らすために読むクソフェミムーブ /20180916150725(4), ■そういえばさッ /20180916205336(4), ■愛があふれる /20180916164946(4), ■anond20180916215038 /20180916215703(4), ■ラノベポルノ表紙もBLゾーニングされるべきだ /20180915111053(4)

増田合計ブックマーク数 ()内の数字は1日の増減

5619875(1615)

アーカイブ ヘルプ
ログイン ユーザー登録
ようこそ ゲスト さん