  |
はてなキーワード: BASIC認証とは
転職先のパソコンがガチガチにロックダウンされている上に、外部通信も割とガチガチにブロックされているのでコードで遊べない。
SSHもダメ、DynamicDNSもダメだったけど、ドメインを登録してshellinaboxとかgottyとかでブラウザでアクセスできるようにした(nginxとbasic認証、modsecurityでセキュリティ対策)。
が、もっと簡単な方法はVS CodeのTunneling Server(https://code.visualstudio.com/docs/remote/tunnels)を立てて、vscode.devからブラウザでアクセスするだけで良かった!
この方法だと、egress 443さえ空いていればよいのでPort Forwardingさえ不要だ。
時間課金だったり、萌えキャラで結構オススメされている事が多いVPS。
ただその実態としては、非常に悪徳な業者なので、軽く触ってみる程度だと問題ないだろうけれど、それ以上の利用は強くオススメ出来ない。
諸条件あると思いますが、CPUを100%使い切りする処理を継続していたら、事前警告なく、サーバを止められました。
こんな利用をしていたのは、CPUは共有ではないとされていたからなのだけれど…
https://megalodon.jp/2018-0114-1653-36/https://www.conoha.jp:443/faq/vps/
そんな事はお構いなしに停止させられました。それも夜中にね。
まぁ専有可能なリソースを100%使い切っても問題はないわけで、サーバの停止に対して不服を申し立てるも一切の応答なし。サーバ停止の事後連絡に対し返信をしようが、サポートへの問い合わせをしようがなしのつぶて。なので、利用者側に過失がある場合はもちろん、事業者側に過失があっても、お構いなしに機械的にサーバを事後連絡でばんばん止めてくる。
CPUの件は、全く以て対策になっていないと思うけれど、以下のFAQをしれっと削除していました。(「basic認証はできますか?」の下にあった)
CPUは共有ですか?
https://megalodon.jp/2018-0204-2144-52/https://www.conoha.jp:443/faq/vps/
いやー、せこすぎるよGMO。
しれっとFAQを共有のCPUですに書き換えるだけでも十分過ぎるくらい悪質だけれど、不都合だからと、いくらなんでも掲載を下ろしてしまうとは…
いやー、早急な改修というのは、隠蔽なんですね。GMOすごい。
一般的な仮想環境の場合、CPUをオーバーコミット(簡単にいうと、8個のCPUに9個以上のvCPUを必要とするゲストOSを起動してしまう)しているケースです。今更、共用云々ということを言ってきたので、この点具体的に聞いてみました。
ご担当者 様
いつもご利用いただき、まことにありがとうございます。
はい、見事に答えてもらえていません。
こちらとしては、契約するときのスペックに関わる重要事項だから聞いているのだけれど、どうやら、ご案内できかねる内容らしい。
厳密なことをいうと、HyperThreadingを利用していると厳密には1vCPUで0.5コアの共有割り当てな一方で、1vCPUで1コア近い処理が出来てしまうので影響がなくはないのですが、こちらの件だとHTに配慮して2コアのサーバを借りていたので、それも関係なかったりね…
ご担当者 様
いつもご利用いただき、まことにありがとうございます。
お問い合わせの件につきまして、すでにVPSの削除を
大変恐縮ではございますが、ご料金の調整につきましては
今後ともConoHaをよろしくお願いいたします。
─────────────────────────────
FAQ/よくあるご質問 https://www.conoha.jp/faq/
お問い合わせ info@conoha.jp
─────────────────────────────
おかげさまで22周年 すべての人にインターネット
■ GMO INTERNET GROUP ■ https://www.gmo.jp/
─────────────────────────────
機密情報に関する注意事項:このE-mailは、発信者が意図した
上記の使い方ですが、別に他のサーバに対するクラッキングをしているわけではないし、停止させられることはありません。念のため…(似た使い方をメジャーなA社、G社のパブリッククラウドや、S社のVPSでやってみましたがいずれも問題なし)
まじな話をすると、N予備校のプログラミング入門コースやるのがオススメ。
一日8時間勉強時間があるなら、だいたい一ヶ月で終わる内容。
月額1000円だけどしっかり勉強すれば一ヶ月の無料期間中に終わると思う。
もともとN高等学校のノンプログラマーの生徒をWebエンジニアとして就職させるために作られたカリキュラムで講師曰く去年はこれで二人エンジニア就職を決めたらしい。
内容も相当親切に説明していて、プログラミングで何か作るだけじゃなくて、就職に必要な環境構築やセキュリティまでみっちりやる。
で講師が書いてる入門コースで習うことがまとめ。テキスト教材もあるけど授業も1項目を2時間で説明している。授業は週2の生放送とそのアーカイブがある。
↓みたいなことが学べる
----
Web ブラウザとは (Chrome, デベロッパーコンソール, alert)
はじめてのHTML (VSCode, HTML, Emmet)
さまざまなHTMLタグ (h, p, a, img, ul, tableタグ)
HTMLで作る自己紹介ページ (HTMLタグ組み合わせ, コンテンツ埋め込み)
はじめてのJavaScript (JS, ES6, エラー)
JavaScriptでの計算 (値, 算術演算子, 変数, 代入)
JavaScriptで論理を扱う (論理値, 論理積, 論理和, 否定, 比較演算子, if)
JavaScriptのループ (ループ, for)
JavaScriptのコレクション (コレクション, 配列, 添字, undefined)
JavaScriptの関数 (関数, 関数宣言, 引数, 戻り値, 関数呼び出し, 再帰)
JavaScriptのオブジェクト (オブジェクト, モデリング, プロパティ, 要件定義)
はじめてのCSS (CSS, セレクタ, background-color, border)
CSSを使ったプログラミング (transform, id, class)
Webページの企画とデザイン (企画, 要件定義, モックアップ, 16進数カラーコード)
診断機能の開発 (const, let, JSDoc, インタフェース, 正規表現, テストコード)
診断機能の組込み (div, 無名関数, アロー関数, ガード句, truthy, falsy)
ツイート機能の開発 (リバースエンジニアリング, URI, URL, URIエンコード)
LinuxというOS (VirtualBox, Vagrant, Ubuntuのインストール, OS, CUIの大切さ)
コンピューターの構成要素 (ノイマン型コンピューター, プロセス, lshw, man, ps, dfの使い方)
ファイル操作 (pwd, ls, cd, mkdir, rm, cp, mv, find, ホストマシンとの共有ディレクトリ)
標準出力 (標準入力、標準出力、標準エラー出力、パイプ、grep)
vi (vimtutor)
シェルプログラミング (シバン, echo, read, 変数, if)
通信とネットワーク (パケット, tcpdump, IPアドレス, TCP, ルーター, ping)
サーバーとクライアント (tmux, nc, telnet)
HTTP通信 (http, https, DNS, hostsファイル, ポートフォワーディング)
GitHubでウェブサイトの公開 (GitHub, リポジトリ, fork, commit, 情報モラル)
イシュー管理とWikiによるドキュメント作成 (Issues, Wiki)
GitとGitHubと連携 (git, ssh, clone, pull)
GitHubへのpush (init, add, status, インデックス, commit, push, tag)
Gitのブランチ (branch, checkout, merge, gh-pages)
Node.js (Node.js, nodebrew, Linux, REPL, コマンドライン引数, プルリク課題)
集計処理を行うプログラム (集計, 人口動態CSV, Stream, for-of, 連想配列Map, map関数)
アルゴリズムの改善 (アルゴリズム, フィボナッチ数列, 再帰, time, プロファイル, nodegrind, O記法, メモ化)
ライブラリ (ライブラリ, パッケージマネージャー, npm)
Slackのボット開発 (slack, mention, bot)
HubotとSlackアダプタ (hubot, yo)
モジュール化された処理 CRUD, オブジェクトライフサイクル, filter)
ボットインタフェースとの連携 (モジュールのつなぎ込み, trim, join)
同期I/Oと非同期I/O (同期I/O, 非同期I/O, ブロッキング)
例外処理 (try, catch, finally, throw)
HTTPサーバー (Web, TCPとUDP, Webサーバーの仕組み, Node.jsのイベントループ, リスナー)
HTTPのメソッド (メソッド, GET, POST, PUT, DELETE, CRUDとの対応)
HTMLのフォーム (フォームの仕組み, form, input)
HerokuでWebサービスを公開 (Webサービスの公開, heroku, dyno, toolbelt, login, create, logs)
認証で利用者を制限する (認証, Basic認証, Authorizationヘッダ, ステータスコード)
Cookie を使った秘密の匿名掲示板 (Cookie, Set-Cookie, expire)
UI、URI、モジュールの設計 (モジュール設計, フォームのメソッド制限, リダイレクト, 302)
フォームによる投稿機能の実装 (モジュール性, textarea, 303)
認証された投稿の一覧表示機能 (パスワードの平文管理の問題, 404, テンプレートのeach-in)
データベースへの保存機能の実装 (データベース, PostgreSQL, 主キー)
トラッキングCookieの実装 (トラッキング Cookie, IDの偽装, Cookie の削除)
削除機能の実装 (データベースを利用した削除処理, 認可, サーバーサイドでの認可)
管理者機能の実装 (Web サービスの管理責任, 管理者機能の重要性)
デザインの改善 (Bootstrap, レスポンシブデザイン, セキュリティの問題があるサイトを公開しない)
脆弱性 (脆弱性, 脆弱性で生まれる損失, 個人情報保護法, OS コマンド・インジェクション)
XSS脆弱性の対策 (XSS, 適切なエスケープ処理, リグレッション)
パスワードの脆弱性の対策(ハッシュ関数, メッセージダイジェスト, 不正アクセス禁止法, パスワードジェネレーター, 辞書攻撃)
セッション固定化攻撃脆弱性の対策 (セッション, セッション固定化攻撃, ハッシュ値による正当性チェック)
より強固なセッション管理 (推測しづらいセッション識別子, 秘密鍵)
安全なHerokuへの公開 (脆弱性に対する考え方, HTTPの廃止)
Webフレームワーク (Express.js, フレームワーク導入, 簡単なAPI, セキュリティアップデート, Cookie パーサー, ミドルウェア, 外部認証, ロガー)
ExpressのAPI (app, Properties, Request, Response, Router)
GitHubを使った外部認証 (Passport, OAuth)
テスティングフレームワーク (Mocha, レッド, グリーン, リファクタリング)
継続的インテグレーション (CircleCI)
クライアントのフレームワーク (Webpack, Chrome 以外のブラウザでもES6)
DOM操作のフレームワーク (jQuery, jQueryアニメーション, this)
AJAX (jQuery.ajax, クロスドメイン, 同一生成元ポリシー, x-requested-by, CORS)
WebSocket (WebSocket, WebSocketの状態遷移, Socket.io)
RDBとSQL (DDL, DCL, CREATE, DROP, INSERT, DELETE, UPDATE, WHERE)
テーブルの結合 (外部結合, 内部結合, 片側外部結合, JOIN ON)
インデックス (インデックス, 複合インデックス, Bツリー)
集計とソート (SUM, COUNT, ORDER BY, GROUP BY)
「予定調整くん」の設計 (要件定義、用語集、データモデル、URL設計、モジュール設計、MVC)
認証とRouterモジュールの実装 (Mocha, supertest, passport-stub, モックテスト)
予定とユーザーの保存 (セキュリティ要件, UUID, 複合主キー)
予定とユーザーの一覧の表示 (非同期処理, Promise, then)
出欠とコメントの表示 (入れ子の連想配列, Promise.all, 子どもからデータを消す)
出欠とコメントの更新 (Promiseチェイン, リファクタリング)
ttp://biz-journal.jp/2015/07/post_10624.html
http://megalodon.jp/2015-0709-1915-43/biz-journal.jp/2015/07/post_10624.html
要約:発注通りに制作を行わないWeb制作会社エレファントコミュニケーションズ。納期直前になっても、オーダーした通りのデザインになっておらず、発注者のA社はカンカン。
社長が謝罪と説明にくるアポを取り決めたが、当日来たのは制作担当の社員2名。(ディレクターとデザイナー)
ディレクターは制作会社側に非はなく、今後も対応を続けると表明。
「サーバーは空の状態に戻す」
とし、ウェブサイトの公開ができないことに。
この記事を書いたのは、株式会社ヴィベアータ代表取締役、ブラック企業アナリスト新田 龍なる人物。
ttp://viebeata.com/
この記事が掲載された時点から「発注側からの視点でしか記述されていない」ことがWeb業界内で不審がる声があがった。
また、発注者は匿名としながら、問題とされる制作会社「エレファントコミュニケーションズ」は会社名実名名指しであったことも疑惑をよんだ。
https://www.facebook.com/permalink.php?story_fbid=980053998693287&id=204780772887284
要約:
・発注者である「A社」は名指ししないものの「カルマ清算コース」なるサービスを提供する運営会社である>>
ttp://lyrasantih.blog54.fc2.com/blog-entry-1237.html
http://megalodon.jp/2015-0709-1931-22/lyrasantih.blog54.fc2.com/blog-entry-1237.html
BizJournalで述べられていた「サーバー廃棄にともない、ブログにてサイト運営を引き継いでいる」ことを伺わせる。
インフォメーション
ノア・アカデミーのホームページは、現在制作中です。皆さまには、ご不便をおかけしております。ノア・アカデミーのホームページが完成するまでの間、2daysワークショップ、1dayセミナーの新情報、料金案内などは、当ブログ上にてご案内いたします。
◆ 住所
なお、noah-z-academy.comは、現在BASIC認証によるアクセス制限がかけられている
2001年の四国八十八カ所巡礼にて数々の神秘体験を経た後、人類の霊的進化を促すために必要な膨大な情報を様々な次元領域から得る。その後、陰陽法則をマスターした自身の過去生に属する感覚的記憶を辿りながら、2011年には今生におけるリマスターを完遂。その裏付けとして完成させたメソッド「人格統合」(総合法令出版)には、個が内なる統合を果たし輪廻を制するに至るまでの指針が明瞭に示されている。
ttp://lyrasantih.blog54.fc2.com/blog-entry-1244.html
http://megalodon.jp/2015-0709-1935-12/lyrasantih.blog54.fc2.com/blog-entry-1244.html
http://megalodon.jp/2015-0709-1936-47/www.ly-ra-academy.com/
皆さまには、ご不便をおかけしております。
ノア・アカデミーのホームページが完成するまでの間、2daysワークショップ、
http://web.archive.org/web/20150214221322/http://www.ly-ra-academy.com/program.html
確かな霊的進化を果たしたい人たちへ
表面的な癒しや善信仰(ポジティブシンキング)に逃げるのではなく、目の前の現実と向き合い、自身の課題を直視することなしに、霊的成長を果たすことはできません。
リラ・アカデミーでは、それぞれの事情や経済状況に合わせて、個々が望む結果を得ることができるよう、様々なプログラムを用意しております。
ゆったりとした、マイペースな取り組みを望む人は、個人セッションを。
短時間で集中して、カルマ清算や人格統合のノウハウに触れたい人は、『2days集中ワークショップ』を。
人と関わるなかで、徹底した表現力やコミュニケーション能力を身につけながら、本格的なカルマ清算にチャレンジしたい人は、『カルマ清算コース』を。
スピリチュアルリーダーとして、周囲の人たちや、時代を率いることが可能な意識レベルにまで到達したい人は、『スピリチュアルリーダー養成スクール』を。
エレファントコミュニケーションズは、コーポレートサイト見る限り、しっかりした案件を多く手がけているのに、なんでこんなトンデモなの引き受けちゃったのかな??
しばらく当該案件のヲチをさぼってたのですが、若干動きがあった模様
ttp://ameblo.jp/nitta-ryo/entry-12049856050.html
http://megalodon.jp/2015-0723-1737-23/ameblo.jp/nitta-ryo/entry-12049856050.html
しており、1週間の回答期限を過ぎても先方から何ら連絡は
なかった
説明は依然としてなされていない
なお、続報を準備中とのこと。
ttp://biz-journal.jp/2015/07/post_10624.html
いつごろ取下げられたのかは不明。Wayback machineでは、7/8付の状態では公開中であったことが確認されている。
サンプルコードの部分だけでなく、ソースを丸ごとコピーして使ってしまう人がいる。
そうなると自サイトのタグごとそちらのサイトの記述されてしまって
サンプルコードを載せている側としては、アナリティクス込みのソースが使われてしまうのは想定内。
だいたい初回から2、3日以内でトラッキングしなくなるので、さほど気にしていない。
ただ今回、例外が発生して某ドメインからのトラッキングが止まない。
最初にそのドメインのトラッキングを見つけたときは明らかに構築中で今は公開中?(テスト確認中?)
構築中においてIP制限も、Basic認証も設定されてない時点でお察し。
なんだかなあ...
現在Web制作会社で働いている者だけど、年齢と経験以外の観点からコメントしてみる。
まず、募集要項はちゃんと読んでる?
あなたが探しているような仕事は「HTMLコーダー」「マークアップエンジニア」と呼ばれることが多いから、よく見て応募すること。
そしてこのHP。
この手の職業訓練だと、デザインまでは教えてくれないから、どうしてもこんな感じのサンプルサイトが出来上がるよね。
これをそのままポートフォリオとして提出しても、採用側の反応はあまり良くないと思う。
何でもいいから、適当な企業サイトのスクリーンショットを取って、それをスライス→コーディングしてみるのはどうだろう。
トップページだけでいい。
当然、元サイトのソースをコピペするのは禁止。可能な限り、元サイトの表示に近づける。
こうして作った物をアップロードする際は、必ずBASIC認証などで一般公開されないようにすること。
そのままだと「なりすまし」になっちゃうし、他にも色々問題があるからね。
見た目以外にも
「完成した」と思ったら、おかしなところはないか、念入りにチェックすること。
ついでに言うなら、無料の公開スペースはオススメしない。広告邪魔だし。
「スタードメイン」や「Xdomain」はドメイン代(年480円~)だけで広告なしの共用サーバー(※PHP使用不可)が使えるからオススメ。
Webサイト開発・運用・保守の仕事をやっている都合、業務の一環として日常的にスマホを使うことが多いのだけど、プライベートで使っているのはガラケー。
やっぱりガラケーのほうが圧倒的に使いやすいのよねー。スマホに切り替える理由が今のところない。
自分、結構指太いから、狙ったポイントが押せなくてイライラすることが多いんです。
ソフトキーボードは画面を横向きにしないとまずまともに使えない。
Basic認証のID/パスワードとかを毎回手入力するのマジ苦痛ですわ。
UIの研究・調査のためにフリーのゲームをいくつかインストールしたこともあるけど、思い通りの操作ができなくてイライラすることが多いね。
使っているうちにディスプレイがベトベトになるのがまた嫌だったりする。
指紋が気になるたびにいちいち拭いているわけだけど、画面を直接触るというインタフェースである以上、使うたびに必ず汚すことになるわけで、必要な時以外はあまり触りたくない。
あと、ディスプレイとか折りたたみ式じゃないと不安にならないのかしら。
ポケットとかカバンに入れて歩いてる時に画面に細かい傷がついてしまいそうであまり持ち歩きたくない。
このバージョンから今ま
でのBasic認証から、OAuth認証という認証方式になりました。TwitterのBasic認証が2010年春くらいから非推奨になるそうなので。
具体的には、ファイルの中にユーザー名やパスワードを直接書くのではなく、このサイトからTwitterのサイトへ張っているリンクをたどって、Twitterのサイトに認証してもらって、それで発行されたキー(文字列)を保存して、ファイルに書き込んでもらう、という手順を取ることになります。
ちょっと手順としては面倒だけど、今までの方式より安全だし、Twitterを投稿したときに表示されるクライアント名(「webより」などの部分)を変更できるというメリットがあります。
すでにOAuth認証用のキーを持っている人は、そのキーをそのまま使うことができます。
setting.phpに書いてある$consumer_key、$consumer_secret、$access_tokenと$access_token_secretの4つのキーを、自分で取得したものに入れ替えてください。
自分で独自のOAuth認証用アプリを作れば、つぶやきの「送信元」を自由に変更することができます。詳しくはPHP+OAuthでTwitter - SDN Projectなどを参照してください。
まだOAuth認証キーを持っていない方は、ここで取得することができます。その場合、つぶやきの「送信元」は「EasyBotter」になります。
以下のリンク先の指示に従って、OAuth用のキーを取得してください。
こちらの記事を読んで。
http://d.hatena.ne.jp/natsu_san/20090315/1237115978
腐女子の検索避け文化inニコ動 - __ScrapBook of Plumber
先ず、文章全体に検索避けを配置する必然性は、固有名詞以外の単語でも、何かの拍子で他の言葉での検索に引っ掛かってしまう恐れがあるからではないかと思う。要するに、元ネタを探しに来た人がたまたま見てしまうことを恐れて。独特の暗号等を熟知した人以外には辿り着いて欲しくないから。そういうことじゃないかなと思います。
ただ、正直言ってこんなのはニコニコでやるな、の一言に尽きる。検索避けだけがんばっても、そんなものは配慮と呼ぶには中途半端極まりない。
こういうことって、部外者から見れば鼻で笑っちゃうことなのかもしれないけど当事者には死活問題なのである。
ただ、なんだ、今回のニコニコの件にも言えるようにやってることが中途半端なんじゃないかと思うことが増えてきてしまった。
検索避けだ伏字だソーシャルブックマーク禁止だとか以前にBASIC認証くらい付いたページを作るのが最低限の常識だと思っていたよ。
最近では腐女子がなんだどうとかって騒がれるようになって、市民権を得たとか、正直大きなお世話だ。誰が市民権が欲しいなんていったんだ。
そういうイメージが先にあって、こっちの世界に飛び込んだ人はやっぱりどこか危機感が足りないような気がする。検索避け等も、本気で考えている人もいれば、やらなきゃ怒られるから程度の意識でやってる人もいるのだろう。検索避けは様式美じゃねーぞ!こうやって記事にされちゃうくらいに知られてるんじゃ検索避け・伏字の意味なんてないっていうのに。
正直、腐女子必死だなで終わる話だとは思う。でも腐女子なら必死になってください。
版権元や本人といった人たちに、実際は既に知られているっていうことが多いのだと思うけれど、それでも目をつぶってくれているならこれ以上迷惑かけないようにしたいというのがばばあの切なる願いである。
ウィルス検索ソフトのあるものは、ダウンロードされたファイルのURL(と内容も?)をどんどん自社DBに登録していっているが、googleのブラウザは当然そのブラウザを使ってアクセスされたURLをgoogleに通知して内容を保存していってるんだろうなと予想。ブラウザでの入力時点でID/PASSも抜かれるからbasic認証かけてても無意味だね。
そして閲覧した内容に最適化されたgoogle adが表示されるようになるんだぜ!
ad表示程度ならマシだけど、そのうちパケット監視で取得できる情報は全て公開情報だからプライバシーには含まれませんとか言いそう。
ハイパーリンクはWWWの基本概念で、特定の人間にしか閲覧されたくなければBasic認証かけるとか技術的に対応すべきだとか主張してるやつがこれか。
RemoteHostをアクセス先に通知するのも通知されたRemoteHostをアクセス先で自由に利用するのもWWWで基本的に認められてる仕組みだ。相手に知られるのがイヤなら串使うとかして技術的に対応すべき。
リモホ公開するのはマナー違反とか言い張るなら無断リンクはマナー違反という主張も認めてやれよ。バカすぎる。
悪さっていうかこれもしダウンロードするファイルに個人情報とか含まれてたら問題になると思うんだけど。
Basic認証かけとけば弾けるのか?
昔のOperaも閲覧するページの情報がOperaに送られてるっていう問題があったけど。
「トレンドマイクロ URLフィルター」で調べたら高木さんとこでも問題として取り上げられてたみたいだね。
これはアクセスしようとするURLの情報が顧客に対しては大っぴらじゃない形でトレンドマイクロに送信されているのが、スパイウェアじゃないかっていう見方の話しだけど。
こういうことしてるならURLを送信する前に「これからアクセスしようとするページの情報をセキュリティチェックのためにトレンドマイクロに送信しますがいいですか?」っていうダイアログを表示するべきなんじゃないだろうか。
既にそうなってるのかな?ウィルスバスター使ってないから知らないんだけど。
何かのアカウントを作る必要がないのがいい
ってあるじゃん。
まさにそこ。
機能を得るための労力と、そのある意味わがまま(こだわり)と言える要望のどっちを取るかを取捨選択するのが分析作業だと思う。
たかだか内々での連絡に使用する用途が、携帯の固有番号とひもつけられる事によって本当に問題になりうるのかと言うのも判断すべき点かな。
と言うかむしろ「家族全員携帯持ってねぇよ」と言う問題の方がありそうで、mixiを捨てる致命的な理由になりそう。
後の候補は
通常の掲示板を、.htaccessが使えるサーバに設置してBASIC認証を掛けるとか、
MovableType使って非公開ページを運営するとか。
