  |
はてなキーワード: HTTPとは
を狙ってるそこのお前
どうせお前のスキルセットは「html,css,js,rails」だろ?
揃いも揃ってそんなんばっかり
HTTPメソッドもSQLも理解せずにそれっぽく動くN+1だらけのクソ作っただけだろ?
webプログラマ目指すくせに開発環境構築にDockerも使わず理解してないコマンドをコピペしてローカルに直でインストール
せっかく無料枠あるのにawsじゃなくてHerokuにプッシュするだけのデプロイ
ブランチ運用なんて考えずmasterブランチに直プッシュか?
会社に入れさえすれば先輩がつきっきりで教えてくれるとでも思ってんのか?
先輩を質問責めにする気か?
むりむりやめとけ
そんなんじゃせいぜい年収300
諦めた方が身のため
あばよ
どうしてもなりたいなら↑で挙げたものぐらいは最低限を理解しとけ
ここまで言って調べる気にならないなら本当に向いてないよ
togetterのリダイレクトスパムの履歴にこれが残ってた。
data:text/html;base64,PG1ldGEvaHR0cC1lcXVpdj1yZWZyZXNoIGNvbnRlbnQ9MDt1cmw9aHR0cDovL2FkY2xpY2suZy5kb3VibGVjbGljay5uZXQvcGNzL2NsaWNrP2FkdXJsPWh0dHBzJTNBJTJGJTJGYmVzdHNhZHNzYWxlLmNvbSUyRnBhZ2UlMkYlM0YyVldJams1NmpRTDdiaEpWQ1YycGVVbjdMPg==
<meta/http-equiv=refresh content=0;url=http://adclick.g.doubleclick.net/pcs/click?adurl=https%3A%2F%2Fbestsadssale.com%2Fpage%2F%3F2VWIjk56jQL7bhJVCV2peUn7L>
アドバイスどうもありがとうございます。
https://anond.hatelabo.jp/20181218231219
本番サーバには入れないでね
phpMyAdminのセキュリティーって、過去の事例を見ると、あまり高くないようですね?
この手の管理ツールはセキュリティ侵害を受けた場合のダメージが大きいので、インターネットからアクセスできないようにしておくのが基本です。特にphpMyAdminは過去に致命的な脆弱性が何度も発見されており、インターネットにさらして利用するには向いていません。任意コード実行可能な脆弱性の事例もあり、DB以外にもリスクがあります。
内部ネットワークからしかアクセス出来ないようにしておきましょう。レンタルサーバのようなインターネットに孤立したサーバであっても、VPNの経路を作りそちらからしかアクセス出来ないようにしておくようにした方がよいでしょう。
IPアドレスによる制限は次善策です。アクセス元のIPアドレスが固定されており他人と共有していないならそれなりに安全になります。
URLによる隠蔽は外部から攻撃可能な既知の脆弱性をスキャンするようなカジュアルなアタック避け程度にはなりますが、URLは何かと漏洩するものですので、一般にセキュリティ手法と見なされていません。
アクセス制限をした場合でも、認証は必ず設定する必要があります。例えばCSRFのような攻撃にはアクセス制限は無意味です。
phpMyAdminの認証とHTTP認証のどちらを使う方がよいかは使ったことがないのでわかりませんが、HTTP認証の場合BASICではなくダイジェスト認証にしてください。BASIC認証は(ほぼ)生で認証情報が流れますので使ってはいけません。(ブラウザで人が操作する場合以外にはBASIC認証を使わざるを得ない場合もあります)
こんなかんじでしょうか?
みんなで一緒に勉強してみよう!
吉村 総一郎 (著)
https://www.amazon.co.jp/dp/4046023023/
https://www.kadokawa.co.jp/product/321712000860/
Linuxでの環境構築から、Git・GitHubによるコード管理、Node.jsによるサーバーサイドのプログラミングが学べる!
インターネットで学ぶ話題の通信制学校「N高校」が展開する、プログラミング教育メソッドの大公開第2弾!
約1000人の高校生にWebプログラミングを教えてきた名物講師が、入門者がつまずきやすいポイントを、ていねいに解説!
・サーバーサイドに挑戦したいと思っている方
viの使い方を学ぼう
集計処理を行うプログラム
HubotとSlackアダプター
モジュール化された処理
https://note.mu/sifue/n/n69fdeadc4612
この本の利用の想定としては、Webプログラミングでサーバーサイドにチャレンジしていきたい方や、システムインテグレーターとしてWebプログラミングを知らずに仕事をしてきたシステムエンジニアの方が、Webプログラミングを学んで行くための下準備の知識を蓄えるために利用することを想定しています。
実際、N予備校のプログラミング入門コースは、Web業界やWebを活用する企業の社内エンジニア研修のテキストとして利用して頂いている事例も増えており、本書の内容の学習を必要とされている場所は増えて来ていると感じています。
2年半ほど経ちますが、空前のNTT退職ブームなので便乗しちゃいます。
まず既知の通りNTTグループは社員数約28万人と非常に大きな組織であり、その中で研究所はエリート中のエリートが就く位置にある。つまり上記の方達は警察でいえばキャリア組にあたる方達にあたる。以降キャリア組と呼ばせていただく。
一方で、私は地方のノンキャリア警察官のようなポジションにある子会社(大株主は研究所)出身なので、その分際でこのようなエントリーを書くのはおこがましいかもしれないが、
キャリア組層のエントリーなのに共感できる部分がとても多い上に、すでに [ 10年勤めたNTTを退職しました(無能編) https://anond.hatelabo.jp/20181126192228 ]のようなノンキャリアそうな人(←失礼はご愛嬌)のエントリーもあったりしたのでちゃっかり便乗させてもらう。
データとデー子もこんな感じなのだろうか。ぜひ知りたいものだ。
http://b.hatena.ne.jp/entry/s/co3k.org/blog/why-do-you-use-jwt-for-session
と厳しい叱責を受けたため、無能の見識を書いてみた。
「聞くは一時の恥、聞かぬは一生の恥」のとおり、
せっかくの機会のため、びしばしセキュリティに関する認識の甘さを指摘してほしい所存
作ったシステムではexpは約1時間でやってしまいました(機密保持契約違反を恐れ多少ぼかしております)
確認している間に1時間はかかるからいいやと思ってしまっていた
師はきっとJWT生成直後3秒でユーザーが
と気づいて通報
そして師が2秒で
「これは、セッションハイジャックだ!」
と検知してセッション遮断、秒速で一億円の被害が出るところを阻止する前提なのではないかと推測している
これは確かにJWTだと厳しそうだ
セッションを任意に切れることに意味はないのでは、と思えてきたが、浅はかだろうか
(師はログインを即座に検知してセッションを切れるから問題ないのか)
とにかくアカウントロック機能を作れば上記の懸念全てにきれいに対応できそうに見えている
この理屈だと例えば.envに書くような他のkeyも定期的な交換が必要に見える
これはまずい、自分の今までの見識の甘さを思い知らされた
keyは初回に設定したのみで、定期的な交換を勧める文が見つからない
私の検索力不足なのかと思ったが、もしかして彼らもこの危険性に気付いていないのではないか
JWTはhash化してつないでいる前提で
解読時間は下記を参考に、計算はwindows10の電卓アプリを用いて手動で行った
https://ja.wikipedia.org/wiki/%E7%B7%8F%E5%BD%93%E3%81%9F%E3%82%8A%E6%94%BB%E6%92%83
英数字大文字小文字で約60の時は10桁で20万年と書いているが
現代の解析技術は20万倍は速度が出ると仮定して1年として計算する
日本語に直すと60京4661兆7600億年かかる計算となった
実際にはこれが6.0466176e+17倍されさらに3600倍されつまりどういうことだ
そもそも師は何年で交換したら安全と書いていないが、何年なら安全という意見だったのだろうか
私の理解ではとかくuser_idのみ必要なら意味がないと思っていたため落ち込んでいる
まず、IDとpassを内蔵するネイティブアプリに対するapiサーバでの実装経験しかないこと
JWTが切れたら都度IDとpassを投げる方向でリフレッシュトークンは実装しなかったことを告白しておく
そのためapiサーバで上記前提で用いた場合に考えたことを書く
webアプリのJWT実装経験はないので、そちらの論は差し控えさせていただく
では危険で
JWT送信→セッション(cookie形式?)送信切り替え→セッションからuser_id取得
とりあえず思いついたのは下記だった
tokenはheaderにbearerで付けユーザーID(あるいはそれに代わる特定可能な識別子)が含まれる
httpsで通信するのでパケットキャプチャによる傍受は不可能と思っていた
(httpで通信するのはJWTとかcookieとか関係なく傍受できるため考慮しない)
0に何をかけても0なので、何回送っても解読されないならJWTを何回送っても問題ない
というかJWTが抜けるなら同様にheaderに付けるcookieでも抜けると思うので
JWTだからといって危険性に差はない、という論拠により安全性は変わらないという個人的結論になった
※余談だが、たまに送る回数が少ない方が安全という
攻撃者がアプリに保存されたJWTが取得できるならIDもpassも同じ方法で抜けそうに見えた
(厳密には保存場所が違ったかもしれんが実装依存なので同一とする)
その前提のため、わざわざ
JWT送信→セッション(cookie形式?)送信→セッションからuser_id取得
で接続しても、おそらくcookie形式で送れる何かもJWTらと同じ方法で抜かれると思われる
つまりcookieだろうがJWTだろうがアプリから直接情報が抜かれる危険性には変わりがないという結論になった
つまりcookieだろうがjwtだろうがidとpasswordの組だろうが同じ危険性で抜かれる可能性があり、いずれでも同じことができるなら
JWT→user_id
でいいじゃん、わざわざcookieと同様の形式を間に挟むの無駄じゃん、となりコメントの発言に至った
ここまで書いて、常にJWTにsession_idを含めておいて送ることを意図されていた可能性にも気づいたが
セッションにするメリットとして唯一思いついているのは任意にサーバ側でセッションを切れることだが
それを指していたのであろうか
余談だが、ブコメの雰囲気に日和って「ユーザーIDのみ入れ」(そもそもJWTを自然に作れば入るのだが)
というセッションストア的にJWTに他の情報を入れると入れない時に比べて危険性があがることに同意したような記載をしてしまったが
結局JWTが奪えたら中身に関係なくbearerとしてセットして接続するだけなので
正直JWTを使った時点でついでにセッションストアのように使おうが使わまいがセキュリティ的にそこまで変わらないのでは、と思っている
強いて上げるならセッションに保存している内容が分かる可能性があり、サーバー内部の実装が推測できる危険があるくらいだろうか
でも暗号化したらよいのでは、と思った
expを適切に設定しつつ、必要ならアカウントロック機能を入れる
(アカウントロック機能はJWTに関係なく被害の増加を抑えられる可能性がある)
少なくともapiサーバ→ネイティブアプリに関して、セッションIDを含めても危険性は変わらない
正直webアプリでも大して変わらんのでは、と思っているのは内緒である
Android Studioをダウンロードして公式のチュートリアルやってるんだけど、いきなりつまづいたし。
アプリ実行できないし。
https://developer.android.com/training/basics/firstapp/running-app
まで来たけどビルドが出来ないし。(ビルドじゃないのか、gradle sync?とかいうやつ?)
org.gradle.internal.resource.transport.http.HttpRequestException: Could not HEAD 'https://jcenter.bintray.com/org/ow2/asm/asm-analysis/5.1/asm-analysis-5.1-sources.jar'.
とか言われとるし。
上のjarのドメインにping送ってみたら100%ロスしとるし。
そのせいか、
Android Studio で、[Project] ウィンドウの [app] モジュールをクリックしてから、[Run > Run] を選択します
グレーアウトしとるし。
分からないのは、ネット環境がないとアプリを実行することすら出来ないということだ。
サーバーが死んでたらその間何も出来ないのか。
そしてツイッターで誰も何も言ってないの見ると、誰も大した問題だと思ってないのか。
もう良い。俺にはAndroidアプリ開発は合わない。
Android開発者はこんな地獄の中頑張って開発してる自分を褒めたほうが良い。
何個までいけるのか
