  |
はてなキーワード: HTTPとは
FirebaseとかAWSやAzure(や自作サービス)へのAPI経由アクセスの話じゃなくって、ブラウザ実行端末の存在するLAN内のDBサーバへの接続の話でしょうよ。そりゃTCP/IPスタック実装されていないんだから無理すぎ。
(2/21 10:37 追記)
この件に関する記事のブコメ欄で、複数の人が「yowai-otoko氏 のブログエントリらしい」的なコメントともに
この記事 ttps://archive.is/l8Y1z (元URL: ttps://motemobile.com/tuyoi-onna ) のURLを貼ってるのを見かけたけど、
最初にこの URLを貼った(と思われる)ブコメ (2019/02/21 02:01) は以下の通り
http://b.hatena.ne.jp/entry/s/yowai-otoko.hatenablog.com/entry/2019/02/20/210633
作者が問題視し(https://twitter.com/agt87_/status/1098078070848671744)、消えた別(?)ブログのキャッシュが→なので(https://archive.is/l8Y1z)、同様に出会い系アプリとか怪しい宣伝を絡めてたのでは。ブログ出して主張した方がいい
「消えた別(?)ブログ」と書いてる
にもかかわらず、これを誤読して「これがyowai-otoko氏 のブログエントリらしい」と勘違いしちゃったのか……
(追記おわり)
http://b.hatena.ne.jp/entry/s/anond.hatelabo.jp/20190220192222 のブコメ
が気になったので確認してみた
(※主に、ある程度くわしくメーカーの使い方を紹介してる記事のみ。
埋め込みで画像つきツイートを羅列しただけの記事や、単に自分で作った画像を貼ってるだけのブログエントリは除外(そういうのはほぼ消えてない))
Picrew「強い女メーカー」の使い方と人気の画像メーカーまとめ
ttps://did2memo.net/2019/01/20/picrew-how-to-use/
(archive.is) ttps://archive.is/kb63Z
『強い女メーカー』以外にも!かわいい似顔絵アイコンを作れるアバターメーカー5選♩ - isuta[イスタ] - おしゃれ、かわいい、しあわせ -
ttps://isuta.jp/category/iphone/2019/02/598341
(Googleキャッシュ) ttp://webcache.googleusercontent.com/search?q=cache:https%3A//isuta.jp/category/iphone/2019/02/598341
picrew(ピクルー)「強い女メーカー」の詳細と使い方、99%から動かなくなるエラーの対処法を徹底解説 - SNSデイズ
ttps://snsdays.com/game-app/picrew-tuyoionna-manufacturer-use-error/
(Googleキャッシュ) ttp://webcache.googleusercontent.com/search?q=cache:https%3A//snsdays.com/game-app/picrew-tuyoionna-manufacturer-use-error/
(追記) この件に関するお詫び記事が出てた
ttps://snsdays.com/other/post-41798/
強い女メーカーのやり方や意外な楽しみ方は?韓国美女は簡単に作れる! | MakeAlife
ttps://knowsfree.com/strongwoman/
(Googleキャッシュ) ttp://webcache.googleusercontent.com/search?q=cache:https%3A//knowsfree.com/strongwoman/
強い女メーカーや美少年メーカーって何?使い方や作り方を紹介! | choco日記
(Googleキャッシュ) ttps://webcache.googleusercontent.com/search?q=cache:https%3A//wamadai.com/10477.html
Nom de plume(ノンデプルーム) 流行中の『強い女メーカー』こんな使い方も!?
ttp://www.nomdeplume.jp/appli/30669
(Googleキャッシュ) tttp://webcache.googleusercontent.com/search?q=cache:http%3A//www.nomdeplume.jp/appli/30669
【picrew】twitterで話題の"強い女メーカー"ベスト作品まとめ | エリート痔主Blog
ttps://lirin522.com/strong-woman-maker-best
(Googleキャッシュ) ttp://webcache.googleusercontent.com/search?q=cache:https%3A//lirin522.com/strong-woman-maker-best
声優さんもハマっちゃうほど面白い!「強い女メーカー」で理想の女性像や好きなキャラを作ろう! - にじめん
ttps://nijimen.net/topics/20874
(Googleキャッシュ) ttp://webcache.googleusercontent.com/search?q=cache:https%3A//nijimen.net/topics/20874
【Picrew】強い女メーカーがTwitterで流行!作者は誰?|ゆーまーLab
ttps://www.henaten109.com/entry/woman-maker/
(Googleキャッシュ) ttp://webcache.googleusercontent.com/search?q=cache:https%3A//www.henaten109.com/entry/woman-maker/
#強い女メーカー って知ってる? - NYLONブログ(ファッション・ビューティ・カルチャー情報)
ttps://www.nylon.jp/blog/babyui/?p=4461
(Googleキャッシュ) ttp://webcache.googleusercontent.com/search?q=cache:https%3A//www.nylon.jp/blog/babyui/%3Fp%3D4461
強い女メーカーとは!?使い方に楽しい遊び方 を簡単に説明!作者は誰?
ttps://goyang88.com/archives/4211
(Googleキャッシュ) ttps://webcache.googleusercontent.com/search?q=cache:https%3A//goyang88.com/archives/4211
(2/22 15:17 「消えてない」から「消えてる」に移動)
SNSで話題の「強い女メーカー」で強い女装してみた!│女子男
ttps://www.salon-artshopping.com/image_maker_strongwoman.php
(archive.is) ttps://archive.is/6ppT1
(2/23 9:54 「消えてない」から「消えてる」に移動)
強い女メーカーでアバターが作成できる!強い女の作り方まとめ - 資産blog
ttps://sako-blo.com/avatar-creating-recommended
(archive.is) ttps://archive.is/Grfpm
超かわいい💗理想の顔が作れる「強い女メーカー」の作り方🙆🏼作者は誰?Picrew(ピクルー)とは? | APPTOPI
ttps://apptopi.jp/2019/01/22/strong-lady-maker/
(2/22 15:17 追記) 記事冒頭に
という一文が追加されてた(この増田を投稿した当初はなかった)
『強い女メーカー』がSNSで流行中! クールで可愛い似顔絵を作成 -Appliv TOPICS
ttps://mag.app-liv.jp/archive/121105
強い女メーカーアプリ|お姫様メーカー|TwitterやSNSで話題の人気急上昇 似顔絵メーカーが登場!
ttps://kuzumisan.com/entertainment/strong-girl-maker
(※記事内に
agt87_さんには、当サイトでご紹介させて頂く許可をとらせて頂きました。ありがとうございます!
との記載あり)
Twitterで話題の「強い女メーカー」が可愛すぎる! - NAVER まとめ
ttps://matome.naver.jp/odai/2154797631188884501
【エンタがビタミン♪】モー娘。AKB48ら「強い女」画像続々投稿 | Techinsight(テックインサイト)|海外セレブ、国内エンタメのオンリーワンをお届けするニュースサイト
ttp://japan.techinsight.jp/2019/01/maki01221553.html
SNSで人気の【強い女メーカー】やってみました! | あんふぁんWeb
ttps://enfant.living.jp/enfant_mate/mate2_039/mate_other/693439/
(※記事内に
との記載あり)
強い女メーカーとは何?使い方をPicrewのサービスと共に画像で解説! | ピピポン.com
ttp://pipipipon.com/?p=561
強い女メーカーの作り方やアイコンにする方法!作者は誰?ツイッターは? | ぽこぽこ通信
ttps://pokonews.com/2019/01/20/tuyoionnamaker/
(※画像が一切貼られていない。エントリ投稿当初からそうだったのか、警告を受けて画像のみ削除したのかは不明)
強い女メーカーだけじゃない!可愛い女の子のアイコンが作れるPicrewのメーカー5選 - ガールズファンタスティックメモリー!
ttp://www.girlsfantasticmemory.site/entry/2019/02/03/%E5%BC%B7%E3%81%84%E5%A5%B3%E3%83%A1%E3%83%BC%E3%82%AB%E3%83%BC%E3%81%A0%E3%81%91%E3%81%98%E3%82%83%E3%81%AA%E3%81%84%EF%BC%81%E5%8F%AF%E6%84%9B%E3%81%84%E5%A5%B3%E3%81%AE%E5%AD%90%E3%81%AE
(※記事内に
との記載あり)
「#強い女」はお好きですか?あなたのなりたい理想に近づける、再現メイクテク|MERY [メリー]
(※記事内に
2019年1月31日に「強い女メーカー」製作者より使用許可を得て記事を作成しております。
※ご紹介するものは会社のサービスではございません。これは一個人の趣味の制作物で、イラストの著作権は全て「強い女メーカー」の製作者に帰属しますのでくれぐれもご注意ください。
との記載あり)
いまTwitterで大流行中! 強い女メーカーって知ってる?♡ - HARUHARU〈ハルハル〉
ttps://haru2.jp/articles/NrtkH
(※記事内に
との記載あり)
Googleキャッシュの日付からすると、「消えてる」の方はここ数日以内に削除されたのばかりみたい
たぶん yowai-otoko の人と同様のメールを送りつけられたためだと思われる
個人的には、どれもそんなに悪質だとは思えないし、この程度であんなメール送られなきゃいけないのか……という感覚
遅まきながら、転生したくなってrustでwebassemblyなんか始めてみようと職場のPCで内職開始。。。のはずがWSLでrustup-intがうまくいかない。
proxy環境だからかな?と思うもそれならcurlでこけるはずだ。
default host tripleという聞きなれない設定がstable-x86_64-"unknown"-linux-gnuだからなのかとCustomize installationをいじるもうまくいかない。
なんやねん、一生java6で腐ってろと言う貧乏神なのかと毒づいたら下記に書いてあった。
https://github.com/rust-lang/rustup.rs/issues/1529
"The situation has been occured in the office, which has proxy and self-trusted certificate."
...やっぱり自社のプロキシの問題かよ。MTTMで今もばっちり解析されているのかよ。オレオレとかまじやめてよ。。
書いてあるとおり、git config http.sslVerify falseを入力したらばっちりうまくいった。
@sshplendidさんはどうやって気づいたのだろう。あなたは神だ。最高。
別にanond:記法を使わずにhttp:でトラバするのが悪いことだとは言わないけど
↓
■https://anond.hatelabo.jp/20190116122651
↓
変わり種で a href 使ってるおるヤツもおるが
↓
■https://anond.hatelabo.jp/20190116122651
↓
ほんと斬新な発想だよね
百人に一人しか支持しないような珍しい発想と、十人に一人の書き癖をあわせ持つ人がたまたまこのツリーにだけたくさん現れて、話題が変わったらたまたま一斉に帰ってると考える方が圧倒的に自然なのにね
を狙ってるそこのお前
どうせお前のスキルセットは「html,css,js,rails」だろ?
揃いも揃ってそんなんばっかり
HTTPメソッドもSQLも理解せずにそれっぽく動くN+1だらけのクソ作っただけだろ?
webプログラマ目指すくせに開発環境構築にDockerも使わず理解してないコマンドをコピペしてローカルに直でインストール
せっかく無料枠あるのにawsじゃなくてHerokuにプッシュするだけのデプロイ
ブランチ運用なんて考えずmasterブランチに直プッシュか?
会社に入れさえすれば先輩がつきっきりで教えてくれるとでも思ってんのか?
先輩を質問責めにする気か?
むりむりやめとけ
そんなんじゃせいぜい年収300
諦めた方が身のため
あばよ
どうしてもなりたいなら↑で挙げたものぐらいは最低限を理解しとけ
ここまで言って調べる気にならないなら本当に向いてないよ
2年半ほど経ちますが、空前のNTT退職ブームなので便乗しちゃいます。
まず既知の通りNTTグループは社員数約28万人と非常に大きな組織であり、その中で研究所はエリート中のエリートが就く位置にある。つまり上記の方達は警察でいえばキャリア組にあたる方達にあたる。以降キャリア組と呼ばせていただく。
一方で、私は地方のノンキャリア警察官のようなポジションにある子会社(大株主は研究所)出身なので、その分際でこのようなエントリーを書くのはおこがましいかもしれないが、
キャリア組層のエントリーなのに共感できる部分がとても多い上に、すでに [ 10年勤めたNTTを退職しました(無能編) https://anond.hatelabo.jp/20181126192228 ]のようなノンキャリアそうな人(←失礼はご愛嬌)のエントリーもあったりしたのでちゃっかり便乗させてもらう。
データとデー子もこんな感じなのだろうか。ぜひ知りたいものだ。
巡査部長、調書改ざん…消せるペンで表現直す : ニュース : 関西発 : YOMIURI ONLINE(読売新聞)
ttp://b.hatena.ne.jp/entry/osaka.yomiuri.co.jp/e-news/20120822-OYO1T00758.htm
「令状出てますんで」突然の家宅捜索 できあがっていた調書:朝日新聞デジタル
ttps://b.hatena.ne.jp/entry/s/www.asahi.com/articles/ASQ2K5QP5Q10UTIL02K.html
報告書によると、同年9月に宇和島市内のスナックに酒を飲みに行き、当時容疑者として浮上していた男性と会った。自営業者の男性が「やったんやないん」と聞いたところ、「うん。おれがやったんよ」と話し、「死体の他の部分はどこへ隠したん」との質問に、「山よ」と答えたことになっている。
しかし、自営業者の男性は取材に対し、「警察は来ていないし、報告書にあるような内容は話していない」と証言。
ttps://web.archive.org/web/20060404232408/http://www.asahi.com/national/update/0404/OSK200604030107.html
1999年桶川ストーカー殺人事件 冤罪を訴え続ける“首謀者”「再審請求がダメなら一生獄中です」
実行犯の店長が逮捕後、「武史に頼まれてやった」と供述したことだった。
無実を探せ! イノセンス・プロジェクト — DNA鑑定で冤罪を晴らした人々
ttps://www.amazon.co.jp/dp/4877984240
ttps://www.nikkei.com/article/DGKKZO53083870X01C19A2MM0000/
指紋認証は500円あれば作れる「偽指紋」で簡単に突破できることを示すムービー
ttps://gigazine.net/news/20211124-fingerprint-hacked-for-5-dollar/
ttps://b.hatena.ne.jp/entry?url=http%3A%2F%2Fmembers.jcom.home.ne.jp%2Fmiurat%2Fad040722.htm
「指紋鑑定におけるダブルブラインドが採用されたのはごく最近」
ttps://twitter.com/otakazu/status/376536776015220736
教授は「(DNAは)偽造することができます。ほんのちょっと混ぜただけであなたを犯人にすることも簡単にできます」と恐ろしいことをいう。
法医学者の「DNAは別のものに簡単にくっつけることができる」という言葉に愕然とする。
ttps://news.goo.ne.jp/article/galac/entertainment/galac-20150811111259169.html?page=1
How flies could potentially put an innocent person's DNA in the wrong place
ttps://twitter.com/NatGeo/status/701877902187614208
できあがった調書を、書記官が読み上げる。速すぎて、Yには何を言っているのか分からなかったがYにはどうでもいいことだった。調書にサインをして拇印を押すと、やおら腹が立ってきたYは、調書を手に取り、ライターで火を付けようとする。慌てるI検事に、「土下座しろ」とYが言うと、I検事は床に額を押しつけた。
巡査部長、調書改ざん…消せるペンで表現直す : ニュース : 関西発 : YOMIURI ONLINE(読売新聞)
ttp://b.hatena.ne.jp/entry/osaka.yomiuri.co.jp/e-news/20120822-OYO1T00758.htm
【独自】検察事務官が特捜部の書類変造、印影をコピーして貼り付け…火災後に一部見つかる(読売新聞オンライン) - Yahoo!ニュース
ttps://b.hatena.ne.jp/entry/s/news.yahoo.co.jp/articles/b620c7ea088a91e5d8e17685bd37c86e6920dc00
被疑者が署名押印したページだけを生かして、その他のページを別のものと差し替えて、捜査官が契印をしてしまうと、容易に贋の調書が出来上がってしまうのです。
「私がサインした調書は6ページか7ページくらいで、こんな10ページをこえるものではありません。そして結論が違います。これでは私がこのメールを前町長の当選依頼だといっているのと同じではありませんか。私は当選依頼ではないと言っているのですから真逆です。私のサインした供述調書は別のものです」
本人の調書を読んでいただいたところ「内容が違う・・・」と言われたのです!
紙の調書にしても、袋綴じし、両者割印が社会常識であるのに、それを絶対にしない。最後の頁に被疑者の拇印だけである。取調官の拇印も押さない。調書のコピーも渡さない。これでは、いくらでも差し替え自由である。
ttps://b.hatena.ne.jp/entry/s/b.hatena.ne.jp/entry/s/twitter.com/SukiyakiSong/status/25104726020
問題点は次のとおりだ。
②文中の供述内容の訂正印やページ間の割印は、作成者である警察や検察しか押印せず、被疑者には捺印(指印)させないこと
中略
しかし、訂正箇所もページ間の割印も被疑者には捺印(指印)させないのであるから、被疑者が署名指印した最後のページだけ残して、後はバソコンでどのようにでも作り変えれるのである。
調書の改竄(かいざん)を防ぐ方法がある。それは、契約書では当たり前の方法でありお金も掛からない。その方法とは、全頁に割り印を押させることである。
調書は契約書のように2部作成し、割り印をして双方が持たないといけないという実例
ttps://b.hatena.ne.jp/entry?url=https%3A%2F%2Ftwitter.com%2Fworks45%2Fstatus%2F28886387378
可視化というのは、取り調べの模様だけを録音録画して
おけばよい、ということにならない。調書作成過程も全部
含めて、必要だろう。
http://b.hatena.ne.jp/entry/s/co3k.org/blog/why-do-you-use-jwt-for-session
と厳しい叱責を受けたため、無能の見識を書いてみた。
「聞くは一時の恥、聞かぬは一生の恥」のとおり、
せっかくの機会のため、びしばしセキュリティに関する認識の甘さを指摘してほしい所存
作ったシステムではexpは約1時間でやってしまいました(機密保持契約違反を恐れ多少ぼかしております)
確認している間に1時間はかかるからいいやと思ってしまっていた
師はきっとJWT生成直後3秒でユーザーが
と気づいて通報
そして師が2秒で
「これは、セッションハイジャックだ!」
と検知してセッション遮断、秒速で一億円の被害が出るところを阻止する前提なのではないかと推測している
これは確かにJWTだと厳しそうだ
セッションを任意に切れることに意味はないのでは、と思えてきたが、浅はかだろうか
(師はログインを即座に検知してセッションを切れるから問題ないのか)
とにかくアカウントロック機能を作れば上記の懸念全てにきれいに対応できそうに見えている
この理屈だと例えば.envに書くような他のkeyも定期的な交換が必要に見える
これはまずい、自分の今までの見識の甘さを思い知らされた
keyは初回に設定したのみで、定期的な交換を勧める文が見つからない
私の検索力不足なのかと思ったが、もしかして彼らもこの危険性に気付いていないのではないか
JWTはhash化してつないでいる前提で
解読時間は下記を参考に、計算はwindows10の電卓アプリを用いて手動で行った
https://ja.wikipedia.org/wiki/%E7%B7%8F%E5%BD%93%E3%81%9F%E3%82%8A%E6%94%BB%E6%92%83
英数字大文字小文字で約60の時は10桁で20万年と書いているが
現代の解析技術は20万倍は速度が出ると仮定して1年として計算する
日本語に直すと60京4661兆7600億年かかる計算となった
実際にはこれが6.0466176e+17倍されさらに3600倍されつまりどういうことだ
そもそも師は何年で交換したら安全と書いていないが、何年なら安全という意見だったのだろうか
私の理解ではとかくuser_idのみ必要なら意味がないと思っていたため落ち込んでいる
まず、IDとpassを内蔵するネイティブアプリに対するapiサーバでの実装経験しかないこと
JWTが切れたら都度IDとpassを投げる方向でリフレッシュトークンは実装しなかったことを告白しておく
そのためapiサーバで上記前提で用いた場合に考えたことを書く
webアプリのJWT実装経験はないので、そちらの論は差し控えさせていただく
では危険で
JWT送信→セッション(cookie形式?)送信切り替え→セッションからuser_id取得
とりあえず思いついたのは下記だった
tokenはheaderにbearerで付けユーザーID(あるいはそれに代わる特定可能な識別子)が含まれる
httpsで通信するのでパケットキャプチャによる傍受は不可能と思っていた
(httpで通信するのはJWTとかcookieとか関係なく傍受できるため考慮しない)
0に何をかけても0なので、何回送っても解読されないならJWTを何回送っても問題ない
というかJWTが抜けるなら同様にheaderに付けるcookieでも抜けると思うので
JWTだからといって危険性に差はない、という論拠により安全性は変わらないという個人的結論になった
※余談だが、たまに送る回数が少ない方が安全という
攻撃者がアプリに保存されたJWTが取得できるならIDもpassも同じ方法で抜けそうに見えた
(厳密には保存場所が違ったかもしれんが実装依存なので同一とする)
その前提のため、わざわざ
JWT送信→セッション(cookie形式?)送信→セッションからuser_id取得
で接続しても、おそらくcookie形式で送れる何かもJWTらと同じ方法で抜かれると思われる
つまりcookieだろうがJWTだろうがアプリから直接情報が抜かれる危険性には変わりがないという結論になった
つまりcookieだろうがjwtだろうがidとpasswordの組だろうが同じ危険性で抜かれる可能性があり、いずれでも同じことができるなら
JWT→user_id
でいいじゃん、わざわざcookieと同様の形式を間に挟むの無駄じゃん、となりコメントの発言に至った
ここまで書いて、常にJWTにsession_idを含めておいて送ることを意図されていた可能性にも気づいたが
セッションにするメリットとして唯一思いついているのは任意にサーバ側でセッションを切れることだが
それを指していたのであろうか
余談だが、ブコメの雰囲気に日和って「ユーザーIDのみ入れ」(そもそもJWTを自然に作れば入るのだが)
というセッションストア的にJWTに他の情報を入れると入れない時に比べて危険性があがることに同意したような記載をしてしまったが
結局JWTが奪えたら中身に関係なくbearerとしてセットして接続するだけなので
正直JWTを使った時点でついでにセッションストアのように使おうが使わまいがセキュリティ的にそこまで変わらないのでは、と思っている
強いて上げるならセッションに保存している内容が分かる可能性があり、サーバー内部の実装が推測できる危険があるくらいだろうか
でも暗号化したらよいのでは、と思った
expを適切に設定しつつ、必要ならアカウントロック機能を入れる
(アカウントロック機能はJWTに関係なく被害の増加を抑えられる可能性がある)
少なくともapiサーバ→ネイティブアプリに関して、セッションIDを含めても危険性は変わらない
正直webアプリでも大して変わらんのでは、と思っているのは内緒である
Android Studioをダウンロードして公式のチュートリアルやってるんだけど、いきなりつまづいたし。
アプリ実行できないし。
https://developer.android.com/training/basics/firstapp/running-app
まで来たけどビルドが出来ないし。(ビルドじゃないのか、gradle sync?とかいうやつ?)
org.gradle.internal.resource.transport.http.HttpRequestException: Could not HEAD 'https://jcenter.bintray.com/org/ow2/asm/asm-analysis/5.1/asm-analysis-5.1-sources.jar'.
とか言われとるし。
上のjarのドメインにping送ってみたら100%ロスしとるし。
そのせいか、
Android Studio で、[Project] ウィンドウの [app] モジュールをクリックしてから、[Run > Run] を選択します
グレーアウトしとるし。
分からないのは、ネット環境がないとアプリを実行することすら出来ないということだ。
サーバーが死んでたらその間何も出来ないのか。
そしてツイッターで誰も何も言ってないの見ると、誰も大した問題だと思ってないのか。
もう良い。俺にはAndroidアプリ開発は合わない。
Android開発者はこんな地獄の中頑張って開発してる自分を褒めたほうが良い。
