「OpenSSL」を含む日記 RSS

はてなキーワード: OpenSSLとは

2020-02-24

fieldまで実装して、フレームワークどうするかなーと模索中に他の人の担当OpenSSLとかみさせられて頓挫してたけど

並行でいろいろおしえてもらったし

とくもした

2019-11-20

情弱IT企業への怒りと愚痴

おっす、情弱IT企業に勤めてるおっさんです

この企業は、真っ赤かなレッドオーシャンとある企業向けサービスをやっておりまして、開発をやってます

基本的受託開発のほうがメインの会社です。受託開発のほうはSE女衒外注したりしてます

インフラアプリ開発、の2部署あります

インフラは利用企業必要な設定とかやります。基本外向けじゃないのでFWの設定とか、証明書の設定とか、利用数が多くなるに連れCPUの数を増やしたり、サーバーを増やしたりする必要があるとそれの計画を立てて増やす

インフラチームがやるのはそれだけです

Linuxで何かがあったときに調べる方法レクチャーしました。

アップデート方法とか、iptablesの設定とか、SELinuxの設定、監査ログ見方httpサーバーのいろんなチューニング方法MySQLバックアップ計画の考え方、RHELのsystemdについての説明OpenSSLとかBash脆弱性があったとき脆弱性調査、いろいろなことをこっちでやりました。

全部、アプリケーション開発側がレクチャーして手順書を作りました

サーバーの構築も俺たちの手順書通りです。

PHPPythonインストールについてはアプリの都合だからアプリ開発責任でいいけど、httpネットワークインフラ仕事だと思うんですの。

インフラは何をやっているんです?

そう、インフラお客様の言われた通りの設定をするだけチームなのです。

FWとかドメインの設定をしたあと、お客様に接する機会が多いからウチのサービスの設定とかもやることになっているのです。

じゃあインフラじゃないじゃん

お客様対応部隊じゃん。

Bashコマンドも手順書に書いてあるだけのことしかしないんです。

何年か前にオブラートに包んで、もっと独自で行動するようになったらいいんじゃないですかねぇと行ったけど

業務知識があれば問題ないというスタンスでずっと変わっていないのです。

最初に作った人たちの手順書のままで続けています

最初に作った人たちはそもそも外注の人が中心なので社内にノウハウがないんです

今はたまたま知っている人が頑張る駆動でやってきたけど

そういう人たちがいなくなったらどうするんでしょうね。

やばい事故起きると思います

2019-09-01

windowsでphp7.2を手動インストールしてるんだけど、JSONだのOpenSSLだのzipだのがlibに入ってない

かにもいろいろライブラリ足らないっぽいんだけど、pharインストールするだけで疲れちゃった

yumとかaptみたいにだーっと並べてインストールする方法ってない?

2018-09-10

弘法は筆を選ばずの格好良さに憧れて迷走

大坂なおみの優勝で、ラケット市販の物というので、かっこいいなって思った。

この弘法は筆を選ばず的なかっこよさについつい憧れてしま

エースパイロットでもカラーリングだけ違うけど量産機乗ってるみたいなキャラがいい。

昔、BackTrackというペネトレーション特化型のLinuxディストリビューションがあったでしょ

それはKali linuxが後継になったんだ。

ペネトレーションテスト向けOSってニッチな奴だけど

ワナビーは憧れてた人が多かったんよ

なんか中二心をくすぐる雑誌とかで紹介されたりしてさ。

で、痛い話なんだけど

kali linuxに取って代わったあとも

BackTrackっていう名前はかっこいい名前のまま憧れててさ

そのワナビーコミュニティの中では、時代kaliみたいな雰囲気になってたんだけど(皆ちゃんと使いこなせてないけど)

「俺は使いやすいからあえて古いBackTrack使ってっから」って言ったりしてさ

完全のあれよね。古いシステムだけど技でそれを補う的なストーリー演出してたよね。

実際はリポジトリも閉じちゃってバージョンアップできないし、カーネルバージョンも何年も前のやつで止まってるのよね

でもそんな実際的不具合は使いこなせてないからわかんないわけよ。

ぶっちゃけOpenSSLとか古いまんまだから、当時の新し目の暗号スイート使えないしさ。他にもブラウザも古いしさ。

自分脆弱性満載のままで使ってるわけよね。

ペネトレーションテストするOSペネトレイタブルな状態ってすごい恥ずかしいよね。

まあ、当時はそんなのもわかるはずもなく、間違ったかっこいい演出しちゃたけど、あれは笑われてたなと思うよ。

はじかしぃ

冒頭の大坂なおみとは全然関係ない話になっちゃったけど、昔話思い出しので、吐き出しといたよ

2018-01-31

anond:20180130221601

一番最初Homebrewを落としてくるときなんだけど、素のOSX LoinのcURLを使ってHomebrew用のcURLを落とす過程で、セキュリティ接続エラーが起きてるみたいだ。

困らないケースって、その人がHomebrewを導入したタイミングではまだレポジトリが高いセキュリティ要求してなかったとか、

あるいはFinkMacPortsから移行する場合、新しめのOpenSSLcURLを入れていたかセキュリティ接続ができたんじゃないか、と思う。

とにかく、素のLioncURLHomebrewcURLを落としてこれない。セキュリティ証明書問題かもしれないが、そのあたりはよく分からいからなんかもういいってなってる。

なんせ、brew doctorはLionってだけで警告を出すし、どうも10.8以上が推奨環境じゃなかろうかと。

2018-01-30

HomebrewMacPortsかってやつ

最近事情ではOSX lionまではMacPorts一択ってことでいいんだろうか。

Homebrewインストール段階で、Curlの7.58.0が入ってこない。opensslパスを通しておいても、結局いろいろダメ

MacPortsだとCurlがちゃんと入る。

2017-01-22

ownership とシステムプログラミングその他に関する怪文書

この会話ログフィクションであり、実在人物地名団体とは一切関係ありません。

坂木

わろた

Rust vs. Go に対する @tanakh さんの発言まとめ

https://togetter.com/li/1072495

坂木

自分理解できないもの意味がないと思いこみたがるタイプの人だということがよく分かったので原文を読まずに済んだ。ありがたいまとめだ。

安原

NTPsec が,ownership を理解していない開発者たちの声が大きくなるようなコミュニティによって開発されているということが分かって大変有意義でした(こなみかん

宮森

今までCで開発してきたプロジェクトを移すなら極端な話ownershipを理解しなくても良いわけで、悪くないのではと思う。

宮森

……が、理解できないものに対して、理解を試みず~すべきだ~と設計しろ、っちゅう人が作るソフトとはちょっと関わりたくないと思う。

安原

いや,私は C で開発してきたプロジェクトであるならばなおさら ownership を理解していないといけないと思います. ownership に理解を示さなコミュニティが関わってきた一定規模以上の C によるプロジェクト……私の第一感は「こわ…近寄らんとこ…」です.

宮森

いや、Cで開発してきた人たちって、ownershipを自前でコントロールできると思っている(思い込んでいる)人たちですんで……こわちかは同意

安原

いや,私は C で開発してきた人たちの多くは,そもそも ownership の概念を獲得していないのではないか危惧しています.元々,私はもっと楽観的で,多くの C プログラマは ownership の概念を獲得していると思っていました.

宮森

あ、それはそうだと思います概念を獲得していない

リソース人間管理をすれば適切に管理できる、という思想の下に皆さん書いていらっしゃるので……。

安原

OpenSSL騒動の時,関数の途中で return したことによるリソース漏れ揶揄したことがありますOpenSSL のようなインターネットの基盤を支えるオープンソースプロジェクトにおいてさえ, ownership の概念を獲得していれば脊髄反射で気づくであろうバグが随所に見られたことには本当に絶望しました.

安原

ああ,はい人間を信頼しすぎているというのはいかにもありそうですね.

藤堂

C++er の方がその辺もっときちんとしているように見える

安原

しろ C++ によって ownership という概念が明確になり,その重要性が認知されるようになったのではないでしょうか? これについては,私は歴史的なことが分からないので真偽のほどは何とも言えませんが.

宮森

シニア開発者しかC++/Rustが受けないと思うの、まさにその点だと思っていて、人類を信頼したがために足どころか頭を吹き飛ばす経験を積んでいないからだろうなー、とか。

宮森

OSとかシステム系のプログラマの人々、基本的リソース人間が適切に管理するし管理できると考えている人が多い印象([検閲削除]社時経験)。言語側で安全を確保したい、的な話をしても相容れなかった記憶が。

坂木

[検閲削除] のコードには、間違って自分の足どころか頭を撃ち抜いてしまった偉大な先人たちの知恵が詰まっていて、開発していてとても勉強になります。なお [検閲削除] は頭がなくなっていることに気づかずゾンビとして生きている模様。

今井

自分が知っている C 「しか」書けない職業プログラマ基本的地雷だなぁ...。

今井

リソースどうこう以前に、そもそもちゃんと構造化されてるコードが書けるかも怪しい(個人の感想です。見識にバイアスがかかっている可能性があります)

安原

うーん,数値計算系のチームやコミュニティも ownership の概念の獲得,重要性の理解,その管理自動化することへの理解,これらを期待するのは難しいだろうなあ…….そもそも高度なリソース管理必要になる場面少ないし…….

坂木

コード品質が強く求められるプロジェクトとそうでもないプロジェクトがあるからなあ。クライアントサイドソフトウェアは割と品質が求められる気がする。

安原

OS 実装とかシステムプログラミングって,クライアントに直接接しないだけで,その上にクライアントサイドソフトウェアが載るわけで,コード品質が強く求められると思うのですがそれは…….まあ, API とかで切り離されているので,そこだけしっかりしていれば,という話はあるか.

宮森

そこはコードレビューテスト等でカバーっちゅう。まぁ確かにコードには実際assertが入りまくったりするわけですが。

坂木

品質が強く求められるからといって品質が高いわけではないのが問題ですね

今井

あとは、デモが作れればいい、的なのも同じかなぁ。

宮森

メモリ管理、freeせずに終了してOSに全て回収させれば管理しなくて良い。

宮森

メモリ管理コンパイル時に全て静的なサイズで確保すれば管理しなくて良い。(FORTRAN77並の感想)

安原

OSGC してくれる論, TPO をわきまえているならば普通にありですよね(TPO をわきまえているならば!).

今井

まー、 offline で動くバッチ、的なのはそこまでメモリ管理とか / パフォーマンスとかにもシビアにならなくていいし(最悪オーダーがほどほどならよい、的な)、そいう文化にいると、雰囲気にのまれる人が多い、というのはまぁわかる。

坂木

私は基本その文化で過ごしてきたので現在進行形でわりかし困ってますね……

今井

あれ、そうなんです? 私がかかわった人のなかでは、コード見ててもむしろカッチリしてるほうだと思ってたのですが...。

(つまり、ここから坂木さんのハードルめっちゃ高いという帰結が...)

宮森

いろいろ言っていますがワタクシ、そういう管理必要プログラムは全く書けなくなりましたので今書くと死にますプログラム顧客大事データが)

安原

しかし,システムプログラミング界隈に「人間リソースを適切に管理できる」という悪しき信仰がはびこっているの,何か構造的な原因があったりするのかなあ?

宮森

システム系、基本的に生のハードウェアが透けて見える言語を使う必要があって、そのために選択肢がCしかなくて、手段が限られているからこそ信仰が発生した、という認識

宮森

実際、Linuxカーネルとか、規模からすれば驚異的に少ない数のバグで動いているので、信仰心が生まれ気持ちも分かる。

宮森

他の言語OS書くっていうのも研究レベルではあるけど、実用になっているのは見たこと無いですねぇ……。

坂木

Linux カーネル、一体どうやったらあの規模のコードクオリティコントロール出来るのか本当に不思議

安原

Linux カーネルのアレは,属人性依拠しすぎていて全然スケールしないのでは…….

坂木

Linux カーネル属人性高そうではあるけどそれでも実際に十分スケールしているからなあ…… ヤバいレビュアーごろごろしているのかな

宮森

属人性依拠しさえすればできるので十分な数の開発者がいれば問題になりません(キリッ

安原

私も [検閲削除] のコミュニティを見てましたから,各々必要ドメインにおける圧倒的なタレント性を持った人たちが1ヶ所に集結して奇跡アンサンブルを奏でうる場合がありうるのは理解しているんですが,本当にただの奇跡しかないと思っています

宮森

つーても機械エンジニアリング町工場職人芸を必要であれば使うように、属人性を求めるのも一個の正しい戦略だと思うんですよね。

宮森

なおその対極がみずh(省略されました

安原

Linux カーネルにおけるスケール云々は, Linux カーネルコミュニティ自体におけるスケーラビティではなくて,(システムプログラミングコミュニティ全体(他のプロジェクト)へスケールするかどうかを言ったつもりでした.

坂木

まあ人外を集めるという手法一般にはスケールしないですからね……

宮森

C系がシステム系で優先されるの、ツールを変えるとツール独特の罠があるので、罠が全て分かっているツールを使う、っつうのもあるな。

安原

システム系、基本的に生のハードウェアが透けて見える言語を使う必要があって、そのために選択肢がCしかなくて、手段が限られているからこそ信仰が発生した、という認識

これが原因だとすると,やはり Rust だ……Rust しかない…….ツール周りとか,まだまだ未整備な部分たくさんあるけれど……そこをクリアすれば…….

坂木

Rust は 1.0 が出る直前くらいにちょっと触ってイテレータが作れなくて敗北したっきりだな。

坂木

イテレータっていうか Java でいう Scanner を作ろうとしたんだっけ。サードパーティライブラリも探してみたけどその頃は I/O 周りの API が unstable でビルドが軒並み壊れていたりしたな……

藤堂

1.0 以前のことは忘れましょう (本当に unstable)

安原

Rust,型でエラーを弾くだけではなくて質の低いプログラマまでも弾く印象.

坂木

一般に型の強い言語は質の低いプログラマを弾きますね(Haskell などを思い浮かべながら)

安原

「Rust 経験者」という条件でプログラマ募集して,それで入ってきた人材に C を書かせればよいのでは!(ピコーン!

藤堂

犯罪ですよそれは

安原

はい

藤堂

haskell 経験者を集めて php 書かせようとした会社がどこかにあったような (ヘイトけがたまる)

安原

まさにそれをイメージしていました.

宮森

どういう顛末になったか詳しく知りたいw

藤堂

うーん、それ以降の話は知らず

今井

Rust そして誰もいなくなった、にならないかが一番心配だったりする

安原

それな

宮森

もしかして、NTPsecの人がRustでミニサーバーを起こすのにすら苦労していたの、普段からバグありのコード生産しているからなのでは、という気がしてきた……。

(この辺で一同寝落ち

2016-08-26

とある中高生向けSNSアプリ炎上中の運営会社ホームページ

いろんなところからゴルバチョフスターリンの略」と呼ばれている例のSNSアプリ

その運営会社のお問い合わせページをSSLLabsにかけると、F判定(2016/8/25時点)。OpenSSLバージョンアップをサボってるな。

https://www.ssllabs.com/ssltest/analyze.html?d=sprix.jp

プライバシーポリシーを見たら、"Java Script"だって。へー、JavaScriptの間にスペース入るんだ。JavaScriptってなーに?(棒読)在籍しているWebエンジニアから突っ込みは来なかったのだろうか。

そして、採用情報にある「人財こそが最も重要」。うわっ...。

ところで、運営会社批判をするだけでアカウントをBANするような言論弾圧をやっておいて「世界No.1教育アプリ」なんてなれると思っているんだろうか。

2015-12-09

http://anond.hatelabo.jp/20151209130311

ああそうか、となると君は「文句を言う==乞食」なのか。

君の思考の中ではbashOpenSSLの致命的な不具合文句を言ってた人たちも全員乞食らしい。

2015-11-18

ゲームチャット諜報機関にとって悪夢である理由

テロリストゲーム機(PS4)のゲームチャット機能を使ってるかも、っていう報道が出ている。

この件でPS4を叩いても仕方が無い。というのはPS4に限らずゲーム内のチャットテロリストが会話を行うのに適した理由がこんなにも多いから

① 膨大なチャネル

会話経路がゲームの数だけ、星の数ほどある。NW的にはPSNを利用していても、プロトコル暗号方法ゲーム毎に異なるのでPSNの根っこで監視をしても結局各ゲーム毎に解析方法を作らなければならない。『釣天使』とかかわり合いたいと思うほど諜報機関は暇では無いだろう。

そして、ゲームの数はアーキテクチャの数であり、それぞれ異なる方式情報が伝達されている。あるゲームではメッセージサーバ集中管理でも、また別のゲームではP2P通信だったりする。それらを複合的に扱っている場合もあるだろう。テロリストとは無関係第三者ゲーム機ホストとして会話が行われ、運営者側では会話ログを一切持っていない、こんなケースはいくらでもあるだろう。

サイバー犯罪対策法はログ保存を事業者義務づけているが、P2Pアーキテクチャではそもそも事業者との通信自体が行われていない。

チーターとの戦いで洗練された暗号

オンラインゲーム運営は常にチーターとの戦いだ。ゲーム運営者はゲーム機サーバの間の通信が解読されないように暗号化を当然のように行っているし、鍵割れ対策として鍵交換も頻繁に行われている。また、暗号アルゴリズム自体カスタマイズしていることが多い。

平文でへろへろとメッセージが飛んで行くEmailとは根本的に設計運用レベルが異なる。

豊富ゲームコミュニケーション手段

ゲーム世界コミュニケーションに使える手段豊富だ。プレイヤー同士でコミュニケーションが取りやすいようにチャット機能の他にも各種のアクションメッセージ伝達手段豊富に用意されているし、符号化の方法さえ決めておけばあらゆるゲーム内のオブジェクト通信に使える。

ポケモンを繰り出す順番でメッセージを伝えることもできるだろうし、ゲーム内のインクで床に書いても良い。そこから第三者意味を感知するのはほぼ不可能だ。これらはもちろんログにも残らない。ゲーム内の全行動・全会話(音声含む)を保存しておけるようなリソースはどこの会社も持っていないし、そんなことに浪費しようとすれば株主が黙っては居ないだろう。

④ 木を隠すための森の存在

ゲーマー攻略のために「強い目的意識」を持った「物騒な会話」を日常的に行っている。

何時に集合してなんとかを殺す、とか爆弾を仕掛けてXXが通ったら起爆するとか、普通の会話の中ではあんまり出てこないがゲーム内ではごく普通の会話だ。仮に傍受/平文に解読を出来たとしても、どれが善良な市民の会話でどれがテロリストの会話か識別するのは辛いことだろう。

追記:

大多数のITエンジニア通信暗号化の基盤として信頼していたOpenSSLに巨大な脆弱性"HeartBleed"が昨年発見され、その脆弱性NSAが事前に把握していた、という昨年の事件オープン暗号化基盤さえも国家レベル諜報機関に対しては大穴が空いている可能性を示唆するものだった。

このような背景の元では、テロリストが「通信の内容」よりも「通信存在」の秘匿、そして事後の捜査のしづらさを重視したとしても不思議ではない。

ブコメトラバでも指摘されているが、事後的に平文の会話ログや行動ログ運営会社に提出させることそれ自体は可能だろう。

しかし巨大IT企業通信会社比較して捜査慣れ(証拠提出慣れ)していない、しか英語が十全に通じるか怪しい国にある運営会社からログを入手し、ゲーム仕様依存するログを読み取る時間と手間を考えたとき、この夢と虚構暴力世界秘密の謀りごとを埋める森として十分な広さがあるように思えるのだ。

2015-05-22

インターネットやばい

OpenSSLBashもだめだった。

いつからだめだった?誰がそれを悪用してたの?過去にさかのぼって影響調査した?

そんな記事みたことない。

だれもわからないの?

そのてにかかれば玄関から入ってこれる。

機密情報なんてないんだよ。

2014-04-22

サーバーエンジニア? には何年ぐらいでなれるの?

俺はずーーーーとWindowsアプリを作ってきた。

iアプリとか、iOSとかAndroidアプリも作った。

大体20年ぐらいクライアント側のアプリをずっと作ってきたおっさんだけど、ここ1年ほど前にサーバー側に移った。

今までずっとWindowsで作ってきたから、何もかも新しいことばかり。

Macで開発するようになって、SSHTMUXも覚えた。

LinuxFreeBSDのどっちがいいかわからないからCentOSFreeBSDの両方で開発している。

Shellスクリプトもちょこっとわかるようになった。

今は主にErlangで0から開発した数十台に分散して動くサーバー運用している。

言語を覚えるのは苦ではなくて色んな言語を使うことができるけど、OSはなんだか別な感じがする。

今日FreeBSDOpenSSLアップデートをしたらサーバーに繋がらなくなって、なんかpsshとかも動かないし、もうわけわからなくて全部再インストールすることにした。

からないなりにいろいろ頑張って実際にサーバー運用しているけど、知識の足りなさを実感している。

俺はもう40代から、やっぱり脳みそがだめなのかなぁ、とか思いながら今自棄酒飲んでいるところ。

今、第一線で活躍している人はだいたい何年ぐらいでまともに”使える”ようになったんだろうか?

教えてほしい。

2014-04-16

OpenSSLの問題って、オープンソースから例のやっちまった部分コミットした人ってはっきりわかっちゃうんだよね?

こんだけ世界中大騒ぎになると、精神的にキツいんだろうなあ

バグでこんなすごい被害出したスレに現れるような余裕あるだろうか

 
アーカイブ ヘルプ
ログイン ユーザー登録
ようこそ ゲスト さん