はてなキーワード: httpsとは
正しいHTML
block__element__elementは使用しない
GoogleChromeなら変換時に右側に△マーク〜
Masuda A boneを利用します。
http://d.hatena.ne.jp/ku__ra__ge/20080311/p5
下記の設定済みスクリプトをコピペして使えば、Masuda A boneをインストールする必要はありません。
ChromeならTampermonkey、FirefoxならGreasemonkeyをインストールします。
https://chrome.google.com/webstore/detail/tampermonkey/dhdgffkkebhmkfjojejmpbldmpobfkfo?hl=ja
https://addons.mozilla.org/ja/firefox/addon/greasemonkey/
メニューからツール-Greasemonkey-ユーザスクリプトの管理
(もしくはアドオンマネージャのユーザースクリプトをクリック)
var ignore行を編集すれば、好きな言葉を追加できます。
AutoPagerizeに対応していません。
URLが2行連続するとあぼーん対象になってしまうので、本文があればあぼーん対象から除外したい。
// ==UserScript==
// @name Masuda A bone
// @namespace http://www.petitnoir.net/
// @description
// @include http://anond.hatelabo.jp/
// @include http://anond.hatelabo.jp/?page=*
// ==/UserScript==
///////////////////////////////////////////////////////
//あぼーんしたい言葉を「""」でくくって入力します。複数個追加したい場合は「,」でくぎります。
//入力例
// igonore =["あぼーんしたい言葉1","あぼーんしたい言葉2","あぼーんしたい言葉3"]
// var ignore = ["死ね","糞","クソ","くそ","<●>","ばーか","スイーツ(笑)"];
var ignore = ["[0-9a-zA-Z/\-]https?://"];
///////////////////////////////////////////////////////
///////////////////////////////////////////////////////
//
var abonemessage = "__";
///////////////////////////////////////////////////////
(function abone(){
//本文
var section = document.evaluate('//div[@class="section"]',document,null,XPathResult.UNORDERED_NODE_SNAPSHOT_TYPE,null);
for (i=0; i < section.snapshotLength; i++) {
var sec = section.snapshotItem(i);
var p = sec.textContent;
for (t=0; t < ignore.length; t++){
var reg = p.match(ignore[t]);
if(reg){break;}
}
if(reg){
while(sec.firstChild){
sec.removeChild(sec.firstChild);
}
var message = document.createElement('h3');
message.textContent = abonemessage;
}
}
//言及
var refererlist = document.evaluate('//ul/li',document,null,XPathResult.UNORDERED_NODE_SNAPSHOT_TYPE,null);
for (i=0; i < refererlist.snapshotLength; i++) {
var list = refererlist.snapshotItem(i);
var p = list.textContent;
for (t=0; t < ignore.length; t++){
var reg = p.match(ignore[t]);
if(reg){break;}
}
if(reg){
for(y=0;y < 8 ; y++){
list.removeChild(list.firstChild);
}
var message =document.createElement('span');
message.textContent = abonemessage;
list.insertBefore(message, list.firstChild);
}
}
})();
弊社の新規事業でWebサービスを作っていて、セキュリティトレンドの常時SSLってやつをやってみようと思った。
世のWebサービスを見てみるとやっている所が何故かほとんどなく、mixiやニコニコなどの大手もやってないようだ。ニコニコのURLを試しにhttpsにしてみたら繋がらず、mixiはhttpにリダイレクトされる。
うちは新規だから最初からhttps化することで特にデメリットはないと判断、安いSSL証明書を買ってhttpをhttpsにリダイレクトするようにした。技術的な難所はまったくないので問題なく実装完了し、これで安心度がちょっと上がったと思っていたのだが…。
つづく。
続き。
弊サービスではユーザーがYouTubeなどの動画を貼り付ける機能が重要なのだが、テストしてみるとニコニコ動画の埋め込みが動作しなくなっていた。調べてみるとニコ動の埋め込みコードがhttpなせいで、さらに最近のブラウザはhttpsページの中にhttpコンテンツがあると、警告も出さずまったく表示しない仕様になっているようだ。
何か解決方法はないかと調べてみると逆に、同じ理由でhttps未対応の広告やアフィリエイトも貼れないことが判明。広告モデルの無料サービスなのでこれは致命的。
というわけで当初の予定とはまったく反対の、httpsをhttpにリダイレクトする羽目になるという笑えるオチになってしまった(httpsで見られると広告なくなっちゃうため)。それでmixiもニコニコも対応してなかったのか…。
一般的に外に出るために HTTP proxy 他を経由する必要があってしかも HTTP と HTTPS くらいしか通らないし、443/tcp で ssh を上げても proxy で弾かれるみたいなネットワークが存在する。
そんな場合に良く使われる proxytunnel(http://proxytunnel.sourceforge.net/) というソフトがあり、 Apache を SSL で HTTP proxy としても動作させて特定の ssh 等の port に接続させることで SSH over HTTPS を実現することが出来る。(proxytunnel で HTTP proxy を二段経由させた後で SSH に接続する)
ただし Apache2.2 では SSL での HTTP proxy の動作にバグがあり、上記を実現するために proxytunnel 用のパッチを適用しておく必要があった。(https://bz.apache.org/bugzilla/show_bug.cgi?id=29744)
このバグは Apache2.4 において修正されている筈なのであるが、何故か Windows の proxytunnel で接続出来ないという現象が起こったのでその対処法を書いて置こうと思う。
proxytunnel の最新版は上のページの通り 1.9.0 で Windows 用のcygwinビルドもあるのであるが、
Debianなどのパッケージでは 1.9.0+svn250-5 までバージョンが上がっている(https://packages.debian.org/ja/jessie/proxytunnel)
そしてこの 1.9.0+svn250-5 だとパッチ無しの Apache2.4 で問題なく動作するのだ。
なのでこの 1.9.0+svn250-5 のソースを持って来て cygwin 環境で Windows 用にビルドするのが解決策となる。
cygwin でのビルド自体はライブラリが揃っていることと、manページの生成でエラーが出るので本体のビルドだけにしておいた方が良いこと以外はとくに特殊なことは無かった。
以前も書いたかもしれないが..間違っていたらご指摘よろしく願います。
もしくはこちらの方のページ http://forums.linuxmint-jp.net/viewtopic.php?f=6&t=859
gsettings org.gnome.system.proxy.https host 'http://....'
gsettings org.gnome.system.proxy.https port 8080
gsettings org.gnome.system.proxy.http host 'http://....'
gsettings org.gnome.system.proxy.http port 8080
gsettings org.gnome.system.proxy.ftp host 'http://....'
gsettings org.gnome.system.proxy.ftp port 8080
/etc/apt/apt.conf (ソフトウエアマネージャなんかも利用している)
こちらの方のページ(若干間違い) http://d.hatena.ne.jp/mrgoofy33/20100726/1280154695
プロトコルに関係なく Acquire::(proto)::proxy "http://...:8080" 。
こちらの方のページ http://www.geocities.jp/gronlijus/skill/linux/linux-wget-proxy.html
または http://qiita.com/HirofumiYashima/items/1015874766bd4afb5e2d
唐突にすいません。
ちょっと気になるWikipediaのページを発見するじゃないですか。
で「どんなブコメが付いてるんだろ?」と気になるじゃないですか。
例として挙げると
https://ja.wikipedia.org/wiki/%E3%81%BB%E3%81%A8%E3%82%93%E3%81%A9%E6%95%B4%E6%95%B0
はてなブックマーク - ほとんど整数 - Wikipedia
「2users?少ないなあ」と思いつつブクマしようとしてある事を思い出しました。
数ヶ月前からWikipediaがhttps化されていたのです。
はてなブックマーク - ほとんど整数 - Wikipedia
https化前は55usersでした、見たかったのはこのページです。
URLの"/s"を削除すれば辿り着けますが非常に面倒ですし、ブコメが分散しています。
そこで以下のどちらかの対策をお願いしたいです。
Amazon等のページをブクマしようとすると出てくるアレです。
httpの方のエントリーページに誘導すればブコメ分散も防げます。
http://webbingstudio.com/weblog/cms/entry-773.html
小規模の商用サイトでは、フォームを暗号化する際には、共有SSLを利用するのが当たり前となっています。独自ドメインのSSL証明書を取得すると、フォームを通して得られる収益よりも、維持費の方がはるかに高くなってしまうからです。
とこの記事では書かれていますが、一体どこで「当たり前」なんでしょうか?
SSL証明書の取得費用は、サーバーホスティングによって額がまちまちなのは確かですけれども、
安く独自SSL証明書を取得して利用できるサーバーホスティングは山ほどあります。
WEB制作者として「自分が良く知っているだけ」のサーバーのレンタルをクライアントに押し付けてはいませんか?
また、小規模商用サイトにしても、仮に年額35,000円のSSL証明書をつけ、かつ、月額3,000円のサーバーを借りていたとすると
月額でいえば6,000円くらいの負担ですが、
いくら小規模とはいえ、広報活動の中核をなすWEBサイトであるならば、
月額6,000円をペイできないとすると、
(というか、効果測定をしていないだけ?)
共用SSLのリスクに関して言えば、この記事が引用している、高木浩光氏の書かれている通りではあります。
cookieが取得できてしまう結果として、一番最初に狙われるのは、管理画面へのログイン。
いわゆるセッションハイジャックです。
ログイン状態を乗っ取られた時点で、どんなCMSでも、WEBサイトの改ざんは可能です。
なぜか。
そのコンテンツは多くの場合MySQLに代表されるDBに保存してあります。
したがって、ファイルの改ざんなどを行わずとも、WEBサイトの内容は書き換えることが可能なのです。
「なるほど」と思ってしまうかもしれないので、
早々に訂正していただきたい。
また、この記事にある a-blog cmsというCMSについてはよく知りませんが、
多くのモダンなCMSでは、ほとんどの管理画面ログインにおいて、
セッションハイジャックに対する防衛は行われていますので、
cookieの取得が、即WEBページの改ざんに繋がるような書き方も、
ここも早々に訂正していただきたい。
この筆者さんは、a-blog cmsというCMSを利用されているようだ。
このCMSはどうやら、PHP製ながらPHPのソースを暗号化しているようだ。
こう言ってはなんですが、攻撃者にしてみれば、a-blog cmsを攻略するくらいならMovable TypeやWordPressを攻めた方が楽というものです。
この記述はむちゃくちゃである。攻撃者にしてみれば、誰でも手に入れられるCMSであれば、
a-blog cmsの公式サイトを拝見すると、MySQLを利用しているようで、
ファイルの暗号化はなされていようとも、DBの中身の仕様は丸見えだ。
前提条件として「知っている」「知らない」の差はあれど、攻撃に関して「ラク」というのは
どう考えても楽観的に過ぎる考えだ。
どうも「SSLで確保される安全の領域」について、かなり認識が甘いようだ。
SSLはあくまで、TCP/IPネットワークにおいて通信経路を暗号化するための技術だ。
通信する際に、通信先のサーバーが正しく認証されているかどうか?に必要なのはSSL証明書。
で、ここに書いたとおり、SSLはあくまでサーバーと利用者の通信においての暗号化だ。
この記事に書かれていることは「メールフォームについて」のことのようだが、
サーバーに到達したあとのメールについては安全性をかんがえていますか?
メールは全く暗号化されず平文で送信されるとても脆弱な通信手段だ。
いくらSSLで通信を暗号化しようとも、問い合わせフォームの送信がメールだったとすると…
とこの記事ではかかれていますが、そもそもHTTPやHTTPSの通信を傍受するより遥かに
メールを傍受したほうがラクとも考えられるはず。
CMSの機能に甘んじて、こういったベーシックな問題に考えが及んでいないとすると、
とおもう。
記事に対するつっこみではないですが、
正しくは「TLS」でっせ。