サーバいじくり雑記

2014年12月25日

Yahoo!JAPAN デベロッパーネットワーク 知っておきたい7つのID連携実装パターン

Filed under: セキュリティ, ソフト, 開発技術, Web — bompopo @ 10:58 AM

Yahoo!JAPAN デベロッパーネットワーク 知っておきたい7つのID連携実装パターン

いま手元でやってるのはあんましよい方法じゃないかもな。
もちっとちゃんと考えよう。

2014年12月18日

「SSL証明書無償配布」がもたらすWebの変革、企業ネットの管理にも影響

Filed under: セキュリティ, Web — bompopo @ 10:43 AM

「SSL証明書無償配布」がもたらすWebの変革、企業ネットの管理にも影響

 企業にとって、この「通信の中身を監視できる」ことは重要である。覗き見や盗聴などではなく、通信を制御するという正しい目的のために活用できるからだ。HTTPでは、ネットワーク監視ソフトなどで通信(パケット)の中身を見ることにより、利用しているサービスやアプリケーションの種類、ユーザー識別情報など、通信の制御に使える様々な関連情報を手に入れられる。

企業はどこまでも監視したい。が、建前は、

 例えば、情報漏洩対策向け製品の中には、流れるパケットの中身を監視し、個人情報や機密情報に関連するキーワードが含まれていたらアラートを出したり通信を遮断したりできるものがある。HTTPS通信が増えると、こうした製品の有効性や利用価値が薄れるといった影響が表れる。ダウンロードによるウイルスの侵入を防ぐゲートウエイ型セキュリティ製品や、不正アクセスを受けた際の証拠保全などに使われるディジタルフォレンジック製品なども同様である。

だけど、別に証明書が無償配布されなくても、これから先もマルウェア等が生データをHTTPでそのまま通信し続けるとは限らんでしょ。オレオレ証明書でもマルウェアが裏で勝手にそれ使って通信している分にはかわらない。やはり本音は単に「監視したい」だけ。

 SSL証明書は、証明書の発行機関(認証局)がWebサイトに対して発行して終わりというものではない。証明書には「有効期限」があり、また有効期限が切れる前であっても、暗号鍵の紛失や不正利用された場合などに証明書を使えないようにする「失効(リボーク)」という処理が必要となるケースがある。この失効証明書の管理がしっかり行われなければ、その認証局が発行する証明書全体の信頼性が根底から崩れてしまう。

ここは考えてなかった。確かに失効処理がちゃんとスムーズに行われないとそれは安心しては使えない。

2014年12月17日

py-selenium+phantomjsでUser-Agentを設定する

Filed under: 開発技術, Python, Web — bompopo @ 1:16 PM

はー、未だ謎多きpy-selenium+phantomjsです。
とりあえず一つの問題が案外簡単にクリアできたのでメモ。

最近私の頭を痛めていた問題に、「新しいウィンドウを生成するような動作(target=_blankなaをクリック等)をした時、その新しいウィンドウに設定したはずのUAが反映されない」というのがありました。

phantomjsにデバッグ出力オプションをつけて眺めていたところ以下な感じに処理されているようでした。(かなり省いてます)

_addNewPage               <-- 新しいウィンドウつくる!
page.settings             <-- phantomjs.page.settings. に定義されている値が設定される
                                                      (UA定義なければphantomjsデフォ)
page.customHeaders        <-- phantomjs.page.customHeaders. に定義されている値が設定される
                                                           (定義なければデフォなにもしない)
page.onResourceRequested  <-- phantomjs.page.customHeaders. に定義されている値が設定されるが、
                                                            定義なければphantomjsのデフォ値が設定される

つまり、世に出回っている「phantomjs.page.settings.userAgent」への設定だけでは、新しいウィンドウ作った時には「onResourceRequested」にて「phantomjsのデフォ設定値」で上書きされてしまうのです(ナンデ。

最初は「onResourceRequested」で使われる値がなにかわからなかったのですが(ソースざっと読んでも分からなかったorz)、試しに「customHeaders」に設定したところ「onResourceRequested」にても同設定値が使用されていました。

確認したphantomjsのバージョンは1.9.8なのですが、恐らくこの動作は仕様ではないのではないでしょうか。今後動作が変わる気がします。

結局以下のようにするのが今の所(ver1.9.8)ではスマートで鉄板ということに。

from selenium.webdriver.common.desired_capabilities import DesiredCapabilities

ua_value = 'Mozilla/5.0 (X11; Linux x86_64; rv:34.0) Gecko/20100101 Firefox/34.0 Iceweasel/34.0'

dcap = DesiredCapabilities.PHANTOMJS
dcap['phantomjs.page.settings.userAgent'] = ua_value
dcap['phantomjs.page.customHeaders.User-Agent'] = ua_value

driver = webdriver.PhantomJS( desired_capabilities=dcap )

#以降処理

追記:いや、selenium側の問題の可能性も?

2014年12月16日

ワンタイムパスより便利? 「スマホ認証」、常陽銀行がネットバンクに採用した新機能

Filed under: セキュリティ — bompopo @ 12:10 AM

ワンタイムパスより便利? 「スマホ認証」、常陽銀行がネットバンクに採用した新機能

この手の認証方法は大きな穴がある気がしてならないんだよな。漠然と。詰めていくと安全なんだけど。

2014年12月9日

近未来風な強化ガラスキーボードのサンプルが入荷、タッチ式で物理キー無し

Filed under: ハード — bompopo @ 3:57 PM

近未来風な強化ガラスキーボードのサンプルが入荷、タッチ式で物理キー無し

おおおう。またムダに面白いものをw。

ジェスチャー使えるって点が便利点かな。ペンタブのように使うことも可能かもしれない。

しかしいかんせん高い。まぁインテリア的なものだよね。
これでブラインドタッチとかそういうのは無理だし。

2014年12月7日

2015年冬季(新春)開始の新作アニメ一覧

Filed under: その他 — bompopo @ 4:07 PM

2015年冬季(新春)開始の新作アニメ一覧

来季は絶望的だ。アニメ氷河期だ。

見てもいいかな以上が「アニメで分かる心療内科」しか無い。

まぁその分、今日出会った「鬼灯の冷徹」を過去TVシリーズから原作まで穴があくまで見つめることができるいい機会かも。

2014年12月4日

セキュリティに詳しくなる無償のオンライン講座、2015年からスタート

Filed under: セキュリティ, 開発技術, Web — bompopo @ 4:45 PM

セキュリティに詳しくなる無償のオンライン講座、2015年からスタート

一応登録しとくか。。。存在忘れちゃいそうだけど登録しとけば開始の前に連絡くるよな。多分。

ga024: 情報セキュリティ『超』入門

NEC、世界初の「物体指紋」を認証する技術を開発

Filed under: ソフト, 開発技術 — bompopo @ 4:35 PM

NEC、世界初の「物体指紋」を認証する技術を開発

おおお。なんかすげぇけど、どこまで判別できるんじゃろ。もしくはどこまでいったら別物になるんだろ。表面をほんのちょっと研磨しただけで別物なのか。。。

ともあれ面白い技術である。

変形文字の判読はもう不要、Googleが新型CAPTCHA開発

Filed under: セキュリティ, 開発技術, Web — bompopo @ 2:36 PM

変形文字の判読はもう不要、Googleが新型CAPTCHA開発

前後の行動を見て判断するって書いてあるけどどういう技術背景で判断しているか書いてないので使ってみるしかなさそうだ。幸い(?)すでに実績を積んでいるようである。

導入方法はGoogle Developers reCAPTCHAを見ればすぐ試せそう。後で試すメモ。

2014年12月2日

モバイル液晶「On-Lap」がフルHD&Mini DP直結で実用性アップ、 メインでも使えるその実力をチェックしてみた

Filed under: ハード — bompopo @ 11:36 AM

モバイル液晶「On-Lap」がフルHD&Mini DP直結で実用性アップ、
メインでも使えるその実力をチェックしてみた

このシリーズはどれもいつもツボにはまっていて超欲しいんだけど、今回のお値段約3.5万円。いつもお高いんですよ。もう少し安ければー。

13.3インチモバイル液晶モニター On-Lap 1303H

« Newer PostsOlder Posts »