[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

タグ

networkに関するginpeiのブックマーク (96)

  • Visual guide to SSH tunneling and port forwarding - ITTAVERN.COM

    To make it quick, I wish I had known about port forwarding and tunneling earlier. With this blog post, I try to understand it better myself and share some experiences and tips with you. Topics: use cases, configuration, SSH jumphosts, local/remote/dynamic port forwarding, and limitations Use cases # SSH tunneling and port forwarding can be used to forward TCP traffic over a secure SSH connection f

    ginpei
    ginpei 2024/09/25
    SSHのトンネルやポート転送の説明。例と図解。
  • 令和時代の API 実装のベースプラクティスと CSRF 対策 | blog.jxck.io

    Intro CSRF という古の攻撃がある。この攻撃を「古(いにしえ)」のものにすることができたプラットフォームの進化の背景を、「Cookie が SameSite Lax by Default になったからだ」という解説を見ることがある。 確かに、現実的にそれによって攻撃の成立は難しくなり、救われているサービスもある。しかし、それはプラットフォームが用意した対策の質から言うと、解釈が少しずれていると言えるだろう。 今回は、「CSRF がどうして成立していたのか」を振り返ることで、当にプラットフォームに足りていなかったものと、それを補っていった経緯、当にすべき対策は何であるかを解説していく。 結果として見えてくるのは、今サービスを実装する上での「ベース」(not ベスト)となるプラクティスだと筆者は考えている。 CSRF 成立の条件 例えば、攻撃者が用意した attack.examp

    令和時代の API 実装のベースプラクティスと CSRF 対策 | blog.jxck.io
    ginpei
    ginpei 2024/04/30
    ヘッダーのOriginやFetch Metadataを確認し、CookieはSameSite=Laxで設定。加えてCSRFトークンを利用しても良いが、優先度を間違えてはいけない。こんにちはこんにちは。
  • フリーWi-Fiを使ったら秘密情報を抜かれる経路にはどのようなものがあるか - Qiita

    ゴールデンウィークのはじめ(4月29日)に投稿された以下のツイートですが、5月7日20時において、1,938.8万件の表示ということで、非常に注目されていることが分かります。 我が名はアシタカ!スタバのFreeWi-Fiを使いながら会社の機密情報を扱う仕事をしてたら全部抜かれた。どうすればよい! pic.twitter.com/e26L1Bj32Z — スタバでMacを開くエンジニア (@MacopeninSUTABA) April 29, 2023 これに対して、私は以下のようにツイートしましたが、 これ入社試験の問題にしようかな。『スタバのFreeWi-Fiを使いながら会社の機密情報を扱う仕事をしてたら全部抜かれた』と言う事象に至る現実的にありえる脅威を説明せよ。結構難しいと思いますよ。 https://t.co/LH21zphCTV — 徳丸 浩 (@ockeghem) April

    フリーWi-Fiを使ったら秘密情報を抜かれる経路にはどのようなものがあるか - Qiita
    ginpei
    ginpei 2023/05/10
    徳丸さん。中間者攻撃があってもブラウザーがちゃんと検出するのでエラーを強行突破しなければ基本的には安全そう。例外としてアプリやサーバー側の脆弱性との組み合わさせはあり得ると。
  • GitHub - ycd/dstp: 🧪 Run common networking tests against any site.

    You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert

    GitHub - ycd/dstp: 🧪 Run common networking tests against any site.
    ginpei
    ginpei 2021/11/17
    主要なネットワーク確認系コマンドをまとめて実行してくれるツール。ping応答時間やHTTPS疎通確認等。go-installで入る。
  • 「whndows. com」ドメインを取得して「windows. com」へのトラフィックを盗み見る手法

    「whndows. com」ドメインを取得して「windows. com」へのトラフィックを盗み見る手法
    ginpei
    ginpei 2021/03/06
    typoを狙う系の偽ドメイン名だけど、ハードウェアの熱等でビット反転して値が壊れる現象の際にも引っ掛けることができると。Win標準の時刻調整のが2週間で20万アクセス。
  • RFC 7807: Problem Details for HTTP APIs

    Internet Engineering Task Force (IETF) M. Nottingham Request for Comments: 7807 Akamai Category: Standards Track E. Wilde ISSN: 2070-1721 March 2016 Problem Details for HTTP APIs Abstract This document defines a "problem detail" as a way to carry machine- readable details of errors in a HTTP response to avoid the need to define new error response formats for HTTP APIs. Status of This Memo This is

    RFC 7807: Problem Details for HTTP APIs
    ginpei
    ginpei 2021/02/06
    ウェブAPIのエラー詳細を伝達するJSON仕様。通常のHTTPステータスコードのみでは情報が不足(例:何故403なのか、どう解決するのか)なので、詳細を本文へ埋め込む。typeに詳細URL、titleに人が読める概要、等。
  • 「スマホでのコンテンツ視聴に占める広告の比率調査」を実施

    株式会社角川アスキー総合研究所(社:東京都文京区 代表取締役社長:加瀬典子)は11月4日、「スマホでのコンテンツ視聴に占める広告の比率調査」および「ブラウザーアプリによるWeb表示速度の調査」を実施し、その結果を取りまとめましたので、お知らせいたします。 新型コロナウイルス感染症流行の影響による外出自粛などによって、国内のインターネットのデータ転送量は、月によっては例年より約5割増加しました(米アカマイ・テクノロジーズ調べ、2020年4月)。インターネットのデータ転送量には、コンテンツのデータだけでなく広告のデータも含まれ、その広告データの通信料金も、ユーザーが負担していることになります。そこで今回、Webをスマートフォンから利用する際のデータ転送量のうち、広告データがどの程度の比率を占めているのかを調査しました。 調査は、スマートフォン(iPhone)のWebブラウザーでアクセスできる

    「スマホでのコンテンツ視聴に占める広告の比率調査」を実施
    ginpei
    ginpei 2020/11/11
    15サイトで広告ブロッカーありなしで差を計測。全体として『データ転送量の約4割が広告』とのこと。無料で享受するためとはいえ、迫力のある数字。
  • Android7.1以前でLet's Encrypt証明書のサイトが見られなくなる | おそらくはそれさえも平凡な日々

    追記: その後の動きについて書きました → Let's Encryptの証明書切替周りその後 このサイトはLet's Encryptで証明書発行しているのでタイトルの件が気になったのだが、どうもあまり話題になっていない。恥ずかしながらSSL周り詳しいわけじゃないので、誤っているかも知れない。識者の意見を求む。 Let's Encryptが使われているサイトがAndroid7.1以前のバージョンで今年の9月29日以降見られなくなる可能性がある 延命策は用意されそうだが、それも来年の9月29日まで Let's Encryptのルート証明書切り替え計画に起因している Let's Encryptのルート証明書の変更 Let's Encryptはルート証明書を自身(ISRG)の認証局のルート証明書(ISRG Root X1)に切り替えようとしている。現在は、IdenTrustのルート証明書(DST

    Android7.1以前でLet's Encrypt証明書のサイトが見られなくなる | おそらくはそれさえも平凡な日々
    ginpei
    ginpei 2020/08/07
    ルート証明書の切り替えのため、未対応の古い端末でのアクセスに障害。サーバー側回避策は2021年9月末までは有効。Android 7.1は2016年公開で現在の普及率は66%。フロントをCloudFlareとかで覆うのはどうだろ。
  • Netlifyが日本からだと遅い - id:anatooのブログ

    仕事Netlify にデプロイしたSPAの読み込みが遅いので原因を調査してほしい、という依頼を受けてウェブパフォーマンス調査を行った。顧客から許可をもらって、この記事ではNetlifyに対してどういう調査をしたのかを書く。 結論だけをまず書くと、NetlifyのCDNのファイル配信パフォーマンスは日国内からだと非常に悪い。パフォーマンスを改善させるためには、Netlifyに直接アクセスさせるのではなく、前段に他のCDNやキャッシュサーバを挟んだりするほうがいいだろう。 調査の前提 日国内からのみの調査 サイトには静的なファイルをデプロイしているのみ 該当するNetlifyにデプロイしたSPAをブラウザで試しに開いてみると、確かに初回の読み込みのパフォーマンスがめちゃくちゃ悪い。 Chrome Devtoolsを開いてネットワークタブでどういうふうにリソースの読み込みを行っているのか

    Netlifyが日本からだと遅い - id:anatooのブログ
    ginpei
    ginpei 2020/08/03
    Enterprise版以外の全て場合?は日本国内にCDN拠点がなく、加えてHTTP2で単一コネクションのみなので遅い、らしい。それより調査方法の説明がわかりやすいので何かあったら参考にしよう。
  • Fast or Slow - Global Website Performance Profiler

    Fast or Slow Global Website Speed Profiler Profile

    ginpei
    ginpei 2020/05/14
    ウェブページのパフォーマンス計測。世界各国からのアクセスを同時に調査できる。履歴も残るみたい。
  • ブログ(Wireless・のおと)|サイレックス・テクノロジー株式会社

    SX-SDMAX SDIOインタフェースタイプ Wi-Fi 6 & Bluetooth®対応 低消費電力無線LANコンボモジュール

    ginpei
    ginpei 2020/03/10
    Wi-Fiの電波干渉と2.4GHzと5GHzの差とかの解説。2.4Gと電子レンジとの重複は『電子レンジの普及によって2.4GHz帯は雑音だらけとなり長距離通信には使えなくなったので無免許制のISMバンドとして世界的に開放された』ため。
  • オレオレ証明書を使い続ける上場企業をまとめてみた - megamouthの葬列

    あるいは私たちがPKIについて説明し続けなければいけない理由 Web屋のなくならない仕事の一つに「SSL証明書とPKIについて説明する」というのがある。 世の中のサイトはだいたいhttps://というアドレスでつながるように出来ていて、httpsでつながるということは何らかのSSL/TLS証明書が必要だということだ。(さもなければchromeがユーザーに不吉な警告を発することになる) 証明書が必要になる度、同じ質問が繰り返される。「なんか全部値段が違うけど、どの証明書(ブランド)がいいの?」と。そして私たちは毎回困ってしまう。 エンドユーザーの立場で言えば、証明書が有効でありさえすれば、無料のLet's Encryptでも21万円するDigiCertグローバル・サーバID EVでも、Webサイトの利便性は何も変わらない。私たちWeb制作業者の立場でも、代理店契約でもしない限り、証明書そのも

    オレオレ証明書を使い続ける上場企業をまとめてみた - megamouthの葬列
    ginpei
    ginpei 2020/01/17
    特にまとまってないけど『65社ぐらいあるようだ』。オレオレしているが利用を推奨しているわけでもなく、まあそこまででも、と。『EV証明書は上場企業の9.1%しか使ってない』『Let's Encryptも5.8%ある』
  • 5Gモバイルの速さを実感しよう

    ワイヤレスサービスは間もなくアップグレードの瞬間を迎えることになる。米通信企業は消費者のポケットに今後数カ月のうちに次世代移動通信システム「5G」を届けようとしのぎを削っている。 この高速ネットワークは新たな基地局を設置し、周波数帯域を広げることで、4G に比べて最大100倍速いモバイル通信サービスを提供できる。しかも、はるかに低い遅延(レイテンシー)で。 日常生活で5Gサービスをどのように感じるかシミュレーションしてみよう。 Methodology: The Journal's speed analysis is based on mobile data download speeds for 3G and 4G service provided by wireless industry trade body CTIA. It estimates speeds of between 6.

    5Gモバイルの速さを実感しよう
    ginpei
    ginpei 2019/05/13
    「映画1本」や「サイトのホームページ」等の読み込み速度の差を5G、4G、3Gで可視化したもの。「1時間分の音楽」は4Gで20秒かかるが5Gなら1秒未満。これが来たら世界が変わるなあ。
  • パスワードの不要な世界はいかにして実現されるのか - FIDO2 と WebAuthn の基本を知る

    不正送金やアカウントの乗っ取りなど、パスワードが原因の事件が後を絶ちません。高齢者など、IT リテラシの低い人でも簡単かつ安全に自分のオンラインアカウントを管理できる世界が理想ですが、まずはパスワードの不要な世界を実現するのが先決であることは、これまでのインターネットの歴史で証明されたと言えるでしょう。そして、ここに来てパスワード不要なログインを実現する技術として注目されているのが FIDO (= Fast IDentity Online, 「ファイド」) です。そしてその FIDO をブラウザから利用できるようにするのが WebAuthn (= Web Authentication、「ウェブオースン」)。報道内容などからこれらは指紋認証を実現するもの、と思っている人もいらっしゃるかもしれませんが、実際にはちょっと違います。 WebAuthn に関しては、すでに数多くの記事が出ていますので

    パスワードの不要な世界はいかにして実現されるのか - FIDO2 と WebAuthn の基本を知る
    ginpei
    ginpei 2019/03/14
    パスワードなしで安全にログインできるやつの話。SSH同様の公開鍵暗号方式を裏側で用い、鍵の管理や認証を簡単安全に行えるようになる。
  • How-To: Redirecting network traffic to a new IP using IPtables

    ginpei
    ginpei 2019/02/06
    iptablesを使って指定の接続を他のネットワークへリダイレクトする方法。
  • イノベーションを阻害する「技適」。経団連などが規制改革要望を提出 - すまほん!!

    経団連、技適を緩和するよう要望 2018年1月31日、内閣府規制改革推進会議 第13回投資等ワーキング・グループにおいて、技適未取得の無線設備の国内持込みに係る規制緩和が議題になりました。その資料が公開されています。 規制改革要望の内容 一般社団法人日経済団体連合会は2016年11月、技適(技術適合認証)未取得機器の利用に関する規制改革要望を、内閣府規制改革ホットラインに提出しました。 経団連は、技適の存在自体は電波利用環境の整備・維持に寄与するものと認めつつも、以下のように要望しました。 研究開発業務において活用を検討する新規技術を搭載した通信機器・通信モジュールに関して、技術基準適合証明を取得しておらずとも海外より輸入および研究開発への利用を許容すべきである。 特に、訪日観光客等に対して、入国の日から90日に限って利用可能とされているWi-Fi端末及びBluetooth端末(日の「

    イノベーションを阻害する「技適」。経団連などが規制改革要望を提出 - すまほん!!
    ginpei
    ginpei 2018/02/08
    現在は『訪日外国人が使うと合法で、日本人が使うと違法という状況』。経団連が規制緩和を要望、総務省は『現行制度下で対応可能』と回答するも、経団連は現実に即していないと再反論。早く時代に合わせてほしい。
  • test.comやaaa.comをテストデータに使うのはやめましょうという話 – 打つか投げるか

    2018/02/13追記:「サンプル用のドメインを使おう」の説明に “.example” と “.test” の使い分けについて追記しました。 Web システム開発時のテストデータを作成する時、また各種ドキュメントを書いている時など、サンプルの URL を使う場面は多いと思いますが、その時に適当なドメイン名を使うのはやめましょう、という話です。 知っている方には当たり前レベルの話ですが、意外と IT 企業のシステム開発現場等でも普通に見かけることがまだまだありますので・・・。 よく見かける例 例えば、こんなドメインの URL で開発中システムのテストデータを作っていたり、仕様書に説明が書かれていたりする場面をよく見かけませんか? test.com aaa.com abc.com sample.com dummy.com hoge.com でも、これらのドメインって存在していて、また実際に利

    test.comやaaa.comをテストデータに使うのはやめましょうという話 – 打つか投げるか
    ginpei
    ginpei 2018/01/24
    テストっぽいものも実在し得るので、ちゃんと定められたテストっぽいやつを使いましょうと。ドメイン名ならexample .comとか、IPアドレスなら192.0.2.0/24とか。「ドメイン名例.JP」というのも。
  • ENOG-20171027-公開資料.key

    2 3 4 Yearly (1 Day Average) Daily (5 Minute Average) 5 6 7 8 Fukuoka University Public NTP Service Deployment Use case. APRICOT2017 Sho Fujimura/Fukuoka University https://www.facebook.com/QUNOG/

    ginpei
    ginpei 2017/12/19
    1993年から公開されている福岡大学のNTPサーバに世界中からアクセスがあり大変。IPアドレスが設定例として広がってしまった。変更できないひどいハードウェアも。公開停止したいが課題が多い。使うのをやめよう。
  • How DNS works

    A fun and colorful explanation of how DNS works. Hey there! We made this comic to explain what happens when you type a website address in your browser. Enjoy! No jetpacks required. Start reading now

    How DNS works
    ginpei
    ginpei 2017/10/01
    DSNの仕組みを解説する漫画。絵はSVG。
  • [フロントエンド] ローカルプロキシのCharlesを使って、HTTPSサイトもデバッグする - YoheiM .NET

    こんにちは、@yoheiMuneです。 先日、[フロントエンド] ローカルプロキシを用いて、番サイトで開発/デバッグを行うというブログを書きましたが、日はその続きでHTTPSサイトでもデバッグする方法をブログに書きたいと思います。 目次 HTTPS通信をローカルプロキシで確認&改ざんする設定 先日のブログで紹介したCharlesでは、デフォルト設定ではHTTPsサイトに対応することはできません。追加で以下の設定を行います。 証明書の発行と適用 Charlesで利用する証明書の発行と適用を行います。これを用いてHTTPSの暗号化をCharles上で復号化して通信内容を見えるようにします。 Charlesのメニューから「help < SSL Proxing < Install Charles Root Certificate」で証明書のインストールを行います。そうすると、以下のようにキーチ

    [フロントエンド] ローカルプロキシのCharlesを使って、HTTPSサイトもデバッグする - YoheiM .NET
    ginpei
    ginpei 2017/08/29
    ローカルプロキシでHTTPSの通信も覗く。Charles。