てきとうなメモ

本の感想とか技術メモとか

リー将軍銅像撤去問題

町山智浩 バージニア州白人至上主義者集会の衝突事件を語る痛ましい事件ではあるが、リー将軍の銅像を撤去してしまうのかという部分が気になった。wikipediaだと以下で少しまとまっている。Robert Edward Lee Sculpture - Wikipedia 副市長のWes Bellamyが銅…

gitなどのSCMのssh URL処理の脆弱性

Compromise On Checkout - Vulnerabilities in SCM Tools · The Recurity Lablog ssh://-oProxyCommand=gnome-calculator/watというようなssh URLを処理しようとして、 ssh <ホスト名> ...のような形式で渡すと ssh -oProxyCommand=gnome-calculator ...とな…

history api メモ

いろいろ勘違いしていたのでメモ。 履歴は現在の状態を含み、一番上に現在の状態を置く。 ので、新規タブを開いてページをロードすると、window.history.lengthは1になる chromeの場合は新規タブを開いた時点でページがロードされたことになっているようで、…

systemdのバグ

systemdで複数の不具合が確認される | スラド IT 多くのLinuxディストリビューションで採用されているシステム管理ソフトウェア「systemd」で、複数の不具合が確認されています。1つは、ユーザー名を指定する個所で数字で始まるユーザー名を指定すると、その…

Javaのコネクションプールの接続チェック

コネクションプールからコネクションを取得すると、接続が切れているコネクションを再利用してしまうことがある。 これを防ぐためにコネクションプール側で何かやっていないかなとちょっと調べた。c3p0は testConnectionOnCheckin - プールから取得する時に…

redmineのバージョンアップ

redmineが2系でそろそろ古いかなと思って、バージョンアップしてみたのでメモ。 あと、ubuntu14.04だとrubyが1.9系で微妙なので、それもアップデートした。 構成 webサーバ: apache httpd appサーバ: thinというもの バックアップ redmineのディレクトリは念…

Struts2の脆弱性(S2-046)

S2-045の話は既に書いたけども、S2-046は書いていなかったのでちょっと書く。↓のやつ。Struts2-046: A new vector - Hewlett Packard Enterprise Communityこの脆弱性は、以下の3つの条件に合う場合、マルチパートのアイテムのファイル名に記述されたOGNL式…

Struts2の脆弱性(S2-045, CVE-2017-5638)

だいぶまとめられているので私が書くことはあまりなさそうな。piyokangoさんのまとめStruts2の脆弱性 CVE-2017-5638 (S2-045)についてまとめてみた - piyologこちらに解析されている方がいて詳しいStruts2のリモートコード実行可能脆弱性(CVE-2017-5638)を分…

2016年面白かった漫画

年明けちゃったけど軍靴のバルツァー 9 (BUNCH COMICS)作者: 中島三千恒出版社/メーカー: 新潮社発売日: 2016/11/09メディア: コミックこの商品を含むブログ (5件) を見る主人公が自分の権限と利害関係の中でどのような選択をしていくかという部分が面白い。…

ServletのWEB-INF/libのjarが読み込まれる順番

同じライブラリのjarがバージョン別でWEB-INFに置かれていた場合、どっちが読まれるのかなという話。 JSR-000315 Java Servlet 3.0 Final Release のPDFの「4.6. Resources」のところ、 The order in which the JAR files in the WEB-INF/lib directory are …

紙のコミックと〜の記事

amazonに現在は同等の機能があるし、APIは制限があるのでイマイチ正確ではないので、やめます。

LWP::UserAgentでHTTPS proxy越し通信(Cent OS 6)

LWP::UserAgentでHTTPSプロキシ越しに通信する - Qiitaの ## ** See https://metacpan.org/module/Net::HTTPS ## Force use of Net::SSL instead of IO::Socket::SSL $ENV{PERL_NET_HTTPS_SSL_SOCKET_CLASS} = 'Net::SSL'; の部分を実施せずにうまくいってい…

Kindle Unlimitedで良さげな技術書

読んでないもの多いけど漁ってみた。独断と偏見で。(2016/08/12 追記) 今確認するとほとんどUnlimitedではなくなっている(´・ω・`) 絵本シリーズ アルゴリズムの絵本 プログラミングが好きになる9つの扉作者: 株式会社アンク出版社/メーカー: 翔泳社発売日:…

Kindle Unlimitedで良さげなコミック

探すとそこそこ見つかった。 完結か連載中かは正確じゃないかも。 完結したもの ラブひな 1作者: 赤松健発売日: 2014/12/16メディア: Kindle版この商品を含むブログを見る全14巻戦場の魔法使い: 1 (REXコミックス)作者: 檜山大輔出版社/メーカー: 一迅社発…

CVE-2016-6210の修正

OpenSSH 7.3がリリースされて、CVE-2016-6210が修正されたそうだ sshd(8): Mitigate timing differences in password authentication that could be used to discern valid from invalid account names when long passwords were sent and particular passwo…

紙のコミックとKindleコミックで発売日が同じもの 2016年09月分

ハッピィミリィ 1 (ジャンプコミックスDIGITAL)作者: 城戸みつる出版社/メーカー: 集英社発売日: 2016/09/16メディア: Kindle版この商品を含むブログを見るフードファイタータベル 3 (ジャンプコミックスDIGITAL)作者: うすた京介出版社/メーカー: 集英社発…

opensshでユーザの存在を確認できる脆弱性(CVE-2016-6210)

Full Disclosure: opensshd - user enumeration When SSHD tries to authenticate a non-existing user, it will pick up a fake password structure hardcoded in the SSHD source code. On this hard coded password structure the password hash is based…

Apache Commons FileUploadの脆弱性(CVE-2016-3092)

JVNDB-2016-000121 - Apache Commons FileUpload におけるサービス運用妨害 (DoS) の脆弱性Apache Commons FileUploadにDoS攻撃の脆弱性なのだが、攻撃方法の詳細は説明されていない。調べたところ、推測なのだが、2年前のDoS攻撃の脆弱性(CVE-2014-0050)と…

プリンシプル オブ プログラミング

プリンシプル オブ プログラミング3年目までに身につけたい一生役立つ101の原理原則作者: 上田勲出版社/メーカー: 秀和システム発売日: 2016/03/23メディア: 単行本この商品を含むブログ (8件) を見る良いプログラミングに必要な原則、手法をまとめた本。著…

set -eはどこまで有効なのか

シェルスクリプト(bash)はコマンドが失敗しても次のコマンドを実行してしまうので怖い→set -eしておけという話はよくあるが、実際どこまで有効なのか。 基本 コマンドの戻り値が0になった時にシェルを終了する #!/bin/bash set -e echo "before false" false…

紙のコミックとKindleコミックで発売日が同じもの 2016年08月分

あずきの地!1 (NextcomicsF)作者: ナガトカヨ出版社/メーカー: 株式会社宙(おおぞら)出版発売日: 2016/07/15メディア: Kindle版この商品を含むブログを見るあずきの地!2 (NextcomicsF)作者: ナガトカヨ出版社/メーカー: 株式会社宙(おおぞら)出版発売…

ケン・トンプソンのトロイの木馬

ケン・トンプソンのトロイの木馬は、ケン・トンプソンがチューリング賞を受賞したときのスピーチ「Reflections on Trusting Trust」で発表したCコンパイラのハックの話で、以下の様なものである。1. loginコマンドに特定のユーザであればログインを許可する…

紙のコミックとKindleコミックで発売日が同じもの 2016年07月分

(あすかコミックスCL-DX)" title="踊るエクスタシー【Amazon.co.jp限定描き下ろし特典付】 (あすかコミックスCL-DX)">踊るエクスタシー【Amazon.co.jp限定描き下ろし特典付】 (あすかコミックスCL-DX)作者: 夏下冬出版社/メーカー: KADOKAWA / 角川書店発売…

ImageMagickの脆弱性(ImageTragick)

piyokangoさんが詳しいが自分も少し調べたので。d.hatena.ne.jp ImageTragick どんな脆弱性? 外部からの入力により、意図せずに、ファイルを読みこんだり、ファイルを移動したり、削除したり、特定のURLにアクセスしたり、任意のコードを実行可能な脆弱性。…

紙のコミックとKindleコミックで発売日が同じもの 2016年06月分

あせびと空世界の冒険者(5)【特典ペーパー付き】 (RYU COMICS)作者: 梅木泰祐出版社/メーカー: 徳間書店(リュウ・コミックス)発売日: 2016/05/13メディア: Kindle版この商品を含むブログを見るレズと七人の彼女たち(1)作者: 中村キヨ,中村珍出版社/メー…

Apache Struts2の脆弱性(CVE-2016-3081)

JVNVU#91375252: Apache Struts2 に任意のコード実行の脆弱性ぐぐるとみつかるPOCで1番簡単そうなのを解説してみる http://www.example.com/sample.action?method:%23_memberAccess%3D@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS%2C%23test%3D%23context.get%…

ソースコードにコメントを書くかどうか

プログラムにコメント書かない文化もあるよって話 - NZ MoyaSystem一部同意できる部分もあるのだけども、やっぱりある程度コメントは書いたほうが良いと思う。書きすぎはよくないが。自分が書いたほうが良いと思うのは以下の部分かな 公開している関数/定数 …

--no-preserve-rootオプション

サーバ業者が" rm -rf / "で全サーバを誤消去、復旧法をQ&Aサイトに尋ねる。実は書籍執筆のための「引っ掛け問題」 - Engadget Japanese 種明かしをすると、現在の UNIX(Linux)システムでは管理者権限で "rm -rf / " を実行しても警告メッセージが表示され、…

suやsudoにおけるPATH

suとかsudoとかrootになる方法はいくつかあるけど、/usr/local/binにパスが通っていないことがあった。 で、なんでかなと。centos7の環境で確認すると以下のようになる。 $ echo $PATH /usr/local/bin:/usr/bin:/usr/local/sbin:/usr/sbin:/home/vagrant/.lo…

PostgreSQLのbyteaカラムが\xXXXXXXと表示される

$ psql test test=> create table t(b bytea); CREATE TABLE test=> insert into t(b) values('foo'); INSERT 0 1 test=> select * from t; b ---------- \x666f6f (1 行)'foo'を挿入すると'\x666f6f'と16進表示される。PostgreSQL 9.0の仕様変更っぽい。 by…