ブックマーク管理にSemantic Scuttleを使っていたが、もはやメンテされてなさそうなので、Raindrop.ioに移行した。 Semantic Scuttle側にはhtml,xml,csvへのexport機能があった。しかし、自分の環境ではphpでmysqlにアクセスして全ブックマークを取得してい…

smb.confを以下のようにして共有ディレクトリを公開していたのだけども、ubuntu24.04の環境に同じ設定を入れたら、/path/to/public以下を読むことはできるが、書き込みできなくなってしまった。 [public] path = /path/to/public read only = no force user …

こんなまとめを読んだ togetter.com 一方で元文献の著者の平山昇は以下のように指摘している。 【「初詣」の歴史に関するメディア・ネット上の誤りについて】 「『初詣』は鉄道会社（京急）の営業活動によって誕生したもの」という言説が一部のテレビ番組や…

yamdas.hatenablog.com という記事を見た。 この論文が犯した過ちは二つがあり、一つ目は複数の文字種（小文字、大文字、数字、記号）を含めることがパスワードの安全性を高めるというパスワードの複雑化の推奨で、現実には「p@ssword」や「Password1」とい…

Windows TCP/IP Remote Code Execution Vulnerability CVE-2024-38063 ipv6で特殊なパケットを送ることで任意のコードを実行できるとのこと。パッチは既に出ているので、windows updateをかければ良い。 発見者は詳細を公開する予定がなく、MSもPoCやexploit…

以下の記事を読んだ。 Windows 11でFAT32のサイズが最大2TBまで拡大。謎の制約が30年経て解除されたが・・・ ちなみに、FAT32に対して32GBの制限が設けられている理由はWindows 95開発時にフォーマット機能とGUIを開発したDavid Plummer氏が設定した仮の値で…

Hertzbleed Attack CPUの脆弱性で大きな話かなと思って論文少し読んでみた。が、Q&Aに書かれている通り、すぐに心配すべきものではないという感想。 Should I be worried? If you are an ordinary user and not a cryptography engineer, probably not: you …

変数展開シンタックス CVE-2021-44228の件でLookupにおける変数展開をどうしているのか気になったので、StrSubstitutor.substituteの辺りを読んでみた。 ${...}となっている部分のシンタックスは以下のようになっている。 ${varName} ${varName:-varDefaultV…

metaタグでSet-Cookieできる(できた)ことを知らなかった。 <meta http-equiv="Set-Cookie" content="sessionid=xxxxx"> metaタグをインジェクト可能な脆弱性が存在すると攻撃者がcookieを設定させることができてしまう。 ただ、現行のHTML Living Standardによると HTML Standard Set-Cookie state (http-equiv="set-c</meta>…

www.iimc.kyoto-u.ac.jp https://www.iimc.kyoto-u.ac.jp/services/comp/pdf/file_loss_insident_20211228.pdf bash は、シェルスクリプトの実行中に適時シェルスクリプトを読み込みます。この挙動によ る副作用を認識できておらず、実行中のスクリプトが存…

「Apache Log4j」にまたRCE脆弱性 ～修正版のv2.17.1などが公開 - 窓の杜 Log4j – Apache Log4j Security Vulnerabilities Apache Log4j2 versions 2.0-beta7 through 2.17.0 (excluding security fix releases 2.3.2 and 2.12.4) are vulnerable to a remot…

少し調べたのでメモ 概要 外部からの入力をlog4jでそのままログ出力しようとすると、任意のコードを実行できる脆弱性 CVE-2021-45046とv2.16.0について v2.15.0で修正されたかに見えたが、MessagePatternConverter以外の攻撃経路が見つかった。そのため、v2.…

DNSがよくわかる教科書作者:株式会社日本レジストリサービス（JPRS）,渡邉 結衣,佐藤 新太,藤原 和典SBクリエイティブAmazon DNSの知識が足りていない気がして教科書的なものを読んでみたくなって、読んでみた。 DNSの基本的な仕組みから、DNSSECやQNAME min…

ALPACA Attack 論文ちょっと読んでみた。 サーバAへのリクエストを同じサーバ証明書を利用している別プロトコルのサーバBに流すことで、秘密情報を盗んだり、XSS攻撃をすることができるという話。攻撃者はクライアントとサーバの間にいて、TLS通信を本来のサ…

接触確認アプリ「COCOA」の不具合の発生経緯の調査と再発防止の検討について(pdf) を読んでみたのでメモ 匿名化されている部分 事業者の名前が匿名化されているけども、委託事業者はパーソルプロセス＆テクノロジー、再委託事業者Aは日本マイクロソフト、再…

note.jp note.jpの件について思ったことをつらつらと IPアドレスで個人特定可能か、IPアドレスは個人情報かどうか これについては楠さんの説明が良さげ。単体で個人特定は難しいけど、いろいろ紐付けることができると個人特定できる可能性がある。そして紐付…

ロックの種類とかは以下の説明を読めばよいのだけども、RESERVEDやPENDINGなど特殊なロックがあるので、実際にどう実装しているのか気になったwww.sqlite.orgソースコード読むに以下のような感じ。(src/{os.h,os_win.c,os_unix.c}) Windowsの場合はLockFileE…

だいたい以下をチェックすれば直る気がする ターミナルの文字コード設定 環境変数LANG コマンドが見るのは基本これ。コマンドのエラーメッセージなど LANGとターミナルの文字コードを合わせればエラーメッセージなどは文字化けしない sshするとログイン元の…

だいぶ書いていなかったな。mediamarkerが終了するということで、遅れながらブクログに移行してみた。Excel等で編集して移行している人がいたのだが、面倒なので以下スクリプト使ってみた。メディアマーカーの CSV をブクログ形式にするやつ · GitHubたぶん…

町山智浩 バージニア州白人至上主義者集会の衝突事件を語る痛ましい事件ではあるが、リー将軍の銅像を撤去してしまうのかという部分が気になった。wikipediaだと以下で少しまとまっている。Robert Edward Lee Sculpture - Wikipedia 副市長のWes Bellamyが銅…

Compromise On Checkout - Vulnerabilities in SCM Tools · The Recurity Lablog ssh://-oProxyCommand=gnome-calculator/watというようなssh URLを処理しようとして、 ssh <ホスト名> ...のような形式で渡すと ssh -oProxyCommand=gnome-calculator ...とな…

いろいろ勘違いしていたのでメモ。 履歴は現在の状態を含み、一番上に現在の状態を置く。 ので、新規タブを開いてページをロードすると、window.history.lengthは1になる chromeの場合は新規タブを開いた時点でページがロードされたことになっているようで、…

systemdで複数の不具合が確認される | スラド IT 多くのLinuxディストリビューションで採用されているシステム管理ソフトウェア「systemd」で、複数の不具合が確認されています。1つは、ユーザー名を指定する個所で数字で始まるユーザー名を指定すると、その…

コネクションプールからコネクションを取得すると、接続が切れているコネクションを再利用してしまうことがある。 これを防ぐためにコネクションプール側で何かやっていないかなとちょっと調べた。c3p0は testConnectionOnCheckin - プールから取得する時に…

redmineが2系でそろそろ古いかなと思って、バージョンアップしてみたのでメモ。 あと、ubuntu14.04だとrubyが1.9系で微妙なので、それもアップデートした。 構成 webサーバ: apache httpd appサーバ: thinというもの バックアップ redmineのディレクトリは念…

S2-045の話は既に書いたけども、S2-046は書いていなかったのでちょっと書く。↓のやつ。Struts2-046: A new vector - Hewlett Packard Enterprise Communityこの脆弱性は、以下の3つの条件に合う場合、マルチパートのアイテムのファイル名に記述されたOGNL式…

だいぶまとめられているので私が書くことはあまりなさそうな。piyokangoさんのまとめStruts2の脆弱性 CVE-2017-5638 (S2-045)についてまとめてみた - piyologこちらに解析されている方がいて詳しいStruts2のリモートコード実行可能脆弱性(CVE-2017-5638)を分…

年明けちゃったけど軍靴のバルツァー 9 (BUNCH COMICS)作者: 中島三千恒出版社/メーカー: 新潮社発売日: 2016/11/09メディア: コミックこの商品を含むブログ (5件) を見る主人公が自分の権限と利害関係の中でどのような選択をしていくかという部分が面白い。…

同じライブラリのjarがバージョン別でWEB-INFに置かれていた場合、どっちが読まれるのかなという話。 JSR-000315 Java Servlet 3.0 Final Release のPDFの「4.6. Resources」のところ、 The order in which the JAR files in the WEB-INF/lib directory are …

amazonに現在は同等の機能があるし、APIは制限があるのでイマイチ正確ではないので、やめます。