JavaScriptをがんばるブログ

React,OSS,ソフトウェア開発が中心のブログです👨‍💻

HTTP

Let's Encryptで証明書を取得してみた

無料でSSL証明書が取得出来る、話題のLet's Encryptを試してみました。 環境 OS Ubuntu 14.04 LTS Server Nginx 1.10.1 証明書の取得 Let's Encrypt の使い方 - Let's Encrypt 総合ポータル 公式の「Let's Encrypt の使い方」にそのまま従えばOK。 2016年05…

URLエンコードとBase64エンコード

ちょっと引っかかる事があって調べてみた。 into.cocolog-nifty.com わかったこと URLエンコード = パーセントエンコード urlに%が入るとどうなるか? %xx形式のURLエンコード文字列して扱われる %がURLエンコードのprefix、xxは16進数 あ → (%E3%81%82) Bas…

【日記】メールの安全性について勉強している

webアプリを開発中、 何気無くサーバサイドからSMTPでメールを送る処理を書いているけど、 メールサーバまでの経路は安全になっているのか? と疑問に思ったので調べてみようと思った。 まずはEMailの基礎をTCP/IPの本でおさらい。 SMTP,POP3,IMAPなどの基本…

【読了】Web API: The Good Parts

Web API: The Good Parts著者 : 水野貴明オライリージャパン発売日 : 2014-11-21ブクログでレビューを見る» RESTに基づいたHTTP通信の基礎、命名規則、レスポンスデータの構造、バージョニング、セキュリティについて網羅されています。特にセキュリティの章…

DNSラウンドロビンってどうやってセッションを維持しているんだろう?

ロードバランスの手法の一つにDNSラウンドロビンというものがあります。 同じFQDN(www.sample.comなど)のAレコードに複数のIPアドレスを割り振り、 クライアントごとに解決するIPを変える事でアクセスを分散させる手法のようです(`・ω・´)” 参考記事 www.in…

マスタリングTCP/IP: その他のトランスポートプロトコル

自分用の読書メモです。 6.5.1 UDP-Lite(Lightwight User Datagram Protocol) UDPの機能を拡張したトランスポートプロトコル UDPによる通信では、チェックサムエラーが発生すると、パケット全体が破棄される アプリによっては破棄せずに利用したいケースもあ…

マスタリングTCP/IP: UDPとTCP

自分用の読書メモです。 ここからトランスポート層に入ります。 pic.twitter.com/1gJhFxLPJa— Ryota Murakami (@malloc007) July 23, 2015 6.3 UDP 6.3.1 UDPの目的と特徴 UDPはUser Datagram Protocolの頭文字 UDPは複雑な制御は提供せず、IPを用いてコネク…

日記: Cache-Control: max-age をResponse Headerで使用する場合とRequest Headerで使用する場合の違い

とあるimgのキャッシュ期間を確認するためchromeのdeveloper toolを眺めていると、 Respose Headerは Cache-Control: max-age=604800 となっているのに対して、 Request Headerは Cache-Control: max-age=0 となっていました。 Response Headerで使用する場…

脱ifconfig

昔からlunuxを触っていた訳じゃないけど、 LAN内でのIPを確認する方法についてググって最初に覚えたのがifconfigなのでつい使ってしまいそうになる... ネットワーク RHEL7/CentOS7でipコマンドをマスター アーキテクチャ サービスロケーターの本末転倒具合 /…

セッション固定攻撃を防ぐ方法

セッション固定攻撃とは? IPA ISEC セキュア・プログラミング講座:Webアプリケーション編 第4章 セッション対策:セッション乗っ取り:#4 セッションIDのお膳立て 攻撃者が発行したsession idを被害者に使わせる方法 ダミーページからGETクエリ経由でセッ…

react.jsデビューヽ(*・ω・)ノ

React.jsにだんだん慣れてきた。さっと使うだけでデータバインドとコンポーネント化の恩恵受けられるのがメリットだろうか。書いていて楽しいしReactを通じてnode.js界隈に飛び込んで行けそうo (◡‿◡✿)— Ryota Murakami (@malloc007) 2015, 7月 27 reactに少…

Cookieを安全に扱うポイント

secure属性 httpsで通信時のみサーバーへの送信を許可する(httpでは送信出来ない) httpOnly属性 Javascriptから取得出来ない(document.cookie等) この2つが特に重要なようです。 両方を有効にしていれば通信を傍受されても、 xss埋め込まれてもcookieの値は…