Submit Search
Upload
u2u1
•
Download as ODP, PDF
•
0 likes
•
941 views
R
Runt1111
Follow
Report
Share
Report
Share
1 of 7
Download now
Recommended
Argosの紹介 #x86study
Argosの紹介 #x86study
Tokoroten Nakayama
ハッキングチャレンジ!8946攻略!第0回
ハッキングチャレンジ!8946攻略!第0回
ゆがぽ
Utmをつくってみた202001
Utmをつくってみた202001
Takamune Konishi
Cs中間報告
Cs中間報告
Tomoki Itou
Cloudstack nested kvm検証環境
Cloudstack nested kvm検証環境
Naoki Matsuura
ロボコン勉強会向けStm32を用いてマスタースレーブシステム
ロボコン勉強会向けStm32を用いてマスタースレーブシステム
DoNabe1
「Azureの動くしくみ」の片鱗を見て
「Azureの動くしくみ」の片鱗を見て
Hideaki Aoyagi
拡張機能の歴史と標準化
拡張機能の歴史と標準化
Ryouyu Oonuma
Recommended
Argosの紹介 #x86study
Argosの紹介 #x86study
Tokoroten Nakayama
ハッキングチャレンジ!8946攻略!第0回
ハッキングチャレンジ!8946攻略!第0回
ゆがぽ
Utmをつくってみた202001
Utmをつくってみた202001
Takamune Konishi
Cs中間報告
Cs中間報告
Tomoki Itou
Cloudstack nested kvm検証環境
Cloudstack nested kvm検証環境
Naoki Matsuura
ロボコン勉強会向けStm32を用いてマスタースレーブシステム
ロボコン勉強会向けStm32を用いてマスタースレーブシステム
DoNabe1
「Azureの動くしくみ」の片鱗を見て
「Azureの動くしくみ」の片鱗を見て
Hideaki Aoyagi
拡張機能の歴史と標準化
拡張機能の歴史と標準化
Ryouyu Oonuma
SystemTapで何か
SystemTapで何か
Hiroki Ishikawa
日本マイクロソフト Forefront tmg_セミナ受講メモ_2011-09-01
日本マイクロソフト Forefront tmg_セミナ受講メモ_2011-09-01
Yukio Saito
ネットワーク 全体像
ネットワーク 全体像
Kenichi Takeuchi
Frontend optimization dena_creativeseminar
Frontend optimization dena_creativeseminar
DeNA_open_events
TDUCTFの実行基盤
TDUCTFの実行基盤
Youta Egusa
第3回鹿児島node.jsの会資料_内村
第3回鹿児島node.jsの会資料_内村
Koichi Uchimura
Landoを利用したdrupal開発環境構築
Landoを利用したdrupal開発環境構築
otofu1
Symfony開発者がLaravelしようとして云々
Symfony開発者がLaravelしようとして云々
mimizuk
EWD 3トレーニングコース#15 ewd-xpressでjQuery以外のフレームワークを利用する
EWD 3トレーニングコース#15 ewd-xpressでjQuery以外のフレームワークを利用する
Kiyoshi Sawada
Free & OSS Office System
Free & OSS Office System
ubon
世界征服を目指すJubatusだからこそ期待する5つのポイント
世界征服を目指すJubatusだからこそ期待する5つのポイント
NTT DATA OSS Professional Services
意外と知らない?Yumパッケージ管理
意外と知らない?Yumパッケージ管理
denet1999
究極のディストリビューションUbuntu
究極のディストリビューションUbuntu
Kenichi Takahashi
【学習メモ#4th】12ステップで作る組込みOS自作入門
【学習メモ#4th】12ステップで作る組込みOS自作入門
sandai
Grunt入門
Grunt入門
Tsuyoshi Maeda
Fluentdでログを集めてGlusterFSに保存してMapReduceで集計
Fluentdでログを集めてGlusterFSに保存してMapReduceで集計
maebashi
Jspmとtypescriptで開発する
Jspmとtypescriptで開発する
Taketoshi 青野健利
[db tech showcase Sapporo 2015] A22:HP NonStop SQLはなぜグローバルに分散DBを構築できるのか、 データの...
[db tech showcase Sapporo 2015] A22:HP NonStop SQLはなぜグローバルに分散DBを構築できるのか、 データの...
Insight Technology, Inc.
第1回『いまさら聞けない!システム運用・管理のコツ』 『クラウド管理・運用サービス「E.C.O」のご紹介』
第1回『いまさら聞けない!システム運用・管理のコツ』 『クラウド管理・運用サービス「E.C.O」のご紹介』
Naoya Hashimoto
Ad stirの裏側
Ad stirの裏側
Seiji Ochiai
PXE で linux インストールな本 -1 スピンドルマシンも Linux 化-
PXE で linux インストールな本 -1 スピンドルマシンも Linux 化-
Kenichiro MATOHARA
FreeBSD 12.0 RELEASE!
FreeBSD 12.0 RELEASE!
Yuichiro Naito
More Related Content
What's hot
SystemTapで何か
SystemTapで何か
Hiroki Ishikawa
日本マイクロソフト Forefront tmg_セミナ受講メモ_2011-09-01
日本マイクロソフト Forefront tmg_セミナ受講メモ_2011-09-01
Yukio Saito
ネットワーク 全体像
ネットワーク 全体像
Kenichi Takeuchi
Frontend optimization dena_creativeseminar
Frontend optimization dena_creativeseminar
DeNA_open_events
TDUCTFの実行基盤
TDUCTFの実行基盤
Youta Egusa
第3回鹿児島node.jsの会資料_内村
第3回鹿児島node.jsの会資料_内村
Koichi Uchimura
Landoを利用したdrupal開発環境構築
Landoを利用したdrupal開発環境構築
otofu1
Symfony開発者がLaravelしようとして云々
Symfony開発者がLaravelしようとして云々
mimizuk
EWD 3トレーニングコース#15 ewd-xpressでjQuery以外のフレームワークを利用する
EWD 3トレーニングコース#15 ewd-xpressでjQuery以外のフレームワークを利用する
Kiyoshi Sawada
Free & OSS Office System
Free & OSS Office System
ubon
What's hot
(10)
SystemTapで何か
SystemTapで何か
日本マイクロソフト Forefront tmg_セミナ受講メモ_2011-09-01
日本マイクロソフト Forefront tmg_セミナ受講メモ_2011-09-01
ネットワーク 全体像
ネットワーク 全体像
Frontend optimization dena_creativeseminar
Frontend optimization dena_creativeseminar
TDUCTFの実行基盤
TDUCTFの実行基盤
第3回鹿児島node.jsの会資料_内村
第3回鹿児島node.jsの会資料_内村
Landoを利用したdrupal開発環境構築
Landoを利用したdrupal開発環境構築
Symfony開発者がLaravelしようとして云々
Symfony開発者がLaravelしようとして云々
EWD 3トレーニングコース#15 ewd-xpressでjQuery以外のフレームワークを利用する
EWD 3トレーニングコース#15 ewd-xpressでjQuery以外のフレームワークを利用する
Free & OSS Office System
Free & OSS Office System
Similar to u2u1
世界征服を目指すJubatusだからこそ期待する5つのポイント
世界征服を目指すJubatusだからこそ期待する5つのポイント
NTT DATA OSS Professional Services
意外と知らない?Yumパッケージ管理
意外と知らない?Yumパッケージ管理
denet1999
究極のディストリビューションUbuntu
究極のディストリビューションUbuntu
Kenichi Takahashi
【学習メモ#4th】12ステップで作る組込みOS自作入門
【学習メモ#4th】12ステップで作る組込みOS自作入門
sandai
Grunt入門
Grunt入門
Tsuyoshi Maeda
Fluentdでログを集めてGlusterFSに保存してMapReduceで集計
Fluentdでログを集めてGlusterFSに保存してMapReduceで集計
maebashi
Jspmとtypescriptで開発する
Jspmとtypescriptで開発する
Taketoshi 青野健利
[db tech showcase Sapporo 2015] A22:HP NonStop SQLはなぜグローバルに分散DBを構築できるのか、 データの...
[db tech showcase Sapporo 2015] A22:HP NonStop SQLはなぜグローバルに分散DBを構築できるのか、 データの...
Insight Technology, Inc.
第1回『いまさら聞けない!システム運用・管理のコツ』 『クラウド管理・運用サービス「E.C.O」のご紹介』
第1回『いまさら聞けない!システム運用・管理のコツ』 『クラウド管理・運用サービス「E.C.O」のご紹介』
Naoya Hashimoto
Ad stirの裏側
Ad stirの裏側
Seiji Ochiai
PXE で linux インストールな本 -1 スピンドルマシンも Linux 化-
PXE で linux インストールな本 -1 スピンドルマシンも Linux 化-
Kenichiro MATOHARA
FreeBSD 12.0 RELEASE!
FreeBSD 12.0 RELEASE!
Yuichiro Naito
20130126 sc12-reading
20130126 sc12-reading
Toshiya Komoda
ネットワークコマンド入力に対応したツール事例
ネットワークコマンド入力に対応したツール事例
fumoto kazuhiro
クラウドアプリケーション開発に必要なセキュリティ
クラウドアプリケーション開発に必要なセキュリティ
Lumin Hacker
第12回CloudStackユーザ会_ApacheCloudStack最新情報
第12回CloudStackユーザ会_ApacheCloudStack最新情報
Midori Oge
第5回札幌SoftLayer勉強会資料_20150311
第5回札幌SoftLayer勉強会資料_20150311
潤 川岡
【第二回 ゼロからはじめる Oracle Solaris 11】03 ネットワーク環境の複雑性に対処する新しいネットワーク管理の仕組み ~ Oracle ...
【第二回 ゼロからはじめる Oracle Solaris 11】03 ネットワーク環境の複雑性に対処する新しいネットワーク管理の仕組み ~ Oracle ...
SolarisJP
Similar to u2u1
(18)
世界征服を目指すJubatusだからこそ期待する5つのポイント
世界征服を目指すJubatusだからこそ期待する5つのポイント
意外と知らない?Yumパッケージ管理
意外と知らない?Yumパッケージ管理
究極のディストリビューションUbuntu
究極のディストリビューションUbuntu
【学習メモ#4th】12ステップで作る組込みOS自作入門
【学習メモ#4th】12ステップで作る組込みOS自作入門
Grunt入門
Grunt入門
Fluentdでログを集めてGlusterFSに保存してMapReduceで集計
Fluentdでログを集めてGlusterFSに保存してMapReduceで集計
Jspmとtypescriptで開発する
Jspmとtypescriptで開発する
[db tech showcase Sapporo 2015] A22:HP NonStop SQLはなぜグローバルに分散DBを構築できるのか、 データの...
[db tech showcase Sapporo 2015] A22:HP NonStop SQLはなぜグローバルに分散DBを構築できるのか、 データの...
第1回『いまさら聞けない!システム運用・管理のコツ』 『クラウド管理・運用サービス「E.C.O」のご紹介』
第1回『いまさら聞けない!システム運用・管理のコツ』 『クラウド管理・運用サービス「E.C.O」のご紹介』
Ad stirの裏側
Ad stirの裏側
PXE で linux インストールな本 -1 スピンドルマシンも Linux 化-
PXE で linux インストールな本 -1 スピンドルマシンも Linux 化-
FreeBSD 12.0 RELEASE!
FreeBSD 12.0 RELEASE!
20130126 sc12-reading
20130126 sc12-reading
ネットワークコマンド入力に対応したツール事例
ネットワークコマンド入力に対応したツール事例
クラウドアプリケーション開発に必要なセキュリティ
クラウドアプリケーション開発に必要なセキュリティ
第12回CloudStackユーザ会_ApacheCloudStack最新情報
第12回CloudStackユーザ会_ApacheCloudStack最新情報
第5回札幌SoftLayer勉強会資料_20150311
第5回札幌SoftLayer勉強会資料_20150311
【第二回 ゼロからはじめる Oracle Solaris 11】03 ネットワーク環境の複雑性に対処する新しいネットワーク管理の仕組み ~ Oracle ...
【第二回 ゼロからはじめる Oracle Solaris 11】03 ネットワーク環境の複雑性に対処する新しいネットワーク管理の仕組み ~ Oracle ...
u2u1
1.
Node.js ミニマム構成の思想 → 最低限のものしか入っていない。apacheのよ うにアップロードダウンロードすらも標準機能で はない npm install [module
name] による拡張モジュールインストールが便利
2.
セキュリティにおけるphpとの違い ● phpならば escapeshellarg() password_hash() などの強力な機能が用意されているが ● nodeでは最小限の機能しかないのでnpmでセキュリティ拡 張をインストールする必要がある コミュニティモジュールの信頼性が不透明・・・
3.
不安定性 ● Npm で取得できるモジュールは今後大きく変化 する可能性がある ●
Connect モジュールで1年前メインの機能だっ たものが3.0バージョンでは使用不能に → 何を使うかは慎重に考えるべき ● あるモジュールが別のモジュールに依存するこ ともある
4.
メリット・デメリット ● 割と簡単に帯域制限をかけられる ● 何でもオブジェクトとして扱える ●
重要なデータにアクセスする可能性のある場合 (アカウント登録など) ではapache+PHPの安全性を優先すべき かも
5.
気になったところ ● ヌルバイト攻撃に対してどう対応するか – ヌルバイト攻撃とは? 不正なバイナリ(01の文字列)を送り込んで関数を停止させた り、意図しない挙動を引き起こす可能性があるもの。 PHPではヌルバイトを検出できる「バイナリセーフ関数」と 「非バイナリセーフ関数」が存在し、安全性も明らか。 nodeではよくわかんない → 怖いところはapache+phpで動かして安全性 を確保すべきでは?
6.
おまけ:最低限のセキュリティ ● 変数のキャスト 整数型と予測するものは整数型に変換して格納するなど ● ホワイトリスト ブラックリストで検出するよりもホワイトリストのほう が安全 ●
パス操作、コマンドインジェクション 専用のサニタイズ関数を作って共通化しておくべき
7.
おまけ:最低限のセキュリティ ● 変数のキャスト 整数型と予測するものは整数型に変換して格納するなど ● ホワイトリスト ブラックリストで検出するよりもホワイトリストのほう が安全 ●
パス操作、コマンドインジェクション 専用のサニタイズ関数を作って共通化しておくべき
Download now