WHEREに転職しました。

2年半お世話になったサイバーエージェントを先月一杯で退職し、本日からWHEREではたらくことになりました。 サイバーエージェントでの2年半 ざっくり三つの部署を渡り歩きました。 パシャオク(スマートフォン特化のネットオークション) アメーバゲーム事業の…

C89

もう前日なのですが、コミックマーケット89に初参加します。 こんな感じの本だします。 Hardening 10 ValueChain体験記 クラウド四方山話「サーバレスアーキテクチャ」 2015年振り返りと2016年予想 東4のメ-34bに居ますので、お近くまでお越しの際はよろしく…

Advent Calendar つまみぐい Advent Calendar 12/01

技評さんがまとめてくださっている技術系Advent Calendarを見たら目玉飛び出るぐらい多すぎたので、自分の視野を広げることも兼ねて、適当に拾った中から紹介していくAdvent Calendarをやってみようと思います。それぞれの日の記事を紹介していくので、日付…

eDellRoot

非常に残念ながらSuperfishと同様の問題を持つプライベート鍵付きのルート証明書がDELL製品でも見つかったため、Superfishの記事のタイトルを 「Superfish/eDellRootが危険な理由」に変更しました。 どうかもう次はありませんように。

「通信の最適化」の論点

論点書き出してみたけど多すぎて超絶カオス。 現状発生している実害 チェックサム比較の失敗(発端) 画質の劣化 exif等メタデータ削除による情報欠損 元ファイルよりサイズが増える 技術的詳細が非公開 「最適化」という単語の是非 オプトインとオプトアウト …

Linuxのうるう秒おさらい

7/1 午前9時(JST)にうるう秒が挿入されますが、注意すべきポイントのおさらいです。 うるう秒って何よ NICTの資料の先頭7ページ目まで読んでください。ざっくり言うと、現在の時計というのは「原子時計」が基準になっています。太陽の周りを回る公転周期に合…

うるう秒まとめ

今年は、2015/07/01 08:59:60 JST としてうるう秒が挿入されます!(うるう秒実施日一覧)「うるう秒なんてきちんと処理したくない」という人向けのまとめ。 まとめっぽい記事 7/1の閏秒を迎えるにあたってLinuxでは何をすべきか? TECHNICAL ASPECTS OF LEAP …

VENOM(CVE-2015-3456) 影響範囲メモ

Xen, KVM等の、仮想化ハードウェアとしてQEMUを利用している環境で発生 VMware,Bochsは対象外 Hyper-VもXenと仮想化コアは同じだが仮想化ハードウェアが違うので対象外 Xen利用のAWSは対象外。自前でFDCを外している?*1 おそらくVirtualBoxも対象? FDドラ…

脆弱性の危険度(ざっくり)

まあCVSSの解説見ろよって話なんだけど、ありがちな脆弱性の危険度は個人的にはこんなイメージです。総合的な危険度 = 条件 × 影響 条件 脆弱性の攻撃に必要な前提条件が「狭い」のであればそれほど問題ないです。 一番ヤバイ: TCPやUDP、IPによりネットワ…

新型MacBookとLaVie Hybrid ZEROの比較

面倒だからLaVieのカスタマイズモデルは入れてない。 あとLaVieの販売価格はヨドバシ通販。結構良い勝負してると思うんだけどやっぱりNECは宣伝下手だと思う。 LaVie Hybrid ZERO MacBook MacBook Air11inch MacBook Air13inch MacBook ProRetina 13inch HZ5…

デモサイト

まあやってみた。 https://fishing.nekoruri.jp/

Superfish/eDellRootが危険な理由

Lenovo製のPCの一部にSuperfishというマルウェアが標準でインストールされていることが確認され、大きな問題となっています。 [2015-11-24追記] DELL製のPCにも、「eDellRoot」とされるSuperfishと同様の問題を持つルート証明書が導入されているようです。 D…

InfluxDB のダウンサンプリングの両端

N分間隔のダウンサンプリングすると、過去方向のタイムスタンプで丸め込まれる。 したがって、5分間隔の取得なら5mで集計しておけば5分間隔の過去側の時刻に正規化できる。 time > N や time N が含まれる。 不等号は≧≦として扱う。 きっかり両端の時刻のデ…

glibcを更新しても大丈夫な「正しい」タイムゾーンの設定方法 (2/3追記あり)

RHEL, CentOS, Amazon Linux (6以前) /etc/localtime を /usr/share/zoneinfo 以下から上書きしたりシンボリックリンク張ったりという手法が横行していますが、 /etc/localtime は glibc パッケージに含まれるためパッケージを更新すると上書きされてESTとか…

あけましておめでとうございます

今年で35歳を迎えるので、引き続きフルスタックエンジニア目指して頑張ります*1。 今年の抱負 「明確な成果を出す」 細かい目標はあとで決めます。 読書目標 昨年は無事500冊の目標を505冊で達成できた*2ので、今年も500冊目指して読みます。 ただラノベに偏…

2014年に読んだ本

2014年は505冊読みました。 技術書 24冊 (5.0%) nekoruri bookshelf - 2014年01月〜2014年12月 (24作品)powered by booklog 技術書(雑誌) 21冊 (4.2%) nekoruri bookshelf - 2014年01月〜2014年12月 (21作品)powered by booklog ライトノベル 424冊 (84.0%) …

Ameba等で利用しているOpenStack Swiftを利用したオブジェクトストレージ

CyberAgent エンジニア Advent Calendar 2014 5日目です。 5日目は、インフラ&コアテク本部の@nekoruriが担当します。 ← 4日目 Unity×ADXでつくる音ゲーの話 アメーバピグへのGoogle BigQuery導入までのもろもろ設定記 → 私たちが所属するインフラ&コアテ…

Dockerfile for Tiarra

今日はTiarra。Tiarraのconfはちょっといろいろ分量おおいのでどうしようかと思ったけど、結局VOLUMEから注入する形であきらめた。まあ動的にいじってRELOADすることもあるだろうしこれはこれで良いのかも。/data/conf 以下にconf置いて、docker run時にファ…

Dockerfile for RawGit

RawGit落ちてて自前でも欲しいって話が出たので早速作ってみる。 https://registry.hub.docker.com/u/nekoruri/rawgit/ https://github.com/nekoruri/docker-rawgit docker run -d -e FQDN=rawgit.example.jp --name rawgit -p 80:80 -p 443:443 nekoruri/ra…

ミニマムなDockerfile for GrowthForecastつくってみた

自分が使いたくてミニマムなGrowthForecastのDockerfileが欲しかったので作ってみた。 https://github.com/nekoruri/docker-growthforecast https://registry.hub.docker.com/u/nekoruri/growthforecast/ とりあえずDocker hubに投げてみたけど、Buildingか…

ウェブアプリにおけるBash脆弱性の即死条件 #ShellShock

条件1. /bin/shの実体がbashのディストリビューション RHEL CentOS Scientific Linux Fedora Amazon Linux openSUSE Arch Linux (自ら設定した場合: Debian, Ubuntu) 条件2. 動作環境 CGI (レンタルサーバでありがちなCGIモードのPHP等も含む) Passenger(Rub…

投げ銭箱

例によって物は試しということで、話題のnoteに投げ銭箱置いてみました。 【投げ銭】こたろー写真 | Aki @ nekoruri | note(ノート) OpenSSLの記事が少しでも役に立ったー、とか、note.muの購入機能試してみたい、とかいう奇特な人が居たらどうぞ。売上は…

OpenSSL #heartbleed 脆弱性の影響とその後を考えるときのメモ

影響を受けたウェブサイトやソフトウェアの対応については、piyologさんの以下の記事に詳しいです。 オンライサービスや製品のHeartBleed(CVE-2014-0160)の影響についてまとめてみた OpenSSLの脆弱性(CVE-2014-0160)関連の情報をまとめてみた この記事では…

OpenSSLの脆弱性で想定されるリスク

JVNやJPCERT/CCの記事があまりにもさらっと書かれていて、具体的なリスクが想像しづらいと思うので説明します。 今北産業 (今ニュース見て来たから三行で教えて欲しいという人向けのまとめ) インターネット上の「暗号化」に使われているOpenSSLというソフト…

CVE-2014-0160 OpenSSL Heartbleed 脆弱性まとめ

必要な情報は http://heartbleed.com/ にまとまっているのですが、英語だし長いしって人のために手短にまとめておきます。 どうすればいいのか OpenSSL 1.0.1〜1.0.1fを使っていなければセーフ あてはまる場合には、一刻も早くバージョンアップして、サーバ…

常設GrowthForecastでお手軽メトリクス監視

この記事はおひとりさま Monitoring Advent Calendar 2013の1日目です!「あの値とその値の変化を一週間だけ取ってグラフで見たい!」 そんなことってありませんか?自分はまれによくあります。そんな貴方におすすめなのが、この記事で紹介する常設GrwothFor…

SQLでエスケープなんてしたら負けかなと思ってる。

オレオレSQLセキュリティ教育は論理的に破綻している | yohgaki's blog 「プリペアードクエリが基本だけど、動的に SQL を組み立てる場合もあるから、そういう場合に備えてエスケープも知っておいたほうがいいかも」 - Togetterまとめ SQLインジェクション対…

「メールアドレスのルール」なんて使ってはいけない3つの理由

定期的に繰り返される話題ですがまた盛り上がっているのできちんと書いておきます。「通るべきメールアドレスが弾かれると激おこ」という前提で話を進めます。 問題点1. メールアドレスに関して、RFCなんてそもそも守られていない 2009年以前に登録されたDoC…

http://anond.hatelabo.jp/20131110022429 無能なプログラマに32の質問

プログラマじゃ無くてエンジニアだけど。 ◎ 技術書を買っただけで満足するw ○ ブクマするだけで理解した気、分かった気になっているw △ 勉強会(笑)には参加するが復習も実践もしないw ○ 一つの言語を使い込めてないのに複数言語に手を出すw ○ 流行りの…

サイバーエージェントに転職しました。

3年半お世話になったエクストーンを先月一杯で退職し、本日からサイバーエージェントではたらくことになりました。 エクストーンでの3年半 エクストーンには、一言で言えば「ニコニコ市場やってるよ!」という@kinoppixの言葉に釣られてほいほいと入社したわ…