(Last Updated On: )パスワードを平文で保存するのは論外で、MD5やSHA1でハッシュ化するのは当たり前です。しかし、SHA1を2000倍早くクラックする方法などが発見され「SHA1は脆弱だ」(ちなみにMD5はもっと危険)とされてからしばらく経ちます。アメリカ政府や大手企業はSHA1は使わない、としています。 Slashdot.orgにまた載っているので更に高速化できた、ということか? 参考: RainbowテーブルによるMD5ハッシュのクラック(英語) RainbowテーブルによるSHA1ハッシュのクラック(英語) 前のエントリ PostgreSQLでSHA1 でPostgreSQLでSHA1を使う方法の一つを紹介していますが可能であればSHA512など、より強いハッシュ関数を利用したり、Saltを利用する、等の方法を採用した方が良いと思います。 備考:良いハッシュ関数の
概要 検索結果に表示したいコンテンツで AJAX アプリケーションを実行している場合、Google が新しく作成したプロセスを実装すると、Google によるサイトのクロールとインデックス登録が可能になります。このプロセスは、Google 以外の検索エンジンでもうまく機能する可能性があります。AJAX コンテンツはブラウザによって動的に生成されるためにクロールで検出することができず、検索エンジンで AJAX アプリケーションを処理することは困難でした。この問題に対応するメソッドも既にありますが、このメソッドでコンテンツを最新の状態に保つには、手動で定期的に保守を行う必要があります。 一方、以下のスキームでは、検索エンジンでスケーラブルにコンテンツをクロールし、インデックスに登録できます。また、ウェブマスターが継続的に手動で保守を行わなくても常に最新のコンテンツがインデックスに登録されます。
第32回 PHPセキュリティ月間(Month of PHP Sercurity)で「PHPセキュリティ月間」(MOPS - Month of PHP Security)について簡単に紹介しました。 今回はパスワードを安全に保存するツールの紹介です。今まで数回に渡ってMOPSの成果の一部を紹介してきましたが、今回で最後です。 MOPS Submission 10: How to manage a PHP application’s users and passwords http://www.php-security.org/2010/05/26/mops-submission-10-how-to-manage-a-php-applications-users-and-passwords/index.html この論文は1位を取得した論文です。Drupal 7でこのライブラリが利用されてい
株式会社ミクシィの長野です。第2回、第3回と前坂がmemcachedの内部について紹介しました。今回は内部構造から離れて、memcachedの分散についての紹介をいたします。 memcachedの分散 連載の1回目に紹介しましたが、memcachedは「分散」キャッシュサーバと言われていますが、サーバ側には「分散」の機能は備わっていません。サーバ側には当連載の第2回、第3回で前坂が紹介したメモリストレージの機能のみが組み込まれており、非常にシンプルな実装となっています。では、memcachedの分散はどのように実現しているのかと言うと、すべてクライアントライブラリによって実現されます。この分散方法はmemcachedの大きな特徴です。 memcachedの分散とは ここまで数度「分散」という言葉を用いてきましたが、あまり詳しく触れてきませんでした。ここでは各クライアントの実装に共通する大ま
ちょっとしたコードの書き方でパフォーマンスが変わることがあります。リーダビリティを重視する向きからすれば小手先のテクニックに映るかも知れないのですが、リーダビリティを維持しながらちゃんとしたパフォーマンスを出すためにも、テクニックを知ることは大事なことだと思うのです。 結構違うもんですなー というわけで、そんなテクニックをまとめたスライドがWriting Fast Ruby。見ていて参考になったのでメモ。 たとえば引数に&blockをとってcallするよりも、yieldの方が5倍速い、とか、 def slow(&block) block.call end def fast yield end mapにブロックを渡すよりも、シンボルを渡す方が20%速い、とか (1..100).map {|i| i.to_s} (1..100).map(&:to_s) mapしてからflattenを呼び出すよ
連載目次 前回の連載第2回記事「Ruby 2.1の基本構文/基本文法まとめ&Pryの使い方」では、Rubyの基礎と題して、変数とオブジェクト、定数、リテラル、式と演算子、制御構文について、主要なものを学習しました。ここまでの連載で、Rubyの基本的なプログラムが書けるようになったと思います。 今回からは数回に分けて、Rubyの組み込みライブラリについて、ちょっとしたスクリプトを交えながら解説していきます。読み終わったころには、ライブラリを使ってさまざまなプログラムを書けるようになっていることでしょう。日々の作業の自動化などに、ぜひお役立てください。 組み込みライブラリはRuby本体に含まれているため、特に何も意識することなく、すぐに使えます。 今回は、ArrayクラスやHashクラスなど「配列」「コンテナー」「コレクション」「スタック」「キュー」「連想配列」「ハッシュ(テーブル)」を表現す
1. どういう時に使うか 集合の要素を全走査したいとき。 Rubyで言えば XXX.each でループを回せる部分。 2. メリット (+デメリット) メリット 個々の要素とその集合という概念を扱えるようになる。 デメリット 特になし。 3. このパターンを使わないとどうなるか 配列やDB的なidがあるものに関してはfor (int i = 0; i < x.size(); i++)というような決まり文句で代替が効く。 文字列をKeyにした集合だと、そのkeyの配列などがない限り個々の要素にアクセスする方法がなくなってしまう。 4. Rubyではどう書くか この本のAggregatorは実際のJavaではIterableになっている。Iteratorはそのまま。 これに対応するのが、EnumerableとEnumerator。 要素のクラスにEnumerableをincludeした上で、e
再録:パスワードは本当にSHA-1+saltで十分だと思いますか? 2012年06月07日19:05 ツイート sean_sullivan ヘルシンキ発 by:ショーン・サリバン 昨日、一部メンバーのパスワードに障害が起きたという報道を、LinkedInが認めた。 以下は彼らのブログからの情報だ: 「我々が先頃導入した強化版のセキュリティには、現行のパスワードデータベースのハッシュとsaltが含まれており、今回の影響でパスワードを変更するユーザーにも、パスワードに障害が起きていないメンバーにも利益を与えるだろう。」 ハッシュとsalt? それで十分なのか? それは以下の再録記事(アップデートを含む)で、昨年、エフセキュアのジャルノ・ネメラが呈した疑問だ。 ————— アナーキーなインターネットグループ「Anonymous」が先頃、HBGary Federalとルートキットテクノロジの分析
Github に脆弱性。やった人は Rails に有りがちな脆弱性を issue に挙げていたが相手にされず、実際にそれを突いてきた。一見 childish だが、それだけ簡単に脆弱な実装がなされてしまうということだ。週明けの今日、Rubyist はまず関連情報に一読を。 — Yuki Nishijima (@yuki24) March 4, 2012 気になって調べたのでメモ。自分も気をつけないとなー。 Public Key Security Vulnerability and Mitigation - github.com/blog/ github に脆弱性があってそれが突かれたらしい。 Rails アプリにありがちな脆弱性の一つ、Mass assignment とかいうタイプの脆弱性である。 mass assignment 脆弱性とは mass assignment 脆弱性とは何か、
退学しよう。 九ヶ月ほど前に決意して将来を見極めようとした試みに対する回答が出たのは2008年の4月だった。 現在修士一年。この研究室に所属して一年が過ぎた。 この研究室を選んだのは、自分の価値観とは全く違う所に身を置いてみたかったからだ。僕に足りないもの*1が補えると思った研究室がここだった。他にめぼしい研究室がなかったため、消去法で選んだ側面もある。組織というものは叩けばいくらでもほこりが出るらしい。 そもそも研究室を選ぶこと自体、ほとんど詐欺のような契約だ。数回教授に話を聞きに行ったり、研究内容を背伸びして下調べしても学部生の知識ではよくわからない。よくわからないまま、研究室を決めてしまう。 そして、研究室に入って右も左も分からないのに、数ヶ月たったら、「あと二年残るかどうか」を決めさされる。数ヶ月前の選択を覆すだけの情報なんてまだ持っていないし、内薦の話なんかが出てくると、わざわざ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
