ふたつの川うるおう日記
2006-01-03 (Tue)
_ [Seasar] コミッタ用WEBアプリこっそり更新
Copyrightの年度更新だけしようと思ったんだけど、ついでなので今まで2個に分かれてたのをS2Directoryの更新機能使って1個にまとめました。機能的に変更点はないのでアナウンスはなしで。
更新しようとして1個思ったのは、今動いてるやつのライブラリのバージョンを忘れてたので、それぞれのバージョン返す関数があると便利かなーっと思いました。どっか管理用のページにでも一覧出力するページ作っとけば動いてるやつ確認するのに楽。PostgreSQLのJDBCドライバだとorg.postgresql.Driver.getVersion()とかあるみたいなのでそんな感じで。
とりあえず一通り現時点で一番新しいライブラリにしときました。
2006-01-07 (Sat)
_ [大学] 認証技術?講演
来週ヒューコムの中の人とライブドアの中の人が認証技術についてうちの校舎に語りに来るらしい。さっき偶然見つけた(;´ー`)。
認証技術とか超興味ある分野なんだけど、サブタイトルが「〜インターネット詐欺や情報漏えいから身を守るために〜」だし、たぶん僕の好きな認証統合とかとは違う話だろうなーっと。イントロにも知的財産とか安全性とかなってるし。
ヒューコムの方は、自社製品にバイオメトリクスやワンタイムパスワードとかあるから、個人識別認証系の話をするのかな。ライブドアの方は、何だろ・・・、何か特化したのあったかな。。たぶん普通のサービスとかでの認証についてとかフィッシング詐欺とか、サービス系の話でもするのかな??
空いてたら観に行こうかな。てか、これどこが企画したんだろう、うちの学部ではないだろうけど、情報センターの方に会ったら聞いてみよ。
2006-01-10 (Tue)
2006-01-14 (Sat)
_ [雑記][Seasar] 更新情報
最近日記に更新によるトラブルが無い限りソフトウェアの更新情報を書くのやめてます。いろいろバージョン上がってたりするのでご注意を。
サーバ関連ならSeasarサーバの更新情報見ればいいかもしれないw。
2006-01-19 (Thu)
2006-01-21 (Sat)
_ [Java][Seasar] org.seasar.mayaa.impl.engine.PageNotFoundException.html 便利
MayaaのML見てたらエラー別にページ定義なんて出来たんですね。
知らなかったー。というわけで息抜きにテストしてみたところ良い感じ。
2006-01-24 (Tue)
_ [Seasar] wwwサーバの反応がないーー
ふと気づいたらPINGの反応がない(;´Д`)。うーん、何だろ。 サーバ故障だとちょい面倒だ。。。
ダメ。だいぶ前に1回故障っぽい動きしてるし、やっぱどっかハードおかしいのかも。このサーバはこれで3回目の障害です。もう1台のは1回目でハード故障して起動しなくなったので、計4回目。Seasar関連のサーバ故障多い。。某所で見てる何十台のサーバは全然壊れないのにな。
とりあえず、2台目サーバに昨日03:00時点のバックアップからREADオンリー環境復旧させます。ただ、1台目のマスタDNSサーバが微妙に生きてて、セカンダリDNSサーバをマスタに昇格できるか判らないです。
お借りしているところに連絡が取れ次第、再起動し様子を見てもらいます。ご迷惑をお掛けいたしますm(_ _)m。
復旧したら、早々に代換サーバ(先日導入された新サーバ)に全機能移行した方が良いのかもしれません。
10:07追記: DCに連絡してもらっています。
11:44追記: 復旧。
_ [Java] Apache Tomcat 5.5.15 is stable
これ今まで良く判ってなかったことなのではっきりして良かったです。5.5.12の時に1回リリースされたもののその後の5.5.13から5.5.15の時は、リリースされても同時にbetaツリーがあって、これはstableリリースなのか何なのかわからない状況でした。今回のこの投票でstableと認定されたので、5.5.15にバージョンアップしたいと思います。
2006-01-27 (Fri)
_ [Server] 込んでるのかな
朝にVALUE-DOMAINへ入金したのの反映待ち中。通常は平日の15時以降に順次確認して反映されるらしい。
反映されましたー。ってわけで取得完了。
2006-01-30 (Mon)
_ [Java] Cross-Site Request Forgeries対策 なるほどなるほど
いろいろ奥が深いみたいですね。何個かサイト見てみたらセッションIDを生でそのまま使うのは精神衛生上良い方法ではないかも。
- 参考サイト
- 高木浩光@自宅の日記 しばらく日記をちゃんと書けそうにない
- おさかなラボ hiddenにセッションIDを埋めるのは本当に安全なのか
- おおいわのこめんと hidden field に session ID を入れる CSRF 対策方法に対する反論に対する反論
というわけで、次のどちらかに変えようかな。
- セッションIDをSHAかSSHAハッシュしたのをhiddenに仕込んで使う
- おさかなラボのクロスサイトリクエストフォージェリ対策をCSRF対策するページごとに異なるキーで持つ
たぶん2つ目の方がより安全なんだろうけど、この方法の場合ページにアクセスするごとにキーが変わっちゃうので、タブブラウザで複数開いて、やっぱ消して最初のとこで入れようとするとキーが変わっちゃっててアウトになっちゃったりする。無意味にリンクをクリックしてタブを開きまくる僕的にそれは嫌だなーってことで、1に落ち着きそう。SSLなサイトならProxy挟んでも暗号化されてキャッシュとして使える形で残らないだろうし。 一応2に書いたようにページ単位でセッション持つキー名を変えれば、同じページを何個も開くという可能性は減るからやるならそれで。
まぁどっちにしてもS2Directoryのcryptパッケージが生かせて満足(゜ー゜)。
昔作ったWEBアプリにはCSRF対策なんかして無かったなー。
今回の2みたいなのだけでなく、いろんなWEBアプリ使う上でリンクをクリックして別タブでページを開いていって、その時にセッションの値を上書きしていってしまいタブを閉じて元に戻った時にそこにあるフォームやリンクが使えなくなってしまっている状態になるWEBアプリは嫌いです。理由はさっきと同じ。だからWEBアプリのフレームワークでもセッション使わないで簡単に書けるようになってないとあんまり好きじゃないです。
あ、上記はログイン処理で上書きしていくのはもちろんアリです。ログイン後の機能を提供する画面でそうなってるのがアウト。違いはログインは通常1度しか通らない一方通行の入り口であるのに対して、ログイン後の機能は何回もそこを通る可能性がある空間であるかです。
_ カルビ二人前への道 [ワシは今日始めて学校を休んだで・・・ ホント o(゜Д゜)っ モムーリ!]
_ jfut [今まで皆勤賞だったんですね((((゜Д゜;)))スゴイ。 カルビさんならもう卒業で良いんじゃないですかねw。]
_ あらかわ [私など二連休ですぜ]
_ jfut [てことは明日はいるのか(゜ー゜)。]
_ あらかわ [来たのに…(´・ω・`)]
_ jfut [また明日(;´ー`)。]