タグ knqyf263
人気順 10 users 50 users 100 users 500 users 1000 usersKeyTrap (CVE-2023-50387)を検証してみた - knqyf263's blog
DNSは趣味でやっているだけですし有識者のレビューを経ているわけでもないので誤りを含むかもしれませんが、DNS界隈には優しい人しかいないのできっと丁寧に指摘してくれるはずです。 要約 背景 詳細 DNSSECとは? DNSSECの可用性 鍵タグの衝突 攻撃内容 SigJam (単一の鍵 x 多数の署名) LockCram(多数の鍵 x 単一の... 続きを読む
OSSをベースにしたサービス提供の難しさ - knqyf263's blog
2023/06/07
338 users
OSS
レベニューシェア
pull request
移行
背景
背景 難しさ 利益相反になりがち 競合OSSの存在 コミュニティからのPull Request 競合サービスによる利用 レベニューシェアにならない 利用統計が取れない やっておくべきこと お金を払いたい機能を見極める 境界線を決める ライセンスについて考える 利用統計の取得方法について考える OSSから有償版へのスムーズな移行... 続きを読む
OCI Referrers APIを試す - knqyf263's blog
2023/03/14
10 users
API
SBOM
Blog
一方
背景
まだどのOCIレジストリも対応していないのですが、新しく仕様が策定されたOCI Referrers APIを試してみた記事です。SBOMなどが話題になる一方で活用方法が不明なまま数年が経過しましたが、この新仕様によってその辺りが多少改善されると思っています。 背景 OCI Reference Types 提案 1: OCI Artifact Manifest 提案 2:... 続きを読む
子育てと家族のキャリア - knqyf263's blog
2023/01/04
18 users
バック
キャリア
Blog
子育て
ソフトウェアエンジニア
技術的なことばかり言ってたのに歳をとって急に子育てとか言い出す恒例のアレです。 子育てで勉強時間を取れず悩むソフトウェアエンジニアは多く御多分に洩れず自分もそうだったのですが、家族全体でキャリアを考えることで最近はそういった悩みも減ったので書いておきます。勉強時間を増やすためのハックとかではありま... 続きを読む
curlでKeyless Signingする (1) - OpenID Connect編 - knqyf263's blog
2022/09/30
15 users
OIDC
curl
手動
フロー
背景
確実に忘れるであろう将来の自分と、Keyless Signingに異常な興味を持つ日本に数人しかいないであろう人達のための記事です。 背景 前提 Keyless Signing全体のフロー OIDCのフロー 認可コードの取得 IDトークンの取得 手動で試す OpenIDプロバイダーの情報取得 認可コードの取得 code_verifierの生成 code_challengeの... 続きを読む
至高のGoプラグイン用ツールを作った - knqyf263's blog
2022/08/29
83 users
至高
YouTuber
Blog
りゅうじ
パク
最近YouTuberのリュウジの料理を毎日作っているので至高とか無限とか言いがちですが個人の感想です。万人にとって美味しい料理はないように、万人にとって至高のツールは存在しません(何の話?)。ちなみに公開してすぐバグを見つけてしまったので全然至高じゃありませんでした。 要約 概要 特徴 使い方 流れ 事前準備 ... 続きを読む
Dirty Pipe(CVE-2022-0847)の発見経緯が面白かった - knqyf263's blog
2022/03/28
234 users
Dirty Pipe
Blog
Trailer
gzip
パク
最初に断っておくと今回は万人向けの記事ではないです。面白かったので自分が忘れないようにまとめているだけです。 本記事の位置付け はじめに 発見経緯 CRCのエラー HTTPアクセスログ 壊れたgzipのtrailerを見てみる 壊れたファイルの法則性 月次ログファイルの生成 Linuxカーネルのバグの可能性 バグ混入の歴史 ログ... 続きを読む
セキュリティツールの評価は難しい - knqyf263's blog
2022/03/14
304 users
セキュリティツール
Blog
評価
前から思ってたことをちょっと書かずにいられなくなったのでポエムを書きました。 背景 問題 検知している方が正しいように見えがち 条件を揃えるのが難しい 環境の再現が難しい 検知数が多い方が良さそうに見える 正解かどうかの判断が難しい カバー範囲の正確な見極めが難しい 検知されないほうが嬉しい まとめ 背景 ... 続きを読む
20分で分かるDirty Pipe(CVE-2022-0847) - knqyf263's blog
2022/03/11
271 users
Dirty Pipe
マージ
Blog
極限
可否
極限まで詳細を省けば何とか20分で雰囲気だけでも伝えられるんじゃないかと思って書きました。書き終えてから見返したら多分無理なので誇大広告となったことを深くお詫び申し上げます。 背景 概要 脆弱性の影響 ページキャッシュやsplice パイプ マージの可否 下準備 攻撃手順 まとめ 背景 先日Dirty PipeというLinuxカ... 続きを読む
sigstoreによるコンテナイメージやソフトウェアの署名 - knqyf263's blog
2022/02/06
19 users
まえがき
sigstore
署名
生成
ソフトウェア
恐ろしく長い上に割と複雑なので最後まで読む人はほとんどいないと思うのですが、将来確実に忘れてしまう自分のために書いたので別に悲しくありません。 まえがき 背景 sigstoreの概要 sigstoreを構成するツール群 Cosign Rekor Fulcio 署名方法 コンテナイメージ 鍵ペアの生成 署名 検証 Blobs 鍵ペアの生成 署名 検証 ... 続きを読む
Docker DesktopからRancher Desktopに乗り換えてみた - knqyf263's blog
2022/02/01
364 users
Rancher Desktop
Docker
Blog
宣伝
この記事はPRを含みます。 概要 背景 移行 Docker Desktopのアンインストール Rancher Desktopのインストール Kubernetesクラスタの無効化 宣伝 まとめ 概要 Rancher Desktopがcontainerdに加えdockerにも対応したのでDocker Desktopから乗り換えてみました。 背景 2021年9月にDocker Desktopが有料化されました。移行期... 続きを読む
自分でやるべき(ように思える)ことを得意な誰かに任せるという考え方 - knqyf263's blog
2022/01/11
216 users
Blog
ポエム
考え方
自分
勢い
完全なるポエムです。自分にとって斬新な考え方だったので思わず勢いで書いていますが、知っている人からすると当たり前ですし、冷静に読み返すとだから何だよという内容に仕上がっています。読んだあとにだから何だよと言われても責任は取れません。 はじめに とある方の話 他人に任せる 記事執筆 社外発表 社内発表 マ... 続きを読む
英語ミーティングを乗り切るために身につけたバッドノウハウ - knqyf263's blog
2021/08/04
2006 users
バッドノウハウ
エピソード
前提
奮闘記
Blog
周りを見ていると何の苦もなく英語社会に適応しているわけですが、日々苦しんでいる人の奮闘記があっても良いのではないかと思って書きました。残念なエピソードを晒すことで実は自分もこうやって乗り切ってましたという人が現れお互いに助け合えることを期待しています。 概要 前提 バッドノウハウ 質問編 聞き取れなか... 続きを読む
趣味で作ったソフトウェアが海外企業に買われ分野世界一になるまでの話 - knqyf263's blog
2021/07/29
751 users
ソフトウェア
Blog
趣味
海外企業
2年前の2019年8月に以下のブログを書きました。 knqyf263.hatenablog.com 今回はその続きです。前回のブログは多くの人に読んでもらうことを意識して書きましたが、今回はそうではないです。特に得た学びを書くわけでもなく何で作り始めたのか?とかどんなことがあったのか?とか思い出話を書いているだけなので、言って... 続きを読む
Terraform, Dockerfile, KubernetesなどIaCの脆弱な設定をCI/CDで検知する - knqyf263's blog
2021/07/12
285 users
IAC
Dockerfile
Kubernetes
OSS
概要 自分の所属企業であるAqua SecurityがTFsecというOSSを買収しました。 blog.aquasec.com TFsecはどういうツールかというとTerraformの静的解析スキャナーです。Terraformの設定ファイルを渡すことでセキュリティに関する設定ミスを主に検知してくれます。 github.com そのアナウンスに伴い、TFsecは自分が開発して... 続きを読む
Goバイナリの脆弱性検知 - knqyf263's blog
2021/04/29
88 users
goバイナリ
Trivy
github.com
バイナリ
現代
Trivyのv0.17.0をリリースしました。 github.com 長い道のりでしたが、ようやくこれでGoバイナリの脆弱性検知に対応できました。夜中0時ぐらいからリリース作業を初めて気付いたら朝5時でした。 概要 Go言語で書かれたプログラムをビルドすると依存しているモジュールがバイナリに含まれます。現代のソフトウェア開発に... 続きを読む
TrivyがRed Hatの認定脆弱性スキャナーになりました - knqyf263's blog
2021/02/23
14 users
Trivy
OSS
Aqua Security
Blog
認定
概要 本日、Red HatからRed Hat Vulnerability Scanner Certificationという脆弱性スキャナーに対する認定プログラムが発表されました。 www.redhat.com そして上の発表の中で私の所属企業であるAqua Securityも認定を受けたことが書かれています。つまり自分が業務として開発しているTrivyというOSSの脆弱性スキャナー... 続きを読む
DNSpooqの脆弱性詳細と攻撃コード解説 - knqyf263's blog
概要 要約 詳細 背景 前提 インターネット上に公開されたdnsmasq LAN内のマシンが攻撃者の支配下にある LAN内のマシンに攻撃者管理のWebサイトを閲覧させることができる 影響 中間者攻撃 汚染拡大 DDoS/Reverse DDoS CVE-2020-25684: ポートの多重化 CVE-2020-25685: 脆弱なCRC32の利用 CVE-2020-25686: 同一ドメイン名... 続きを読む
KubernetesのLoadBalancerやClusterIPを用いた中間者攻撃(CVE-2020-8554) - knqyf263's blog
2020/12/08
16 users
Kubernetes
loadbalancer
type
今回は前回と違いライトなネタです。 概要 Kubernetesで新しい脆弱性(CVE-2020-8554)が公開されました。 github.com 拍子抜けするほど簡単な脆弱性なのですが、一応試しておきました。発見者の方のブログも以下にあります。 blog.champtar.fr 今回の脆弱性はServiceのtype: LoadBalancer/ClusterIPを悪用して行う中間... 続きを読む
SAD DNSのICMP rate limitを用いたサイドチャネル攻撃について - knqyf263's blog
2020/11/19
30 users
サイドチャネル攻撃
Blog
UDP
大作
気合い
脆弱性ネタは人気がないことが過去の傾向から明らかですが、自分が震えるほど感動したので忘れないためにも気合い入れて大作を書きました。 背景 SAD DNSの解説 全体像 UDPのソースポートについて ICMP rate limit per-IP rate limit global rate limit Public-Facing Source Portのスキャン Private Source Portのスキ... 続きを読む
Semantic Versioningの闇 - knqyf263's blog
2020/11/10
365 users
余談
幻想
Blog
現実
可能性
今回も誰も興味ないシリーズなので今まで書いてこなかったのですが、Semantic Versioningに関して幻想を抱いている人がいる可能性があり、そういう方にどうしても現実を知っておいて欲しかったので書きました。3行要約(と可能なら余談)だけでも読んでいただけると幸いです。 3行要約 Semantic Versioning 2.0.0にはバ... 続きを読む
Berkeley DB (Hash) の実装 - knqyf263's blog
2020/10/28
23 users
Oracle
OSS
hash
データベース
解析
普段あまりこういう誰の役に立つのか分からない記事は書かないのですが、解析をするまでの背景がOSSに関するとても良い話なので重い腰を上げて書きました。 概要 古のアプリケーション組み込み型のデータベースとしてBerkeley DBがあります。元々はカリフォルニア大学バークレー校によって開発され、その後Oracleによっ... 続きを読む
OSSエンジニアを1年やってみた所感 - knqyf263's blog
2020/08/27
254 users
所感
肩書
Open Sour
本業
ポジション
最近脆弱性の話とか本業と一切関係ないことを書いていたので、今回は本業に関する話です。 2019/08/01にOpen Source Engineerという肩書になってから既に1年が経過しました。そういうポジションの人はまだ日本では少ないんじゃないのかなと思ったので何か参考になればと所感を書いておきます。ちなみに最初の頃Open Sour... 続きを読む
__proto__の除去でNode.jsのプロトタイプ汚染を防げないケース - knqyf263's blog
2020/08/09
24 users
proto
prototype
プロトタイプ
node.js
前提 Node.jsのプロトタイプ汚染について書いているのですが、プロトタイプの説明(prototype と __proto__ の関係とか)を定期的に見直さないと綺麗サッパリ忘れる程度にはNode.js触っていないので、何かおかしいところあればご指摘お願いします。 概要 Node.jsではここ数年プロトタイプ汚染攻撃が流行っています。概要... 続きを読む
CVE-2020-10749(Kubernetesの脆弱性)のPoCについての解説 - knqyf263's blog
2020/06/18
17 users
PoC
Kubernetes
Calico
Plugins
少し前ですが、Kubernetesの方から以下の脆弱性が公開されました。 github.com タイトルにはCVE-2020-10749と書きましたが、複数のCNI実装が影響を受ける脆弱性でCVE-2020-10749はcontainernetworking/pluginsにアサインされたものです。他にもCalicoはCVE-2020-13597、DockerはCVE-2020-13401、などとそれぞれCVE-IDが... 続きを読む