2015年06月の#ssmjpまとめ その2

うっ、アルコールで目が痛い……! #ssmjp
HTTP/2のセキュリティ診断をやるために色々調べました。 #ssmjp
エスパーすぎるタイトルだった(;´∀`) #ssmjp
|・ヮ・) 所用のため無念の早退…お先します、おつかれさまでーす #ssmjp
もしRパターン多すぎるでしょ。 #ssmjp
nghttp2: HTTP/2のツール。今回はこれ使って調べたよ。 #ssmjp
とりあえず辿り着いたけど肩が痛い #ssmjp
もしRのRはRFC7540のことだったのね。。。#ssmjp
nghttp2をベースにした、HTTP/2のお話 #ssmjp
そうそう、バイナリメッセージの話とかだいぶ調べた
#ssmjp
HTTP2の特徴説明するの難しいよね、聞く人によって変えないといけないし。 #ssmjp
Stream_idってIMAPに似てる感じがする #ssmjp
おっしゃ.この発表を聞けば,明日から HTTP/2 のバイナリが読み解けるぞ! #ssmjp
「00 05 02を目印に目grepできるように」えっ #ssmjp
明日からHTTP/2のヘッダー情報をバイナリで読めるめう。#ssmjp
バイナリメッセージHTTP2の目grepできる人(*_*) #ssmjp
HEADERS フレーム解説.先頭9バイトは固定フィールド.10バイト目からペイロードになる. #ssmjp #http2
やっべこれ後でスライド見直さないとわかんないパターンだ… #ssmjp
最後に来たからね… RT @okaji 僕がしゃべるのは最後らしい #ssmjp
HTTP/2はHPACKを使用してヘッダを圧縮している。詳しくはRFCを。#ssmjp
目grepをもっとも必要としていない仕事しているのに、目grepの話を聞くという…。 #ssmjp
RFC7540、すでに日本語訳してくれてる方いらっしゃる。感謝。 #ssmjp
RFC7540の日本語訳がでてた。かめちゃん発表のときにはなかったはず…
summerwind.jp/docs/rfc7540/
#ssmjp
すげーなwよく調べて解説してるので感心してみてる #ssmjp
人間が読まないこと前提になってるプロトコルだなHTTP/2 #ssmjp
有り体に言ってこれ考えたやつ頭おかしい、という感想になってる…<HTTP/2 #ssmjp
v6 でも同じように符号化されるんですかね? #ssmjp #http2
このプロトコル喋れそうに無いなぁ。 #ssmjp
streamごとにウィンドウサイズきまってるしやっぱ凄いのでは #ssmjp
すごいめう、じゃなくてホントにこの速度でよく解説できるなあ。#ssmjp
フロー制御の Initial Windows Size は目 grep 対象.6の倍数. #ssmjp #https
connection と stream の Windows Update は別々. #ssmjp #http2
入念に準備して発表に挑んだ成果が…(潤滑油的な意味で #ssmjp
正しい発表タイトルは「http/2を目grepできるようになろう」じゃないかという気がしてきた。 #ssmjp
これ TCP じゃだめなんだろうか。 #ssmjp
サーバープッシュは初めて見たとき現代っぽいなと思った
#ssmjp
Server Push: クライアントからのリクエスト前にサーバからレスポンスを送りつける事が出来る。 #ssmjp
Server Pushの際には、PUSH_PROMISEフレームで通知を送る。 #ssmjp
ホントにアルコール入ってるんですか。。。w #ssmjp
もう覚えましたよね?82はGETです #ssmjp
HTTP/2の話。固定符号化とかハフマン符号化とかかっこよすぎる #ssmjp
Proxy ツールの1つ.Burp Suite 出ました #ssmjp
Burp Suite:フリーの診断ツール(一部は有償)、proxyとして動作する。 #ssmjp
本来の目的、目grepだと思ってる人いそう。 #ssmjp
Burpはhttp2を理解できない(´;ω;`)ブワッ #ssmjp
Burp SuiteはHTTP/2を理解できない。そこでnghttpxで1と2を変換してアクセスできるようにした。 #ssmjp
nghttpx は nghttp2 プロジェクトで開発している HTTP/2 と他のプロトコル (e.g., HTTP/1, SPDY) を変換するプロキシだと… #ssmjp
Client <—> Burp Suite <—-> nghttpx <—-> Server
HTTP/1.1 HTTP/1.1 HTTP/2
#ssmjp
burp suiteはHTTP/2.0未対応なのでnghttp2のnghttpxをかませる。#ssmjp
http/1.1の通信をHTTP/2に変換してそれをhttp/1.1に変換して診断…ってわがわからないよ #ssmjp
http2で無理やり通信を発生させる方法はすごい #ssmjp
http/2のヘッダインジェクションの脆弱性診断の方法(((o(*゚▽゚*)o)))
#ssmjp
これは興味深い-> http2でhttp header injection. #ssmjp
任意のヘッダ挿入してみた→ヘッダインジェクションできた.攻撃は成功する(HTTP/2でも脆弱なまま)! #ssmjp #https
HTTP/1.1をアップデートしてHTTP2の診断をすることが正解じゃ無いとは思うんですよね、今はそういう手段を使っているだけで。 #ssmjp
レスポンススプリッティング→成否はまだ不明 #ssmjp #http2
ウィスキーインジェクション・・・ #ssmjp
ウィスキー飲みながら午前3時までは作業できないなあ。。。#ssmjp
Nghttp の HTTP/2 の実装に依存してそうな気がしなくもない #ssmjp #http2
結論:HTTP/2になったからと言って自動的にセキュアになるわけではない(当たり前だけど) #ssmjp
歴史的経緯なんだろうなぁ<ヘッダのHTTP/2.0 #ssmjp
PRI の HTTP/2.0 の「.0」部分は2バイト無駄じゃん #ssmjp #http2
http/2のバイナリストリームのデコーダ必要になるんだろうな。 #ssmjp
「物を通じてWebサービスを利用する」と考えた方が良い #ssmjp
パイセン並みに○ねって言ってるなw #ssmjp
ヘイトが溜まってる人のはなし聞いてる #ssmjp
○ねばいいのに。今日これてないどなたかと同じおいにーが… #ssmjp
インターネットサービスのモノ化、Web APIのモノ化。 #ssmjp
IoTが顔文字にしか見えない・・・疲れてるのかな? #ssmjp
IoTデバイスは何で出来ているか?ー>センサー・バッテリー・マイコン #ssmjp
szkさんが今日ついーとしてた、これって、スマートエンターキー?w
bigenter.thebase.in/items/1050512
#ssmjp
センサーで情報を取得ー>データを解析する(ソフトウェア)ー>結果を提示する(スマホアプリとか) #ssmjp
僕の生命活動が停止したら自宅PCのHDD抹消してくれるデバイス・サービス欲しいです。 #ssmjp
センサーは身につけやすさ・正しい値を取得する事、データ解析はセンサーの値を適切に解析するノウハウ、結果提示は意味のあるわかりやすい情報表示が大事。#ssmjp
加速度センサーで取得した数字の羅列もそのうち目grepでごにょごにょ #ssmjp
結果提示のあたりは既存のWeb屋さんが得意とする分野では無いか。 #ssmjp
データ解析/フィードバックはWeb界隈の技術が多く使われる。
#ssmjp
ハードウェアのプロトタイピング:最近はコスト下がってきたので、トライ&エラーを繰り返すのが大事。 #ssmjp
メチャクチャ面白いIoTのハナシ。語り口がたまらなく聞き心地がいいなあ。
#ssmjp
このハードウェアでIoTやりまーす。は死亡フラグ。。。#ssmjp
製造:最近は製造メーカーがスタートアップと組んでくれるケースも増えている。 #ssmjp
#ssmjp の懇親会から乱入するか悩んだけど体調悪いから辞めるか……
これか
#16lab #ssmjp
日本発のリング型ウェアラブル「OZON」発表 デザイン監修は田子學 fashionsnap.com/news/2014-10-2… @fashionsnapさんから
やめてよ!もってるんだよそれ! #ssmjp
炎上ー炎上ー炎上ー、というフレーズが頭の中に思いながら為になる話を聞いてます #ssmjp
「IoTというワードは来年には無くなってるだろうけど、物を作る環境やノウハウはどんどん蓄積されていくはず」#ssmjp
お、本日これで終わり。おつかれさまでしたー。#ssmjp
何とか店探して打ち上げちゅう #ssmjp
折りたたみ傘の忘れ物がありました。お心当たりのある方はご連絡ください #ssmjp pic.twitter.com/URpJXwixff
悪そうなヤツらだいたい友達🎵
良い夜ですね〜🎵

#ssmjpic.twitter.com/MsahvEdQtYtY

懇親会終わって帰宅中。今回も面白い内容だった! #ssmjp
久しぶりに喋りたいネタがあるんだけど、来月は出張もあるし、対応する時間なさそう。 #ssmjp
#ssmjp のTL見直してるけど、HTTP/2側で状態遷移を頑張っているのは別にやりたくてやってるわけじゃないらしい。SCTPがもっと普及してれば、SCTP使ってたわーって記事だかコメントだかをどっかで読んだことある。
再来月? RT @unkn0wnbit 久しぶりに喋りたいネタがあるんだけど、来月は出張もあるし、対応する時間なさそう。 #ssmjp
あと、さっき見つけたQUICの記事。これあとで読む。って、これ、HTTP2 Advent Calendar 2014 の記事だ。読み飛ばしていたか。#ssmjp

You may also like...

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です