気になったこと

公開されているポストモーテムで大規模なシステム停止について調べてみたところ、約50%は設定の変更が原因でした。

例えば、2014年11月にAzureのサービスが停止したことはよく知られていますが、これも設定変更が原因でした。

その理由は分かっていて、設定変更が検証できるほど十分に本番環境を反映したQA環境を用意するのは難しいことが多く、シートベルトをしないで車を運転するのと同様に、ほとんどの場合はそれで何の問題も起きないからです。

しかし私が読んだポストモーテムには、自動化をしていればリスクを大幅に削減できた、あるいは完全に排除できたはずだ、というものが多くありました。一連の指示を完璧に実行しなくてはいけない人間がミスを犯し、その結果システムが停止した事例は多くあります。

Elixir v1.1.0 Released | Hacker News

RFC 6265 では、様々なサイトへのアクセスによってウェブブラウザに設定される Cookie の独立性と整合性を保証するための仕組みを規定しておらず、ウェブブラウザで Cookie が設定される際にドメインの確認が行われるとは限りません。攻撃者はこの性質を利用し、HTTPS で接続するサイトに使われる Cookie を上書きする可能性があります。例えば、あらかじめ "example.com" の Cookie を設定しておくことで、"www.example.com" に HTTPS 接続する際に使われる Cookie を上書きすることが可能です。サーバに存在する他の弱点と組み合わせることで、HTTPS セッションで保護されるべき情報が漏えいする可能性があります。同一生成元ポリシー (RFC 6454) は Cookie には適用されないため、このような攻撃を防ぐことはできません。 JVNVU#92999848: HTTP リクエスト経由で設定された Cookie によって HTTPS 接続がバイパスされたり情報漏えいが発生する問題

JVNVU#92999848: HTTP リクエスト経由で設定された Cookie によって HTTPS 接続がバイパスされたり情報漏えいが発生する問題

prtimes.jp

開発者向けツール ファミリ製品のサポート ライフサイクルに関する FAQ

www.slideshare.net