検索

• [ Prev ]
• [ Next ]
• [ 技術 ]

先日外部のWebセキュリティの方と話していたら、DOM based XSSの話題でDOMinatorというのを教えてもらいました。メモとして参考リンクなど残しておきます。

初期：Google Codeでホスティングされてた時代：

• dominator - Community version of the DOMinator for Firefox - Google Project Hosting
  • https://code.google.com/p/dominator/

→2011年の紹介Blog：

• Minded Security Blog: The DOMinator Project
  • http://blog.mindedsecurity.com/2011/05/dominator-project.html

→現在はMinded Security社の製品として、Webセキュリティの検査員向けのツール製品として販売。Free Trialは日数限定・機能限定のお試し版。

• DOM XSS Identification. DOMinatorPro: Securing Next Generation of Web Applications
  • https://dominator.mindedsecurity.com/

→上記HPのヘッダにリンクがあった、DOM based XSSのテストケースについてのナレッジベースWikiらしい：

• domxsswiki - DOM XSS Test Cases Wiki Cheatsheet Project - Google Project Hosting
  • https://code.google.com/p/domxsswiki/

Minded Security社作成の、DOM based XSSのテストサイト：

• DOMXSS.com: interactive DOM XSS vulnerable website
  • http://www.domxss.com/domxss/

こちらは恐らくProになる前のGoogle Code時代のをGitHubに移してきたと思われる。コミットログもFirefox8時代の対応で止まっている。

• wisec/DOMinator
  • https://github.com/wisec/DOMinator

アプローチとしては、FirefoxのJSエンジンを直接改造して、入力から出力に至るまでのコードパスを解析できるようになっている。
恐らく静的解析と、実行時の挙動を捉える動的解析を組み合わせた形と想像される。

• [ Prev ]
• [ Next ]
• [ 技術 ]

• [ Prev ]
• [ Next ]
• [ 技術 ]

結構便利だったのでメモ。

• Fenix Web Server | Static Web Servers for the Desktop
  • http://fenixwebserver.com/

開発用にローカルでシンプルなWebサーバを立てられる。
node.jsでのサーバが内部では起動される。
便利なのが、公開するディレクトリとポート番号のペアを複数設定できる＝Webサーバのインスタンスを複数起動出来る点。
動的なFWというわけでは無いため、静的なリソースに限定されるものの、HTMLとかJavaScriptのちょっとした実験にも便利。

一度インストールすればOKではあるが、いざインストールしようとすると中々名前を思い出せなかったりするのでメモ。

• [ Prev ]
• [ Next ]
• [ 技術 ]

• [ Prev ]
• [ Next ]
• [ Java ]

JavaでWebSocket使うときどうするか、の勉強メモ。

Java API for WebSocket(JSR 356)がJavaEE7以降扱えるようになったっぽい。

• javax.websocket (Java(TM) EE 7 Specification APIs)
  • http://docs.oracle.com/javaee/7/api/javax/websocket/package-summary.html

参考：

• How to build Java WebSocket Applications Using the JSR 356 API – OpenShift Blog
  • https://blog.openshift.com/how-to-build-java-websocket-applications-using-the-jsr-356-api/
    • 英語記事だけど、実際にサーバ側・クライアント側のそれぞれのサンプルを丁寧に解説してくれてる。
• JSR 356―Java標準のWebSocket API - Programming Studio
  • http://www.coppermine.jp/docs/programming/2013/12/jsr356-fundamental.html
• The Java EE 7 TutorialのJava API for WebSocketのセクションをテキトーに訳した - kagamihogeの日記
  • http://kagamihoge.hatenablog.com/entry/2014/06/19/202338
• JavaでWebSocket使い方メモ - Qiita
  • http://qiita.com/opengl-8080/items/7ca8484c8579d264e239

Stack Overflowでの参考資料とか載ってるやりとり：

• java - javax.websocket client simple example - Stack Overflow
  • http://stackoverflow.com/questions/26452903/javax-websocket-client-simple-example

• [ Prev ]
• [ Next ]
• [ Java ]

• [ Prev ]
• [ Next ]
• [ Java ]

github上の練習コード：

• https://github.com/msakamoto-sf/javasnack/commit/bc2be5166d7c61e5e66620f20d517bdba6939599
• https://github.com/msakamoto-sf/javasnack/blob/master/src/test/java/javasnack/langspecs/TestExecutorFutureBasics.java

行儀の良いスレッドプールのシャットダウン：

• Java 非推奨スレッドプリミティブ
  • http://docs.oracle.com/javase/jp/7/technotes/guides/concurrency/threadPrimitiveDeprecation.html

• [ Prev ]
• [ Next ]
• [ Up ]
• [ Java ]

• [ Prev ]
• [ Next ]
• [ Java ]

たまたま、はてブで、以下の記事を発見。「は～、Unicodeって色んな記号あるんだな～」と眺めてた。

• Unicodeにあるハイフン/マイナス/長音符/波線/チルダのコレクション | hydrocul のメモ
  • http://hydrocul.github.io/wiki/blog/2014/1101-hyphen-minus-wave-tilde.html

そしたら、同じblogでこんな記事を見つけた。

• PHPのmb_convert_kanaとUnicodeのNFKC正規化 | hydrocul のメモ
  • http://hydrocul.github.io/wiki/blog/2014/1127-unicode-nfkd-mb-convert-kana.html

記事はPHPだったが、Javaだとうどうかな？と思ってぐぐったらこんなの見つけた。

• Java技術最前線 - 「Java SE 6完全攻略」第56回 文字列の正規化：ITpro
  • http://itpro.nikkeibp.co.jp/article/COLUMN/20071130/288467/
• Normalizing Text (The Java™ Tutorials > Internationalization > Working with Text)
  • http://docs.oracle.com/javase/tutorial/i18n/text/normalizerapi.html
• Java SE 6 じゃじゃ馬ならし Unicode の正規化
  • http://www.javainthebox.net/laboratory/JavaSE6/normalizer/normalizer.html
• Java6にはUnicode正規化の機能がいるそうな : mwSoft blog
  • http://blog.mwsoft.jp/article/34823291.html

JDK6から正規化が使えるようになったみたい。
このへんで、ちゃんと「Unicode 正規化」でぐぐったら以下の記事を発見。スゴイ。

• Unicode正規化
  • http://nomenclator.la.coocan.jp/unicode/normalization.htm

Javaの正規化で、本当に上の記事のようになるか、確認してみた練習：
https://github.com/msakamoto-sf/javasnack/commit/5853d88d0e043e85decf37272e07b1e5ce076ac1

• [ Prev ]
• [ Next ]
• [ Up ]
• [ Java ]

• [ Prev ]
• [ Next ]
• [ Java ]

実は以前調べたことがあり、間違って System.getenv("HOSTNAME") を使ってしまった。
Facebookで他のエンジニアがLinux前提で /proc/sys/kernel/hostname を読み込む方法使ってたのを見かけ、HOSTNAMEを使う方法を教えたらうまく動かず、今回改めて調べ直したら見事にHOSTNAME使うのはbash依存ということが判明orz.

• Recommended way to get hostname in Java - Stack Overflow
  • http://stackoverflow.com/questions/7348711/recommended-way-to-get-hostname-in-java

"InetAddress.getLocalHost().getHostName()"はマシンのネットワーク設定, DNS等によっては失敗したり、期待したものとは異なるものが返ってくる可能性がある。

System.getenv("HOSTNAME") はNGだった。というのは、"HOSTNAME"は厳密にはbashが設定する「変数」であり、「環境変数」ではない。そのため、bash系の設定ファイルによっては、HOSTNAMEが環境変数としてexportされずに、取得できないケースがある。

参考：

• shell - HOSTNAME environment variable on Linux - Super User
  • http://superuser.com/questions/132489/hostname-environment-variable-on-linux
• Internal Variables
  • http://tldp.org/LDP/abs/html/internalvariables.html
• unix - Usage of HOSTNAME and CURRENT_USER in scripts on linux - Server Fault
  • http://serverfault.com/questions/80201/usage-of-hostname-and-current-user-in-scripts-on-linux
• bash - HOSTNAME set in environment but not visible to gmake - Stack Overflow
  • http://stackoverflow.com/questions/6353065/hostname-set-in-environment-but-not-visible-to-gmake

unixであれば Runtime.getRuntime().exec("hostname") が無難。これはネットワーク設定ではなくkernelレベルで設定されたマシン名を返す。

Linuxの場合なら、 /proc/sys/kernel/hostname をJavaで直接読み込んでも良い。hostnameコマンドも結局このファイルを読み書きしてるだけ。

参考：

• https://www.kernel.org/doc/Documentation/sysctl/kernel.txt
• http://linuxjm.sourceforge.jp/html/LDP_man-pages/man5/proc.5.html

Windowsの場合は、System.getenv("COMPUTERNAME") が使えるらしいが、厳密な調査は出来てない。

• [ Prev ]
• [ Next ]
• [ Up ]
• [ Java ]

• [ Prev ]
• [ Next ]
• [ Java ]

JSFとはどんなものか、いくつかググってみた参考URLメモ。

• JavaServer Faces - Wikipedia, the free encyclopedia
  • http://en.wikipedia.org/wiki/JavaServer_Faces

JavaEEに含まれるHTMLなどの画面系の仕様であり、JSRで調整されている。
また数年ごとにバージョンアップされており、開発のしやすさや機能性は向上している。
JSF 1.x系の時の評判は、一旦忘れて、素直にJSF 2.x系の最新版を調べたほうが良さそう。

JSPとは別物と考え、特にJSF 2.2で入ってきたらしいFaces Flowについては画面遷移の制御で、むしろSpring WebFlowやASP.NETアプリに近いアーキテクチャになってる・・・ような、印象を受けた。

• Java EE vs JSP vs JSF - Stack Overflow
  • http://stackoverflow.com/questions/23707036/java-ee-vs-jsp-vs-jsf
• Difference Between JSF and JSP | Difference Between | JSF vs JSP
  • http://www.differencebetween.net/technology/difference-between-jsf-and-jsp/
• JSF Versus JSP, Which One Fits Your CRUD Application Needs? (Part 1) | Javalobby
  • http://java.dzone.com/articles/code-less-do-more-jsf-versus

JSF 2.xや2.2系列について、HTML5との親和性が向上した云々：

• JSF 2.2 and HTML5
  • http://www.infoq.com/jp/news/2013/07/jsf22-html5
• JSF 2.xについてEd Burns氏が語る
  • http://www.infoq.com/jp/news/2012/02/jsf-update-2.x
• JSF2.2でHTML5のタグを少し試してみる その1 - Challenge Java EE !
  • http://kikutaro777.hatenablog.com/entry/2013/07/27/154950
• HTML5 and JSF
  • http://www.oracle.com/technetwork/articles/java/enterprise-html5-2227136.html
• JSF 2.2: HTML 5 Support | Javalobby
  • http://java.dzone.com/articles/jsf-22-html-5-support

JSFでのリッチなUIライブラリとして、PrimeFacesというのがある。HTML5にも対応しているらしい。

• PrimeFaces 5 リリース - モバイルサポート刷新，プッシュサポートを大幅に改善
  • http://www.infoq.com/jp/news/2014/06/primefaces5
• PrimeFaces
  • http://www.primefaces.org/primeui/demo.html
• Getting Started With PrimeUI – HTML5 With Style | Beyond Java
  • http://www.beyondjava.net/blog/started-prime-ui-html5-style/

他にもJBossのRichFacesがあった。

• RichFaces - JBoss Community
  • http://richfaces.jboss.org/

ただ、フロント開発がJavaScriptともに大きく揺れ動いている昨今、HTML5との兼ね合いや、訴求対象の開発者のカテゴリなどで、色々将来どうなの？的な話も見つかる。
例えば以下の記事は、JSFで実際に開発してみて、もう沢山だ！となった人が色々と愚痴をまとめてる。コメント欄も炎上してて、JavaEEのMVC仕様策定者もコメントしてたりで、大変面白いことになってる。

• Why You Should Avoid JSF | Javalobby
  • http://java.dzone.com/articles/why-you-should-avoid-jsf

実際にJSFの内部のライフサイクルや、どうデバッグするかの解説記事。これを見るとASP.NETと似通った部分があり、サーバサイドとフロントのJavaScriptサイドの両方の知識が要求されることが分かる。

• How JSF Works and how to Debug it - is Polyglot an Alternative? | Javalobby
  • http://java.dzone.com/articles/how-jsf-works-and-how-debug-it

余談だが、JAX-RSやSpring MVCのちゃんぽん的に、JavaEEでMVC（つまりURLマッピングに基づくアクションコントローラ形式）のフレームワークの仕様化が始まっている。

• Java EEのためのMVC 1.0JSR
  • http://www.infoq.com/jp/news/2014/09/mvc-1.0-jsr

個人的には、JSFにせよMVCにせよ、どんどん複雑・多様化していくWebフロントエンド技術で、どうしても発生する「複雑さ」をどこに持っていくかの問題になってきてる気がする。
AngularJSなどの最近のWebフロント技術は、基本的にブラウザ側のHTML+JSで複雑さに対応し、サーバサイドはAPIだけに絞る方向に見える。
一方でJSFやASP.NETの世界は、複雑さをサーバサイドの状態管理で対応しようとしていて、そのため、サーバサイドのライフサイクルとフロントエンド側のJSの両方に、微妙に複雑さがまたがってしまってる感じを受ける。
また業務アプリとそれ以外でも断絶はある。消費者向けのコンテンツサイトにおいて、業務アプリのような複雑なUIや画面遷移は必要ない。むしろREST的な世界観を求められるため、状態に紐付いたURLは敬遠される。一方で業務アプリはURLのREST性は不要なので、サーバサイドで状態管理された、非RESTなURLや画面遷移は許容される。また大規模開発をサポートするために、コンポーネント指向の仕様やフレームワークになっていく。

個人的には、もはやWebフロントの複雑性はサーバサイドで状態管理できる範囲を超えていて、JSFや.NET系のサーバサイド＋フロントJSで状態管理を連携させるアーキテクチャは、開発者の負担が上がっているのではないかと思う。
むしろサーバサイドはAPIと初期HTMLページを表示するだけのものと割り切り、JS側でDOM構造の状態管理を行う方が、境界が明確で分かりやすい。（学習曲線はこの際無視する）
その上で、消費者向けのコンテンツサイトなどと、業務アプリでの複雑なUIコンポーネント制御とで、使用されるJSライブラリは異なってくるだろう。

・・・とはいっても、JSFはコンポーネント指向＋画面フローの制御という点に旨味があるのは確かなで、一緒についてくる「苦味」とどこまで・どの位付き合っていけるかはもう少し勉強してみないと分からなそうであります。

• [ Prev ]
• [ Next ]
• [ Java ]

• [ Prev ]
• [ Next ]
• [ Java ]

Java 1.6 になり、java.net.NetworkInterfaceクラスでMACアドレスを取得できるメソッドが追加された。

• Java技術最前線 - 「Java SE 6完全攻略」 第39回 ネットワークインタフェースの情報を取得する：ITpro
  • http://itpro.nikkeibp.co.jp/article/COLUMN/20070801/278834/
• JavaでMACアドレスを取得する - きしだのはてな
  • http://d.hatena.ne.jp/nowokay/20120803
• NetworkInterfaceを使いMACアドレスを取得する(要JDK1.6以上)
  • https://gist.github.com/takashi209/3057659

練習：(ほぼITProからのコピペ)

• https://github.com/msakamoto-sf/javasnack/commit/24c60ad6604fdcdac91d61b5ac27faf5c0edd0b9

• [ Prev ]
• [ Next ]
• [ Up ]
• [ Java ]

• [ Prev ]
• [ Next ]
• [ Java ]

• Apache Derby : JavaによるOSSのRDB製品, APL2
  • http://db.apache.org/derby/
  • 軽量を謳ったJavaによるOSSのRDB製品で、中核となるderby.jarは2MB程度(2015-02時点)。
  • 自分のアプリ内に組み込んで利用できる。一般的にはファイルシステム上にデータを配置するが(JDBCの接続文字列でルートディレクトリを指定)、インメモリでも操作できる。
• Java DB
  • http://www.oracle.com/technetwork/java/javadb/overview/index.html
  • http://docs.oracle.com/javadb/
  • SunがJDK6からApache Derbyを同梱し、"Java DB"というブランド名にした（らしい）。単純に、JDKをJava DB付きでインストールするとJDKインストール先に"db"というディレクトリが追加され、その中にApache Derbyをサーバとして起動するためのひと通りのjarファイルと起動スクリプトが入ってる。
  • JDK8の時点では、Oracleがサポートして配布してるApache Derbyということになってる。
  • 誤解しそうだけど、JDKをインストールすると、セットでApache Derbyのサーバ実行用のファイルセットがくっついてくる、程度に考えれば問題無さそう。
  • クライアントを開発する場合は、普通にMavenから groupId=org.apache.derby のjarを引っ張ってくることになるので、特にJREがどうとか、クライアントアプリを書くときにどうとか、という話ではない。

参考：

• JavaDBメモ(Hishidama's JavaDB Memo)
  • http://www.ne.jp/asahi/hishidama/home/tech/java/javadb.html
• JDK7u51以降で、JDK付属のJavaDBを起動したらTCPポートのlistenに失敗したという報告あり、回避策もあり。
  • http://tsuyosixx.hatenablog.com/entry/2014/03/03/004919
  • http://d.hatena.ne.jp/seraphy/20140214

練習：

• https://github.com/msakamoto-sf/javasnack/blob/master/src/test/java/javasnack/derby/DerbyUsageDemo1Test.java
  • 面白かったのが、h2の練習時はclobでinsertした0x00 - 0xFFが元通りに取り出せなかったが、Derbyでは問題なくできた。
    • h2の練習：https://github.com/msakamoto-sf/javasnack/blob/master/src/test/java/javasnack/h2/H2UsageDemo1Test.java
  • また、h2ではよく分からず調子にのってResultSet.first()使ったが、Derbyではエラーになり・・・いや、Derbyだからというのも分からないが・・・とりあえずおとなしくrs.next()に直してる。

• [ Prev ]
• [ Next ]
• [ Up ]
• [ Java ]

• [ Prev ]
• [ Next ]
• [ Java ]

Classのキャストなどで便利そうな Class のインスタンスメソッド3選。

• Class#isAssignableFrom() : instanceof 演算子と似ているが、isAssignableFrom()のメリットは、検査対象のClassを例えばメソッドの引数などから動的に取ってこれる点。

someMethod(Class superClazz, Object testee) {
    if (testee instanceof superClazz) {

というのはsyntax errorで書けないが、

someMethod(Class superClazz, Object testee) {
    if (superClazz.isAssignableFrom(testee.getClass()) {

と書くことができるようになる。

• Class#cast() : これもキャストする型を動的に決められるのがメリット。

someMethod(Class castClazz, Object target) {
    Object o = (castClazz) target;

というのはsyntax errorで書けないが、

someMethod(Class castClazz, Object target) {
    Object o = castClazz.cast(target);

と書くことができるようになる。

• Class#asSubclass() : ユースケースが不明。

最後のがユースケース不明でちょっと使い道が分からなかったけど、とりあえず3種類、テストケースで使い方を練習してみました：

• https://github.com/msakamoto-sf/javasnack/commit/e0ea0d22284d4cc6f357ec779aca3ebb6a532ed1

• [ Prev ]
• [ Next ]
• [ Up ]
• [ Java ]