[B! java] tsupoのブックマーク

タイムゾーン呪いの書 - Qiita

コメント欄で﹁Software Design 誌 (2018/12) に寄稿した内容や修正などをこちらの記事にも適用したい﹂と言ったあと、やるやる詐欺でずっと放置していましたが、三年近く経ってようやく 2021年7月に大幅に改訂し、同時に Zenn に引っ越すことにしました。タイムゾーン呪いの書 (知識編) タイムゾーン呪いの書 (実装編) タイムゾーン呪いの書 (Java 編) なにやら長くなりすぎたので三部構成になっています。このQiita版は、しばらく (最低一年は) 改訂前のまま残しておきます。タイムゾーンの存在はほぼ全ての人が知っていると思います。ソフトウェア・エンジニアなら多くの方が、自分の得意な言語で、タイムゾーンが関わるなにかしらのコードを書いたことがあるでしょう。ですが、日本に住んで日本の仕事をしていると国内時差もなく1夏時間もない2日本標準時 (Japa

tsupo 2018/02/06

リンク

追記（19日）東洋経済オンラインの的外れ記事 / 高木浩光＠自宅の日記 - 治外法権のeLTAX、マルウェア幇助を繰り返す無能業者は責任追及されて廃業に追い込まれよ

■ 治外法権のeLTAX、マルウェア幇助を繰り返す無能業者は責任追及されて廃業に追い込まれよここ数年、不正送金の被害がインターネットバンキングの法人口座で急増しているという*1。その原因は今更言うまでもなく、Java実行環境︵JRE︶やAdobe製品の古いバージョンの脆弱性を突いてくるマルウェアである。しかしそれにしても、法人口座を扱うパソコンがなぜ、Java実行環境やAdobe製品をインストールしているのだろうか。インストールしなければ被害も起きないのに……。その謎を解く鍵が、eLTAX︵地方税ポータルシステム︶にあるようだ。eLTAXでは、インターネットバンキングの口座を用いた納税ができることから、インターネットバンキング用のパソコンでeLTAXの利用環境も整えるということが普通になっていると思われる。そのeLTAXが、昨日までは、Java実行環境のインストールを強要していた。eL

tsupo 2016/03/14

『法人口座から不正送金マルウェアでお金を盗まれたら、eLTAXを疑うとよい。eLTAXの指示に従ったせいで被害が出たことを示して、損害賠償を求め地方税電子化協議会を訴えよう』

リンク

Javaライブラリに脆弱性、主要ミドルウェア全てに影響

WebLogic、WebSphere、JBoss、Jenkins、OpenNMSのそれぞれについて、いずれも最新版でこの脆弱性を突いてリモートでコードを実行できるコンセプト実証コードも公開された。WebLogicやWebSphereなどの主要ミドルウェア全てに影響を及ぼすというJavaライブラリの脆弱性情報とコンセプト実証コードが公開された。いずれの製品についても、まだパッチは公開されていないという。この情報は、情報セキュリティの専門家でつくるFoxGlove Securityが11月6日のブログで紹介した。脆弱性はJavaの﹁common-collections﹂ライブラリに存在していて、WebLogicなどのほか、企業のカスタム版のアプリケーションにも影響を及ぼすと指摘している。コンセプト実証コードは9カ月以上前に公開されていたにもかかわらず、これまであまり注目されることはなく、

tsupo 2015/11/11

リンク

Java Developer Day Taipeiに行ってきた - きしだのHatena

ということで、8/1に台湾、台北のJava Developer Dayに言ってnull書いたら負け的なことを言ってきました。きっかけは、1月に台湾いったとき、台湾でJavaイベントあったら行ってみようとTwitterでつぶやいたところ、 @kojilin さんから教えてもらったリンクがこれだったから。 2014 Java Developer Day Call for Paper Call for Paper出せばいいのかーと思って、とりあえず出してみたら通ってしまった、と。 @kojilinさんには、イベントの連絡だとか準備、そしてプレゼンまで非常にお世話になりました。ありがとー謝謝〜。準備で、28日月曜から台湾行ってたんですが、資料つくったり読み原稿を書いたり、その日本語原稿を中国語に翻訳してもらったりと、昼はホテルこもりっぱなし、夜はkojilinさんと作業でまったく余裕がなかっ

tsupo 2014/08/05

おつかれサマー

リンク

最近のJava関係イベントの個人的なまとめと感想 - Splash of waters - 2nd. Season

デブサミやJava Day Tokyoなど、会社の許可をもらってイベントにありがたく行かせてもらっているけど、ちゃんとレポートできていなかったということで、社内勉強会で話すことにしました。まとめ資料を作ったので、このブログにて先行して公開してしまいます*1。少し前のエントリで資料をアップロードしたのはこのための準備でした。資料の位置づけ古いJavaの知識で止まっている人︵自分含め︶やこれから本格的にJavaを学ぼうと思っている人に、最近のJava関連の新機能などをざっくりつかんでもらうための資料です。内容の深さ・広さは、聴く人のJavaスキルに合わせた一応合わせたつもりです。 Java SE 8がリリースされて、その界隈では﹁for文禁止﹂などと言われる一方で、会社の新人研修で教えるJavaでは、﹁ループはforやwhileを使って書きます﹂みたいに教えるわけで、その辺のギャップを埋

tsupo 2014/06/16

java

リンク

サイバーエージェントは落ちたのに３回サイバーエージェントからスカウトメールが来た - はてな村定点観測所

2014-05-11 サイバーエージェントは落ちたのに3回サイバーエージェントからスカウトメールが来た転職活動で心を病んだ件について上記の記事が話題になっているので、私も転職活動の話題を。私が前回転職活動をしたとき、サイバーエージェントから求人サイト経由でスカウトメールが来た。﹁貴殿のキャリアに大変に興味を持っており、弊社にて活躍頂けるのではないかと思っています﹂的な内容。﹁ふーん﹂と思って、たまに有名企業も受けてみるかと思って、応募してみた。面接は渋谷・道玄坂のサイバーエージェントのビルで行われた。Javaの試験が出題された。私はPHPやPerlの人なので、正直Javaはあんまり詳しくない。でも何とか頑張って解いた。その後、サイバーエージェントから面接の案内が来て面接へ。コーディングに関するあれこれや、サイバーエージェントとしてこういう分野に力を入れていきたいという話が盛り上が

tsupo 2014/05/11

サイバーエージェントの謎

リンク

Tech world stunned as court rules Oracle can own APIs, Google loses copyright appeal – Old GigaOm

In an unusual decision, an appeals court in Washington ruled on Friday that Oracle(s orcl) can copyright application programming interfaces (APIs) for the Java programming language. The ruling is a defeat for Google(s goog), which uses the APIs for its Android software, but also has implications for the techno logy industry as a whole, where APIs — which let computer programs speak to each other —

tsupo 2014/05/10

Java の API 仕様に関する権利が Oracle にあるという評決

リンク

JavaBeansに対するリフレクションとClassLoader脆弱性 - ひがやすを技術ブログ

今回の問題は、(SA)Strutsだけの問題ではなく、いろんなフレームワークでもちゃんと調べた方が良い話しなので、もう少し詳しく書いておきます。 Javaで、JavaBeansのプロパティにアクセスする場合、 PropertyDescriptor[] descriptors = Introspector.getBeanInfo(クラス).getPropertyDescriptors();で取得できるPropertyDescriptorを使うことがほとんどです。この中に、classプロパティは含まれます。ここまでは良くて、ネストしたリクエストパラメータ(class.classLoader.xxxなど)をJavaBeansにセットする時に、BeanInfo.getPropertyDescriptors()で取得したものをそのまま使うのが問題なのです。 Seasar2(BeanDesc)では、

tsupo 2014/04/26

今回の問題は、(SA)Strutsだけの問題ではなく、いろんなフレームワークでもちゃんと調べた方が良い / ネストしたリクエストパラメータをセットする時に、BeanInfo.getPropertyDescriptors()で取得したものをそのまま使うのが問題

リンク

サイト構築ソフトに欠陥　官公庁などサイバー攻撃の恐れ - 日本経済新聞

ウェブサイトを作成するために官公庁や銀行、企業などが広く利用しているソフト「ストラッツ1」にセキュリティー上の欠陥（脆弱性）があることが24日分かった。個人情報や機密情報を盗まれたりサイトが改ざんされたりするサイバー攻撃の恐れがある。同ソフトはサポートが終了しており、現在のところ修正プログラム（パッチ）は無い。すでに攻撃方法がインターネット上で公開されており、早急に対応が必要だ。ストラッツ1は

tsupo 2014/04/26

官公庁などにストラッツ1を使ったシステムを多く納入するNTTデータがパッチを作る方針 ← 今後、NTTデータが struts 1 のメンテをするのか / 早いところ struts 1 から他のものに移行した方がいいと思うんだけど

リンク

Struts 2の脆弱性は最新版でも未修正、Struts 1にも同様の脆弱性が存在

Struts 2の脆弱性は最新版でも未修正、Struts 1にも同様の脆弱性が存在‥国内セキュリティ企業が相次いで注意喚起脆弱性を修正したはずのWebアプリケーションフレームワーク﹁Apache Struts 2﹂の最新版、バージョン2.3.16.1に、いまだに脆弱性が残っている。さらに、既にサポートの終了している﹁Struts 1﹂にも同様の脆弱性が存在するという。セキュリティ企業の三井物産セキュアディレクション︵MBSD︶は2014年4月22日、脆弱︵ぜいじゃく︶性を修正したはずのWebアプリケーションフレームワーク﹁Apache Struts 2﹂の最新版、バージョン2.3.16.1に、いまだに脆弱性が残っていることを確認したと明らかにした。またラックは2014年4月24日、Webアプリケーションフレームワーク﹁Apache Struts 2﹂に存在するものと似た脆弱性が、既に

tsupo 2014/04/24

Struts 1 の脆弱性は厳密には別件。クラスローダー回りの脆弱性であるということが共通なだけ // Apache Struts 2については最新バージョンの2.3.16.1でも修正が不十分 → 2.3.17 で修正されるらしいが楽観できない

リンク

Oracleが定例アップデートを公開、Javaに多数の深刻な脆弱性

JavaSEに存在する36件の脆弱性のうち、34件はリモートで認証を経ずに悪用される恐れがあり、危険度最大値の極めて深刻な脆弱性も5件ある。米Oracleは1月14日︵米国時間︶、四半期に1度の﹁クリティカルパッチアップデート﹂︵CPU︶を公開し、Javaやデータベースなど幅広い製品に存在する計144件の脆弱性を修正した。特にJavaは脆弱性を突く攻撃が頻発していることから、できるだけ早く最新版に更新する必要がある。 JavaSEについては計36件の脆弱性が修正された。このうち34件はリモートで認証を経ずに悪用される恐れがあり、危険度が共通指標のCVSSベーススコアで最大値の﹁10.0﹂と定義された極めて深刻な脆弱性も5件ある。これら脆弱性は、最新版の﹁Java SE 7 Update 51﹂︵1.7.0_51︶で修正された。 Javaのほかにもデータベース、Fusion Middl

tsupo 2014/01/15

リンク

Radamanf / Ghost - Demonize anything

tsupo 2013/12/12

java -jar foobar.jar を nohup でサービスとして動かすためのスクリプト例

リンク

Seasar2を新規案件に採用するのはそろそろやめたほうがいい - きしだのHatena

Seasar2の機能追加停止が宣言されてから、すでに6年弱たっています。 Seasar2.4に対する追加要望があれば、もちろん検討します。ただし、大きな変更や追加はもうないでしょう。 Seasar2の今後のロードマップ 2008-01-29 - ひがやすを blog後継になる予定だったSeasar3も開発が中止されて3年たちました。 Seasar3開発中止 2010-08-06 - ひがやすを blogここでSeasar2.5を出す方向で動くということでしたが、実現しませんでした。あのころSeasar2に関わっていた人も、ScalaがメインになったりNode.jsをさわったり、不本意ながらPHPをさわったり、さわってみるとPHPもそれほど悪くなかったり、やっぱりPHP気に食わなかったりと、いろいろな道を進んでいます。DIコンテナ自体の機能も時代遅れ感がでてきており、関連プロダクトも

tsupo 2013/11/07

Java
Seasar2

リンク

米国でこの8年間のJava案件数の増加率はほぼ0％で、PHPは250％増。日本でも上級PHPerがいないと売り上げは伸びない！？‥吉政忠志の考える。行動する。改善する。‥エンジニアライフ

● 41 users ● el.jibun.atmarkit.co.jp ●テクノロジー

米国でこの8年間のJava案件数の増加率はほぼ0％で、PHPは250％増。日本でも上級PHPerがいないと売り上げは伸びない！？ PHPで作られたWebサイトが世界中で2億4400万サイトとなり、シェアは40％となりました。そして、そのシェアは今も増えているそうです。︵インターネットコム2013年2月の記事を参照︶アメリカではJavaの案件数はこの8年間で増えていません。一方でPHPは2.5倍になりました。日本でもそんな感じじゃないでしょうか？もしそうだとすると、Javaメインの事業体では売り上げは伸びないということになります。 ※2014年5月集計では全米のJava求人数は0％成長ではなく、▲30％成長になっています。︵2014年10月6日加筆︶グラフ‥案件数比較日本の求人数ではJavaが一位でPHPは二位となり、日本国内のJavaの求人数は1万6千件に対して、PHPは1万件を超え

米国でこの8年間のJava案件数の増加率はほぼ0％で、PHPは250％増。日本でも上級PHPerがいないと売り上げは伸びない！？：吉政忠志の考える。行動する。改善する。：エンジニアライフ

tsupo 2013/10/29

アメリカではJavaの案件数はこの8年間で増えていません。一方でPHPは2.5倍になりました ← すごく疑わしいんだけど / 日本の求人数ではJavaが一位でPHPは二位 / Javaの求人数は1万6千件に対して、PHPは1万件

リンク

「俺たちのJavaは、まだまだこれからだ」未来の鍵はInternet of Thingsにあり？～JavaOne 2013まとめレポート（前編）

﹁俺たちのJavaは、まだまだこれからだ﹂未来の鍵はInternet of Thingsにあり？～JavaOne 2013まとめレポート︵前編︶︵1/3 ページ︶ Java開発者の年次カンファレンス、JavaOne 2013がサンフランシスコで9月22～26日に開催された。3つの基調講演、そして400を超えるセッションが行われるなど、圧巻のボリュームは、まさに﹁Java開発者の祭典﹂といえる。基調講演と主なセッション、全体の雰囲気を前中後編に分けてレポートする。

tsupo 2013/10/11

俺たちのJavaは、まだこれからだ / Java先生の次回作にご期待ください

リンク

MS Open Tech、HTTP/2.0相互接続試験用のエンドポイント公開

MS Open Tech、HTTP/2.0相互接続試験用のエンドポイント公開‥オープンソースで開発米Microsoft Open Techno logiesは、次世代プロトコル﹁HTTP/2.0﹂の相互接続試験に向けて、新しいエンドポイントを公開したと発表した。HTTP/2.0サーバをオープンソースで開発し、そのソースコードをGitHubで公開した。米マイクロソフトの子会社である米マイクロソフトオープンテクノロジーズ︵MS Open Tech︶は2013年10月3日、IETF︵Internet Engineering Task Force︶の作業部会で仕様策定を進めている次世代プロトコル﹁HTTP/2.0﹂の相互接続試験に向けて、新しいエンドポイントを公開したと発表した。新しいエンドポイントでは、﹁Katanaプロジェクト﹂を使ってHTTP/2.0サーバをオープンソースで開発し、そのソ

tsupo 2013/10/07

次世代プロトコル「HTTP/2.0」の相互接続試験に向けて、新しいエンドポイントを公開 / ソースコードをGitHubで公開 → http2-katana https://github.com/MSOpenTech/http2-katana / OpenJDKビルド「Zulu」の技術プレビュー版も公開

リンク

はじめの言語の賞味期限 - Kato Kazuyoshi

ライブドアブログの PSGI 化の話は良いはなしだと思う。一方で、私はあんまり Perl が好きじゃないので、10年にわたって生き続けた Perl アプリケーションが、次の10年にむけてアップをはじめているのは、ちょっとしたホラーでもある。 Twitter と Ruby と JVM ライブドアブログが、将来に向けて mod_perl から PSGI + Starlet にかえたように、将来に向けてプログラミング言語をかえる人達も存在する。最近の事例で有名なのは、Twitter の Ruby から JVM 言語群への移行だろう。 OSCON Java 2011 の Twitter: From RubyonRails to the JVM では、JVM への移行に至った理由として Ability to handle server workloads A real concurrency

tsupo 2013/09/29

Rails 上の大きなアプリケーションから、JVM ベースのサービス指向アーキテクチャへの移行をすすめる Twitter / 絶対値でいうとかなりの量にみえる Facebook の PHP への投資

リンク

Javaの脆弱性を突く新たな攻撃、Java 6のパッチは存在せず

セキュリティ専門家は﹁JRE6のパッチは存在しない。アンインストールするか、JRE7 Update 25に更新を﹂と呼び掛けた。さまざまな脆弱性の悪用を狙った攻撃ツールの﹁Neutrino﹂に、Javaの既知の脆弱性を悪用する機能が加わった。Java6ではこの脆弱性が修正されていないことから、セキュリティ各社は改めて、最新版のJava7にアップグレードするよう促している。セキュリティ企業F-Secureの研究者は8月26日、TwitterでJavaの脆弱性︵CVE-2013-2463︶を突くコンセプト実証コードが公開され、Neutrinoにこの脆弱性を突くコードが実装されたと報告した。﹁JRE6のパッチは存在しない。アンインストールするか、JRE7 Update 25に更新を﹂と呼び掛けた。 CVE-2013-2463は、Oracleが6月の定例パッチで修正した脆弱性で、危険度は極

tsupo 2013/09/02

「Java 6は一般向けのサポートが既に打ち切られており、脆弱性を解決するためにはJava 7にアップグレードする必要がある」

リンク

複数のOSに対応したマルウエアが出回る、Javaアプレットで動くトロイの木馬

シマンテックは2013年7月8日、政府機関を対象としたサイバー攻撃において、Windows、MacOS、Linux、Solarisなどの複数のOSで動作するマルウエアが使われているとブログで報告した。マルウエアは拡張子が﹁.jar﹂のファイルで、Javaアプレットとして動作する。バックドア型のトロイの木馬︵外部から遠隔操作できるマルウエア︶である。侵入されるとコンピュータの制御権を攻撃者によって完全に奪われる。確認されている攻撃は、米政府の情報収集プログラム﹁PRISM﹂︵関連記事‥米政府の個人情報収集が突きつけた課題︶に関するフィッシングメールだ︵写真︶。北米を中心とした政府関係者に送られたと見られる。メールには細工のされていないPDFファイルが2つと、文書ファイルのような名称の付けられたjarファイルが1つ添付されていた。jarファイルをクリックすると、ユーザー環境によってはJa

tsupo 2013/07/11

「脆弱性を悪用しない攻撃である」のに、何で「侵入されるとコンピュータの制御権を攻撃者によって完全に奪われる」のかがわからない。脆弱性を利用せずに、Javaアプレットで制御を奪うことってできるの?

リンク

Javaにまたもセキュリティ問題、未解決の脆弱性報告

この問題は、4月16日に公開されたJava最新版の﹁Java 7 Update 21﹂︵1.7.0_21︶も影響を受けるという。ポーランドのセキュリティ企業Security Explorationsは4月22日、米OracleのJavaSEにまた新たなセキュリティ問題が見つかったとして、セキュリティメーリングリストの﹁Full Disclosure﹂で概略を公表した。 Security Explorationsによれば、新たに見つかった脆弱性はJavaのリフレクションAPIに関連するもので、4月16日に公開されたJava最新版の﹁Java 7 Update 21﹂︵1.7.0_21︶も影響を受けるという。この問題を悪用すれば、Javaのセキュリティ対策であるサンドボックスを完全に迂回することが可能だとしている。この問題はJREプラグインやJDKソフトウェアだけでなく、最近発表されたサ

tsupo 2013/04/24

新たに見つかった脆弱性はJavaのリフレクションAPIに関連するもので、4月16日に公開されたJava最新版の「Java 7 Update 21」(1.7.0_21)も影響を受ける ← またかよ

リンク

はてなブックマーク

タグ

関連タグで絞り込む (389)

javaに関するtsupoのブックマーク (233)

お知らせ

今週のはてなブックマーク数ランキング（2024年7月第2週）

はてなブックマーク透明性レポート（2024年 2月-2024年4月）

今週のはてなブックマーク数ランキング（2024年7月第1週）

公式Twitter

キーボードショートカット一覧

はてなブックマーク

公式Twitter

はてなのサービス