[HTTP-Headers] Cookie – HttpOnly flag 指南

Intro Wikipedia – HTTP cookie – Secure and HttpOnly DEVCORE – HttpOnly – HTTP Headers 的資安議題 (3) HttpOnly flag 要求瀏覽器不要通過 HTTP/HTTPS 以外的管道使用cookie。意即無法通過客戶端Script(尤其是JavaScript)存取cookie,因此無法通過跨站點指令碼攻擊輕易竊取。 另外經常被一起討論的還有 Secure Flag: [HTTP-Headers] Cookie – Secure flag 指南 實作於程式語言 PHP Option 1: 實作於 Application 層級 <?php ini_set(“session.cookie_httponly”, […]

[DNS] CAA – Certification Authority Authorization 指南

Intro DNS CAA (DNS憑證頒發機構授權) – Wikipedia RFC 6844 通過域名持有人指定其域名的白名單憑證頒發機構來實現的安全機制。 該政策透過一個新的域名系統資源記錄(Record)「CAA」來實現,Record範例如下: example.com. CAA 0 issue “ca.example.net” 設定 首先 DNS records 要能夠支援 CAA record 再來針對憑證機構產生及設定 CAA record 即可,以下範例以 Letss Encrypt 機構為例: example.com. CAA 0 issue “letsencrypt.org” CAA Record Helper – CAA資源記錄產生器 References […]

[並行控制] Concurrency control 指南

Intro Concurrency control – 並行控制 Database – 資料庫管理系統 悲觀鎖 – PCC 悲觀並行控制 – Pessimistic Concurrency Control,縮寫「PCC」 「先取鎖再訪問」 效率不佳,且有增加產生死鎖(deadlock)機會 MySQL 實現案例 (InnoDB Transaction) # Row-level Lock for share SELECT * FROM parent WHERE NAME = ‘Jones’ FOR SHARE; # Row-level Lock […]

[Andiord][Webview] Intent Handle 指南 – ERR_UNKNOWN_URL_SCHEME

Intro Andriod App 使用內建瀏覽器開啟 intent:// 若出現錯誤: Web page not available The web page at intent://…. could not be loaded because: net::ERR_UNKNOWN_URL_SCHEME 則表示在 Application 的 WebView 沒有處理 Intent,做法詳見 Android Intents with Chrome – Chrome Developers。 可以透過定義 shouldOverrideUrlLoading 方法,判斷連結若符合intent://開頭,則解析 intent 內容並最終利用 startActivity() […]

[ELK] Elastic Stack: Elasticsearch, Logstash, Kibana 指南

Intro Elasticsearch是與名為Logstash的資料收集和紀錄檔解析引擎以及名為Kibana的分析和視覺化平台一起開發。這三個產品被設計成一個整合解決方案,稱為「Elastic Stack」(以前稱為「ELK stack」)。 Wiki – Elasticsearch ELK Stack: Elasticsearch, Logstash, Kibana | Elastic Node Node (Node roles) – Configuring Elasticsearch – Elastic Cluster Set up a cluster for high availability – Elastic References 喬叔帶你上手 Elastic Stack – Gitbook 使用 […]