Secure Boot Isn't So Secure After All: The Golden Key Is Out

歴史は繰り返す

http://www.phoronix.com/scan.php?page=news_item&px=Secure-Boot-Golden-Key 

Microsoftが secure boot のGolden keyを流出させてしまったため、だれでも secure bootを
bypass出来るようになってしまったそうな。



 

Docker、OCI やめるってよ

週末のTwitterの応酬が面白かったのでメモ
タイトルはもちろん「桐島、部活やめるってよ」のパクリですが、わたしはこれ見たことないです。

Kelsey Hightower (GoogleのKubernetesの中の人) がまず燃料投下

Dockerアプリ動かすのってもうDocker純正エンジンいらないよねー

もちろん(Docker CTOの) Solomon Hykes は反論 だいたい動くけど、動かないのもあるってのはサポートと言っちゃあいけないんじゃないかな、とDocker純正ソリューションを持ち上げ。 そうだね、3rdはDockerをサポートしてるんじゃなくて、Docker image formatをサポートしてるんだと、 Dockerもそも競合も、等しく Docker image formatをサポートする対等な関係であると指摘
こういう文脈で I agreeではじまってるときは、たいていagreeしてない。英語まめな
もう一度言うが、互換性なんて不十分だ。あいつらはimage formatだってちゃんとサポートしていない。 とSolomon Hykesさんの力強い反論。

Kelsey さん「I agree, which is why I'm super excited Docker is leading the way on OCI image spec」 (URLとれなかった)

ここでいらんこと言ってしまう、Solomonさん

もちろんこの後みんなにボコボコにされた。

そして、Cloudcast さん、素晴らしいタイミングで、エピソード配信

Kelsey Hightower さんが について語るエピソードを配信。本件が拡散されていく。

てか、この絶妙なタイミング、絶対 Kelsey の仕込みだよね。デキる男だ。すばらしい。

そして、Kelsey Hightower のダメ押し。

「みんなー、これみてくれよー。どう思う?」 と豪快に晒しつつ、このツイートの自分の固定ツイートに設定。発言消せないように画像にして上げるところが日本のおまえらとそっくりだな。 Solomonさん、火消しにやっき。
Twitterは議論に向いてないスペースだよね… スタンダード自体はいいものだけどよくないスタンダードは有害っていいたかっただけさ 良いか悪いかを決めるのはお前じゃないだろ OCIで働いてるエンジニアたちは自社Founderが自分の仕事をfakeっていってるのを聞いてスーパーハッピーだろうね。 Solomonさん、ここで主導権を取り返そうと「君らは、ぼくらにOCIから引き上げろって言ってるのかい?」 と挑発。 OCIはDockerの標準化団体だからDocker抜けたら崩壊するに決まってるじゃん的なノリ ここで、Kubernetesのラスボス、Tim Hockin さん登場
「正直になりなよ。スタンダードがよくないアイデアだと思ってるなら引き上げるべき。参加してるフリはよくない」

お、お、これは完全に出てけ発言にしか聞こえないぞ

Tim はむかしからrktのほうが好きでこっちが市場を制圧してくれたほうがうれしい。Docker抜けて OCI vs Docker になっても、Dockerを倒せるという自信を見せる。 Solomonさん、もう2回、
「ほんとに抜けちゃうよ?」と虚空にむかって叫ぶ


※ざつだん

OCIはもともと呉越同舟で、実体は自社プロプライエタリ技術であるDockerをオープンに見せたいDocker社(だから、あんまりOCIが成功すると困る)と、Dockerが好き勝手出来ないよう標準化団体で縛りを入れたいそれ以外との綱引きがあった。
んで、最近OCIがすごくいい感じにまわっていて、誰でもOCI準拠コンテナ作れるようになってしまい(技術的な流れ)
かつ、Red Hat のような大手が、Docker社の技術をつかってDocker対抗ソリューションを出すにいたって(政治的な流れ)、
Dockerにとって、OCIの有益度は急激に下がっていた。むしろないほうがマシってぐらいに。

ごめんなDocker、Linux Foundation なめてた君がわるいのだよ

これ、だれか、kernel watch ならぬ、Docker watchを連載したら超うけるんじゃないの

Red Hat の seccompへの見解

Red Hat Security Blog: The Answer is always the same: Layers of Security

いつものSELinuxマンがseccomp disってるだけだった。ざんねん

seccompとgdbは両立しない

ptraceを無効化してないと、PTRACE_O_SUSPEND_SECCOMP で自由にseccompを無効化できてしまう。
などと書いてある文献を見つけたのでちょっと調査

なお、このコミットだった模様
 
commit 13c4a90119d28cfcb6b5bdd820c233b86c2b0237
Author: Tycho Andersen <tycho.andersen@canonical.com>
Date:   Sat Jun 13 09:02:48 2015 -0600

    seccomp: add ptrace options for suspend/resume

    This patch is the first step in enabling checkpoint/restore of processes
    with seccomp enabled.

    One of the things CRIU does while dumping tasks is inject code into them
    via ptrace to collect information that is only available to the process
    itself. However, if we are in a seccomp mode where these processes are
    prohibited from making these syscalls, then what CRIU does kills the task.

    This patch adds a new ptrace option, PTRACE_O_SUSPEND_SECCOMP, that enables
    a task from the init user namespace which has CAP_SYS_ADMIN and no seccomp
    filters to disable (and re-enable) seccomp filters for another task so that
    they can be successfully dumped (and restored). We restrict the set of
    processes that can disable seccomp through ptrace because although today
    ptrace can be used to bypass seccomp, there is some discussion of closing
    this loophole in the future and we would like this patch to not depend on
    that behavior and be future proofed for when it is removed.

    Note that seccomp can be suspended before any filters are actually
    installed; this behavior is useful on criu restore, so that we can suspend
    seccomp, restore the filters, unmap our restore code from the restored
    process' address space, and then resume the task by detaching and have the
    filters resumed as well.

 

ようするにseccompが有効化されてるコンテナでもCRIUしたいじゃんってことらしい。
えーと、gdbもCRIUも使いたいけど、seccomp迂回は限定したいって時はどうしたら・・・・??



Money Forward の資産前日比

Money Forwardについての不満がいろいろ溜まってきたので忘れないようにメモる。超個人メモなので、気にしないように

MFのアプリを開くと目立つ所に資産総額と前日比が表示される。


前日比
 
わたしはこれが気に入らない。なぜ気に入らないのかしばらく自分でうまく言語化できなかったが、少しづつわかってきたので書いてみる。

まず、前日比が一見タップすると反応するように見えて、それは資産総額をタップされた事になっている
(タップの反応範囲がおかしい)ので、前日比の詳細を見たいのに、資産一覧(もってる口座一覧)が
出てきて非常に混乱する。
直感的なのは、前日比からの変化の原因になってレコード一覧が出てくることである
(前日付の支出全部と、変化のあった株一覧)

しかし、よく考えてみると、前日からの差分という考え方がMoney Forwardのサービスのありかたとマッチしていない。MFを使う以上はきっとユーザはいつもニコニコ現金払いではなくクレカなどで支払い、MFの自動記帳を
使っていると思う。ところがクレカのレコードは一週間に一度反映とか珍しくないので毎日速報なんて出ないのである。
よってこの前日比はただの飾りです偉い人にはそれがわからんのです状態。意味が無い。

このUIだとユーザにクレカよりも現金払いを推奨していることになるのだが、分かっているのだろうか?ダメUIなので、再考してほしい。週ごと、月ごとの差分なら株も現金もクレカも困らないのに。

・・・・・ということを後日MFの人にいうための備忘録。


 
楽天市場
Amazonライブリンク
  • ライブドアブログ