[WebSphere][DB2] SQLのタイムアウトについて

せっかく調べたので、備忘録。

・接続時
　ConnectionPoolの接続タイムアウト（WAS）
　loginTimeout　（JDBCプロパティ）

　両方設定されている場合、ConnectionPool設定 が上書きする。

・照会時
　
(1)Statement/PreparedStatement/CallableStatement に対する setQueryTimeout
(2)WebSphere データ・ソースの webSphereDefaultQueryTimeout カスタム・プロパティー
(3)Jcc ドライバーの commandTimeout カスタム・プロパティー

(1)>(2)>(3) の順番で上書きされる。(1)１，（２）2、（３）3の場合、1秒ということ。
ユーザーコードが一番つよい

(2)については、syncQueryTimeoutWithTransactionTimeoutがtrueの時は JTA トランザクションにおける残り時間
で上書きされる。（XAの時だけ、通常時は関係ない）

発砲時のSQLCODEはJDBCドライバのqueryTimeoutInterruptProcessingModeにて変わる。
zの場合は-30108
queryTimeoutInterruptProcessingMode 値が INTERRUPT_PROCESSING_MODE_STATEMENT_CANCEL (1) の場合、-952 が返されます。
queryTimeoutInterruptProcessingMode 値が INTERRUPT_PROCESSING_MODE_CLOSE_SOCKET (2) の場合、-30108 が返されます。

（参考）
https://www.ibm.com/docs/ja/db2-for-zos/11?topic=pdsdjs-common-data-server-driver-jdbc-sqlj-properties-all-database-products

　timerLevelForQueryTimeOut がQUERYTIMEOUT_DISABLED (-1) に設定されていると機能しない。
　タイマーがたくさん作られてしまい、JVMのパフォーマンス劣化したときの奥の手だが
　Connection.isValid とかも使えんくなる。ダメじゃん。

　参考
　https://www.ibm.com/support/pages/db2-jcc-%E3%83%89%E3%83%A9%E3%82%A4%E3%83%90%E3%83%BC%E3%81%AE%E7%85%A7%E4%BC%9A%E3%82%BF%E3%82%A4%E3%83%A0%E3%82%A2%E3%82%A6%E3%83%88%E7%94%A8-timer-%E3%81%8C%E3%83%91%E3%83%95%E3%82%A9%E3%83%BC%E3%83%9E%E3%83%B3%E3%82%B9%E3%81%AB%E4%B8%8E%E3%81%88%E3%82%8B%E5%BD%B1%E9%9F%BF

・通信時

　(1)keepAliveTimeOut（TYPE4）
　(2)DB2TCP_CLIENT_KEEPALIVE_TIMEOUT/DB2TCP_SERVER_KEEPALIVE_TIMEOUT （DB2レジストリ変数）
　(3)tcp_keepidle/tcp_keepintvl/tcp_keepcnt（OSのTCPkeepalive、これはAIXのパラメータ）

これは(3)が(1)or(2)で上書きされる。しておかないとすっげぇ待つよ。（2時間とか）
　

・通信時（TCPは正常でDBがなかなか応答かえしてくれない時）

　blockingReadConnectionTimeout（TYPE4）
　DB2TCP_CLIENT_RCVTIMEOUT（TYPE2、DB2レジストリ変数）


困ったときはこのtechnote
https://www.ibm.com/support/pages/db2-jdbc%E3%83%89%E3%83%A9%E3%82%A4%E3%83%90%E3%83%BC-%E3%82%BF%E3%82%A4%E3%83%A0%E3%82%A2%E3%82%A6%E3%83%88%E9%96%A2%E9%80%A3%E3%83%91%E3%83%A9%E3%83%A1%E3%83%BC%E3%82%BFdm-14-004

POSTがGETで再送、、、だと、、

なんだかね、そんなのありえないって思うでしょ。
redirectするとPOSTがGETになってしまう、ってのは昔からよく聞く話だけど、
そうじゃないんだよね。(´・ω・｀)

IEで回線不安定なとき（WiFiとか）、POST完了前にonline→offline→onlineって
ステータスが変化すると、ononLine event がwindowまで伝わって画面のリフレッシュが入り
GETでアクセスする？みたいな動きをする。（refererも無しになるから、bookmarkから来たように見える）

めちゃくちゃ探したけど、どこにも仕様と書いてないし、新しいめのIEでしか起きない。
WEBの世界は進歩著しいからサボるとすぐに原始人だよ。

https://technet.microsoft.com/es-es/cc304127(v=vs.71)

https://developer.mozilla.org/en-US/docs/Web/API/NavigatorOnLine/Online_and_offline_events

の、「You need to know when the user comes back online, so that you can re-synchronize with the server.」の解釈かなー・・・。


で、

解決方法というかこの動作を止めるにはこのレジストリみたいなんだけど、
「FEATURE_AJAX_CONNECTIONEVENTS」

https://docs.microsoft.com/en-us/previous-versions//cc304129(v=vs.85)

めっちゃ頑張って英語よんだけど、なぜ止まるのかわかんね。
たぶんeventがでなくなるから、body.ononline() とかが動かなくなって、なのか。。。(´・ω・｀)？


このキーで検索してみると、FBで遅くなるとかはヒットするけどなんで？はわからん。

https://answers.microsoft.com/en-us/ie/forum/ie8-windows_xp/in-internet-explorer-8-some-web-sites-eg-facebook/37c3d3b9-740b-428d-bf75-f01b954847a1?messageId=39ca78f0-8087-4dca-b8e1-15ad8cd6f5c4&page=1

https://answers.microsoft.com/en-us/ie/forum/ie8-windows_xp/recently-internet-explorer-8-has-been-running-slow/de4b9100-b73c-4244-9a54-af9b18d9c77f?page=6&tm=1325274615182

セキュリティ的な話を考えてみると、POSTがGETになったとしてもパラメータがQUERYに変換されるわけでもないし、
サーバー側（アプリ側）が適切にPOST/GETの分別していればよいだけだよな。
多重送信になるがな、ってのもあるけどそもそも切断されたときにしか出ないからDOS的な大量アクセスがくるわけでもない。
なんで目くじらたててんの？って、うん、俺も思う。

うん、すまない。久しぶりの更新がこんなクソもやもやで。(´・ω・｀)

情報セキュリティ倫理ガイドラインの個人メモ

たくさんありますな。
ブラウザのとかは内容が古いのであまり役に立たないかもしれない。
SSLはTLS1.2のみを有効にするのが推奨。(SSL3.0,TLS1.0,TLS1.1を無効に）

総務省による「地方公共団体における情報セキュリティポリシーに関するガイドライン」
http://www.soumu.go.jp/main_content/000348656.pdf

JNSAによる「外部委託先管理規定」
http://www.jnsa.org/result/2016/policy/data/03.pdf

IPAによる「委託関係における情報セキュリティ対策ガイドライン」
https://www.ipa.go.jp/files/000014018.pdf

IPAによる「組織における内部不正防止ガイドライン」
https://www.ipa.go.jp/files/000057060.pdf

IPAによる「中小企業における組織的な情報セキュリティ対策ガイドライン」
https://www.ipa.go.jp/files/000014950.pdf

日本システム監査人協会による「システム監査を知るための小冊子」
https://www.saaj.or.jp/csa/system_audit_booklet2016.pdf

経済産業省による「情報セキュリティ監査基準」
http://www.meti.go.jp/policy/netsecurity/downloadfiles/IS_Audit_Annex04.pdf

IPAによる「情報漏えい対策のしおり」
https://www.ipa.go.jp/security/antivirus/documents/05_roei.pdf

内閣サイバーセキュリティセンターによる「スマートフォン等の業務利用における情報セキュリティ対策の辞し手順策定手引書」
http://www.nisc.go.jp/conference/cs/taisaku/ciso/dai02/pdf/02shiryou0305.pdf

経済産業省による「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」
http://www.meti.go.jp/policy/it_policy/privacy/downloadfiles/161228kojoguideline.pdf

JPCERT/CCによる「技術メモー安全なWebブラウザの使い方」
https://www.jpcert.or.jp/ed/2008/ed080002_1104.pdf

IPAによる「ウェブブラウザのプロテクションプロファイル」
https://www.ipa.go.jp/files/000042943.pdf

DeepLearning入門

用語ムズかしいですなぁ。(´・ω・｀)

パーセプトロン　複数の信号を受け取り、結果として１，０の2値を返すもの
ニューロンはパーセプトロンの仕組みを用いて多層接続を行った１要素
ニューロンが応答を１で返す場合、発火という

パーセプトロンの入出力は以下の式で表現され、
式中のbをバイアス、wを重み、hを活性化関数という


$y=h\left(a\right)$
a=b+w1x1+w2x2
h(x)=0(x ≦0)1(x > 0)


数式ちゃんと出るかな・・。続きを読む

並列処理とマルチコアと

CPUが余っているじゃないか！ なんで使わないんだ！

と激高されましても、、、(；´Д｀) アムダールの法則いうものがありましてね、 並列化できるような問題でなければいくらマルチコアでも意味ないんすよ。。。

$$\frac{1}{(1-p)+\frac{p}{n}}$$

くわしくはwikiでもどうぞかな。

これ、応用情報とかに出るやつやんね。 んで、最近のアーキテクトだとキャッシュメモリの速さとかメモリバンドの問題で、 必ずしもこうはならない、みたいな感じ。

mathML初めてつかってみたがいい感じですな。

jQuery備忘録

ちょっと最近のお気に入りはｊQueryです。

いろいろ動きが作れるとおもしろいやねぇ。プラグインもどっさりあるし。

ということで、メモをぺたぺた

ｊQueryでvalidation
https://jqueryvalidation.org/　（柔軟だが記述に癖あり）

駆け出しプログラマの備忘録

【JavaScript】【jquery】jquery.validate.jsの基本的な使い方
http://yu-ya4.hatenablog.com/entry/2015/07/04/130627

JavaScript Library Archive

簡単にフォームの入力チェックが行えるjquery.validate.js
http://javascript.webcreativepark.net/library/jquery_validate

https://github.com/posabsolute/jQuery-Validation-Engine　（えらいかんたん、名前が似ているので注意）

こちらの解説が詳しいです

AllAbout デジタル

フォームの入力内容をリアルタイムにチェックする方法

https://allabout.co.jp/gm/gc/420327/2/

偉大なる先人の方々に感謝感謝。

JSON.parse()が厳密で辛い・・。

stringfy()してから渡せばちゃんとparseしてくれるが、

どこが間違っているのかわからない・・・。orz

素直にjsonicやjackson、Gson使えよ、って話なんだが、

ただのテスト用servletでわざわざclass定義するのもなぁ・・。

pythonでやれればいいんだが。

続きを読む

CVE-2016-8743 Apache HTTP Request Parsing Whitespace Defects

リクエスト中にあるCRをスペースと解釈することを悪用してスマグリング攻撃をしかけたり、とかの問題。

歴史的な問題から、HTTPリクエストの解釈はウルトラふんわりしなきゃならなかった。

HTTP/1.1もhttp/1.1でもOKにするとか、スペースの数とかね。

もっと詳しくはRFCを熟読してもらうとして、（https://tools.ietf.org/html/rfc7230#section-3.1.1）

この解釈をきっちり行うことで、脆弱性を防ぐ、というわけだね。

http://httpd.apache.org/security/vulnerabilities_24.html

     Apache HTTP Server, prior to release 2.4.25, accepted a broad pattern of unusual whitespace patterns from the user-agent, including bare CR, FF, VTAB in parsing the request line and request header lines, as well as HTAB in parsing the request line. Any bare CR present in request lines was treated as whitespace and remained in the request field member "the_request", while a bare CR in the request header field name would be honored as whitespace, and a bare CR in the request header field value was retained the input headers array. Implied additional whitespace was accepted in the request line and prior to the ':' delimiter of any request header lines.

    RFC7230 Section 3.5 calls out some of these whitespace exceptions, and section 3.2.3 eliminated and clarified the role of implied whitespace in the grammer of this specification. Section 3.1.1 requires exactly one single SP between the method and request-target, and between the request-target and HTTP-version, followed immediately by a CRLF sequence. None of these fields permit any (unencoded) CTL character whatsoever. Section 3.2.4 explicitly disallowed any whitespace from the request header field prior to the ':' character, while Section 3.2 disallows all CTL characters in the request header line other than the HTAB character as whitespace.

    These defects represent a security concern when httpd is participating in any chain of proxies or interacting with back-end application servers, either through mod_proxy or using conventional CGI mechanisms. In each case where one agent accepts such CTL characters and does not treat them as whitespace, there is the possiblity in a proxy chain of generating two responses from a server behind the uncautious proxy agent. In a sequence of two requests, this results in request A to the first proxy being interpreted as requests A + A' by the backend server, and if requests A and B were submitted to the first proxy in a keepalive connection, the proxy may interpret response A' as the response to request B, polluting the cache or potentially serving the A' content to a different downstream user-agent.

    These defects are addressed with the release of Apache HTTP Server 2.4.25 and coordinated by a new directive;

        HttpProtocolOptions Strict

    which is the default behavior of 2.4.25 and later. By toggling from 'Strict' behavior to 'Unsafe' behavior, some of the restrictions may be relaxed to allow some invalid HTTP/1.1 clients to communicate with the server, but this will reintroduce the possibility of the problems described in this assessment. Note that relaxing the behavior to 'Unsafe' will still not permit raw CTLs other than HTAB (where permitted), but will allow other RFC requirements to not be enforced, such as exactly two SP characters in the request line.

    Acknowledgements: We would like to thank David Dennerline at IBM Security's X-Force Researchers as well as Régis Leroy for each reporting this issue.
    Reported to security team: 10th February 2016
    Issue public: 20th December 2016
    Update Released: 20th December 2016
    Affects: 2.4.23, 2.4.20, 2.4.18, 2.4.17, 2.4.16, 2.4.12, 2.4.10, 2.4.9, 2.4.7, 2.4.6, 2.4.4, 2.4.3, 2.4.2, 2.4.1, 2.2.31, 2.2.29, 2.2.27, 2.2.26, 2.2.25, 2.2.24, 2.2.23, 2.2.22, 2.2.21, 2.2.20, 2.2.19, 2.2.18, 2.2.17, 2.2.16, 2.2.15, 2.2.14, 2.2.13, 2.2.12, 2.2.11, 2.2.10, 2.2.9, 2.2.8, 2.2.6, 2.2.5, 2.2.4, 2.2.3, 2.2.2, 2.2.0

https://httpd.apache.org/docs/2.4/en/mod/core.html

Security risks of Unsafe

Users are strongly cautioned against toggling the Unsafe mode of operation, particularly on outward-facing, publicly accessible server deployments. If an interface is required for faulty monitoring or other custom service consumers running on an intranet, users should toggle the Unsafe option only on a specific virtual host configured to service their internal private network.

　HttpProtocolOptions Unsafe で元通りの解釈になるようなので、この修正を適用したらアプリがエラー吐きまくりでござる、＼(^o^)／

　になったら、十分に安全を確認（悪意が入らないかどうかを精査）した上で、解除するってのも有りなんだろうけど。

　ま、自己責任で。セキュリティの観点からいえばアプリを直せ、になるからねぇ。

続きを読む

IISのエラーログの場所

(；´Д｀)　IISなんか２０年前ぐらいに触っただけなんだが、超進化しとるな・・。

apacheとかだとデフォルトならAccessLogと同じ場所に出力されるエラーログも

やっぱり独自路線のIIS。

おもくそ探して　このフォーラムのdeeplfoさんのコメ

https://forums.iis.net/t/1189242.aspx

OK, seems like I found my answer, from here: http://support.microsoft.com/default.aspx?scid=kb;en-us;820729

"The HTTP API creates a subfolder HTTPERR in the specified folder, and then stores the log files in the subfolder. This subfolder and the log files receive the same permission settings. The Administrator and Local System Accounts have full access. Other users do not have access."

So, it seems that the HTTP API uses the root path of the logging folder specified in the IIS logging configuration and in there it creates the HTTPERR directory and sticks all the httperrxxx files there. 

つまり、ここ

https://support.microsoft.com/en-us/help/820729/error-logging-in-http-apis

んで、デフォルトやと、

%SystemRoot%\System32\LogFiles\HTTPERR 以下

アクセスログと同じ場所でええやん、と思うんだがここはやっぱり独自路線やなぁ・・。

変更もレジストリっぽいし。

こちらにも詳しく記事がありました。

puti se blog　〜   IISのエラーログはどこにあるのか？エラーログのパス。

http://blog.putise.com/iis%E3%81%AE%E3%82%A8%E3%83%A9%E3%83%BC%E3%83%AD%E3%82%B0%E3%81%AF%E3%81%A9%E3%81%93%E3%81%AB%E3%81%82%E3%82%8B%E3%81%AE%E3%81%8B%EF%BC%9F%E3%82%A8%E3%83%A9%E3%83%BC%E3%83%AD%E3%82%B0%E3%81%AE/

続きを読む

HTML5でのストリーミングについて

このスライドがすごくよくまとめられていてよかった。

https://www.slideshare.net/otachan/html5-63938625

普及率、馬鹿にできないよね。

続きを読む

HPリニューアル

まぁ、どうせだれも見ちゃいないがね。(´・ω・`)

HTML5とjQueryを最近は勉強しているので、
練習がてらにやってみました。
面白いですね、jQuery。

ここいらの本で勉強しました。

Apache de UserDir

本日のドツボ

１. loadmodule がコメントのままだった

2.ユーザーのhome が　0700だった

orz

ここの記事の事象と同じ。

ユーザディレクトリ公開時に「403 Forbidden」

http://d.hatena.ne.jp/stfuawsc/20090602/1243909460

続きを読む

TicketBleed (CVE-2016-9244)

HeartBleed にもじったのかなー。

SSLのTicketが有効な場合にのみ３１バイト分の未初期化メモリが見えてしまうという脆弱性。

クリアしていないメモリ＝なんらかのセキュア情報を含む（可能性が高い）ので、

えらいこっちゃというわけですな。

チケットについてはこちらが詳しい

TLSセッション再開 (session resumption) のしくみ

http://qiita.com/n-i-e/items/bb0e582011a5b1f9c28d

TLS Session Ticketの動作をtsharkでなんとなく覗きみる

http://zentoo.hatenablog.com/entry/2015/11/29/145906

RFCのリンクもはっておきます。

https://tools.ietf.org/html/rfc5077

F5社のページ

https://support.f5.com/csp/article/K05121675

発見者のページ

※確認用のユーティリティがおいてありますが、あくまで自己責任で！

https://filippo.io/Ticketbleed/

続きを読む

CVE-2016-2776（Bind AssertionFailure）

ちょっと前に騒がれていたが、PoCが出たことで再燃した。
なんせ１パケットで死ぬから、効率よくDosできちゃう。

素RHEL6で試してみたが、即死したぞ。



PoCについての言及は避けます。

https://access.redhat.com/security/cve/cve-2016-2776
https://www.ipa.go.jp/security/ciadr/vul/20160929-bind.html
https://jprs.jp/tech/security/2016-09-28-bind9-vuln-rendering.html

速やかにアップデートしましょう。
企業だと回帰検証とかあーだこーだで機動力ないとつらいとこだがねぇ・・。

[セキュリティ]これはひどい(;´Д｀)

robots.txt の設定がクソまじめすぎて噴いた。
ピュアハートなのだろう。

それは robots.txt の問題じゃなくて...
http://hyper-text.org/archives/2013/05/robotstxt_is_not_bad.shtml

Drupalについては詳しく知らないけど、オープンソースなCMSなんでしょう。
WebサイトやHTMLの構造に詳しくなくてもポータルサイトを運営したりと利用者からすれば
便利なものではあるんだが、構築ぐらいはプロに頼まないとなぁ・・。
オープンソース＝タダ＝安い　が先行してると感じたよ。

CVVの保存とかシステム設計自体もイケてないっぽいしなー。
インシデント発生から発表までの遅さとかから運営会社自体イケてないのはわかるが
構築した業者も相当だと思ったなぁ。
まぁ、セキュリティの会社に頼むと高いからな。安く済ませたいのはわかるけど
高いのには高い理由があるし、その逆で安いのは安い理由があるんだよなぁ。
流出したIDの持ち主さんや、不正利用されたショップ様がかわいそうだぜ。

それにしても、この会社の杜撰さを叩くのは私もわかるけど、
一番悪いのはIDを盗んだ連中と不正利用している連中だよな。
鍵がかかっていなかったら盗んでよい、なんてことはないわけで。
詐欺とかもそうで、だまされるやつが悪いんじゃなくて、だます方が悪いんだしね。

[websphere]手動式記憶吐出

ハンドでヒープをテイクアウトする方法

Infocenterに書いてあるけどな。
jython版はちょっと珍しい

Manually generating heap dump
You can use the WSAdmin script to generate heapdump for the JVM. Use this Jython script to do that

def generateHeapDump(serverName):
serverJVM = AdminControl.queryNames("type=JVM,process="+serverName+",*")
print serverJVM
AdminControl.invoke(serverJVM,"generateHeapDump")


generateHeapDump("server1")


引用元
http://wpcertification.blogspot.com/2009/07/manually-generating-heap-dump.html

thanks!

シャノンの標本定理

まぁ、ややこしい説明は学問だから、
結論だけ。工学だからな。

原信号に含まれる最大周波数成分を f とすると、2f よりも高い周波数 fs で標本化した信号は、低域通過（ローパス）フィルターで高域成分を除去することによって原信号を完全に復元することができる

もっとかみ砕く。

サンプリング周期＝原信号の最大周波数×２

四間、もとい試験に出るのはサンプリングしたら何バイトやねん？系な問題じゃろうて。

シュミットトリガ

シュミットトリガ

難しく言う
入力のノイズを除去する。少々のゆらぎでは反応しない。
ヒステリシス特性を持つ一種のメモリとも考えられる。

わかりやすくいう
鈍感

実際反応が遅れるので、クロック入力などには向かない。

http://ja.wikipedia.org/wiki/%E3%82%B7%E3%83%A5%E3%83%9F%E3%83%83%E3%83%88%E3%83%88%E3%83%AA%E3%82%AC
http://ja.wikipedia.org/wiki/%E3%83%92%E3%82%B9%E3%83%86%E3%83%AA%E3%82%B7%E3%82%B9
http://aitem-lab.com/tc_interface1_001%281%29.html

MTBFの合成（≒信頼率の合成）

計算問題落とすのがイチバン響くからなー。
MTBFと信頼率（故障率）の関係が分かっていれば、計算するだけになりますな。

信頼率の計算はまぁ確率の計算なんで、直列だと掛け算で
並列だと余事象だっけ、(1-a)(1-b)みたいな式。（≒故障率の掛け算）

故障率とMTBFは逆数の関係に近似できるので　MTBF＝1/故障率　故障率＝1/MTBF
信頼率は１−故障率

例題
MTBFがそれぞれ2000時間、5000時間のシステムＡＢが直列に接続されている。
ここに、システムCを接続し、全体のMTBFを1000時間以上にするにはシステムCの
MTBFを何時間以上にすればよいか？

なーんてカンジででる。
信頼率で置き換えれば余裕で

（1-1/2000)(1-1/5000)(1-1/x)=1-1/1000

計算面倒だが、解くと　3329.89　

試験用でこんな電卓必要な式はやっとれんので、
続きに別解答。続きを読む

バグ埋め込み法

なんやそれ・・・。目から鱗。
使っている現場なんかあるのかな。典型的な試験用の知識な気がする。
埋め込まなくても無数にあるので（ｹﾞﾌﾝｹﾞﾌﾝ
テスト件数に対するバグ件数が異常に少ないとき、逆に
「これちゃんとテストしたんか！」というのはあるかもしれんがなぁ。

バグ埋め込み法
　故意にバグを埋め込み、その埋め込んだバグの発見数から
　潜在バグ数を推定するもの。
　埋め込みバグの発見確率と潜在バグの発見確率が同じという仮定がある。

問題にでてくる場合は、計算問題で
　バグ埋め込み法を用いて２０個のバグを埋めんだ。
　これまでのテストで発見されたバグ数は４０で、そのうち埋め込みバグは１０だった。
　あと何件のバグを発見すればテスト終了と判断してよいか・・？

という具合ででる。

発見率が同じという仮定があるので、

埋め込み総数：見つかった埋め込み数＝潜在バグ総数：発見された数

という式が成り立つ。

　あと何件のという問いなら、埋め込みも含んだ数になるので、注意が必要だ。
この例題の場合だと
　２０：１０＝ｘ：４０　ｘ＝８０
　８０−４０＝４０　A．あと４０件（内訳 埋10、潜30）

というからくり。

しかしググってみても試験の解答とか解説しか出てこんぜ・・？