45歳のプログラマーの男が仕事で書いたコードを年収判定のためGitHubに上げて、複数企業の業務で使われていたコードの一部が流出した。GitHubは本来、公開して構わないオープンソース等のコードを共有する場で、年収判定サイトは、コミュニティでの活動を評価に結びつけようというコンセプトだった。しかし男は業務として開発した商業機密として保護すべき顧客のソースコードを不当に持ち出して、自分の年収を判定してもらうために丸ごと公開してしまった。 GAFAはじめネット企業を中心に、自社サービスを構成する部品で汎用的に使えるコードをGitHubなどを通じてオープンソースとして公開する動きが広がっている。一方で伝統的なシステム開発では、ソースコードは委託した業務の重要な成果物、秘匿すべき商業機密として組織内で管理することが一般的で、開発環境からはGitHubなどのサイトにアクセスできないよう遮断している場
とある女がプログラミングに救われた話
駄文なので最初にまとめておくと、知識ゼロ異業種から転職して何とかエンジニアとしての人生を始めました、という話。経歴がショボすぎて誰かの道標にすらならないだろうけど書き残しておく。実名で書く勇気はないので増田にて失礼。 ・芽生えPCを初めて触ったのは4歳の頃。 父が仕事で使うと言って、ThinkPadを買ってきた。 黒くてごついボディが幼心にぐっときたのを覚えている。この記憶があったためか、初めて自分で購入したPCはThinkPadだった。 ・小〜中学生我が家にインターネット開通。深夜に親が寝てからこっそり2chとニコニコ動画を見ていた。PS2でドラクエ8をやってグラフィックに感動する。まだプログラミングという言葉は知らない。母親のヒステリーと父親の拳骨に耐える日々だった。 ・高校生地元の高校に進学。友人とホムペ(死語)を作成。html/CSSで文字の色か変えられたりアニメーションをつけら
Webの将来はサーバサイドレンダリング(SSR)に回帰していく。Denoが主張するIsomorphic JavaScript(もしくはUniversal JavaScript)とは何か?
Webの将来はサーバサイドレンダリング(SSR)に回帰していく。Denoが主張するIsomorphic JavaScript(もしくはUniversal JavaScript)とは何か? 静的なHTMLファイルをWebサーバが配信する仕組みから始まったWebは、サーバ側で動的にHTMLを生成するCGIの仕組みや、Webブラウザ上でJavaScriptを実行してインタラクティブな操作を実現するなどの仕組みを得たことでWebアプリケーション基盤へと発展しています。 現在、Webアプリケーションの仕組みとして代表的なものがSPA(Single Page Application)でしょう。 SPAはWebブラウザ上で多くの処理が行われるためユーザーの操作に対する反応が速く、インタラクティブ性の高い快適なWebアプリケーションを実現できる利点があります。 しかし、これからのWebはサーバサイドレンダ
コボラーだったワイが、 「いつまでもCOBOLってのもな……最近はWeb開発が流行っとるらしいしそっちに転向や!」 つって当時は最先端だったFlashを必死で覚えてデザイナースクールにも通ったのに、 今、再びCOBOLで金融系システムの保守業務に携わっている。 なんでワイはFlashじゃなくてJava Servlet方面に行かんかったんや…… そっちやったらフレームワークとかにも対応して行けたやろうに、 FlashとHTMLに特化してしまったばっかりに。 adobe絶対に許さない。
ジャバの異常な愛情 またはSpringはいかにしてモダンであることを止めて時代遅れになったのか - Qiita
Spring以前 RPC 業務で使うシステムはサーバー間で連携することが多い。2019年現在ではREST apiに対してjsonやprotocolbufferで呼び出す事が当たり前のように行われているが、まだjsonも発見されていない時代はもっと複雑な仕組みが取られていた1。異機種間でやりとりするためのCORBAや、機種に依存しないデータプロトコルのASN.1なども利用されていたが、仕様は複雑でそれぞれをハンドリングするライブラリは有償で売られ、ベンダーからサポートを受けながら使用するようなものだった。 RMI Javaの世界ではJava同士でやりとりするためのRMIが定義され、比較的に楽にRPCできるようになった2。とはいえhttpでrestをコールすることに比べたらアホみたいな複雑さである。 https://docs.oracle.com/javase/jp/1.3/guide/rmi
はじめに 対象イベント 読み方、使い方 Remote Code Execution(RCE) 親ディレクトリ指定によるopen_basedirのバイパス PHP-FPMのTCPソケット接続によるopen_basedirとdisable_functionsのバイパス JavaのRuntime.execでシェルを実行 Cross-Site Scripting(XSS) nginx環境でHTTPステータスコードが操作できる場合にCSPヘッダーを無効化 GoogleのClosureLibraryサニタイザーのXSS脆弱性 WebのProxy機能を介したService Workerの登録 括弧を使わないXSS /記号を使用せずに遷移先URLを指定 SOME(Same Origin Method Execution)を利用してdocument.writeを順次実行 SQL Injection MySQ
達人出版会
コンテナセキュリティ コンテナ化されたアプリケーションを保護する要素技術 Liz Rice(著), 株式会社スリーシェイク(監修), ⽔元 恭平, ⽣賀 ⼀輝, ⼾澤 涼, … Knative実践ガイド 小野 佑大 いちばんやさしいHTML5&CSS3の教本 人気講師が教える本格Webサイトの書き方 赤間 公太郎, 大屋 慶太, 服部 雄樹 人間中心設計入門 HCDライブラリー0巻 黒須 正明, 八木 大彦(編), 山崎 和彦, 松原 幸行, 竹内 公啓(編著) スッキリわかるPython入門 国本 大悟, 須藤 秋良(著), 株式会社フレアリンク(監修) 徹底攻略ITパスポート教科書+模擬問題 令和5年度 間久保 恭子 徹底攻略Python 3 エンジニア認定[基礎試験]問題集 株式会社ビープラウド, 一般社団法人Pythonエンジニア育成推進協会, 株式会社ソキウス・ジャパン 徹底攻略
登大遊氏、日本は「超正統派」のICT人材を育成すべき。そのために、自由な試行錯誤を許容するインチキネットワークの普及に取り組む(後編)。JaSST'22 Tokyo
登大遊氏、日本は「超正統派」のICT人材を育成すべき。そのために、自由な試行錯誤を許容するインチキネットワークの普及に取り組む(後編)。JaSST'22 Tokyo 2022年3月10日と11日の2日間、ソフトウェア業界のテスト技術力の向上と普及を目指すイベント「ソフトウェアテストシンポジウム JaSST'22 Tokyo」がオンラインイベントとして開催されました。 イベントの最後には、招待講演として登大遊氏による講演「世界に普及可能な日本発の高品質サイバー技術の生産手段の確立」が行われています。 この記事ではその講演の内容をダイジェストで紹介します。記事は前編、中編、後編の3つに分かれています。いまお読みの記事は後編です。 質疑応答 登様、ご講演ありがとうございました。それでは質疑応答に移りたいと思います。 質問) 正統派が超正統派へと殻を破るきっかけは何でしょうか? 複数あると思います
達人出版会
探検! Python Flask Robert Picard, 濱野 司(訳) BareMetalで遊ぶ Raspberry Pi 西永俊文 なるほどUnixプロセス ― Rubyで学ぶUnixの基礎 Jesse Storimer, 島田浩二(翻訳), 角谷信太郎(翻訳) 知る、読む、使う! オープンソースライセンス 可知豊 きつねさんでもわかるLLVM 柏木餅子, 風薬 デザインディレクション・ブック 橋本 陽夫 現場のプロがやさしく書いたWebサイトの分析・改善の教科書【改訂3版 GA4対応】 小川 卓 解釈可能なAI Ajay Thampi(著), 松田晃一(翻訳) PowerPoint 目指せ達人 基本&活用術 Office 2021 & Microsoft 365対応 PowerPoint基本&活用術編集部 ランサムウェア対策 実践ガイド 田中啓介, 山重徹 TODによるサステナ
Amazon EC2 におけるセキュリティ(脆弱性)事例 - blog of morioka12
1. 始めに こんにちは、morioka12 です。 本稿では、Amazon EC2 上で動く Web アプリケーションの脆弱性によって脆弱性攻撃が可能だった実際の事例について紹介します。 1. 始めに 2. Amazon EC2 におけるセキュリティリスク Amazon EBS 被害があった公開事例 3. Amazon EC2 で起こりうる脆弱性攻撃 SSRF が可能な脆弱性 SSRF における回避方法 4. Amazon EC2 の脆弱な報告事例 画像読み込み機能に潜む SSRF を悪用した EC2 のクレデンシャルの不正入手が可能 SAML アプリケーションに潜む SSRF を悪用した EC2 のクレデンシャルの不正入手が可能 Webhook 機能に潜む SSRF を悪用した EC2 のクレデンシャルの不正入手が可能 Webhook 機能に潜む SSRF を悪用した EC2 のクレデ
達人出版会
探検! Python Flask Robert Picard, 濱野 司(訳) BareMetalで遊ぶ Raspberry Pi 西永俊文 なるほどUnixプロセス ― Rubyで学ぶUnixの基礎 Jesse Storimer, 島田浩二(翻訳), 角谷信太郎(翻訳) 知る、読む、使う! オープンソースライセンス 可知豊 きつねさんでもわかるLLVM 柏木餅子, 風薬 1週間でAWS認定資格の基礎が学べる本 鮒田文平, 相川諒太, 日暮拓也, 川畑光平 徹底攻略ITパスポート教科書+模擬問題 令和5年度 間久保 恭子 徹底攻略Python 3 エンジニア認定[基礎試験]問題集 株式会社ビープラウド, 一般社団法人Pythonエンジニア育成推進協会, 株式会社ソキウス・ジャパン 徹底攻略 AWS認定 ソリューションアーキテクト − アソシエイト教科書 第3版[SAA-C03]対応 鳥谷部
PHPのバージョン 主なコンテンツ(脆弱なスクリプト)はPHP 5.3.3(CGIモード)で動いています。これは、古いPHPでないと発現しない脆弱性に対応するためで、代表的なものとしてNULLバイト攻撃があります。PHPは5.3.4以降でNULLバイト攻撃に対応したため、NULLバイト攻撃を体験するにはPHP 5.3.3以前のものを使う必要があります。一方、新しいバージョンのPHPが必要な箇所もあり、その場合はPHP7.0.27(Debian9標準パッケージのもの)を使い分けています。 メール関連の脆弱性対応 メールヘッダ・インジェクションを体験するにはメールの送受信の仕組みが必要なため、Postfix、Dovecot、RoundCubeがインストールされています。徳丸本初版は「お手元のメールクライアントソフトをお使いください」という体でしたが、今どきメールクライアントを使っている人も少な
こんにちは。谷口です。 paizaラーニングに新規講座「Web技術入門編01 :URIとHTTPを知ろう」が追加されました! 「Web技術入門編」では、WebサービスやWebアプリケーションの基本となるインターネットの仕組みなどが学べます。 今回は「Web技術入門編01 :URIとHTTPを知ろう」の講座内容をご紹介します。 プログラミングは少しできるようになったけど、Webの仕組みについてはよく知らない これからWebエンジニアを目指したい! という方におすすめです。 「Web技術入門編」とは サービスやシステムのユーザーであれば、それほど仕組みを理解していなくても利用することはできます。ただ、Webエンジニアを目指すなら、仕組みを理解していないとサービスを一から作ったり、性能を改善したり、障害に対応したりすることはできません。 この講座の目的は、WebサービスやWebアプリケーションの
ドメイン駆動設計入門【DDDをわかりやすく解説】 | 楽水
突然ですが、エンジニアの皆さま、Javaで開発したWebアプリケーションの構成、このようになっていませんか? データとgetter/setterだけのオブジェクト(JavaBean) 画面のコントロールやビジネスロジックの処理はServletが行う データベースのアクセスは、DAO(Data Access Object)に任せる もしそうであれば、そのシステム、ドメインモデル貧血症に陥ってます。 これは、データとgetter/setterだけのオブジェクトを、Anemic(貧血症になって元気がない)オブジェクトと称し、オブジェクトとはいうものの実質的にはデータであり、それをやりとりするだけの手続き型システムなっていることを嘆いたものです。 今回は、本来のオブジェクト指向に立ち返り、そのメリットである高い保守性、再利用性、拡張性を備えた変化に強いシステムを作るための設計方法、ドメイン駆動設計
昨日、ようやく1回目のワクチン摂取を受けることが出来たが、その直前、病院のロビーで順番を待っている時、面識のないひとりの女性から12通もの反ワクチンリンク集メールが届いた。 (正確には1通目が摂取前日の深夜。2通目以降のすべてが当日の午前中に連投された) 精読する時間はなかったが、1通ごとに張り巡らされた大量のリンクの見出しを概観しているうちに精神的な疲労感を覚え、摂取後しばらく不調をきたして病院で休ませてもらった。 特に僕はワクチン推進の旗振りしたわけでもなく、「友人は2回済ませてるけど、俺はまだ」などといったレベルのことしか書いてこなかったにも関わらず、ただそれだけのことでもTwitterでいきなり絡んでくる反ワクチンの匿名アカウントは非常に口汚い形で罵倒をしてくる。 しかしこの人の場合、数曲程度しか知らない僕の身を真剣に案じたうえで、メール送信に踏み切っているようで、また(本人の記述
達人出版会
AIとコラボして神絵師になる 論文から読み解くStable Diffusion 白井 暁彦 機械学習 周 志華(著), 大和田 勇人, 玄 光男, 下川 朝有, 郝 新厂, 張 聞強 IoT技術テキスト 基礎編 改訂3版 MCPC IoTシステム技術検定[基礎]対応 MCPCモバイルコンピューティング推進コンソーシアム Microsoft Office 2021を使った 情報リテラシーの基礎 切田 節子, 新 聖子, 山岡 英孝, 乙名 健, 長山 恵子 サーバレスとSPAで実装するWebアプリケーション 内山 浩佑 Clean Craftsmanship Robert C.Martin(著), 角 征典(訳) Applied AI 人工知能活用と「賢さ」の実装 井田 昌之 詳解CoreAudio.framework macOSで実装する低レイヤーオーディオ出力 藤本 雅士 Operati
こんにちは。dodaサイト開発グループの齋藤です。 doda トップページリビルドプロジェクトにて、コンテナ環境で動くAPIサーバー(hydrogenと社内では読んでいます)を作成しました。 そのAPIサーバーの開発が活発化してきたため、社外向けへの知見の共有と、社内のチーム向けのドキュメントとして、プロジェクトにおいて工夫した点などをこの記事にて公開することにします。 なぜAPIサーバー(hydrogen)を作成したのか これまでdodaではJava側でHTMLまで返すMPA(Multiple Page Application)で作られていました。 しかし今回のdodaトップページリビルドプロジェクトではSPA(Single Page Application)で作っており、APIが必要になりました。 参考:フロントエンドに関する記事はこちらです。 APIの作成は既存のシステムでも可能です
この記事で書きたいことは、大筋下記のようなことです。 ・「社長(ではないけど社長的な人)のイエスマン」としてあまり評判がよくない人がいました ・一緒に会議に出るようになって、その人が社長のアイディアに対する追従ととれる発言を頻繁に口にする人だということは分かりました ・ただ、その人は「曖昧なアイディアの長所を的確に言語化する能力をもった人」でもあり、結果的には経営の原動力になっていました ・どういう立場、どういう視点に立つかによって、人に対する評価が変わってくるのは当然のことです ・ただし、「分かりやすい一言」で人をラベリングすること、それによってその人の評価を固定することには慎重であるべきです ・どんな人の評価であれ、なるべく自分で見て、自分で触れた上で判断したいものだと思います 以上です。よろしくお願いします。 さて、書きたいことは最初に全部書いてしまったので、後はざっくばらんにいきま
Updates [04-13] "Data Binding Rules Vulnerability CVE-2022-22968" follow-up blog post published, related to the "disallowedFields" from the Suggested Workarounds [04-08] Snyk announces an additional attack vector for Glassfish and Payara. See also related Payara, upcoming release announcement [04-04] Updated Am I Impacted with improved description for deployment requirements [04-01] Updated Am I I
SpringBoot + Kotlin + GraphQL のアプリ向けスキーマ設計・実装のプラクティス - エムスリーテックブログ
こんにちは、エムスリー エンジニアリンググループ マルチデバイスチームの藤原です。 昨年末に医師向けのスマホアプリを新たにリリースしました。 スマホアプリ向けの BFF(Backends For Frontends) も新規に開発したのですが、そこには SpringBoot + Kotlin + GraphQL なアプリケーションを採用しています。 GraphQL はチームでの採用は初めてで、私もこのプロジェクトで初めて触りました。 そのような状況だったので GraphQL 周りについては試行錯誤を重ねることとなったのですが、今回はその開発の中で見えてきた プラクティス をいくつか紹介したいと思います。 これから SpringBoot + Kotlin + GraphQL な開発をされる方の参考になれば幸いです。 ボネリークマタカ(某GraphQLの入門書*1の表紙にもこの鳥が描かれている
不動産屋はあてにならないのか、続き
(1.23)追記に追記した。みなさん「仲介」という仕事をご理解されていない。そんなに難しいことは言ってないと思うんだが…まさかバカなわけではないよな? nuara 情報非対称はレモン(欠陥品)を売る市場になるんじゃなかったっけ。 売主と買主の間での情報非対称はそうなる。なので「仲介」が間に入って、情報の格差を埋める作業をするということだと思う。不動産屋(仲介)は売り手でも買い手でもなく、調整者であり交渉者。 何かを混同しちゃってるのかもしれないが、「商材が不動産」の仕事って結構幅広い。例えば、不動産(ハウスメーカー、マンションデベロッパー)の仕事はメーカーであり販売者だが、不動産(仲介)は仲介者だ。作る人と間に入る人はかなり違う仕事だと思うので、混ぜたら危険。 junnishikaw この業種が割が悪いなら悪徳業者は自然に去る筈でやはりボロい商売ではと感じられててその不透明な"何か"に対し
カナリアリリースを自動化!Flaggerでプログレッシブデリバリーを実現した話 - ZOZO TECH BLOG
はじめに こんにちは。SRE部ECプラットフォーム基盤SREブロックの大澤と立花です。 本記事ではマイクロサービスのカナリアリリースに関して私達が抱えていた課題と、それをFlaggerによるプログレッシブデリバリー導入でどのように改善したのかを紹介します。 ZOZOTOWNのマイクロサービス基盤におけるカナリアリリース手段の変遷については以下のテックブログで紹介しておりますので気になった方はご参照ください。現在はIstio VirtualServiceの加重ルーティングを用いたカナリアリリースに一本化しております。 techblog.zozo.com techblog.zozo.com 目次 はじめに 目次 カナリアリリースの運用課題 解決手段としてのプログレッシブデリバリー Flaggerとは? Flaggerによるプログレッシブデリバリーの進み方 Flagger導入時の検討ポイント (
Spring4Shell: Security Analysis of the latest Java RCE '0-day' vulnerabilities in Spring | LunaTrace
Getting Spring to load BinderControllerAdvice may require manual steps to have it load. We'll update this guide with more details about how to do that soon. import org.springframework.core.Ordered; import org.springframework.core.annotation.Order; import org.springframework.web.bind.WebDataBinder; import org.springframework.web.bind.annotation.ControllerAdvice; import org.springframework.web.bind.
はじめに Webシステムの開発に携わりたくて転職して9か月,知らない事ばかりで日々勉強しております。 自分の勉強用メモとして知っておくべき技術をまとめようと思いました。 (こちらの記事にインスパイアされたものです) 技術用語について,なるべく2~3行で概要を説明できる事を目指しています。 情報が多過ぎるので,主流な技術は見出しを赤字にしています。(主観強め) また,今後需要が増えそうな技術は青字にしています。(かなり主観強め) とはいえ,新しい技術が登場すれば,数年でトレンドが変わってしまう事も多々あると思います。 ほとんどはあくまでも初心者がネットで情報をかき集めた程度のものです。 誤りがあればご指摘,ご意見など頂きたいです。 ※2023/2/6追記 不正確・不十分だと思った記載はひっそりと随時修正しています。 また,「そういえばこんなんあったな」という項目も追記しています。 あと,自分
現在、農林水産省は下記の案件についてパブコメの募集をしています。 遺伝子組換えセイヨウナタネ及びトウモロコシの第一種使用等に関する審査結果についての意見・情報の募集について http://search.e-gov.go.jp/servlet/Public?CLASSNAME=PCMMSTDETAIL&id=550001448&Mode=0 このパブコメに対して、「反対の意見を投書しよう」という呼びかけがツイッターの中でなされています。 この呼びかけ自体は別に構わないのですが、多くの人が「パブコメ」に対して誤解をしているようです。パブコメとは、アンケート調査や意識調査とは全く異なるものなので、同じような意見や、科学的に結論が出ていることに対していくら「科学的に見えるようなアプローチ」で意見を書いても全く無駄作業になります。私は実際に経済産業省の課長補佐としてパブコメの処理をした経験があります
SaaS利用者/事業者が知っておくべきクラウドセキュリティの確かめ方と高め方 —第6回 クラウドサービスにおける個人情報の考え方 | クラウドサイン
ホーム クラウドサインブログ SaaS利用者/事業者が知っておくべきクラウドセキュリティの確かめ方と高め方 —第6回 クラウドサービスにおける個人情報の考え方 第6回までお読みいただきありがとうございました、今回はいよいよ最終回です。 本連載は「法務部を中心とした管理部門の方」を想定読者に据え、クラウドセキュリティに関する検討を事業者・利用者双方の視点で行ってきました。私として連載開始前に「お伝えしたい」と考えていたことの中心部分は、とりわけ クラウドサービス利用者におけるクラウドセキュリティの確かめ方(第4回) クラウドサービス事業者におけるクラウドセキュリティの高め方(第5回) でお伝えすることができました。 そこで最終回の第6回は番外編的に、改正法の施行が年明けに迫り、多くの企業が対応に追われているであろう個人情報保護法にフォーカスし、クラウドサービスに関連する部分について検討してい
先日、新卒から3年ほど勤めた某Nグループの SIer を退職しました。 転職してから少し経ったので、振り返りの意味も込めてつらつらと書き綴っておきます。 あくまで私の主観に基づいた半径数メートルの話でしかないので、ここに書いた話が全てだと主張するつもりは全くありません。特に面白い話も書いてません。 あとは私の社会性フィルターが機能していることを祈ります。 私のプロフィール情報系の修士卒で、現在社会人4年目になります。 現職(転職先)では MLOps を推進する部門に在籍し、機械学習基盤の構築や、分析案件のエンジニアリングなどを担当しています。 新卒入社まで前職について改めて触れておくと、社員数数千人規模の会社で、主にグループ会社向けのシステム開発や保守運用などをミッションとしていました。 詳細は省きますが、実態としては上記に留まらず何か色々(雑)やっていたと思います。 私はアーキテクト職を
経済産業省は、外国為替及び外国貿易法(以下、「外為法」)に基づく輸出管理を適切に実施する観点から、大韓民国向けの輸出について厳格な制度の運用を行います。 輸出管理制度は、国際的な信頼関係を土台として構築されていますが、関係省庁で検討を行った結果、日韓間の信頼関係が著しく損なわれたと言わざるを得ない状況です。こうした中で、大韓民国との信頼関係の下に輸出管理に取り組むことが困難になっていることに加え、大韓民国に関連する輸出管理をめぐり不適切な事案が発生したこともあり、輸出管理を適切に実施する観点から、下記のとおり、厳格な制度の運用を行うこととします。 1.大韓民国に関する輸出管理上のカテゴリーの見直し 本日(7月1日)より、大韓民国に関する輸出管理上のカテゴリーを見直すため、外為法輸出貿易管理令別表第3の国(いわゆる「ホワイト国」)から大韓民国を削除するための政令改正について意見募集手続きを開
マイクロサービスアーキテクチャへの移行を進める上で生まれた課題にどう取り組んだのか。オイシックス・ラ・大地の川上徹氏がOisixのマイクロサービス移行のハードルにどう取り組んだのか紹介します。 Oisixは2000年の創業以来、一度も全面的なシステムリプレースを行わず、システムの改修を続けてきたECサイトだ。マイクロサービスアーキテクチャへの転換を検討し始めた2017年時点で、17年以上も創業当時のアーキテクチャのまま、運用を続けてきたというわけだ。 今回はそのOisixをマイクロサービスアーキテクチャに移行する上で生まれた課題にどう立ち向かったのかを解説する。 既存システムの分析と改善 システムアーキテクチャを刷新する上で、まず最優先に取り組むべきなのはそのシステムが構成する業務の分析/再定義になるだろう。 システムの現状分析を基に、開発、運用のプロセスあるいはサービス提供をする上でのボ
注意! こちらの記事は自分の解釈を多く含みます。 十分に注意し、念のため検証してから情報を利用してください! この記事の内容と対象 この記事では、以下の内容に触れます。攻撃原理をわかった範囲でまとめるので、なにかのお役に立てば幸いです。 Spring4Shellの脆弱性の全体像 なぜJDK9.0以上のみ限定なの? なぜtomcatで影響は受けているの?ほかは? 脆弱性の概要 SpringShell RCE vulnerability: Guidance for protecting against and detecting CVE-2022-22965 によると 以下の条件を満たしているときに 任意コード実行 につながると書かれています。 Running JDK 9.0 or later Spring Framework versions 5.3.0 to 5.3.17, 5.2.0 t
パブリックコメント:侵害コンテンツのダウンロード違法化等に関するパブリックコメント|電子政府の総合窓口e-Gov イーガブ
・移動または削除されている場合があります。・直前に閲覧頂いていたページへのリンクに誤りがある可能性があります。・ご入力頂いたURLに誤りがある可能性があります。・一時的に利用できない状況にある可能性があります。
メディアドゥでは、エンジニア有志によって執筆された【Tech Do Book】という合同誌を発行しています。 本日はその中から、Tech Do Book vol.1 【1章 EPUB Generator をつくろう】を紹介します。 はじめに EPUB生成ツールの作り方を通じて、EPUBフォーマットの理解について深めましょう。 スコープ シンプルなテキストベースのEPUBファイル生成ツールの作り方をまとめます。対象とするEPUBのバージョンは3.0です。 なお、コミックのような画像コンテンツを含むEPUBファイルの生成はここでは取り扱いません。 でき上がるもの 書籍ID、出版社、タイトルや目次内容、本文などをPOSTすると、EPUBファイルとしてダウンロードできるようになります。 図:フォームイメージ 必要な知識 HTML基礎 XML基礎 Spring Bootの簡単な使い方 EPUBフォー
執筆日:2022年12月6日 (更改:2022年12月18日) 休眠預金活用事業の一つである『コロナ禍の住宅困窮者支援事業≪休眠預金活用事業≫2020年度コロナ緊急支援助成枠』について、適正な審査がなされていない疑義、及び資金が適正に運用されていない疑義があるため、公益財団法人パブリックリソース財団(以下、財団)及び一般社団法人Colabo(以下、Colabo)に対して、以下の通り提言する。 Ⅰ 審査から資金交付までが適正に行われたかを検証すること Ⅱ 適正でない部分があったとすれば、どのように是正するかを検討すること なお、当該提言の根拠となる情報収集は適法に公知の情報のみで行っており、違法でないことはもちろん、内部告発その他の手段によるものではないことを念のため申し添える。 以下が提言にいたった根拠となる。 本来はまず第一に、利益相反について指摘しなくてはならないが、それは別稿にまとめ
サーブレットで面倒なのはTomcatとの付き合いです。 Spring BootでSpring Webを使うと組み込みTomcatが動くので、Tomcatのことを気にしなくてよくなりますね。 そこでサーブレット動かすと勉強しやすいんでは、と思ったので試してみます。 まず、spring initializrでSpring Webを追加したプロジェクトを作ります。 https://start.spring.io/ このリンクから、設定済みのspring initializrを開けます。Mavenにしているので、Gradleがいい人は選択しなおしてください。 https://start.spring.io/#!type=maven-project&language=java&platformVersion=3.1.1&packaging=jar&jvmVersion=17&groupId=com.
こんにちは。谷口です。 プログラミング学習の目標として「Webアプリを作れるようになりたい!」と考えている初心者の方は多いですよね。 ただ、初心者の場合「どんな勉強が必要なのか」「どうやって勉強すればよいのか」で迷うこともあるかと思います。 今回は、「paizaラーニングを使ってどんな勉強をすればWebアプリを作れるようになるか」ご紹介します。 実際に、paizaラーニングを使ってプログラミングの勉強を始め、Webアプリやサービスを作れるようになったり、それをもとにエンジニアとしての就職・転職された方はたくさんいらっしゃいます。 プログラミングやWeb開発に興味のある方、エンジニアを目指している方の参考になればと思います。 各プログラミング言語の入門編 プログラミング自体が初めて、もしくは勉強したけど途中で挫折した、勉強したけど忘れている部分が多い、プログラミング経験はあるけど別の言語を勉
日本の大学で実施するオンライン授業について、2020年3月29日現在の、法令その他の関連情報を調査し、まとめたものです。【20200401追記】「著作権法施行規則の一部を改正する省令案」に関する意見募集の実施について (案件番号185001097) がはじまりました。どうか、このスライドが早くゴミになりますよう。 https://search.e-gov.go.jp/servlet/Public?CLASSNAME=PCMMSTDETAIL&id=185001097&Mode=0&fbclid=IwAR3-NqGnhEEEYYQgCG_6hGcZR_CiTCfFjiA75E_1pfJDvvysk7uNsF1IuRY
![[大学] オンライン授業における著作物利用の注意](https://cdn-ak-scissors.b.st-hatena.com/image/square/b1a7afcc0fb302845219175231df3f554a3347d0/height=288;version=1;width=512/https%3A%2F%2Fcdn.slidesharecdn.com%2Fss_thumbnails%2Fondemandclassroomuatuniv20200329-200329080325-thumbnail.jpg%3Fwidth%3D640%26height%3D640%26fit%3Dbounds)
関連キーワード アプリケーション開発 | プログラミング プログラミング言語および開発・実行環境「Java」は決して新しくなく、むしろ“枯れた”技術だと考える人は少なくない。実際にはJavaは変化を止めておらず、開発者にとって興味深い話題を生み出し続けている。開発者にとってJavaは、いつだってエキサイティングだ。今からでもJavaに向き合う価値があると言える、幾つかの理由を紹介しよう。 理由1.進化し続ける「Java SE」 併せて読みたいお薦め記事 Javaを学ぶべき理由 「Java」がいまだに使われ続ける“端的な理由” 「Javaは面倒で冗長」は大きな誤解だった? 今こそ“真実”を学ぼう 2023年3月、OracleはJavaの仕様群「Java Platform, Standard Edition」(Java SE)に基づいた、開発・実行環境「Oracle JDK」のバージョン20(
Hiromitsu Takagi @HiromitsuTakagi なんだこのアンケート。第1問から回答不能じゃないか。そもそも「両立させた形」なんぞ不可能。前提が成り立たないとの回答選択肢が用意されていない。ナメとんのか? search.e-gov.go.jp/servlet/Public… 侵害コンテンツのダウンロード違法化等に関するパブリックコメント(別紙)質問事項及び回答様式 pic.twitter.com/alUEJqYYn0 2019-10-01 02:00:21
困難女性支援法(Colabo関係法)のパブコメの読まれ方
困難女性支援法(Colabo関係法)にかかるパブリックコメントの留意点 https://anond.hatelabo.jp/20230120170925 の続きとなります。 前回"こういった意見はあんまり意味ないよねというのは、パブコメ資料を見てから暇があればまとめます。"としていたとおり、これについて書きます。 分かりやすさ重視で、ブコメなどを取り上げながらいきたいと思います。 数は重要か〇意見を精査する人にとってはコピペは印象を損ねるだけのうんざりする代物だと思う。が、「○○万件集まった」という張りぼては有権者の数を示すので、重く受け止める政治家も出てくるという側面もある。 〇パブリックコメントに自分の意見が採用される事がコメントする人間の目的なのだろうか? 例え一万もの似た意見の一つに埋もれても、行政に伝えたいものがあるのだろうと、行政は送られた数から感じ取って貰いたい。 繰り返しま
Bolt 入門 Bolt for Java は、最新のプラットフォーム機能を使った Slack アプリの開発をスピーディに行うための抽象レイヤーを提供するフレームワークです。 このガイドでは、初めての Bolt アプリを開発する手順を紹介します。 プロジェクトのセットアップ Maven Gradle 3 分間で動かす Bolt アプリ bolt-jetty の利用 環境変数を設定して起動 /hello コマンドの有効化 (参考) Spring Boot での設定 Kotlin での設定 動作確認 次のステップ なお Slack アプリ開発全般についてまだ不慣れな方は、まず「An introduction to Slack apps(英語)」に軽く目を通した方がよいかもしれません。 プロジェクトのセットアップ では、さっそく Bolt を使った Slack アプリ開発を始めましょう!このガイ
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
GitHubでの業務ソースコード流出 背景にIT業界の二極化と多重下請け構造|楠 正憲(デジタル庁統括官)
Flashほど一時代を築いた割りに本気で使えなくなった技術ないだろ
【2020年】CTF Web問題の攻撃手法まとめ - こんとろーるしーこんとろーるぶい
徳丸本2版の実習環境をDockerに移植した話 - Qiita
プログラミング初心者でもWeb技術の基本を学べる入門講座が新登場 - paiza開発日誌
ワクチン摂取の直前に、こんなメールが届いたら、副反応はより過酷なものになる。|七尾旅人
dodaの技術負債を解消するコンテナ環境で動くAPIサーバー - techtekt
評判の良くない「社長のイエスマン」が実は会社を動かす原動力だったことを後から知った話
Spring Framework RCE, Early Announcement
Webシステム開発で関わる技術のまとめ(2022年に知った物) - Qiita
多分世界で最初のとんかつ評論家 元木一朗のブログ:パブコメを書く際の注意事項(フェイスブックのノートより転載)
ジャパニーズトラディショナルカンパニーを退職した話|mhiro2|note
大韓民国向け輸出管理の運用の見直しについて (METI/経済産業省)
マイクロサービス移行を阻むレガシーとの戦い方
Spring4Shell の任意コード実行でわかったことをまとめる!
EPUB Generatorをつくろう - Tech Do | メディアドゥの技術ブログ
Colaboのアパート建築に係る助成金に関する疑義及びそれに伴う提言|red
実はサーブレットの勉強もSpring Bootを使うほうが楽なのでは - きしだのHatena
プログラミング初心者でもWeb開発に入門できる学習方法 - paiza開発日誌
[大学] オンライン授業における著作物利用の注意
“枯れた言語”だろうが何だろうが「Javaしか勝たん」理由
文化庁の違法ダウンロード法案のパブコメ、誘導質問など問題がありの模様
Bolt 入門 | Slack SDK for Java