令和時代の API 実装のベースプラクティスと CSRF 対策 | blog.jxck.io
Intro CSRF という古の攻撃がある。この攻撃を「古(いにしえ)」のものにすることができたプラットフォームの進化の背景を、「Cookie が SameSite Lax by Default になったからだ」という解説を見ることがある。 確かに、現実的にそれによって攻撃の成立は難しくなり、救われているサービスもある。しかし、それはプラットフォームが用意した対策の本質から言うと、解釈が少しずれていると言えるだろう。 今回は、「CSRF がどうして成立していたのか」を振り返ることで、本当にプラットフォームに足りていなかったものと、それを補っていった経緯、本当にすべき対策は何であるかを解説していく。 結果として見えてくるのは、今サービスを実装する上での「ベース」(not ベスト)となるプラクティスだと筆者は考えている。 CSRF 成立の条件 例えば、攻撃者が用意した attack.examp
TAMIYA PLAMODEL FACTORY TOKYO グランドオープン
タミヤのフラッグシップ・アンテナショップ「タミヤ プラモデルファクトリー 新橋店」を、現店舗正面に完成した新虎安田ビル(所在地:東京都港区)へ移転し、2024年5月24日(金)より、装いも新たに「TAMIYA PLAMODEL FACTORY TOKYO」としてリニューアルオープンします。 「TAMIYA PLAMODEL FACTORY TOKYO」は、「タミヤの今が、ここにある。」をコンセプトに、最新のプラモデル、ミニ四駆、RCカー、工作シリーズなどの製品を集め、「ものづくり」で得られる心豊かな体験、さらには「模型文化」を世界に発信するフラッグシップ拠点です。すべての模型ファンはもちろん、これから始めたい方が、お一人でもご家族や仲間たちと訪れても、新たな発見があり楽しさに溢れる空間を目指します。 ■新しくて懐かしい、模型に囲まれる大きな売場空間 タミヤ製品約6,000アイテムが集まる圧
Linuxの生みの親リーナス・トーバルズが「XZ Utils問題」「オープンソース開発」「RISC-V」「AIの台頭」などについて語る
The Linux Foundationが2024年4月16日から18日にかけて開催したOpen Source Summit North Americaの中で、Linuxの生みの親でLinuxカーネル開発の優しい終身の独裁者としても知られるリーナス・トーバルズ氏が、Verizonのオープンソースプログラムオフィス責任者であるディルク・ホーンデル氏とともに、Linux開発と関連する問題について公開での議論を行いました。 Linus Torvalds on Security, AI, Open Source and Trust - The New Stack https://thenewstack.io/linus-torvalds-on-security-ai-open-source-and-trust/ Linus Torvalds takes on evil developers, ha
Docker Desktopの代替となる「Podman Desktop 1.9」リリース。Macでの安定性や性能が大幅に向上したコンテナエンジン「Podman 5.0」を搭載
Red Hatが主導して開発するDocker互換のコンテナエンジンであるPodmanを搭載した、Docker Desktop代替となるGUIツール「Podman Desktop」の最新版「Podman Desktop 1.9」正式版がリリースされました。 Podman Desktopの主な機能 Podman Desktopは、デスクトップアプリケーションのGUIを通じて、コンテナの一覧、検索、実行、終了などの基本的な操作、コンテナイメージのビルド、コンテナレジストリへのコンテナイメージのプッシュやプルなどのライフタイムを通じた管理、ローカルでのKubernetes環境の実現、CPUやストレージの利用量の参照などを手軽に行えるツールです。 さらにDocker Dekstopの拡張機能を取り込むこともできます。 Podman Desktop 1.9の新機能 Podman Desktop 1.9
社労夢で個情委が注意喚起、57万事業所が「認識なく従業員データ委託」の危うさ
個人情報保護委員会(個情委)は2024年3月、ランサムウエア被害に遭った社会保険労務士向けクラウド業務システム「社労夢(Shalom)」などを運営するエムケイシステム(エムケイ社)に行政指導をした。 同時に個情委は、社労士事務所や企業にも注意喚起を公表した。約57万件もの事業所が認識の薄いまま従業員データをエムケイ社に委託し、結果的に同社への監督が不十分だった可能性があるとしたためだ。 エムケイ社では、2023年6月にランサムウエア攻撃で最大約2242万人分の個人データが暗号化されて漏洩などの恐れが発生した。同社との間で利用契約を結ぶ直接のユーザーは社労士事務所などだ。個々の社労士事務所が、顧問契約などを結ぶクライアントの企業や事業所の従業員に関する、社会保険・雇用保険の申請や給与計算、人事・労務管理といった業務に利用している。 取り扱う個人データは社労士のクライアントである企業や事業所な
「作りたいものをいかに早く完成させるかが正義」 まつもとゆきひろ氏が語る、ソフトウェア開発におけるベロシティの重要性
「作りたいものをいかに早く完成させるかが正義」 まつもとゆきひろ氏が語る、ソフトウェア開発におけるベロシティの重要性 #18 動的型付け言語と大規模開発 今回のテーマは「動的型付け言語と大規模開発 まつもとゆきひろ氏:こんにちは。まつもとゆきひろです。Matzチャンネル、18回目になりますね。今日は前回の続きで、「動的型付け言語と大規模開発」について話そうと思います。 本当は前回放送リリースした次の日ぐらいに放送できるようにと思っていたんですけど、意外と忙しくてですね(笑)。 今度、フィンランドのヘルシンキで、「Euruko」というカンファレンスが開かれるんですけれども、まだ物理で海外旅行する気にならないので、キーノートを録画しましょうという話になって、そのキーノートの準備をして、スライドを書いて、英語の講演を録画するみたいな作業をしていたら、あっという間に時間が経ってしまって、「Voic
「すべてを含んだシステムを2万行以内に書く」は不可能に近い まつもとゆきひろ氏が示す、アプリの現代的で現実的なスケール
アラン・ケイ先生が目指すのは「すべてを含んだシステムを2万行以内に書く」こと まつもとゆきひろ氏:こんにちは。まつもとゆきひろです。「Matzチャンネル」19回目になりますが、前回の放送の中で「アラン・ケイ先生が『あらゆるシステムは1万行以内に書かれるべきだ』というふうに言った」というエピソードを紹介したんですけれども、「Twitter(現:X)」とかで指摘を受けて確認したらだいぶ間違いがありましたので、慎んで訂正させていただきます。 まず、アラン先生の発言そのものは、STEPSというシステムに関連するものだったんですけれども、「1万行」じゃなくて「2万行」だったそうです。「2万行あればだいたい本1冊に収まるので、人間が理解できる」というような文脈で話されたんだそうです。1万と2万は倍、半分。オーダーは違わないにしても、でもちょっと違うかなという気がします。 さらに、このSTEPSですが、
Deno first でやっていく
去年末ぐらいから Deno を使う割合がグッと増えてきた。最近のJS関連は7割ぐらい deno 環境の VSCode でコードを書いている気がする。 今回はいくつかの実例を示しながら、実際に Deno 使えるじゃんというイメージを持ってもらうためのユースケースを紹介していく。 というか、 deno が普及してくれないと、自分が作ったツールの紹介を全部 deno のインストールから書かないといけなくなる。みんなインストールしといて。 最初に: なぜ Deno を使いたいか 一番の問題点、Node は新しいプロジェクトを一式整えるための手間が非常に重い。 とくに ts で書いたものを他の環境に渡すための方法が未だにしんどい。ある環境で動いたコードをそのままコピーしても、プロジェクト設定の非互換を踏む可能性が非常に高い。 deno にそういう側面がないとは言わないが、非常に少ない。とくに TS
CloudFormation一撃で作るAWS料金通知ツール(Email/Slack/LINE対応) | DevelopersIO
こんにちは、つくぼし(tsukuboshi0755)です! 以前以下のブログで、利用しているAWS料金を毎日LINEに通知するツールを構築しました。 上記ブログは様々な方々から大きな反響を頂いた一方で、以下のような課題もありました。 AWS SAMの利用を前提とするため、ローカル開発環境の構築が別途必要 通知間隔として毎日しか指定できない 通知先としてLINEしか指定できない LINE Access Token等の機密情報をLambdaの環境変数に直接入力しているため、セキュリティに多少不安が残る そこで今回は以前のコードをさらに改良し、上記の課題を解消しつつ、初心者でも簡単かつ柔軟に構築できるAWS料金通知ツールを作成したので紹介します! システム概要 アーキテクチャ 今回作成するシステムは以下のような構成になります。 なお後述するEmailAddress/SlackWebhookURL
CFNカスタムリソースでRDS DBの初期セットアップ | Awstut
CloudFormationカスタムリソースを使って、RDS DBの初期セットアップを実行する CloudFormationでRDSリソース作成時に、DBの初期化(DBやテーブルの作成、テストレコードの追加等)も併せて実行することを考えます。 今回はCloudFormationカスタムリソースを使用して、DBを初期化します。 構築する環境 主に4つのリソースを作成します。 1つ目はRDS DBインスタンスです。 今回はMySQLタイプのDBインスタンスを作成します。 2つ目はEC2インスタンスです。 DBインスタンスに接続するクライアントとして使用します。 インスタンスは最新版のAmazon Linux 2です。 3つ目はLambda関数です。 この関数がCloudFormationスタック作成時に自動的に実行されるように、CloudFormationカスタムリソースに関数を関連づけます。
「広告ブロッカーの除外をお願いします」このままでは、これまでタダで利用できていたサービスが利用できなくなります
リンク すまほん!! 【お願い】広告ブロッカーの除外設定をお願いします。 - すまほん!! 広告ブロッカーの除外設定に、ドメイン「smhn.info」を追加するようお願いいたします。お願いするに至った背景と、解除方法について解説します。広告ブロッカーの浸透は「現状、やむを得ない部分がある」すまほん!!は、主に広告掲載収入によって日々の取材、レビュー、記事更新を行っていま... 556 users 72
Signed Query は GraphQL の Trusted Document の新しい実装パターンです - スタディサプリ Product Team Blog
こんにちは。スタディサプリの小中新規開発チームで Web エンジニアをしている @YutaUra です。 去年の4月に新卒で入社をしまして約 1 年が経ちました。インターン生時代にもブログを書いているのでご興味あれば合わせてご覧ください。 GraphQL と Persisted Query スタディサプリ小中講座ではデータ通信に GraphQL を採用しています。 GraphQL を利用することで、クライアントはスキーマに定義された範囲で自由にデータを取得することができます。 query GetUser { user { name age } } また、 GraphQL はデータのグラフ構造に基づいて関連する複数のデータを一度に取得することができます。 query GetUser { user { name age posts { title content } } } GraphQL の
大王製紙の元会長「オレの半分超えたな!やるじゃないか!一平さん!」水原一平容疑者に言及 - 社会 : 日刊スポーツ
「106億円を熔かした男」こと、大王製紙の会長時代にカジノに自社資金をつぎ込んで実刑判決を受けた井川意高(もとたか)氏(59)が12日、X(旧ツイッター)を更新。ドジャース大谷翔平投手(29)の元通訳・水原一平容疑者(39)が違法ブックメーカーへ大谷の口座から総額1600万ドル(約24億円)以上を送金していたと判明した問題に言及した。 ESPNによると、水原容疑者は違法スポーツ賭博での借金返済のため、大谷の口座から2年間で1600万ドル(約24億円)以上を不正に送金。また、ブックメーカーとのやりとりのメール履歴によれば、水原容疑者は1日平均25回で合計1万9000回ほど、1回あたり10ドル(約1500円)から16万ドル(2400万円)を賭け、勝ち額は総額1億4200万ドル(約213億円)、負け額は総額1億8300万ドル(約275億円)で、収支はマイナス4067万8436ドル(約61億円)だ
Ruby のメソッド定義時に仮引数があるとき、それをカッコでくくらないのは私だけなの? - STORES Product Blog
テクノロジー部門で Ruby インタプリタの開発をしている笹田です。RubyKaigi 2024 楽しみですね。 さて、Ruby のメソッドを定義するとき、仮引数がある場合、カッコを省略することができます。 def foo(x, y) end def bar x, y end bar の定義の方法ですね。私は好んでこの書き方をしてたんですが、同僚の遠藤さんに「そんな書き方をしているのは今時笹田だけだ」と言われてショックを受けたので、ちょっと調べてみました。 ちなみに、カッコがないと使えないメソッド定義の方法があるので、その時には涙を呑んでカッコをつけます。 def foo(kw:) # 必須キーワード引数 end def bar(&) # 無名ブロック引数 end 補足1:Ruby では「メソッド呼び出し時にカッコをつけるかどうか」にいろいろな論争がありますが、ここでは「メソッドを定義する
大谷翔平さんの対応を中小企業の社長は見習ってほしい | Addiction report
ギャンブル依存症者が高額な借金を作ると、良かれと思って尻拭いする雇用主が多いのです。でも、その配慮がさらに当事者を大きな借金や犯罪に導き、自他の命を奪う問題にまで悪化するケースも後を絶ちません。ではどうすればいいのでしょうか? ギャンブル依存症問題を考える会が作った職場の依存症対応マニュアル 大谷翔平さんが記者会見で今回の経緯を語った際に、この対応は素晴らしいと思ったことがある。 それは水原一平さんを、捜査機関に引き渡したことだ。 もちろん「裏切られた」という怒りもあったと思うが、同時にこれまで苦楽を共にしてきたパートナーを捜査機関に引き渡すことは断腸の思いもあったはずだ。 「このギャンブル依存症者が犯罪を犯した際に、きっぱりと司法の手に引き渡す」という処置が、日本の中小企業の社長や飲食店等の店主にできない人が多く、二次三次の被害を招いている。 驚くことに、家族が警察に突き出すことを懇願し
Kubernetesにおけるコンテナ起動時間高速化に向けた検討 - Preferred Networks Research & Development
本投稿はPFN2022 夏季国内インターンシップに参加された江平智之さんによる寄稿です。 はじめに PFN2022 夏季国内インターンシップに参加していた江平智之です。現在修士1年で、大学では分散システムやクラウド技術について研究しています。 今回のインターンシップでは、「JP04. Kubernetesにおけるコンテナ実行環境の改善」というテーマでコンテナ起動時間の高速化に取り組みました。 背景 PFNでは機械学習基盤としてKubernetesクラスタを使用しており、リサーチャやエンジニアはKubernetesクラスタ上のPod内で機械学習やシミュレーションなどの計算を行っています。スケジューラによってノードにアサインされた後にPod内にコンテナが起動されますが、ノード上にコンテナイメージのキャッシュがない場合にコンテナ起動が遅いという問題がありました。計算はPFNの研究開発における主要
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
How to install and run Microsoft Agent and MASH on Linux via WINE!
コード署名に悩むアプリ開発者に福音 ~Microsoftが格安サービス、6月までなら無料/高くてサポートの悪い大手コード署名証明書プロバイダーとはおさらば【やじうまの杜】
Submission #24006453 - AtCoder Beginner Contest 208
Applets and Java Web Start Applications