個人的に「Webサービスの公開前チェックリスト」を作っていたのですが、けっこう育ってきたので公開します。このリストは、過去に自分がミスしたときや、情報収集する中で「明日は我が身…」と思ったときなどに個人的にメモしてきたものをまとめた内容になります。 セキュリティ 認証に関わるCookieの属性 HttpOnly属性が設定されていること XSSの緩和策 SameSite属性がLaxもしくはStrictになっていること 主にCSRF対策のため。Laxの場合、GETリクエストで更新処理を行っているエンドポイントがないか合わせて確認 Secure属性が設定されていること HTTPS通信でのみCookieが送られるように Domain属性が適切に設定されていること サブドメインにもCookieが送られる設定の場合、他のサブドメインのサイトに脆弱性があるとそこからインシデントに繋がるリスクを理解してお

私はプロではないのでわからないので、間違っているのは当たり前だと思って読んでください。 個々人のエンジニアの能力がとかクレジットカードがとかは基本関係ないという話です。 （関係なくてもパスワードを使い回している場合は、同じパスワードを使っているサービスのパスワードはすぐ変えるの推奨） 三行VPN→プライベートクラウドの管理システムとオンプレ認証→各システムと言う流れで侵入されていると思われるオンプレのディレクトリサービスとクラウドのidMが接続され、オンプレの認証資格でSaaSは一部やられた可能性がある現在クラウドにリフトアップ中で、新システムはモダンな対策された方法で保護されており無事だった。が、それ故にオンプレへの対策が後手だったのでは会社のシステムはどうなってるか私は長年社内システムの奴隷をやって参りました。現在のクラウドになる前のサーバも触って参りましたので、その辺りからお話しをさ

日本デザインスクールでは年間1500名ほどの受講生を、未経験からWEBデザイナーに育ててきました。受講生を指導する中でよくあがってくるのが「参考がなかなか見つからない」というお悩み。 私も受講生にお伝えすべく、これまで100サイト近くの「参考になりそうなギャラリーサイト」を見てきました。 そこで今回は、これまで見てきたギャラリーサイトの中で、みなさんのデザイン制作のお役に立ちそうなサイトを全部で61個ご紹介していきます。 全てのサイトを おすすめ度 サイト内検索の可否 いいね/保存機能の有無 ランキング機能の有無 掲載サイト数 を基準にランクづけし、おすすめできるサイト順に載せているので忙しいという方は、とりあえず上から順にチェックしていただければ大丈夫です！みなさんのデザイン制作に活かしていただけると嬉しいです。 【全サイト徹底比較】超参考になるおすすめギャラリーサイトTOP38 ちょう

こんにちは、rimiです。AIが数学の家庭教師になるというデモを見て、「イラストの先生にもなってもらえるのでは？」と思い、やってみました。 結果は記事サムネの画像で、自分としては素敵に描けたと思っています！！！（AI絵ではなく、私が自分の手で描いたものです） この記事では、具体的にどうAIを使ったのかご紹介します。 イラストの描き方をAIに教わった流れ準備： 自分の力だけで描いてみる（AIに教わる前の絵）自分では「なんかいまいちだなぁ…」と思いながらも、なぜいまいちなのかがわかりません。これを出発点とし、AIに力を借りて、より素敵な絵を描くことを目指します。 手順１. 画像生成AIに「お手本」をたくさん作って、マネしたい絵を選ぶまず、上記の自分の絵をリファレンスにして、AIで画像を生成しました。そうすると、自分が描いた絵に色味や雰囲気が近いが、自分より圧倒的に上手い絵が出てきます。 今回は

清原達郎氏が「唯一、お金を払う価値がある」と断言するのは『会社四季報』（撮影／野口博） 投資熱が高まるなか、企業の経営状況や株価など投資情報へのニーズも増している。昨今は個人投資家向けの有料情報サイトが乱立しているが、個人資産800億円という伝説の投資家・清原達郎氏は「本当に必要な有料情報源は『会社四季報』のみ。あとは企業ホームページのIR（Investor Relations）情報だけで十分」と指摘する。では清原氏は会社四季報とIRをどう読み解いているのか。独自メソッドを初公開する。 「株価情報の収集にお金をかける必要はない」──そう断ずる清原氏。かつてヘッジファンド・タワー投資顧問の運用部長として旗艦ファンドを立ち上げ、2005年に発表された最後の高額納税者番付でサラリーマンとして初の1位（納税額37億円）に輝いた伝説の投資家である。 清原氏は、2018年に咽頭がんの手術で声帯を失い、

こんにちは。メルカリ ハロのSoftware Engineer (Engineering Head)の@napoliです。連載：Mercari Hallo, world! -メルカリ ハロ 開発の裏側-の2回目を担当させていただきます。 2024年3月上旬にメルカリ ハロという新しいサービスが公開されました。メルカリ ハロは好きな時間に最短1時間から働ける「空き時間おしごとアプリ」です。 この記事ではメルカリ ハロを作るにあたり、どういった技術スタックやアーキテクチャを選定したのか、さらにその背景と意思決定をご紹介したいと思います。 この記事で得られること メルカリ ハロで採用されている技術スタックやアーキテクチャの全体像 その意思決定の理由とプロセス これから新規サービスを立ち上げるうえでのヒント 主な技術スタック メルカリ ハロで利用されている主な技術スタックは以下のとおりです。 バッ

この記事の概要 ・本記事は、東京都の文章生成AI利用ガイドラインに基づき、都職員による生成AIの活用事例集の評価と改善案を提案しています。 ・著者は生成AIを利用した事業でCTOを務める株式会社Trippyのsaip (@_saip_) です。 ・東京都が提供する事例集には創意工夫が見られる一方で、プロンプトの誤用や古い認識も指摘されています。 ・平易な言葉を使用し、ChatGPTの活用法について解説しており、AIを使ってストレスフリーな生活を送る方法を提案します。 ・良いプロンプトの作成方法やマークダウン記法の正しい使用方法、高品質なプロンプトの例も紹介しています。 ・AIとの効率的なコミュニケーションを促進するための具体的なテクニックが多数含まれています。 GPT-4で作成こんにちは、saip (@_saip_) です。 生成AIを利用した事業をしている株式会社TrippyでCTOを務

ChatGPTを活用して事業計画書作成を効率化しよう 経営者にとって、事業計画書を作成するのにハードルの高さを感じている人もいるかもしれません。 しかし、事業計画書は補助金申請や金融機関から融資を受けたい時にも重視される傾向にあるものです。 事業計画書を効率的に作成するなら、ChatGPTの活用がおすすめです。 今回は、ChatGPTで事業計画書を作成する際のプロンプト例や、作成時の注意点についてご紹介します。 事業計画書の作成に頭を悩ませている方は、ぜひ参考にしてみてください。 創業手帳ではオンライン上で記入・保存ができる「事業計画シート＆資金シミュレーター」をリリース。事業計画を書くにあたっての定番項目は網羅しており、これを埋めるだけで事業の今後の計画などが整理できます。また出先で思いついた内容をちょっとメモするときに使ったりすることも可能。無料でご利用いただけますので、是非ご活用くだ

子供の中学受験が終わった。結果的には子供の人生を良い方向に導く結果になったと感じているものの、それでもなお「何だったのか」と感じてしまう謎の儀式であった。 ほんとうに、中学受験とは何だったのか。 受験、それはいつのまにかやってくる そもそも僕も妻も地方の田んぼの隙間で育った田舎者であり、小学生で受験をするという発想すらなかった。むしろ小さな子供を受験勉強に追い込むことに愚かしさを感じていて、正直その気持ちは最後まで消えなかった。 なのになんで受験をすることになったかというと、もとを辿れば小2のときである。うちの近所には大手の受験塾が一つしかなく受験期から入ろうとしても満員で入れないというので、選択肢を残す意味で子供を入れた。この時点で入塾はあくまで「判断は保留」の意図だったわけだが、見落としていたことが一つあった。環境が人を作るのである。 ３年後、「受験で良い結果を残す！」という決意に満ち

この増田は非常に有益だが、ディズニー初心者が陥りそうな罠が書いてないので補足しておきたい。 入園編 公式HPで9時開園を謳っている場合でも、しょっちゅう8時前後でオープンする(待機列がキャパオーバーするため)混み具合によっては手荷物検査で1時間くらい待たされるため、朝早く入りたいなら遅くても7時くらいには着いておかないといけないオフィシャルディズニーホテル泊勢は、15分早く入れる"ハッピーエントリー"の権利を持つため、一般客はどんなに早く並んでも、1番人気のアトラクションは並ぶことになる。(ブコメ訂正ありがとう！)課金により超人気アトラクションの待機列を避ける"DPA"は、午前中には売り切れるため、買うなら遅くても10時ごろには入園すべき。じゃないと夜枠しか残ってないかもよ。 レストラン編 テーブルオーダーのレストラン(ランチでも一人3000〜)は、1ヶ月の前の10時からネット予約可能だが

東京ディズニーランドや東京ディズニーシーを夢見る皆さんこんにちは。 インフルエンザで自主隔離中なので東京ディズニーリゾートが、いま過去イチで遊びやすくなっている現状を解説します。参考にしてね。 Dオタ(ディズニーを愛するオタク)向けの前説何言ってんだ今〇〇とか最悪じゃん（〇〇には好きなものをお入れください）というそこのあなた。 以下の文章はあなた向けではないので大丈夫です。地蔵や徹夜、グッズについて（ほとんど）語っていないのでその時間で次のインパの計画を練ってください。 （特に、フード＆ワイン・フェスティバルとパルパル第二段のクワッキー・ダックシティで方向性が明確になったので） 今読んだ中で知らない単語だな？と思ったあなた向けの解説です。 お酒が好きならディズニーシーにしましょう最初に身も蓋もないことを書きますが、カップルで夜はちょっとお酒も飲みたいよね、みたいな感じなら東京ディズニーシー

メールを送る際、「送信元」欄にはどんな内容でも記入することが可能なため、簡単に他人になりすますことができます。誰かが自分の所有しているドメインになりすましてメールを送った時、受信者にそのメールが「なりすましメール」であることを伝えるためのDNS設定についてエンジニアのヴィヴェク・ガイト氏が解説しています。 DNS settings to avoid email spoofing and phishing for unused domain - nixCraft https://www.cyberciti.biz/security/dns-settings-to-avoid-email-spoofing-and-phishing-for-unused-domain/ ガイト氏の解説は「メールを使用していないドメイン」を対象に、「そのドメインがメールを送信しないこと」および「もしそのドメインか

PHPカンファレンス小田原2024 の発表資料です。 https://phpcon-odawara.connpass.com/event/296492/ https://fortee.jp/phpconodawara-2024/proposal/7c57d5ca-213a-4d7a-aaf0-26ddc44897f0

初めに 公開鍵による暗号化と署名をプログラマ向け(?)に書いてみました。ちまたによくある暗号化と署名の話はインタフェースと実装がごちゃまぜになっていることが分かり、暗号化と署名の理解が進めば幸いです（と思って書いたけど、余計分からんといわれたらすんません）。登場する言語は架空ですが、多分容易に理解できると思います。 公開鍵による暗号化PKE 早速、公開鍵による暗号化(PKE : Public Key Encryption)を紹介します。登場するのは暗号化したいデータのクラスPlainText, 暗号文クラスCipherText, 秘密鍵クラスPrivateKeyと公開鍵クラスPublicKeyです。PKEは次の3個のインタフェースを提供しています。 abstract class PKE { abstract keyGenerator(): [PrivateKey, PublicKey];

前にもここにぽちぽちと書いたりしたけれど、1年とすこし前。こどもたちが大きくなって手狭になったのをきっかけにマンションからいまの家に住み替えたのです。で、住み替えたのはいいけれど、あたらしい家はともかく広く、そして築古の家だったので、断熱性能も高くない。つまり、マンション時代とくらべて、光熱費がドカンと上がったんですね。おりしも世界はエネルギー価格高騰の時代。出てきた電気代にほんと目ん玉飛び出るかとおもったんですよ…。 冷暖房効率がもともと悪いうえに、暖房としてエアコンをつかっていたのでなおさらです。毎月これではやってられん、なんとかせんといかん、ということで、あわてて家庭用太陽光発電の導入を決めました。せっかくじぶんで持ってる建物だし、ね。 家庭用太陽光発電。まあ賛否両論というかえらく嫌われているというか、人によっては本当にボロクソ言われていて。でもまあそんななかいろいろ調べてみると、少

はじめに MySQL(InnoDB)でSQLのパフォーマンスチューニングをするときに役に立つ知識をエッセンスとしてまとめました。結合(JOIN)やB-treeインデックスの探索の仕組み、実行計画の基本的な見方を紹介します。 想定する読者は、SQLのパフォーマンスを改善する必要があるが実行計画をみてもいまいちピンと来ない方です。インデックスの作成の経験や、複合インデックスやカーディナリティの知識があることを前提にしています。目標は、実行計画の内容がよく分からない読者が、実行計画をみただけでクエリが実行される様子をイメージでき、自信を持ってクエリの改善にあたることができるようにすることです。 ストレージエンジンはInnoDBを前提としています。また、インデックスはB-treeインデックスを想定しています。全文検索の転置インデックスや空間検索のR-treeインデックスについては触れません。 イン

皆さんこんにちは。CTOの松本です。LLM使ってますか？ChatGPT毎日触ってますか？ LLMに熱狂してすでに1年以上が経ちましたが周辺エコシステムが充実してきたことでいろいろな取り組みがとても簡単に実現出来るようになったなーと感じています。 ということで今回はZapierを使った小ネタのご紹介です。 AI・LLM事業部の今 とその前に、AI・LLM事業部での取り組みから着想を得たものでして、AI・LLM事業部について簡単に紹介させてください。 LayerXの新規事業であるAI・LLM事業部では、バクラクでも取り組んできたビジネス文書の解析の延長としてLLMを活用して文書分析エンジンの開発を進めています。現在このエンジンを使ったエンタープライズ向けの新規プロダクト開発にいそしんでおります。とても楽しいですし、最近は様々なお客様からの引き合いも増えておりまして、事業成長に向けて満を持しての

ビル点検員に変装→オフィスにラズパイ持ち込んで社内システム侵入　Sansanが本当にやった“何でもアリ”なセキュリティ演習（1/6 ページ） ビル点検の作業員に変装して、もしくは偽の名刺や社員証を作り、従業員に変装してオフィスに侵入。「Raspberry Pi」を社内ネットワークに接続することでシステムに侵入し、感染を広げて従業員の端末を乗っ取る──これは、クラウドベースの名刺管理サービスなどを手掛けるSansanが実施したセキュリティ演習で、実際に試みられたサイバー攻撃だ。 名刺管理や請求書管理サービスを手掛け、顧客や“顧客の顧客”の情報まで扱うことになるSansanにとって、セキュリティは重要事項だ。セキュリティポリシーの制定に加え、「CSIRT」「SOC」といったセキュリティ組織の整備、従業員教育、技術面など多面的な対策を施している。その一環として、攻撃者の視点に立って、どんな経路で

はじめに タイトルはこちらから拝借しました。この記事は他のパブリッククラウド(Azure, GCP)を薦める記事でもなければ、プライベートクラウドを薦める記事でもありません。また私自身、エンジニアキャリアの中でAWSはたくさん使ってきましたし、今でもソフトウェア開発のわがままに答えてくれる素晴らしいサービスだと思っているので、AWSを貶めるような記事でもありません。むしろ以下に紹介するサービスはAWS上に構築されていることが多く、間接的にもますます世界中の基盤として発展していくはずです。 PaaSアーキテクチャ 前提条件 前提として、現在でも主流なSPAを中心としたフロントエンド、バックエンド、データベースサービスからなるアプリケーションを想定します。 この場合、 フロントエンド　→　CDN + Static Hosting バックエンド　→　Container Deploy(Auto S

ありがたいことに年末にメルカリの小泉さんとランチをご一緒させてもらいました。 CTO(@yutadayo)が作成した過去の失敗スライドに、リプライをいただいのがきっかけだったのですが、長らく競合事業(現ラクマ)をやっていたこともあり、きちんとお話ししたことがなく、とても学びが深かったので、ご本人に許可をいただいて、メモした内容と学びをシェアさせていただきます。 なんでメルカリに？噂ではフリルにも入社してもらえる可能性もあったとか？2007年よりミクシィに入社し、2012年の退任までCFOを務めていた その後、1年以上は他の会社の社外取締役をしたりフリーランスをしていた フリルは2012年夏リリース、メルカリは2013年春リリース 小泉さんは2013年冬にメルカリ入社 フリルのことは入社前から知っていて、2012年冬のIVSでコミュニティファクトリーの松本さんに「フリル知ってる？紹介してよ」