タグ

2021年7月5日のブックマーク (4件)

  • Architecture as Codeってなぁに? 〜Infrastructure as Codeを超えて〜 - NRIネットコムBlog

    こんにちは、最近Alexaに好きな音楽を伝えるとそればっか再生されて飽きてきたので、どうAlexaに伝えれば傷つかないかを考えている志水です。 「APN AWS Top Engineers/APN Ambassadors Week」の3日目の記事になります。といっても、特にTop Engineerに関係ない話をします。 Architecture as Codeという言葉をご存知でしょうか?2019年のAWSのブログでArchitecture as Codeという言葉が出て、そこから一部のマニアックな方が言及されているのですが、イマイチ浸透せず可愛そうな状況になっています。個人的には面白い概念だと思い、かつ最近Architecture as Codeの概念を継承しているサービスのAWS Copilot/AWS Amplifyが盛り上がっているため、改めてまとめようと思います。 Infrast

    Architecture as Codeってなぁに? 〜Infrastructure as Codeを超えて〜 - NRIネットコムBlog
  • OAuthにおける認可コード横取り攻撃とその対策

    OAuthにおける認可コード横取り攻撃とその対策 Jul 5, 2021 前回の記事で示したように、カスタムURLスキームを偽装した不正アプリは正規アプリへのディープリンクを乗っ取れる。この挙動の悪用シナリオとして、正規アプリと認可サーバー間のOAuthフローにおける認可コード横取り攻撃が知られている。この攻撃への対策を把握するためにiOS環境でシナリオを再現し、PKCEの有効性を確認した。 要約 OAuth 2.0の拡張機能であるPKCEを導入することで認可コード横取り攻撃を無効化できる。OAuth 2.0の仕様では、認可サーバーはネイティブアプリをクライアント認証できない。そのため、認可サーバーは認可コードを横取りした不正アプリと正規アプリを識別できない。しかし、PKCEの仕組みにより認可サーバーは正規アプリを識別できるようになり、認可コード横取り攻撃の検知が可能となる。 ネイティブア

    OAuthにおける認可コード横取り攻撃とその対策
  • スケールする要求を支える仕様の「意図」と「直交性」 - Qiita

    はじめに どんなソフトウェアエンジニアも拡張しやすくメンテナンスしやすいソフトウェアを作りたいと思っているはずです。また、どんなプロダクトマネージャも同様に拡張しやすいシンプルな要求を作りたいと考えているはずです。 しかし、将来の不確実性や発展性に対して見通しを立てるのは難しいものです。そのため、開発チームの思いとは裏腹にソフトウェアの複雑性はどんどんと増大していきます。気がついたら技術的負債と呼ばれるような手もつけられない泥団子になってしまうということもしばしばです。誰もが生産性を下げるために機能を追加したいわけではなく、ビジネス価値を提供するために機能を追加したいだけなのにです。 このような状況を避けるためにはどうしたらよいのでしょうか。今回はその一つの手段として、要求には隠れた「意図」があり、それを発見していくことの重要性についてまずはお話しします。さらにわかりやすい要求が持つ仕様の

    スケールする要求を支える仕様の「意図」と「直交性」 - Qiita
  • 汚染されたネット広告、大企業も関与 「バレなければ問題ない」2兆円市場の影

    「飲むだけで痩せる」「毛穴の汚れがごっそり」「シミの漂白剤と話題」――市場拡大が続くネット広告で、誇大・虚偽表示が後を絶たない。自浄作用が働かず、国が対応に乗り出すほど深刻な事態となっている。 関係者に取材を進めると、業界のゆがんだ構造が見えてきた。 1万件以上も苦情 電通の発表によれば、2020年のネット広告費は2兆2290億円で、テレビや新聞などマスコミ4媒体の2兆2536億円に匹敵するほど成長を続ける。 それに比例して、生活者を欺くような広告も増えている。公益社団法人「日広告審査機構(JARO)」に2020年度に寄せられた広告の苦情件数は約1万2000件と過去最多だった。 対象は、健康品や化粧品、医薬部外品といった美容・健康関連が目立つ。JAROは 「毛穴の汚れがごっそり取れる、ノーベル賞受賞成分のコスメなどとうたい、鼻の角栓の合成写真を広告に使っていた化粧品のジェル」 「飲むだ

    汚染されたネット広告、大企業も関与 「バレなければ問題ない」2兆円市場の影