JWS 実装時に作りがちな脆弱性パターン - OAuth.jp
JOSE (Javascript Object Signing and Encryption) 愛で満ち溢れる ID 厨界隈において、燦々と輝く JWS (JSON Web Signature)、美しいですよね! JWT がジャニーズなら、JWE は EXILE、JWS は石原さとみと言ったところでしょうか? と、冗談はさておき、JWT をお使いの皆さんは、当然署名付けてますよね?署名検証しますよね? そんなあなたに一言いいたい! まだ HMAC で消耗してるの? いや、決して HMAC オワコンとかは言ってないですよ?スマホアプリでの署名検証のために、アプリに共通鍵埋め込むのはナンセンスってだけで。 ということで、今日は JWS をお使いのみなさんに、実装時に作りがちな脆弱性パターンを2つご紹介します。 今日紹介する脆弱性の2つのうち、1つめは HMAC, RSA, ECDSA のどれを
今必要とされている時間を作るためのデザイン
集中できる時間が少ない現在 今の仕事で最も難しいのは、集中できる時間を作ること。作るためのツールは充実していますし、一緒に作ることができる優秀な人も周りにいます。いろいろなものに恵まれていたとしても時間を作ることは簡単なことではありません。1 日 24 時間が、突然 32 時間にはならないわけです。 時間は有限であるのはもちろんですが、その貴重な時間を有効に使うのは非常に難しいです。特に集中するのが難しい時代に生きています。誰かが声をかけるくらいなら良いですが、メール、チャット、ソーシャルメディアなど絶え間なく注意を引こうする通知が鳴り続けています。たとえ通知をオフにしたとしても「あれはどうなっているだろう?」と、ついついスマートフォンを開いて画面を再読み込みしたり、スクロールを続けている方は少なくないはずです。 The Telegraph が 2015 年に公開した記事によると、私たちは
OpenSSLの脆弱性(CVE-2017-3733)に見られる仕様とcastの落とし穴 - ぼちぼち日記
0. 短いまとめ OpenSSL-1.1.0dに脆弱性(CVE-2017-3733)が見つかり、Encrypt-Then-Mac と renegotiation を組み合わせて crashさせることができました。 この脆弱性は、仕様の準拠不足や不適切な変数の cast などが原因でした。 TLS1.3ではこういう落とし穴が少なくなるよう機能の根本的な見直しが行われています。 1. はじめに 先週 OpenSSL-1.1.0d に対してセキュリティアップデートがあり、 Encrypt-Then-Mac renegotiation crash (CVE-2017-3733)という脆弱性(Severity: High)が公開されました。 対象となった 1.1.0 は、昨年2016年8月にリリースされたOpenSSLの新しいリリースブランチです。1.1.0ではAPIの大幅変更もあり、まだあまり普及
作りたいのは「新しい雇用を創出するWebフロントエンド」 | Kaizen Platform
Kaizen Platform入社前は何してたの?Gunosyというニュースアプリの会社にいて、退職した後、少しの間だけフリーランスとして働いていました。 フリーランスでは、Reactによるシングルページアプリケーション (JavaScriptで画面遷移などもコントロールするWebアプリケーション) の開発支援や、GraphQLでのBackend-for-Frontendの開発などをしていました。 前々からSaaSのようなWebアプリケーションを作りたいという気持ちがありました。そんな中Kaizen Platformの開発者風土や、ビジネスの中で成し遂げたいこと、仕事の進め方が自分にマッチしていると感じ、ジョインしました。 今は何してるの? 2016年11月にWebフロントエンドエンジニアという形でジョインしてからは、新しいサービスの開発チームに参加し、主にReactによるシングルページア
SlackでKPT用botを仕込んでみた - リモートチームのKPTテクニック - - だいくしー(@daiksy)のはてなブログ
ぼくたちの開発チームは、現在1スプリント2週間のスクラムチームとして活動している。スプリントの最後には振り返りを実施しているが、そこではおなじみのKPTを採用している。 参考: 情報マネジメント用語辞典:KPT(けいぴーてぃー) - ITmedia エンタープライズ チームは複数拠点にメンバーが分散しているリモートチームで、振り返り会はテレビ会議を使って行われるので、KPTのやり方にもそれなりの工夫が必要となる。 Googleスプレッドシートを使ったKPT 通常のKPTでは、大きな模造紙やホワイトボードに、Keep、Problem、Tryの領域を定め、そこにそれぞれの内容について書かれた付箋紙を貼っていく。他の人が書いた付箋の内容が呼び水となって、他の人が別の課題を思いついたりもするので、全員が揃って付箋を次々に貼っていく、というスタイルが良いとされている。 メンバーが複数拠点にまたがって
90年代J-POPの歌詞の妙な迫力を見よ | BASEMENT-TIMES
タイトルでやりたいことは説明してるんで、導入はスッ飛ばして本題にいきたいんですが、一応。 この記事では、90年代のJ-POPに登場した印象深い歌詞を紹介していきます。 同世代にはなつかしさを 別世代には新鮮なおどろきを! 2秒で考えたキャッチコピーも出たところではじめます。 SIAM SHADE『1/3の純情な感情』(1998) 壊れるほど愛しても 1/3も伝わらない こういう歌詞について語りたい。ヒット曲の名フレーズには、「よく分からんがなんだか分かる」という要素があるんだが、これはその筆頭。冷静に考えれば「壊れるほど愛する」もわからないし、「1/3も伝わらない」はさらにわからない。どんなふうに計測した結果、1/3も伝わらなかったのか。1/4は伝わっていたのか。 ヒット曲の名フレーズにあるのは、言葉の意外な結びつきが生み出す暴力的な迫力で、それは理屈をこえたところで、「なんか知らんが分か
運用監視クラウドサービスのDatadog、アプリケーション監視の「Datadog APM」を正式リリース。インフラ、ミドルウェア、アプリをまとめてクラウドで監視可能に
運用監視クラウドサービスのDatadog、アプリケーション監視の「Datadog APM」を正式リリース。インフラ、ミドルウェア、アプリをまとめてクラウドで監視可能に クラウドサービスとしてITシステムの運用監視を提供しているDatadogは、これまでのインフラ、ミドルウェアの監視サービスに加えて、アプリケーションの監視サービス「Datadog APM」の正式リリースを発表しました。 Datadogは1つの監視サービスと1つのエージェントでインフラからアプリまでまとめてモニタリングできるようになったわけです。 モニタリング対象となるのは、Python、Go、Rubyで書かれたアプリケーション。エージェントがこれらのアプリケーションや代表的なフレームワークを検知し、エラーの発生状況やレイテンシ、スループット、パフォーマンスなどのデータを収集し、クラウド上のサービスとしてリアルタイムにグラフ化
畳み込みニューラルネットワークの可視化 - 人工知能に関する断創録
Deep Learningの学習結果(重み)はブラックボックスで、隠れ層のユニット(特に深い層の!)が一体何を学習したのかがよくわからないと長年言われてきた。しかし、今回紹介する方法を使うとニューラルネットが何を学習したのか目で見える形で表現できる。 畳み込みニューラルネットで学習したフィルタの可視化というと以前やったように学習した第1層のフィルタの重みを直接画像として可視化する方法がある。 しかし、畳み込みフィルタのサイズは基本的に数ピクセル(MNISTの例では5x5ピクセル程度)のとても小さな画像なのでこれを直接可視化しても何が学習されたか把握するのはとても難しい。たとえば、MNISTを学習した畳み込みニューラルネット(2016/11/20)のフィルタを可視化しても各フィルタがどの方向に反応しやすいかがわかる程度だ。 各フィルタが何を学習したかを可視化する別のアプローチとして各フィルタ
現場で使えるアニメーション系JSライブラリまとめ(2018年版) – TweenMax, CreateJS, WebAnimation, Velocityなど - ICS MEDIA
現場で使えるアニメーション系JSライブラリまとめ GSAP, CreateJS, WebAnimation, Velocityなど ウェブサイトのインタラクションやUIの振る舞いなど、HTMLでモーションを実装する機会は多々あります。HTML要素の簡易的なアニメーションであればCSS Transitionを使ったことのある方も多いでしょう。しかし、WebGLやCanvas、SVGなどJavaScriptが実装の中心となる制作作業では、CSS Transitionでは対応しきれず、アニメーションライブラリ(トゥイーンライブラリとも言います)が必要となる場面があります。 JavaScriptのアニメーションライブラリは多種多様なので、どのライブラリを採用するのか悩みどころ。本記事ではHTMLのJavaScriptライブラリについて、使い勝手や書式を紹介します。 今回紹介するメジャーなJSライブ
娘へ ~将来死にたくなったらコイツを読め~ - ひつじのブログ
幸い、娘はその後幼稚園には普通に通っています。 しかしどんな気持ちで毎日暮らしているのか本当の心の内はわかっていません。 もうイジメ問題が他人事ではないと感じました。 ボクは、いじめる側が悪いとか、いじめられる側にも問題があるとか イジメに気づいていながら止められない学校側が悪いんだとか 責任論について語りたいわけではありません。 生物が生存競争をするよう遺伝子レベルで定められているのなら 同じ年齢層を同じ場所にぶち込んだ状況下において 個体の強い弱いでイザコザが起きないわけはないと思います。 イジメは集団生活をする生物において起きて然るべき事象なのかもしれないと 考えてしまいます。 ただ、現在進行形でイジメやその他諸々の事情によって 今も苦しんでおられる方は、きっと視界も狭くなっていて もう周りの人間のどんな声にも心は動かない、決して心が楽にならないという事は 想像できます。 全知全能の
知っておきたいブラウザについての基礎入門
知っておきたいブラウザについての基礎入門 at サポーターズ京都勉強会 https://supporterz.connpass.com/event/51220/
「逃げ恥」百合ちゃんの名言集。まとめてみました。 - そこにいるだけでいい
TBSの大人気ドラマとなった「逃げるは恥だが役に立つ」(火曜夜10時)は病みつきになるドラマでした。 このドラマの魅力はたくさんあります。そのなかのひとつ、主人公みくり(新垣結衣さん)の伯母土屋百合(石田ゆり子さん)のセリフに、度々心に響くものがありました。 そんな百合の名言をまとまてみました。 土屋百合はみくりの母(森山桜)の姉でドラマの中では49歳という設定です。ゴダールジャパン株式会社という外資系の化粧品会社の広報部に勤務しています。美人で仕事もできるのですが、独身で処女です。姪のみくりをとてもかわいがっています。 第1話 みくりの両親を見てみくりに お互いにただひとりの相手がいるっていうことは、誰からも選ばれない人生より素敵じゃない。 第3話 山梨のお寺で 年をとるとさぁ、むなしいこともいっぱいあるけど楽しいこともいっぱい覚えるんだ。 第4話 部下と居酒屋で 人を好きになるってさぁ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
6/10 下北沢Daisy Bar ポルカドットスティングレイ ライブレポート - MeILL