AWS deleted my 10-year account and all data without warning
After 10 years as an AWS customer and open-source contributor, they deleted my account and all data with zero warning. Here's how AWS's 'verification' process became a digital execution, and why you should never trust cloud providers with your only copy of anything. On July 23, 2025, AWS deleted my 10-year-old account and every byte of data I had stored with them. No warning. No grace period. No r
Ruby/JS未経験が、選考課題で2週間でRails×Next.jsアプリを開発した話 - Qiita
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? Ruby/JS未経験の私が、AIを相棒に2週間でRails×Next.jsのスカウトアプリを開発した話 はじめに:それは「無理では?」から始まった こんにちは、web系を目指して就職活動中の修士1年です。 先日、とあるベンチャー企業の長期インターン選考で、こんな課題が出されました。 「2週間で、学生と企業を繋ぐスカウトサービスのプロトタイプを開発してください」 当時の私のスキルは、PythonのフレームワークであるFlaskで簡単なWebアプリを作ったことがある程度。課題で指定されたRuby on RailsやNext.jsは、正直名前
Railsガイドと現場Railsを読んだ - 下林明正のブログ
Ruby on Railsに入門しようということで読んだ。 Railsガイド 通称Railsガイドらしい。 railsguides.jp Ruby on Rails Guidesをベースにしているということで信頼感がある。 かなりたくさんのページがあるので、Rails をはじめよう - Railsガイドを読んで、Rails をはじめよう - Railsガイドで紹介されているページを読んで、あとはトップページから読んでないページを適当に読んでいった。 色々良いページがあったけど、特に Rails セキュリティガイド - Railsガイド なんかはミスってると怖いということもあって読み応えがあった。 ちなみにちょっと前に、DashというmacOS向けドキュメント閲覧アプリ向けのドキュメントファイルの生成についても試行錯誤もしていた。 Dash用のDocsetを生成した際にレイアウトが崩れてしま
AIサービス導入時にまずチェックすべき3つの観点 - STORES Product Blog
こんにちは。セキュリティ本部のsohです。 近年、多くの企業でAIサービスの導入が急速に進んでいるかと思いますが、STORES でも様々なツールの活用を推進しています。 しかし、その一方で、セキュリティやコンプライアンスの観点から、導入には慎重な検討が求められます。 本記事では、AIサービス(特にコーディングに関わるサービス/ツール)の導入を担当する方が、まず基本的な事項としてどのような観点をチェックすべきか、そのポイントを私自身の経験も踏まえながら整理してみたいと思います。 なお、当記事は先日当社でオンライン開催した「Cursor 使ってますか?STORES での活用事例」における「AIコーディングツール導入時に担当者がチェックすべきポイント」をベースとしています なぜAIツールを推進するのか 本題に入る前に、私たちがなぜAIツールの利用を推進しているのかについて記載します。 STORE
Ruby on Rails Audit Complete! – OSTIF.org
The Open Source Technology Improvement Fund is proud to share the results of our security audit of Ruby on Rails. Ruby on Rails (or “Rails”) is an open source full stack web-application framework. Thanks to the help of X41 D-Sec, GitLab, and the Sovereign Tech Agency, Rails can provide more secure versions of the tools needed for users to create database-backed web applications following the Model
Rails の隠れた堅牢性:SELECTクエリが自動リトライされる仕組み - inSmartBank
こんにちは、おはようございます、こんばんは、スマートバンクで顧客体験チームのエンジニアリングマネージャーをしている佐藤(@tmnbst)です。 Rails 7.1 以降 では、SELECTクエリが内部的に自動でリトライされる仕組みが導入されています。 このリトライ処理は、allow_retry という内部フラグによって制御されており、Railsが「これは安全(冪等)なクエリだ」と判断した場合に場合にのみ有効になります。 普段Railsを使っているだけではなかなか気づけないこの仕様ですが、ネットワーク切断やDBのフェイルオーバー時などの場面で効果を発揮します。 この記事では、Railsのコードを読みながら allow_retry の仕組みを紐解き、実際にどんな条件でリトライされるのかを検証してみます。 1. allow_retry とは何か 2. 内部処理解説 to_sql_and_bind
【Rails】Strong Parameter
コントローラーで許可された属性だけを明示的に許可する仕組み 指定した属性のみを更新できるようにすることで不正な属性の更新を防止できる # bad: すべての params を許可してしまう(危険!) @user = User.new(params[:user]) # good: permit で許可するキーだけを指定 @user = User.new(user_params) private def user_params params.require(:user).permit(:name, :email, :password, :password_confirmation) end params.require(:user) で必須のキーがなければ例外(ActionController::ParameterMissing)を投げ、早期にエラー検知ができる permit(...) で許可
Railsチュートリアル8章 超個人向けまとめ - Qiita
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? 8章です。 記憶定着 & どこまで思い出せるかチャレンジみたいなものですので、超個人向けまとめになります。 8章 基本的なログイン機構 8章でやること(ざっくり) ログイン画面を作る ログイン画面の入力内容からユーザーを特定し、それをブラウザのsessionに保存する session情報から、ユーザーがログイン中か?を判定できるようにする ログイン中かの判定により、表示内容を分岐させる 多少のjs操作 テストのリファクタリング(任意) など そもそも「ログイン機能を作る」とはなにをしたいのか? まず、章のまとめに入る前に、ログイン機能と
こんにちは。タブナビングの対策として、アンカータグの中にrel="noopener"を指定しますが、formタグの場合はrel="noopener"が機能しないと思います。この場合、対策として有効なものはありますでしょうか? | mond
こんにちは。タブナビングの対策として、アンカータグの中にrel="noopener"を指定しますが、formタグの場合はrel="noopener"が機能しないと思います。この場合、対策として有効なものはありますでしょうか? こんにちは。以下の文ですが、なぜ「機能しないと思」ったのでしょうか。試してみればすぐに分かりますが、モダンブラウザの最新版はいずれも対応しています。簡単に試せることを試さないのは、実にもったいないと思います。 タブナビングの対策として、アンカータグの中にrel="noopener"を指定しますが、formタグの場合はrel="noopener"が機能しないと思います 以下に記載されています。 noopener キーワードを <a>, <area>, <form> の各要素の rel 属性に指定すると、ターゲットリソースへ移動する際、開いた元の文書へのアクセスを新しい閲
DHHが考えるRailsのバリデーション設計
3行まとめ 単純なバリデーション(必須・範囲・文字数など)はHTMLとDB制約、CHECK制約があれば十分であるというのが最近のDHHの主張。 SQLiteではCHECK制約が少し貧弱なため、制約変更の可能性がある場合は従来通りアプリケーションでもバリデーションした方がいい。 Rails初心者はDHHの方法をそのまま採用するのはやめた方が良い。 調べたきっかけ 最近DHHがonce.comでのCampfireをはじめとしたプロダクトで、NULL制約やDB制約で防げるようなRailsのモデルのバリデーションを積極的には利用しないでいるという主張をしている。 DHHの主張を要約すると以下のようになる。[1] HTMLでのバリデーションが優れている 例えば、input type=“email” にしておくとブラウザで勝手にメールアドレス形式ではない場合にエラーにしてデータ送信をしないようにしてく
Railsセキュリティガイドのサマリ - Qiita
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? Rails セキュリティガイド を他のリソースを参照して補足を追加しながらまとめなおしたもの。 Railsセキュリティガイド Railsセキュリティガイドは、以下についてに説明したマニュアル。 Webアプリケーション全般におけるセキュリティの問題 Railsでそれらの問題を回避する方法 TL;DR 2.セッション セッションハイジャックの対策 config.force_ssl = true よく目立つログアウトボタンの設置 古いcookieは定期的に無効化する(ローテーション) リプレイ攻撃の対策 cookieにセキュリティ上重要なデー
MirrorFaceによるサイバー攻撃について(注意喚起)|警察庁Webサイト
警察庁及び内閣サイバーセキュリティセンターでは、2019年頃から現在に至るまで、日本国内の組織、事業者及び個人に対するサイバー攻撃キャンペーンが、「MirrorFace」(ミラーフェイス)(別名、「Earth Kasha」(アース カシャ))と呼ばれるサイバー攻撃グループによって実行されたと評価しています。 また、警察庁関東管区警察局サイバー特別捜査部及び警視庁ほか道府県警察による捜査等で判明した、攻撃対象、手口、攻撃インフラ等を分析した結果、「MirrorFace」による攻撃キャンペーンは、主に我が国の安全保障や先端技術に係る情報窃取を目的とした、中国の関与が疑われる組織的なサイバー攻撃であると評価しています。 この注意喚起は「MirrorFace」によるサイバー攻撃の手口を公表することで、標的となる組織、事業者及び個人に、直面するサイバー空間の脅威を認識してもらうとともに、サイバー攻撃
Web3開発者をねらったハッキング手口の全て(わたしは全て抜かれました...)
はじめに 本当に悔しいし許せないし、エンジニアとして不甲斐ないです。2025年2月26日深夜にハッキングにあいました。どのように相手と繋がり、どのような手口でハッカーに資産を抜かれたか、コードベースで全てお伝えします。今後同じ被害に遭う方が少しでも減ることがあればこんな嬉しいことはないです。 コード解説、さらに対策案も書いていきます。もし他に良い対策案などあればコメントでご教示ください。 ハッカーとのやりとりの流れ ハッカーとは Linkedin でブロックチェーンを使ったプロジェクトを手伝ってくれないかという連絡がりそこからやりとりが始まりました。そして移行の大まかな流れは下記のような感じです。 Linkedinでプロジェクトを手伝ってほしいと言う内容でDMがくる Githubリポを見て実装できそうか確認してほしいと言われる 自分のGithubアカウントを共有してプライベートリポジトリに
自分のOSSのマルウェア入り偽物を作られたので通報した - 酒日記 はてな支店
物騒な世の中です。皆様お気をつけください。 3行でまとめ 自作の OSS、fujiwara/apprun-cli のマルウェア入り偽物を作られて GitHub で公開されました 偽物には大量の新規アカウントがスターを付けていたため、検索でオリジナルのものより上位に表示される状態でした GitHub に通報したところ、偽物を作ったアカウントはbanされたようです 経緯 2024年末に、さくらのAppRun用デプロイツール apprun-cli という OSS を公開しました。 github.com 2025年2月10日 12時過ぎのこと、謎の人物が X で apprun-cli を宣伝しているのを見つけました。 どう見ても自分の物と同じ(コピー)なのですが、妙にスターが多い。リポジトリをのぞいてみると、fork ではなくコードがすべて commit 履歴を引き継がない状態でコピーされ、スター
ソースコードを読んで理解するRuby on Rails のセッション管理
この記事は Ruby on Rails のセッション管理について、ソースコードを辿りながらその動作を説明したものです。ネタとしてはn番煎じではありますが Ruby on Rails でWebアプリケーション開発を行っている Rails のセッションは雰囲気で使っている。詳しくことは分かっていない そろそろ Rails のコードを読んでみたいがやり方がわからない or 他の人の読み方が知りたい という方にはご活用いただける内容です。 Bookにもまとめています 長い記事になるので Zenの Book にもまとめました。 内容は同じですので、お好きな方をご利用ください。 全体をざっと眺めたい方にはこの記事を、もう少し詳しく読みたい方にはBookがおすすめです。 時間がない方向けのまとめ 本記事はとても長い内容になっております。お忙しい方や内容をざっと確認したい方は、以下だけ読んでいただければ記
Bundler: Bundler v2.6: lockfile checksums are finally there
We’re happy to announce Bundler 2.6, featuring gem checksum verification, right in the Gemfile.lock file. This feature has actually been implemented for more than a year. However, it was merged very close to the Bundler 2.5 release and we did not yet have a good plan for enabling the feature in a graceful manner, so we’ve kept it hidden until now. Bundler 2.6 finally officially allows to opt-in in
【Rails】Active Record暗号化を試してみた
はじめに お疲れ様です。 おおくまです。 今回は、「【Rails】Active Record暗号化を試してみた」ということで、Active Record暗号化についてまとめてみました。 少しでも皆様の参考になりますと幸いです。 対象読者
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
https://thehackernews.com/2025/05/malicious-npm-packages-infect-3200.html
https://x.com/keisuke69/status/1921727552747622714
[Proposal] Improved support for binary gems · rubygems · Discussion #8645