Bitwardenの実装から学ぶE2EE
この文章はなに? 本文章は、パスワードマネージャーであるBitwardenが公開しているソースコードを読み、そこでE2EE(End-to-end encryption)がどのように実装されているかについて、私が理解した内容をまとめたものです。 「E2EEをぼんやり理解してるが、どのように実装されているのかはわからない」という方を主な対象としています。 E2EEに対する私個人の課題感として、インターネット等から得られる説明が比較的抽象的であり、実装レベルでの理解が難しいというものがあります。 そこで私自身、そして同じ課題感を持つ方に向けて、E2EEを実践しているアプリケーションの1つであるBitwardenを参考に、それがどのように実装されているのかを詳細に理解すべく、本文章にまとめることとしました。 なお対象アプリケーションとしてBitwardenを選んだのは、私自身がユーザーであること、
Webサービス公開前のチェックリスト
個人的に「Webサービスの公開前チェックリスト」を作っていたのですが、けっこう育ってきたので公開します。このリストは、過去に自分がミスしたときや、情報収集する中で「明日は我が身…」と思ったときなどに個人的にメモしてきたものをまとめた内容になります。 セキュリティ 認証に関わるCookieの属性 HttpOnly属性が設定されていること XSSの緩和策 SameSite属性がLaxもしくはStrictになっていること 主にCSRF対策のため。Laxの場合、GETリクエストで更新処理を行っているエンドポイントがないか合わせて確認 Secure属性が設定されていること HTTPS通信でのみCookieが送られるように Domain属性が適切に設定されていること サブドメインにもCookieが送られる設定の場合、他のサブドメインのサイトに脆弱性があるとそこからインシデントに繋がるリスクを理解してお
HTTPSレコードがRFCになりました | IIJ Engineers Blog
RFC9460が出ました 昨年、このエンジニアブログでHTTPSレコードについてとりあげました。これを書いたときはHTTPSレコードはまだインターネットドラフトだったのですが、2023年11月、ついにRFC9460として標準化されました。 RFCにはなったけど日本語の詳しい記事はまだ少ないし需要あるかなーと思って改めて解説を書きはじめたんですが、だらだらとクソ長くなって書いた本人が読んでも眠くて退屈な内容になってしまいました。ので、書いたものはばっさり捨てました。 そういえばいまから3年前、DNS Summer Day 2021で発表したプレゼン資料がありました。これをRFCになった現在の内容にあわせてアップデートしたほうがてっとりばやいしわかりやすそうです。 ということで、加筆修正した資料を置いておきます。DNS屋さんはとりあえず全部読んでおいてください。Web屋さんは前半だけ理解してお
Web3アプリを作ったまとめ
Student FacuetというDapp(Web3アプリ)を作成したら結構人気が出たので、技術面から運用面までを軽くまとめました。わかりやすくするために多少語弊がある表現ある場合がありますが、ご了承ください。 Githubリポジトリ: https://github.com/inaridiy/AStar-Student-Faucet 自己紹介 Crypto Age所属のinaridiyというものです。 Web歴は2年、Web3歴は3ヶ月の高校2年生です。普段はハッカソンに出たり、個人開発をしています。 Faucetとは 現状、ブロックチェーン間で資産を移動させたい場合、移動元のガス代と移動先のガス代がかかります。つまり、資産を動かす前に移動したいチェーンの通貨が必要になります。 これはかなりUXを損なう行為ですし、仮想通貨取引所を開設できない未成年などは、そもそも資産を移動することができな
【無料お試しあり】ルポ・ノンフィクション特化型サブスクで良質コンテンツ読み放題「SlowNews」
映画、音楽、本、ゲーム……定額料金でサービスを好きなだけ利用できるサブスクリプションが全盛期だが、「見たい(聞きたい)ものがなくなる」というのが悩みではないだろうか。 ○○万本配信、などと作品数をうたっていても限界はくる。興味のない作品がいくらあってもゼロと同じだからだ。 解決策はひとつ。自分好みのジャンルにドンピシャで合致したサービスを見つけること。このたび、ルポ・ノンフィクションに特化したサブスクリプション「SlowNews」がサービスを開始した。 ・「SlowNews」月額1650円(税込) 月額料金は税込1650円と、「なんとなく加入」するには安くない。利用価値があるかどうか、しっかり内容をみてみよう。 まずは書籍。サービス開始時点では、岩波書店、KADOKAWA、講談社、光文社、東洋経済新報社、文藝春秋の6社100冊以上のノンフィクション作品が読めるという。 「ネットと愛国」(講
SlowNews | スローニュース
じっくりと取材や思考を重ねた良質なコンテンツで、誰もがもつ先入観(バイアス)を壊す。炎のような情熱と、事実をありのままに見る冷静さで常識や偏見をひっくり返す。そんな創り手とつながるコミュニティです。
佐藤由美子さんの「日本語版ウィキペディアで「歴史修正主義」が広がる理由と解決策」について - Commentarius Saevus
ここ数日よく読まれているらしい、佐藤由美子さんの「日本語版ウィキペディアで「歴史修正主義」が広がる理由と解決策」というエントリを読みました。こちらは月末の学会で発表するための準備のようなものだということです。 yumikosato.com こちらについて、日本語版ウィキペディアに歴史修正主義がはびこっているとか、間違いだらけだということについては私もとくに異論はないのですが(間違いだらけで信用できないということは私もメディアに出るたびに言っているし、できるところは対処してます)、いくつかけっこう大きな事実誤認や、ウィキペディアの手続きに関する理解不足と思われるところがあります。ブログのコメント欄に書いて指摘したのですが、スパムフィルタか何かに引っかかったのか反映されていません。学会で発表するということであればウィキペディアじたいの仕組みについて誤解があるままだとあまり良くないだろうと思うの
POSTリクエストを冪等処理可能にするIdempotency-Keyヘッダの提案仕様 - ASnoKaze blog
はじめに HTTPリクエストには冪等なものと非冪等なものがあります。 仕様上、GETやOPTIONSは冪等であり、同じリクエストであれば何度行っても問題ありません。そのため通信上エラーが起こっても自動的にリトライすることが出来ます。 一方で、POSTリクエストは冪等ではありません。同じリクエストでも複数回行うと、結果が変わってしまいます。投稿や課金APIであれば2重に処理されてしまいます。 POSTリクエスト中にタイムアウトが発生した時に、サーバに処理される前にタイムアウトしたのか、サーバが処理したあとにレスポンスを返そうとしたところでタイムアウトしたのかクライアントは区別できません。そのため、POSTリクエストを一概にリトライすることは出来ません。 そこで、リトライにより複数回同じPOSTリクエストを受け取っても、同じものと識別できるように識別子をHTTPリクエストに付加できるようにする
デザイナーとフロントエンドエンジニアに知ってほしいWebのフォント周りのお話
こんにちは。TAK(@tak_dcxi)です。 今回記事にするのはタイトル通り「デザイナーとフロントエンドエンジニアに知ってほしいWebのフォント周り」についてです。以前ツイートしましたが、特に説明もなかったので自分の備忘録も兼ねて。 Androidに明朝体は無い Apple製品しか利用しないデザイナーの方に話したら非常に驚かれるのですが、Androidにはデフォルトで明朝体は入っていないです。 よく明朝体マシマシのデザインを見かけたりするのですが、デバイスフォントだけではAndroidでそのデザインを実現することは不可能だと思っておいたほうが良いでしょう。 ただ、明朝体のWebフォントを利用すればAndroidでも明朝体は表示できるので、デザイン的に明朝体が必須って場合はWebフォントを利用しない手は無いと思います。 個人的見解ですが、デザイン重視なら明朝体はGoogle FontsでN
10分で完成!WEBサイトパフォーマンス計測基盤 ver.2019 - dely Tech Blog
はじめに 本記事は dely Advent Calendar 2019 の15日目の記事です。 昨日は開発部サーバサイドエンジニアの高橋くんが「Rails6の複数データベースの仕組みと実装時にハマったところ」という記事を書きましたので是非読んでみてください。 tech.dely.jp こんにちは!dely開発部SREの井上です。 本記事ではWEBサイトのパフォーマンスを定期的に計測する仕組みについて紹介をしたいと思います。 実は去年のAdvent Calendarでも同じような記事を書いたのですが、時代背景に沿って計測するツールをsitespeed.ioからLighthouseに変更したので理由も含めて紹介させてください。 基盤の構築においては下記のサービスやツールを利用しています。 AWS CodeBuild S3 Athena Terraform Lighthouse 前置きはいいから
Gabung Sekarang di Slot88: Situs Judi Slot Online Terpercaya & Gacor, Dapat Maxwin!
Decrease quantity for Gabung Sekarang di Slot88: Situs Judi Slot Online Terpercaya & Gacor, Dapat Maxwin! Increase quantity for Gabung Sekarang di Slot88: Situs Judi Slot Online Terpercaya & Gacor, Dapat Maxwin! Kamu penggemar permainan slot online yang seru dan menguntungkan? Kami di Slotkuni punya semua yang kamu butuhkan! Dengan berbagai pilihan permainan slot gacor yang gampang dimainkan, Kamu
立命館pixiv論文問題Q&A
違法? 合法?→合法無断で引用していいの?→著作権法第32条に基づき、公表されてる著作物は無断で引用していいことになってます分析だから引用じゃない!→あっ、ひょっとしてかける数とかけられる数は違うって信じてる宗派の方ですか? 全文を機械分析するなんて引用の範囲を超えている!→著作権法第47条の7「情報解析のための複製等」に該当し合法です pixivは会員しか見れないけど?→不特定の誰か1人以上、あるいは50人くらいの人数より多くの特定多数に公開することを公表といいます会員制なのに公表してるってみなされるのおかしくない?→お金を払ってシュリンク破らないと読めない商業漫画も公表されたものですが何か 判例はあるの?→教師・生徒300人に配られた中学校の卒業文集は公表されてるので引用OKという判例→http://www.u-pat.com/h-1.html支部の規約で引用は禁止されてるよね?→規約
立命館大学の研究者による「pixiv論文」の論点とは──“晒し上げ”批判はどれほど妥当なのか(松谷創一郎) - エキスパート - Yahoo!ニュース
この一件の幕引きは“前例”となる 5月24日、「人工知能学会全国大会」において発表された、立命館大学情報理工学部に所属する3人の研究者の論文が、議論を呼んでいる。なぜならその論文が、自作イラストやマンガを中心とするSNS・pixiv(ピクシブ)に投稿された一般ユーザーの小説10作を分析材料として扱っていたからだ。これが多くのユーザーの反発を買い、現在はその論文PDFが非公開となっている。 「ドメインにより意味が変化する単語に着目した猥褻な表現のフィルタリング」と題されたこの論文は、「猥褻表現」(論文中では「有害情報」とも表記されている)のフィルタリングを目的とした研究だ。 一方、この論文で研究対象とされたのは、性表現が多く含まれ、当初から作者が「R-18」(18歳未満閲覧禁止)にカテゴリーしていた小説だった(同時に、その多くは「二次創作」だ)。pixivでは閲覧制限の設定があり、デフォルト
Web Design in 4 minutes
by Jeremy Thomas Let's say you have a product, a portfolio, or just an idea you want to share with everyone on your own website. Before you publish it on the internet, you want to make it look attractive, professional, or at least decent to look at. What is the first thing you need to work on? Content The purpose of design is to enhance the presentation of the content it's applied to. It might sou
自由でオープンなウェブ終了のお知らせか?またはそれを守るために我々は何をするべきか。
先日、MozillaがブラウザにEMEを採用することを発表してしまった。Mozillaには正直言ってがっかりだ。以前、DRMがウェブに持ち込まれようとしている未だかつてない危機というエントリで危惧していたことが現実になってしまった。フリーソフトウェア財団も今回のMozillaの発表に対して非難の声明を出している。 EMEがブラウザに搭載されるのは、自由でオープンなウェブにとって危機的な状況であると言える。今日はそのことについて警笛を鳴らしたいと思う。 ウェブは自由でオープンだから発展したそもそも、ウェブがこれだけ発展したのは、その仕様が自由でオープンだったからだ。現実にはブラウザごとにクセが強すぎるので半ば笑い話にしかならないが、建前上は互換性はあることになっている。そのため、ウェブページはどのブラウザあるいはOSであっても閲覧することができる。中にはサポートしていないブラウザを拒否するよ
ランサーズやってみたけど地雷クライアント案内所にしか見えない | kosuke.cc
クラウドソーシングサービスなどというサービスにちょっと手を出してみました。結論からいうと、正直あまり使いたくないなと思いました。よくも悪くも名前を聞くランサーズというサービスについてです。なんかもっと上手に付き合う方法がある気がしてたんだけどなあ。 クラウドソーシング(というかランサーズ)について どんなサービスか ランサーズ 一言でいうと、仕事をやってほしい人と仕事をしたい人のマッチングサービスです。 特徴 良い所 営業しないでもお客さんと出会える可能性がある エスクロー入金(後述します) 手数料は無難な料金設定だと思う。特に文句はない。 悪いところ 今からツラツラと書く。 どんな仕事内容がマッチングされているのか システム開発 webシステム・アプリ開発・ソフトウェア開発・VBAなど・ゲーム開発・サーバ構築・セキュリティ・DB構築 Web制作 ホームページ/webデザイン・スマホ/モバ
なぜ html の form は PUT / DELETE をサポートしないのか? - Block Rockin’ Codes
注意 内容については一切保証しません。 ここでは、主に W3C ML での議論や各種仕様などに基づいて書いています。 ここに書かれていることが正しいかどうかは、自身で判断して下さい。 事実としておかしいところなどは、コメントでどんどん指摘して下さい。遠慮はいりません。 ただし、このエントリでは「form が PUT/DELETE をサポートするべきかどうか?」の議論はしません。 「REST の是非」や「PUT/DELETE の意義」についても議論する気はありません。 ここでやっているのは、あくまでもどういった議論の末現状があるのかの調査です。 そうした意見がある場合は、 W3C などに投稿するのが最も有益だと思います。 History 2014/03/29: 公開 2014/03/29: XForm と XHTML の関係を明確化(thanx koichik) 2014/03/29: HT
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
TikTok Boom
村上春樹が不快だと言えば批判的な研究・論文は禁止できるか - Togetter
TechCrunch | Startup and Technology News
