Node.jsにおけるプロトタイプ汚染攻撃とは何か - ぼちぼち日記
1. はじめに 最近わけあってNodeのセキュリティ調査をしているのですが、今年の5月に開催された North Sec 2018 でセキュリティ研究者の Olivier Arteau 氏による 「Prototype pollution attacks in NodeJS applications」という面白い発表を見つけました。 この発表の論文や発表資料、デモ動画などもgithubで公開されていますし、ちょうどタイミングよくセッション動画も最近公開されました。 github.com Olivier Arteau -- Prototype pollution attacks in NodeJS applications この発表で解説されているのは、悪意のある攻撃者が、JavaScript言語固有のプロトタイプチェーンの挙動を利用して、Webサーバを攻撃する方法です。 発表者は、npmからダ
SSHなるものをよくわからずに使っている人のための手引書
SSHとは SSHとは、セキュアな通信を行うためのプロトコルです。 たとえば、HTTP。HTTPを通してブラウザからWebサイトにアクセスし、 コンテンツを閲覧したりWebアプリを利用したりします。 この「HTTP」というのもプロトコルの一種です。 HTTPもSSHもOSI参照モデルと呼ばれる層の最上位、アプリケーションレイヤーに位置しています。 なお、よく聞く「OpenSSH」とは、このSSHのプロトコルを実現するための 有名なソフトウェア(プログラム)のひとつです。 FTPのプロトコルで言うFileZillaとか、そういったイメージです。 このSSHを使うと、リモートサーバに安全にログインできたり、 ファイルをセキュアに送受信することができたりします。 SSHは「Secure Shell」の訳で、リモートシェルに特化しています。 公開鍵認証という仕組みを用いて、セキュアな通信を実現して
[速報]マイクロソフト純正のデスクトップ仮想化サービス「Windows Virtual Desktop」発表。Azureからクラウドサービスとして。Microsoft Ignite 2018
マイクロソフトは米フロリダで開催中のイベント「Microsoft Ignite 2018」で、クラウドサービスとしてWindows 10の仮想デスクトップ環境を提供する「Windows Virtual Desktop」を発表しました。 Windows Virtual Desktopは、従来のVDI(Virtual Desktop Infrastructure)に必要だったサーバなどの構築は不要。クラウドのコンソールから設定を行うだけで利用を開始できます。 下記は基調講演で行われたWindows Virtual Desktopのデモンストレーション画面です。 Azureの管理画面からWindows Virtual Desktopを作成。
![[速報]マイクロソフト純正のデスクトップ仮想化サービス「Windows Virtual Desktop」発表。Azureからクラウドサービスとして。Microsoft Ignite 2018](https://cdn-ak-scissors.b.st-hatena.com/image/square/14ae4c5e7b564197bfe4d5af78a66e3e9c79d656/height=288;version=1;width=512/https%3A%2F%2Fwww.publickey1.jp%2F2018%2FWindowsVirtualDesktop06.gif)
イマドキWebフロントエンド環境とReactを触りながらサンプルを10本書いてみた
はじめに Webフロントエンドの知識がjQueryで知識が止まっていたので、モダンなWebフロントエンドに触れてみた。そのメモ。 良かった点 「今はこうなっているのかー」と分かった。今後はナウい記事を読んでもビビらないと思う。 Reactのすごさ 触ってみて下の記事のいうことが理解できた。何がすごいの?と聞かれたら下の記事を掻い摘んで説明したい。 Reactを使うとなぜjQueryが要らなくなるのか 触ってみたもの ES6 Yarn Webpack Babel Sass/SCSS React とりあえずエディタ開いてHTMLを書くぞというタイプの人間だったので、フロントエンド開発にまずはコマンドラインを打って環境を構築する点が新鮮。自動化できるところはツールで共通化してラクできるところはラクをする、というのは分かった。Reactは使うか分からないが、Webpack/Babel/SCSSは絶
少女が13歳から8年間、架空の妻子持ちMLBライターになりすましていたことが発覚 | ベースボールチャンネル
米国の野球メディア界に衝撃が走った。8年間野球ライターとして活動していたライアン・シュルツという妻子持ちの中年男性が、実は現在21歳の女性であることが発覚したのだ。ベッカ・シュルツは13歳のときから架空のライアン・シュルツという男性になりすまし野球ライターとしての活動を続けてきたが、今月に入り、女性へのハラスメントがきっかけでなりすましが発覚したという。現地9日に米サイト『デッドスピン』が報じ、多くのファンが衝撃を受けている。 野球ライターになりたかったという13歳のベッカ・シュルツ。若い彼女がライターになるために選んだ方法は、男になりすますことだった。彼女は本名に近いライアン・シュルツという名前を選択。妻子持ちというキャラクターを作り、ライターとして野球メディアやブログに寄稿を続け、地位を築き上げて行った。 今回、なりすましが発覚したのは、ライアンがツイッターに投稿した女性蔑視のツイート
「ら抜き言葉」で抜かれているのは「ら」ではなかった?「目から鱗」「言われてみれば確かに」
文道館(ネコだいすき)語文セミロング @bundoukan @ogikubokei 「ar抜き言葉」だったんですね おばあさんに「お一人で行かれる(お行きになる)のですか」と敬語で言ったつもりが、「1人でちゃんと目的地まで行けるのかよ」 って意味に曲解されて、「失礼な! 一人で行けますよ」と怒らせてしまったなんて例もどこかで読んだことがありますー 2017-11-03 22:58:40
COBOLからPepperまで、35歳定年説を超えてコードを書き続ける20年選手の「こだわらないキャリアパス」 - エンジニアHub|Webエンジニアのキャリアを考える!
COBOLからPepperまで、35歳定年説を超えてコードを書き続ける20年選手の「こだわらないキャリアパス」 プログラマ・エンジニアとして働いていたら一度は耳にする「35歳定年説」。そんな中、自身でコードを書き一線で活躍している先輩エンジニアに、長年エンジニアの仕事を続けてきて考えていること、心がけなどを語ってもらいました。 プログラマ・エンジニアとして働いていたら一度は耳にするであろう「35歳定年説」。体力面やキャリアを考えたとき、シフトチェンジをせざるを得ないという声も聞く。そんな中、自身でコードを書き一線で活躍している先輩エンジニアも少なくない。今回は40代の先輩エンジニアに、長年エンジニアの仕事を続けてきて考えていることや心がけなどを挙げていただきました。 はじめまして、榊原です。3年前にぐるなびに入社以来、主に新技術を使った開発を担当しています。アプリ開発や人工知能研究、最新技
SQLトランザクション分離 実践ガイド | POSTD
(注:2017/10/16、いただいたフィードバックを元に翻訳を修正いたしました。) (注:2017/10/11、いただいたフィードバックを元に翻訳を修正いたしました。) データベースのドキュメントで分離レベルを目にして、軽く不安を感じつつ、あまり考えないようにしたことはないでしょうか。トランザクションの日常の使用例できちんと分離について言及しているものはほとんどありません。多くはデータベースの初期設定の分離レベルを利用しており、後は運頼みです。しかし、本来、理解しておくべき基本的なトピックであり、いくらか時間を投入してこのガイドの内容を学習すれば、もっと快適に作業できるようになるでしょう。 私はこの記事の情報を学術論文、PostgreSQLドキュメンテーションから集めました。分離レベルの 何たる かだけでなく、適用の正確さを保持しつつ最大速度で使うにはいつ使うべきか、という疑問に答えるべ
自転車大国オランダ、信号機を消してみたら起きたこと...
<自転車が急増し、自転車に合わせたインフラが求められているアムステルダム。そこで、ある交差点の信号機をオフにしてみた。そこで起きたこととは> 都市部では約7割が自転車移動 オランダは、人口1000人当たりの自転車台数が1000台で、自転車が国民の生活に浸透している(欧州委員会調べ)。特に首都アムステルダムの中心部では複数台の自転車を使い分ける人もおり、市内の自転車台数は約84万7000台と、人口(約81万人強)を上回っている(アムステルダム市公式サイト)。9月27日付の英紙ガーディアンによると町の中心部では交通の70%近くが自転車で、そのためもっと自転車用に合ったインフラが求められているという。そこで、2016年5月に、アムステルダム市はあることを試験的に行った。交差点から信号を失くしてしまうのだ。 アレクサンダープレインは、アムステルダム中心部近くにある、市内でも交通量が多い交差点だ。そ
今日からはじめるDocker - コンテナー仮想化の必要性を理解して、まず開発環境に導入してみよう!|ハイクラス転職・求人情報サイト AMBI(アンビ)
今日からはじめるDocker - コンテナー仮想化の必要性を理解して、まず開発環境に導入してみよう! Dockerは、コンテナー仮想化ツールです。本稿では、サーバーサイドのアーキテクチャの歴史からDockerが生まれた流れや背景を説明し、PCの開発環境で実際にインストールしてDockerの動作を体験します。 エンジニアの方であれば、「コンテナー」や「Docker」といったキーワードを耳にしたことがあるかと思います。自分が関わっているシステムの開発や運用に活用できるかどうか検討している方もいるでしょう。 この記事の前半では、コンテナーやDockerとはそもそもどういったものかを概観していきます。後半では、PC(WindowsやMac)を使ってローカルでDockerを試していきます。 コンテナーとDockerを歴史から知る 仮想化前はすべて手作業だった サーバー仮想化技術の採用 パブリッククラ
「40歳を超えたら転職はほとんどムリ」は、もはや非常識だ(田邉 裕也) @gendai_biz
去る9月19日に放送された、NHK「クローズアップ現代+(プラス)」が話題を呼んでいる。テーマは「50代でも遅くない!中年転職最前線」。41歳以上の転職者数がこの5年で2倍近くに急増しているという人材紹介会社の調査結果を受け、変わりゆく企業の実態に迫ったものだ。取材にあたった同番組の田邉裕也ディレクターによる、転職の現場からの報告をお届けする。 崩れ去る「35歳の壁」 長く人材の流動化を阻んできた「35歳の壁」。35歳を超えると一気に企業からの求人が減り、40歳を超えると転職はほとんど無理、というのが転職市場の常識だったが、その常識に変化の兆しが見え始めている。 今年2月に発表された総務省の労働力調査によれば、転職者の数は300万人の大台を突破。とりわけ目立つのは、ミドル世代の増え幅だ。45~54歳の転職者は、この5年で40万人から50万人へと大幅に増えた。 転職・求人情報サイト「リクナビ
[53選]国内注目のWebサービス・アプリを大調査! プログラミング言語、フレームワーク、アーキテクチャの一覧【2017年】|ハイクラス転職・求人情報サイト AMBI(アンビ)
[53選]国内注目のWebサービス・アプリを大調査! プログラミング言語、フレームワーク、アーキテクチャの一覧【2017年】 星の数ほど存在するWebサービスやアプリ。その裏側を覗いてみると、開発当時のトレンドや開発者の設計思想が見えてきます。53サービスのフレームワークやアーキテクチャ、開発効率化ツールを集めました。 国内だけでも星の数ほど存在するWebサービスやアプリ。その裏側を覗いてみると、開発当時のトレンドや開発者の設計思想が見えてきます。 今回は53サービス(追記を含む)のフレームワークやアーキテクチャ、開発効率化ツールを集めました。選定理由もお答えいただけたサービスについては、アーキテクチャを選んだ理由も紹介していきます。 C2C、コマース メルカリ、ココナラ、BASE、Tokyo Otaku Mode、STORES.jp、Snapmart、IQON 情報サービス グノシー、価
CASHのデザインプロセスが凄すぎて思わずブログを書いてしまった話
ここが決定的に違うんです。 微妙なサービスの多くは機能ドリブンのあやふやなゴールセッティングでデザインを始めてしまうため、要件がぶれてしまい「他行では○○だ」とか「マネジメントが××と言っている」という非論理的な要件をただ浴び続けるだけに陥りがちです。 どの高みを目指すかによってデザインの重要度は大きく変わります。 極論とりあえず1個の機能としてあればいいのなら、デザインなんかいらないわけです。存在することが付加価値なので。 凄さポイント:ゴールから逆算して論理的に要件が導き出されている 凄さ2:ありがちなデザインをなぞる ゴールが明確になり、要件が決まったとしても、その最適解を生み出すプロセスは違いを生む大きな要因になります。 特に金融系のようなどちらかというとオールドな業界の場合、新しいことやサービスをやろうとすると「新しいからOK!」的なデザインがまず出てくることが多いのですが、なぜ
3か月ごとの『席替え』で事業別レイアウトと職能別レイアウトを切り替えるアイデアがすごい (株式会社ストライプインターナショナル オフィス訪問[2])|オフィスの考え方 アスクル みんなの仕事場
みんなの仕事場 > オフィスの考え方 > 3か月ごとの『席替え』で事業別レイアウトと職能別レイアウトを切り替えるアイデアがすごい (株式会社ストライプインターナショナル オフィス訪問[2]) ■ストライプインターナショナルの3か月ごとの事業別⇔職能別席替え アース ミュージック&エコロジー、KOEなどで知られるファッションブランドを展開する株式会社ストライプインターナショナルでは、本部オフィス内で、3か月ごとに事業別と職能別で席替えを行う制度を導入している。 組織体制自体は、事業別組織を採用しており、アース ミュージック&エコロジー事業部など、ブランドごとに編成されている。事業部の人員は小さな事業部で3名という小所帯から、大きな事業部でも30名ほどだ。 席替えの制度は、各期の始めの3か月は、事業部ごとに島で集まる事業別のレイアウトを取り、次の3か月は、職能別ごとに島で集まるレイアウトとし、
![3か月ごとの『席替え』で事業別レイアウトと職能別レイアウトを切り替えるアイデアがすごい (株式会社ストライプインターナショナル オフィス訪問[2])|オフィスの考え方 アスクル みんなの仕事場](https://cdn-ak-scissors.b.st-hatena.com/image/square/20644c2c3840f2b23a27e46d10d2d9b989ee2cbf/height=288;version=1;width=512/https%3A%2F%2Fwww.shigotoba.net%2Fimg%2Fstripe-international_1703_2_1.jpg)
Google App EngineでマネージドSSLが全ユーザーに無料提供、HTTPSの導入が簡単に。証明書の更新もGoogleにおまかせで心配無用
Google App EngineでマネージドSSLが全ユーザーに無料提供、HTTPSの導入が簡単に。証明書の更新もGoogleにおまかせで心配無用 GoogleはWorld Wide WebにおけるHTTPSの利用を積極的に推進しています。 検索エンジンとしてのGoogleがWebサイトにHTTPSの利用を推奨していることはよく知られていますが、同社はそれをクラウドサービスでも推し進めようとしています。 Googleは、Google App EngineでマネージドなSSLを無料で提供すると発表しました。 HTTPSを利用するにはSSL証明書が必要となります。Google App Engineが提供するマネージドSSLでは、ユーザーによるSSL証明書の購入や更新といった手間は不要になり、手間も費用もすべてGoogleが提供してくれます。 We’ve made using HTTPS si
今日からはじめるGitHub ~ 初心者がGitをインストールして、プルリクできるようになるまでを解説|ハイクラス転職・求人情報サイト AMBI(アンビ)
今日からはじめるGitHub ~ 初心者がGitをインストールして、プルリクできるようになるまでを解説 エンジニアであれば、チーム開発ではもちろんのこと、個人開発でもGitを用いてバージョン管理していきたいもの。今回は、GitやGitHubをはじめて使う人に向けて、導入から初歩的な使い方までを解説します。 ソースコードの管理はできていますか? ファイルを修正するときに、修正前のソースコードをhoge.php.bakのようなバックアップファイルとして残し、開発環境をゴミだらけにしていませんか? エンジニアであれば、チーム開発ではもちろんのこと、個人開発でもGitを用いてバージョン管理していきたいもの。今回は、GitやGitHubをはじめて使う人に向けて、導入から初歩的な使い方までを解説します。 ここではGitの詳細な仕組みには触れません。GitやGitHubを利用したことのない人が、Gitを
ヨーグルトコーヒーは先入観を打ち砕かれるうまさ【ベトナムで大流行中】 - メシ通 | ホットペッパーグルメ
マイクロ出版社、ferment booksの(よ)です。実は、みなさんに試して欲しい飲みものがあるんです。 それは、ヨーグルトコーヒー(上の写真)。 もうこの時点で、 「え~っ!? ヨーグルトとコーヒーなんて、合うわけないじゃん!!」 って思った、または、口にした読者が全体の約70%ほどは存在すると思うのですが、やホント、ダマされたと思って、一度、試してみてほしいんですよ。 めっちゃウマなんで。 「そう、おいしいんですよ~。ヨーグルトに対する先入観を打ち砕かれる飲み物ですね」 この、意外なおいしさに驚かされるヨーグルトコーヒーについて教えてくれたのは、江古田のベトナム料理店「ECODA HEM」の店主、足立由美子さんです。 前回、つくね串やレバー串など焼き鳥で作る「自由すぎるバインミー」について語ってくれた足立さん。いつもベトナム料理のエッセンスから、自由な発想や、独創的な食材の組み合わせ
1ファイル・3コマンドで実現!Dockerでチーム全員の開発環境の構築を始めてみませんか? | 株式会社ヌーラボ(Nulab inc.)
以下の3コマンド、これだけでプロジェクトに必要な開発環境ができあがる。そんな環境を Docker で作ってみませんか? $ git clone https://github.com/dataich/sample-docker.git $ cd sample-docker $ docker-compose up こんにちは、Typetalkチームのエンジニアの吉田です! 新しいエンジニアがチームに入ってきてまずやることは、DBやWebサーバなどの開発環境を構築することでしょう(9月に新しい人がチームに入ります、やったね!)。 Typetalkチームでも以前はREADMEに記述された手順に従って、開発者が個別に構築していました。その際READMEに書かれたミドルウェアのバージョンが古かったり、実は手順そのものが変わっていたりすることもあり、ハマることもありました。また、複数のプロジェクトで違う
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
武道館レベルの会場が騒然としたAdobeのヤバい新技術(しかもリリースされます)
その数なんと約880万件、URL短縮サービス終了により発行済みの短縮URLがすべて無効化【やじうまWatch】
