本当にあった Web アプリケーションの脆弱性
この記事の目的 今まで Web アプリケーション製作を行った経験が無い方が「ちょっと個人開発で何か作ってみようかな!」と思ったときにうっかり脆弱性を作りこんでしまうことを少しでも防げたらいいなと考えました。 そのためにはまず脆弱性を他人事だと考えないことが大事だと思ったので、私が過去の開発現場において実際に遭遇したことがある Web アプリケーションの脆弱性の事例を幾つか紹介します。 紹介の前に注意喚起をします。 自分が管理しているわけではない Web アプリケーションに対し、依頼されてもいないのに脆弱性を探す行為は絶対にしないでください。その行為の内容によっては犯罪になる可能性もあります。 外部から渡されたデータを何の対策もなしに SQL に埋め込んでいる SQL インジェクション攻撃の説明でよくみられる例ですが、ログイン処理でユーザーが入力した ID とパスワードに一致するユーザー情報
パスキー時代の"認証要素"の考え方 ~パスキーとパスワードマネージャー~
ritouです。 サービス、ブラウザ、OSそれぞれのパスキー対応が日々進んでいます。 その中で、パスキーを利用してみて認証要素についてふと考えてしまう人がいるでしょう。 パスキー簡単!けどこれ指紋認証だけ?弱くなってない? SMS OTPを2FAに設定し、パスワードマネージャーも使ってたから使い勝手はあまり変わらない。むしろSMS OTPがないぶんだけ弱くなった? この辺りについて整理します。 認証要素というと、次の3つです。 SYK: Something You Know. パスワード、PIN SYH: Something You Have. 認証アプリ、TOTP生成アプリ、バックアップコード、 SYA: Something You Are. 生体認証 前にこんな記事を書きました。 この内容を説明すると、「うん、わかってる」って人は多いです。 でも、実際に使ってみると心許なく感じたりする
ノア・スミス「バズりグラフにだまされない方法」(2023年9月13日)|経済学101
第1部: 誤情報・まちがい・無意味データを見つける方法「どんな宣伝屋でも煽動者でも,その仕事をこなすには,これという聴衆に影響を及ぼす最良の手段を見つけ出さねばならない.このうえなく頭に入りやすく,見てわかりやすく,きわめて強烈な印象を残し,このうえない説得力をもって,確たる真実を提示する最良の手段を見つけなければ宣伝も扇動もできない.」 ――レーニン 2020年の終わり頃にこのブログを書き始めたとき,「こんな記事を書こう」というアイディアをあれこれと用意していた.そのひとつは,「バズりグラフにだまされない方法」という記事だ.有名なグラフをいろいろと準備万端にリストにまとめてあった.でも,ちょっとワケあって,その記事は後回しにした.それからの年月で,ネタになるグラフのリストは増える一方で,記事にとりかかるのをぼくはずっと後回しにしてた. でも,後回しはもう終わりだ.バズりグラフにいよいよ我
社用PCで転職用の課題に取り組んだら実は北朝鮮ハッカー集団「Lazarus」による攻撃で会社全体が被害に遭う事態に
北朝鮮ハッカー集団「Lazarus(ラザルス)」がMetaの採用担当者を装って転職希望者向けにコーディング課題を出題し、トロイの木馬「LightlessCan」を転職希望者のPCに仕込んでいたことが判明しました。ESETがまとめた事例報告では、スペインの航空宇宙企業で働く従業員が社用PCに偽課題をダウンロードし、会社のネットワークが侵害されたことが明らかになっています。 Lazarus luring employees with trojanized coding challenges: The case of a Spanish aerospace company https://www.welivesecurity.com/en/eset-research/lazarus-luring-employees-trojanized-coding-challenges-case-spanis
財務諸表というフレームワークで考えるソフトウェア開発と技術的負債|Yoshinobu Wakamatsu
この記事は「Funds Advent Calendar 2022」21日目の記事です。 ファンズ株式会社 CTO の若松と申します。 今年も例年通り Twitter の運用は三日坊主となり、 note についても筆を断ったまま2022年を終わりを迎えようとしていたところ、アドベントカレンダーの時期が来ていました。 せっかくの機会ではあるので、以前から漠然と思っていた考えを整理してみたいと思い、この記事では財務諸表を読み解く概念的な考え方を使い、技術的負債について読み解いてみることにしました。 ソフトウェア開発上の概念である"技術的負債"ファンズは、貸付ファンドのオンラインマーケット「Funds」を通じて、個人投資家には着実な資産運用の機会を提供しつつ、企業に対しては借入によるファイナンスの機会を提供しています。そのような事業業態の性質上、コーポレートファイナンス的な考えに触れる機会も一般的
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
真の「デザインの敗北」ってエスカレーターだよな