※本記事は筆者RyotaKが英語で執筆した記事を、弊社セキュリティエンジニアShion1305が日本語に翻訳したものになります。 はじめに こんにちは、Flatt SecurityでセキュリティエンジニアをしているRyotaK(@ryotkak)です。 2023年にPortSwigger社のJames Kettle氏は、同社の記事でSingle-packet attackという新しい攻撃手法を提案しました。これはネットワークのジッター値に関係なくレースコンディションを悪用できるというものです。 Smashing the state machine: the true potential of web race conditionsより引用 最近私は、同時に約10,000件のリクエストを送信することで安定して成立するレースコンディションを発見し、Single-packet attackを適用

はじめに 分散システムを扱う際、エラーやクラッシュによる処理の中断はよくあるものかと思います。特に、EC サイトの支払い処理など、複数のステップを経て完了する重要なプロセスでは、障害が発生した場合にその進行状態を適切に管理しないと、取引の二重処理やデータの不整合といった問題が発生する危険性があります。復旧作業に骨を折った方も多いのではないでしょうか。 Temporal は、こういった課題を解決するために、処理の進行状況を自動的に追跡し、障害が発生してもその地点から再開できる仕組みを提供しています。複雑な復旧コードの実装や、手作業による復旧作業がなくなるのであれば、これは非常に魅力的ですね。 ここでは、Temporal が一体どういうものかについて解説していきたいと思います。 Temporal とは Temporal は、分散システムでのワークフローを管理するためのオープンソースのワークフロ

Presentation slides: タワーズ・クエスト、バルテス、Postman 共催セミナー - 開発失敗につながる偏ったテストしてませんか？ プロが教える本当に考えるべきテストバ…

幼少期に両親が離婚。 母の地元に引越し母と二人暮らしをしていたが、小学校高学年の頃に病死した。 再び幼少期を過ごした父の家に戻る。 父は離婚後すぐに再婚して異母弟妹も生まれており、継母と弟と妹とは打ち解けられなかった。 中学生の頃に父方祖母が体調を崩した。 父は仕事があり、継母と弟妹は祖母との関係が悪かったため、祖母宅のある地方に引越しそこの中学校に転校した。 祖母は喜んで可愛がってくれたが、中学卒業間近に倒れ以後介護なしでは生活ができなくなり、家の近くの介護施設に入所した。 見舞いなどもあるため父の頼みで祖母宅に残り高校進学を迎えた。 高校在学中に祖母が亡くなり、大叔母宅で高校卒業を迎えた。 祖母の自宅を整理したお金を父から貰い、大学進学のために上京。 上京と言っても東京都内ではなく首都圏内の国立、所謂駅弁だったため4年間の家賃と学費にバッファを設けて計算してもわずかにお金が残った。 そ

本日10/23発売の「絵で見てわかるLinuxカーネルの仕組み」という本を自分含め6人で書きましたので、宣伝します。 絵で見てわかるLinuxカーネルの仕組み 作者:市川 正美,大岩 尚宏,島本 裕志,武内 覚,田中 隆久,丸山 翔平翔泳社Amazon 本書はIT技術のさまざまな分野について視覚的に理解するための翔泳社の「絵で見てわかる」シリーズの中の一冊です。 www.shoeisha.co.jp このシリーズは、これまでに「ITインフラの仕組み」、「Webアプリ開発の仕組み」、「マイクロサービスの仕組み」など、さまざまなものを扱ってきました。本書は「Linuxカーネル*1の仕組み」を扱います。Linuxカーネルを絵から理解するというコンセプトの本です。 Linuxカーネルは Red Hat Enterprise LinuxやUbuntuといったLinuxディストリビューションの核(カー

これまで、型駆動設計を実践することが何を意味するのか、簡潔でシンプルな説明を見つけるのに苦労してきました。誰かに「どうやってこのアプローチを思いついたのですか？」と尋ねられることが多いのですが、満足のいく答えを出せないことがよくあります。そのアイデアが突然のひらめきで浮かんだわけではなく、正しいアプローチを空から引っ張り出す必要がない、反復的な設計プロセスがあると分かってはいるのですが、そのプロセスを他の人にうまく伝えることができていませんでした。 しかし、およそ1ヶ月前、JSON を静的型付け言語で、そして動的型付け言語にパースしたときに経験した違いについてTwitter上で振り返っていた時、ついに私が探していたものを見つけました。そして、そのスローガンはたった3つの英単語で表せます。 Parse, don’t validate (バリデーションせずパースせよ) 型駆動設計のエッセンス

SRE の鈴木 (id:eagletmt) です。先日、この開発者ブログで赤松から One Experience プロジェクトについての紹介がありました。 自分もこの One Experiene プロジェクトに携わっており、このプロジェクトが始まったちょうど1年くらい前にはイギリスにあるオフィスに行き、グローバル版のシステムを開発・運用しているメンバーと直接顔を合わせたりもしていました。自分は One Experience プロジェクトにおいて主にデータ移行について担当していました。データ移行に必要な作業はいくつかありますが、この記事ではその中から日本版のシステムのデータベースで発生したデータの変更をどのようにしてグローバル版のシステムのデータベースに継続的に反映したかの部分について紹介します。 One Experience でのデータ移行 赤松の記事にも書かれていたように、日本版とグロー

2024-10-05 YAPC::Hakodate 2024 https://yapcjapan.org/2024hakodate/

Pro Tips for Maximum Impact: Event Fundraisers that Make More Money

俺は今、清掃員として働いてるんだけど、最近中途でおっさんが一人入ってきたんだ。 直接年齢は聞いてないけど、少なくとも俺より一回り以上は上だと思う。 で、とにかくその体がすごいんだよ。すげぇムキムキ。筋肉の塊って感じでさ、あんまり清掃員にいるタイプじゃないわけ。 しかもね、顔がさ…いや、言っても信じないかもしれないけど、そいつ、マジで豪鬼にそっくりなんだよ。 最初に見たとき、「え？豪鬼がここでバイト？」って思ったくらい。髪型はさすがに違うけど、あのゴツゴツした顔と鋭い目つきがまんま豪鬼。 もう筋肉といい、存在感といい、完全に豪鬼。 でもまぁ一応俺の方がこの職場では先輩だから、おっさんに色々教えるわけ。 最初は普通に「この掃除道具はこう使って」みたいに優しく教えてたんだけど、おっさん意外と不器用でさ、手際があんまり良くないんだよ。 で、同じことで何度もミスるから、つい「いや、そうじゃないって！

情報科学若手の会2024

これはなに ども、レバテック開発部のもりたです。 今回はMySQLでのスロークエリログについて調査してまとめました。 スロークエリログといえば古くからパフォーマンスチューニングの力強い味方といったふうに語られることも多いですが、最近はクラウドで使える便利なツールも生まれています。この記事ではスロークエリログの一般的な使い方を紹介するとともに、他のツールとの比較や、どんな場面でスロークエリログが役に立つのか、また役に立たない場合はどんなツールを利用することができるのかについてまとめました。 足りないところなどあればおおいにマサカリ投げていただけると幸いです。 記事の流れ 記事の流れ この記事はそこそこ長いので、初めに記事の流れを解説します。適宜読み飛ばしてください。 なぜスロークエリログなのか ここではそもそもスロークエリログをなぜ確認したいのかみたいなところを説明します スロークエリログの

最近は、ITが面白いだとかつまらんだとか言って盛り上がってるけども、面白いってのは、どういうことか、ちょっと考えてみようか。 知識と学習#一つ目は、学習するに足るだけの知識体系がそこにあるかどうか。 知らない事を知る、出来なかったことが出来るようになる快感ってのは、何度経験しても最高なんであって、一人でも多くの人にこの体験をして欲しい。素晴らしいことに、ソフトウェア技術だけに範囲を絞ってもまだ理解できてない事は大量にあるし、増え続けてる。 生成AIがアシスタントしてくれるけど、ちょいちょい嘘をついてくるってのが、また熱いよね。AIが言ってる事だけを真に受けちゃダメで自分でちゃんと試さないといけない。そして、インターネット上に無い情報について、やつらは手も足もでない。 最近は新しい技術が出てこないなんて言ってる連中もいるようだが、現実の社会課題を解決し、それを付加価値として提供できて初めて新

1978年生まれ、甲子園出身。兵庫県西宮市出身と言っても誰もわかってくれないので甲子園出身と言うことにしているけど、甲子園は大阪府だと思われがちなのが悩み。 好きなバレーボールはモルテン。好きな音楽家はKAN。 前の記事：「白えび」以外もうまい！　ビーバーシリーズ食べ比べ 黒字、出ちゃったんですよ 岡田　独立してから半年以上経ちました。デイリーポータルといえば赤字運営でしたが（※20年以上の歴史で黒字は1回きりだった）、独立採算になってしまって……。お金、大丈夫ですか？ 林　実は……出ちゃったんですよ、黒字。 黒字、出ちゃった 「出ちゃった」って、会社としてはふつうのことのはずなんですが……。デイリーポータルが利益を優先して、おれなんかが金持ちになってもしょうがないから、多少苦しいぐらいの方が面白いかなって思ってたんです。 黒字だって言ったら、これまで運営を助けてくれていた「デイリーポータ

【読売新聞】　パソコンで読売新聞オンライン（YOL）を閲覧している際、「ファイアウォールの更新が必要」「スパイウェアに感染していると報告されました」などの警告が表示され、「画面が変えられなくなった」という報告が、読売新聞に複数寄せら

オンラインGitリポジトリを提供するGitLabが自社の売却に向けて投資銀行と協議しており、同業他社であるDatadogが買収の関心を示しているとロイターが報じました。 Exclusive: Google-backed software developer GitLab explores sale, sources say | Reuters https://www.reuters.com/markets/deals/google-backed-software-developer-gitlab-explores-sale-sources-say-2024-07-17/ GitLab Stock: Software Maker Seen Exploring Sale. Datadog Among Suitors? | Investor's Business Daily https://ww

国産エレキギターメーカーの「フェルナンデス」（埼玉県戸田市）が、自己破産を申請したと発表した。東京商工リサーチによると、負債総額は4億3389万円。 国産エレキギターブランド「FERNANDES」「BURNY」などを展開し、著名アーティストと契約したアーティストモデルも多く手がけていた。 東京商工リサーチによると、1999年1月期に年間売上高30億円台に達したものの、近年は中古市場の台頭や競争の激化などで業績が悪化。2022年1月期は2414万円の最終赤字を計上していたという。 さらに資本関係はないものの関係が深かった大阪フェルナンデス（大阪市北区）が、販売低迷などで23年4月26日に大阪地裁より破産開始決定を受けた。フェルナンデスの信用も低下する中、資金繰りが限界に達した。 フェルナンデスは、自社Webサイトで「現在、複数の債権者に対して、相当額の債務を負担しており、誠に残念ながら事業の

この記事は前作 開発生産性の可視化サービスから何を見いだして何ができるのか、あるいはすべきで無いこと に続き、開発生産性へのスタンスを整理したい2作目です。 効果・成果よりも効率を優先することは生産性か？ 開発生産性と言いながら単なるアクティビティの量や時間を見て効率改善を志してしまういくつかの状況、一部の風潮に対して疑問を呈したい。 例えば、PRやイシューの起票数などアウトプット量の高低に一喜一憂する 例えば、変更のリードタイムやデプロイ頻度の増進を過度に重視する 例えば、サイクルタイムの各時間を人間の努力のみで短縮しようとする それにも関わらず、開発がもたらしたユーザーへの効果やビジネス上の成果に無関心というのは順序おかしいよね、という話。 などと考えていたら開発生産性カンファレンス2024 - 登壇資料まとめ｜610を見る限り、近しい主旨の論説を散見するに至り、もしかしたら世間の議論