【絶対ダメ】node:vmモジュールをサンドボックスとして使ってみた!!!!
こんにちは、t-chenです。 [1] 突然ですが、オンラインで誰でも利用できるNode.js環境を準備しました。vmモジュールを利用してサンドボックス化したので、安全なはずです。普段遣いしていていろいろな情報が詰まったPCでサーバーを動かしていますが、大丈夫でしょう。 ... [2] うわ〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜ハッキングされた〜〜〜〜〜〜〜〜〜〜〜 VMモジュールとは? 外部から受け取ったJavaScriptを実行したい、というニーズは常に一定数あります(競技プログラミングの計測サーバー、LLMが実験的に実行できる環境など)。しかし、それには常に悪意のあるコードを実行されてしまうというリスクがついてしまいます。任意のJavaScriptを安全に実行するためのサンドボックスとはどのように実装できるでしょうか。 Node.jsには、node:vmというモジュールがあります。これは
再帰やループを使わずに組合せを求める
const nextCombination = x => { const a = x & -x; const b = a + x; return (((b ^ x) / a) >> 2) + b; }; まず,x とその符号を反転した -x の論理積を求めます.これは,最も右にある 1 だけを残して残りの桁を全部 0 にする操作です.例えば,視野を 8 bit にして x を 0011 1000 と置くとします.符号を反転させた -x は,2 の補数表現により 1100 1000 となります.この二つの論理積を求めると,最も右側の 1 だけが都合よく残って 0000 1000 が得られます.これを a とします. 次に,aと x の和を求めて b とします.先程と同様に 8 bit の例で考えてみます.aと x,つまり 0000 1000 と 0011 1000 を足し合わせると 0100
TanStack Start
Full-stack Framework powered by TanStack Router for React and SolidFull-document SSR, Streaming, Server Functions, bundling and more, powered by TanStack Router and Vite - Ready to deploy to your favorite hosting provider. Built on TanStack Router, Start comes pre-packed with a fully type-safe and powerfully-unmatched routing system that is designed to handle the beefiest of full-stack routing req
"use client" は JavaScript 標準ではない - 「出所不明」な文字列が隠すリスク
はじめに "use client" や "use server" といったディレクティブは、React Server Components(RSC)の普及とともに広く使われるようになりました。一見すると、これらは JavaScript の標準機能である "use strict" のように見えますが、実際には根本的に異なるものです。 TanStack の作者である Tanner Linsley 氏は、ブログ記事[1]で、これらのディレクティブが新しい形のフレームワークロックインを生み出していると警鐘を鳴らしています。ディレクティブは開発者体験を向上させる一方で、標準化されていない独自仕様であり、エコシステムが分断されたり、他のフレームワークへの乗り換えが難しくなったりといった長期的なリスクを孕んでいます。 本記事では、Tanner Linsley 氏のブログ記事と関連する議論をもとに、以下の
GitHub - cloudflare/capnweb: JavaScript/TypeScript-native, low-boilerplate, object-capability RPC system
Cap'n Web is a spiritual sibling to Cap'n Proto (and is created by the same author), but designed to play nice in the web stack. That means: Like Cap'n Proto, it is an object-capability protocol. ("Cap'n" is short for "capabilities and".) We'll get into this more below, but it's incredibly powerful. Unlike Cap'n Proto, Cap'n Web has no schemas. In fact, it has almost no boilerplate whatsoever. Thi
異世界JavaScript
最近は異世界転生も珍しくなくなりました。もしも異世界にJavaScriptがあったら、それは我々の知るJavaScriptとどう違うでしょうか? この記事では、ECMAScriptまたはその亜種に実装された機能で、標準化に至らなかったものを取り上げます。モダンなECMAScriptしか知らない方には、きっと異世界を見るように新鮮に感じていただけることと思います。 異世界の typeof 演算子 「13.5.3 The typeof Operator - ECMAScript® 2025 Language Specification」によると、typeof 演算子の返しうる値(文字列)は undefined object string symbol boolean number bigint function のちょうど8通りです。しかし、異世界のJavaScriptでは typeof がこ
夏休みの終わりこそ復習しておきたい、ES2016以降のモダンJavaScript再入門
はじめに 夏も終わりに近づいてきましたね。みなさん夏休みはいかがお過ごしでしょうか?海に山に、はたまたエアコンの効いた部屋でJavaScriptでコーディング三昧もアリかなと思ったりもします。ところで、コーヒー片手にコードを書きながら、「うわっ...私のJavaScript、古すぎない...?」とふと思ったことがありませんか? ECMAScript 6(以下ES6)が正式リリースされた2015年からかれこれ10年も経ちましたね。ES6はPromise、クラス構文やアロー関数など強力な機能を一気に導入しました。ES3から約10年間で標準仕様の策定がほぼ停滞状態だったJavaScriptにとって起死回生と言っても過言ではない節目でした。 もし手元にTypeScriptを使っているプロジェクトがあれば、tsconfig.jsonを覗いてほしい。高い確率でコンパイルのtargetにES6もしくはE
疑似乱数のユーティリティ函数を提供する Stage 1 Random Functions
【2025/06/29】 Random Collection Functions の Random.pop について Map を受け取った場合キー、バリュー両方返すよう記述を修正 Seeded Pseudo-Random Numbers についての記述を追加 現状の JavaScript における疑似乱数 API JavaScript における疑似乱数 API は、ECMAScript としては 0 以上 1 未満の値を一様乱数で返す Math.random が、Web Crypto API としては暗号論的疑似乱数を返す crypto.getRandomValues が定義されています。必要最低限な API のみが提供されているのが現状です。 例えば六面ダイスの値を返す函数を作ろうと考えた場合に、Math.random を使って以下のように定義する必要があります。
GitHub - endojs/endo: Endo is a distributed secure JavaScript sandbox, based on SES
Endo is a framework for powerful JavaScript plugin systems and supply chain attack resistance. Endo includes tools for confinement, communication, and concurrency. These include a shim for Hardened JavaScript, an ECMA TC-39 standards track proposal to make JavaScript a safer and more suitable platform for plugin systems. Agoric and MetaMask rely on Hardened JavaScript and the SES shim as part of s
JavaScript PrimerのNotebookLMが利用可能になりました!
JavaScript PrimerのNotebookLMが利用可能になりました。 NotebookLMは、Googleが提供するAIを活用したノートブック環境で、登録したソースに対して質問をしたり、情報を検索したりすることができます。 次のリンクから、JavaScript PrimerのNotebookLMにアクセスできます。 📖 JavaScript Primer - 迷わないための入門書 - NotebookLM JavaScript Primer on NotebookLM JavaScript PrimerのコンテンツがNotebookLMに入ってることで、読者は書籍の内容についてNotebookLMに直接質問したり、Podcastとして音声で聞いたりすることができるようになります。 NotebookLMを活用することで、JavaScript Primerを読み進める中で生じた疑
JSPI for Phase 4
このブラウザ バージョンのサポートは終了しました。サポートされているブラウザにアップグレードしてください。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
GitHub
GitHub - WebAssembly/js-primitive-builtins: Additional JS primitive builtins
GitHub - tc39/tg5: TC39-TG5: Experiments in programming language standardization. https://ecma-international.org/task-groups/tc39-tg5/
GitHub - trynova/nova: JS engine lolz
Relizy - Seamless and automated release manager | Relizy
GitHub - automerge/automerge: A JSON-like data structure (a CRDT) that can be modified concurrently by different users, and merged again automatically.
GitHub - tc39/proposal-defer-import-eval: A proposal for introducing a way to defer evaluate of a module
GitHub - endojs/proposal-new-global: TC-39 proposal for new global objects within a shared realm
GitHub - WebReflection/sabayon: SharedArrayBuffer always on.