jovi0608のブックマーク - はてなブックマーク

みずほ銀行システム障害に学ぶ

みずほ銀行システム障害の調査報告書が公開されたのがニュースになって、Twitterなどで色々な人がコメントをしているのを見た。140文字しか書けない空間で他人の失敗談の揚げ足取りをするのは簡単だが、そこからは一時の爽快感以外に何も得るものがないので、僕はそういうのはカッコ悪いと思っている。そこで、ちゃんと読んでみたら全く他人事でない部分も沢山あるし、非常に面白く勉強になったので、ブログにまとめてみる。技術的な話銀行のシステムがどのようになっているのか、全然イメージが湧いていなかったので、それがまず勉強になった(p.29)。トラフィックのソースに応じて用意された色々なシステムから基幹システム「MINORI」の取引メインバスにトラフィックが流れ、そこから各種システムへとリクエストが送られていく。この辺はService Oriented Architectureらしい。開発当時としては（

jovi0608 2021/06/17

リンク

Fenced Frames · Issue #25 · privacycg/proposals

jovi0608 2021/06/17

Fenced Frames が PrivacyCG の Proposal に出されたぞ。

リンク

OpenSSLNTRU: Faster post-quantum TLS key exchange

Paper 2021/826 OpenSSLNTRU: Faster post-quantum TLS key exchange Daniel J. Bernstein, Billy Bob Brumley, Ming-Shing Chen, and Nicola Tuveri Abstract Google's CECPQ1 experiment in 2016 integrated a post-quantum key-exchange algorithm, newhope1024, into TLS 1.2. The Google-Cloudflare CECPQ2 experiment in 2019 integrated a more efficient key-exchange algorithm, ntruhrss701, into TLS 1.3. This paper r

jovi0608 2021/06/16

へぇ、DJBがPQ用のOpenSSLエンジンと組み合わせてTLS1.3のPQ鍵交換でも使えるようにしたOpenSSLNTRUを作ったのか。sntrup761/857のベンチマーク結果もx25519より良いみたい。

リンク

Our commitments for the Privacy Sandbox

For a further update on this topic, please read our latest blog. We all expect a more private and secure web. The Privacy Sandbox initiative aims to help build it by developing new digital advertising tools to protect people’s privacy and prevent covert tracking, while supporting a thriving ad-funded web. From the start of this project, we have been developing these tools in the open, and sought f

jovi0608 2021/06/11

英CMAとの話合いでGoogleがPrivacy Sandboxに対し、協議に協力すること、Googleの広告製品にデータの優位性はないこと、Googleのサイトを優遇しないこと、などをコミットメントすることを公表しました。

リンク

Privacy analysis of FLoC | The Mozilla Blog

In a previous post, I wrote about a new set of techno logies “Privacy Preserving Advertising”, which are intended to allow for advertising without compromising privacy. This post discusses one of those proposals–Federated Learning of Cohorts (FLoC)–which Chrome is currently testing. The idea behind FLoC is to make it possible to target ads based on the interests of users without revealing their bro

jovi0608 2021/06/11

MozillaのEKRによるFLoCのプライバシー分析。現状のFLoC仕様ではプライバシーに対するリスクが存在すると。

リンク

Humanity wastes about 500 years per day on CAPTCHAs. It’s time to end this madness

Assuming you are using a hardware device with a compatible configuration, you might be wondering what is happening behind the scenes. The elevator pitchThe short version is that your device has an embedded secure module containing a unique secret sealed by your manufacturer. The security module is capable of proving it owns such a secret without revealing it. Cloudflare asks you for proof and chec

jovi0608 2021/05/14

CloudFlareはBot判定にCAPTCHAsからWebAuthnに変え、将来的にPrivacyPassと連携すると。WebAuthnで既に署名交換しているからそこからどんなゼロ知識の匿名署名になっていくのかな？TrustTokenはサポートしないのか？

リンク

BlinkOn 14: Fenced Frames

Fenced Frames Dom Farolino & Shivani Sharma dom@chromium.org & shivanisha@chromium.org

jovi0608 2021/05/13

Fenced Frame は、まず ShadowDOM ベースで実装してOTを始めるのか。その後 MPArch に移行していくと。

リンク

「プロフェッショナルSSL/TLS」を読んだ - $shibayu36->blog;

[asin:4908686009:detail] 最近ふとSSL/TLSの仕組みについて知りたくなったので、「プロフェッショナルSSL/TLS」を読んだ。かなりいろんな話題を網羅していて、かつ具体的な設定例なども書かれていて良かった。TLSに関する仕事をするときや、SSL/TLSやHTTPS周りで何回かハマったことがあるなら非常にお勧めできる。仕組みを理解したいなら1章 SSL/TLSと暗号技術・2章プロトコル・3章公開鍵基盤が参考になった。実運用なら8章デプロイ・9章パフォーマンス最適化・16章 Nginxの設定あたりが参考になりそう。またTLS周りでハマった時のトラブルシューティングには12章のOpenSSLによるテストが使えるだろう。ただ最新のTLS 1.3に関してはそこまで多く言及はなかった（電子書籍版の巻末の付録のみ）ので、これについては別書籍や別資料で学ぶ必要があ

jovi0608 2021/05/12

もっと詳しいTLS1.3解説本の需要はあるのか！“ただ最新のTLS 1.3に関してはそこまで多く言及はなかった（電子書籍版の巻末の付録のみ）ので、これについては別書籍や別資料で学ぶ必要があるだろう。”

リンク

https://about.yahoo.co.jp/info/blog/20210512/phishing.html

jovi0608 2021/05/12

これ重要！"よく使うサイト、アプリをブックマーク、インストールしておく/判断力が落ちているときはサイトやメールなどを見ない/メールなどのロゴマークを信用しない/社名が何も書いていないSMSが届いたら無視する"

リンク

Let's Encryptのルート認証局移行についてちょっと調べてみた - Qiita

私も大変有り難く利用させてもらっている、みんな大好きLet's Encryptはいろんな方の寄付のおかげで無料で利用できるSSLサーバー証明書の発行サービスですが、何やらルート認証局の移行が話題になっているので、ちょっと調べてみました。問題の概要は、こちらのブログでとても詳しく解説されており、とても参考になりました。ありがとうございます。公式から出ている説明だと、出てくる証明書の関係がわかりにくく、図もちょっと間違っていたので、別の図を起こしました。簡単には、DST Root X3ルート証明書が期限切れを迎えそうなので、新しいISRG Root X1ルート認証局に移行したいわけです。 certbotを使っていると /etc/letsencrypt/archive/ドメイン/ に発行された証明書、チェーン、秘密鍵の履歴が残りますが、その時期を頼りにどうなっていたのか見てみます。 2020

jovi0608 2021/05/08

問題はまさにこれ。MLで指摘されてもスルーされてた。“自身の鍵の有効期限2021年9月を超えて、新ISRG Root X3ルートCAに対して2024年9月を有効期限とするクロス証明書を発行していること”

リンク

FLoCとはなにか - ぼちぼち日記

1. はじめに Google がChrome/89よりトライアルを開始しているFLoC (Federated Learning of Cohorts)技術に対して、現在多くの批判が集まっています。批判の内容は様々な観点からのものが多いですが、以前より Privacy Sandbox に対して否定的な見解を示してきたEFFの批判「Google Is Testing Its Controversial New Ad Targeting Tech in Millions of Browsers. Here’s What We Know.」が一番まとまっているものだと思います。これまで Privacy Sandbox 技術に関わってきた身としては、各種提案の中でFLoCは特にユーザへの注意が最も必要なものだと思っていました。しかし、これまでのド直球なGoogleの進め方によって、FLoCのトラ

jovi0608 2021/05/06

連休中の宿題として書きました。今世間を賑わせているChromeのFLoCについての技術解説です。

リンク

The Privacy Sandbox

Protecting your privacy online The Privacy Sandbox initiative aims to create techno logies that both protect people's privacy online and give companies and developers tools to build thriving digital businesses. The Privacy Sandbox reduces cross-site and cross-app tracking while helping to keep online content and services free for all. The goals of the Privacy Sandbox The Privacy Sandbox is currentl

jovi0608 2021/03/31

GoogleがPrivacy Sandbox を説明する専用のサイトを作ったみたい。 .com なのね。

リンク

same-site/cross-site, same-origin/cross-originをちゃんと理解する

same-site/cross-site, same-origin/cross-origin の違いを曖昧なままにしておくと、分からないことや誤解がモリモリ増えていきますので、早いうちに定義を覚えちゃいましょう。元記事はこちら: Origin とは Origin は scheme (http とか　https とか)、hostname、port の組み合わせを指す。same-origin と言った場合、これらすべてが一致するものを示している。一部でも異なるものはすべて cross-origin。 Origin A Origin B 解説

jovi0608 2021/03/30

この上に将来 same-party というのが新しく入ってくるかもしれないので、今のうちにおさえておきましょう。

リンク

OpenSSL Security Advisory : CA certificate check bypass with X509_V_FLAG_X509_STRICT (CVE-2021-3450)

jovi0608 2021/03/25

おっと、OpenSSLの脆弱性 CVE-2021-3449 は TLS1.2 の renegotiation 時に sig_alg から sig_alg_cert へ入れ替えを仕込んじゃうとサーバが落ちちゃうのか。TLS1.2のrenegotiationを有効にしているところは注意です。

リンク

Google antitrust suit takes aim at Chrome’s Privacy Sandbox

jovi0608 2021/03/17

テキサス州のGoogleに対する反トラスト訴訟の訴状をざっと見ると最初 walled gardenを作る内部プロジェクト(コード名が黒塗り)があり、Privacy Sandboxに変わったと。

リンク

トラフィックの正体から考えるアドテクの面白さ - CARTA TECH BLOG

「ウェブ広告の技術」と聞いて真っ先に思い浮かぶのはどんな技術でしょうか？日ごろ目にするウェブ広告の印象から、「ユーザの興味に合わせたターゲティング」や「レコメンドのアルゴリズム」といったトピックを思い浮かべるエンジニアの方も多いでしょう。しかし、意外かもしれませんが、現代のアドテクを地味に支えているのは大量のトラフィックを低レイテンシで捌くための技術です。それどころか、「トラフィックが多いこと」は、アドテクの面白さそのものだとさえ言えます1。とはいえ、「アドテクの面白さはトラフィックが多いことにある」と聞いても、あまりピンとこないエンジニアも少なくないと思います。トラフィックを低レイテンシで捌く部分はAWSやGCPといったクラウドサービス側の基盤に任せてしまい、その上に載せる広告のためのロジックだけを作り込めばいいように思えるかもしれません。そもそも、どうしてアドテクではトラフ

jovi0608 2021/03/12

この辺、今後どう変わっちゃうのか、ちょうど今真っ最中なんだよなぁ。

リンク

Google’s Privacy Sandbox—We’re all FLoCed

jovi0608 2021/03/08

Oracleは、きつい書き方するなぁ。 “Stated differently, Google is running a brothel but wants to join the choir.”

リンク

Speeding up Chrome's release cycle

$200K 1 10th birthday 4 abusive ads 1 abusive notifications 2 accessibility 3 ad blockers 1 ad blocking 2 advanced capabilities 1 android 2 anti abuse 1 anti-deception 1 background periodic sync 1 badging 1 benchmarks 1 beta 83 better ads standards 1 billing 1 birthday 4 blink 2 browser 2 browser interoperability 1 bundles 1 capabilities 6 capable web 1 cds 1 cds18 2 cds2018 1 chrome 35 chrome 81

jovi0608 2021/03/05

従来6週毎アップデートのChromeが今年秋のM94から4週毎アップデートに変更に。Chrome/100までにUA freezeのメドが付いたからかな。8週毎アップデートのExtended Stableも用意される模様。

リンク

Charting a course towards a more privacy-first web

Director of Product Management, Ads Privacy and Trust It’s difficult to conceive of the internet we know today — with information on every topic, in every language, at the fingertips of billions of people — without advertising as its economic foundation. But as our industry has strived to deliver relevant ads to consumers across the web, it has created a proliferation of individual user data acros

jovi0608 2021/03/03

「3pクッキーが廃止された後GoogleはWebを横断するような代替ID技術を作ったり使うことはない」と明言したのね。

リンク

ヤフー、全社員を対象に、社員の心身の健康や自宅の労働環境整備として、 5万円分のPayPayマネーライトを付与 - ニュース - ヤフー株式会社

ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社のコーポレートサイトはこちらです。当ページに記載されている情報は、2023年9月30日時点の情報です。～毎月の通信費補助を3,000円から5,000円に増額～ヤフー株式会社（以下、Yahoo! JAPAN）は、2021年新卒社員を含む全社員約7,800名を対象に、社員の心身の健康維持や自宅の労働環境整備を目的に、「働く環境応援資金」として5万円分のPayPayマネーライトを付与し、毎月の通信費補助をこれまでの3,000円から5,000円に増額します。 ■実施の背景と狙い Yahoo! JAPANは、2020年10月よりリモートワークの回数制限およびフレックスタイム勤務のコアタイムを廃止するなど新しい働き方に移行し、コロナ禍における働く環境整備を目的として、月4,000円の「どこでもオ

jovi0608 2021/02/18

ありがたい！通信費も月500０円まで増額。 “2021年3月に「働く環境応援資金」として5万円分のPayPayマネーライトを付与します。”

リンク

はてなブックマーク

タグ

jovi0608のブックマーク (503)

お知らせ

今週のはてなブックマーク数ランキング（2024年7月第2週）

はてなブックマーク透明性レポート（2024年 2月-2024年4月）

今週のはてなブックマーク数ランキング（2024年7月第1週）

公式Twitter

キーボードショートカット一覧

はてなブックマーク

公式Twitter

はてなのサービス