外部からアクセス可能なhttpsサイトはドメイン設定後「即」攻撃にさらされる件
今日も元気にXを徘徊していたところ、どこにも公開していないサイトなのにめちゃくちゃアクセスが来るというポストがあり、そういえばCT Logとかもウォッチされてるしな。とつぶやいたところ まとめがあるといいな、とのコメントをいただいたので簡単にまとめてみました。(なお当該のポストはCT Log経由の攻撃と断定されているものではありません。)あくまで私が思い出しただけの話ですが、普通に来ますからね。 httpsサイトを新規公開するとすぐに攻撃botがやってきます 大事なことなのでもう一度いいます ステージングでも仲間内だけのページでもやってきます 見出し記法の濫用すみません。今回は注意喚起の側面が強いので、まずは何が起こりうるかを知ってもらうために最初に書きました。 botはやってきて何をするのか?単純にめちゃくちゃアクセスしてきます。サイトによっては数万回、/.envとか/.gitignor
Temporalのpolyfillをゼロから実装した
要約 軽量なTemporalのpolyfillであるtemporal-polyfill-liteを実装しました。 最終版(最新)の仕様を実装しており、TypeScript公式の型定義とも互換性があります。 大半の(グレゴリオ暦しか使わない)開発者にとっては、2026年4月現在これが一番バンドルサイズの小さいpolyfillとなっています。 Temporalの現在地 Temporalはこの3月にstage 4に到達しました。Firefoxは去年5月に、Chromeは今年の1月にTemporal対応のバージョンをリリースしています。Node.jsは今年5月にリリース予定のv26でTemporalに対応する予定です[1]。Safariの実装は遅れていますが、実装は進行中なので時間の問題でしょう[2]。 今年はTemporal元年なのでどんどん使っていこう……と言いたいところですが、今のところpo
AI機能搭載のRSSリーダーを作った
なぜRSSリーダーか 情報収集は基本活字で、昔からRSSリーダーをよく使ってきた。Google Readerの時代からFeedly、Miniflux、FreshRSSと渡り歩いたしPocketのようなRead it later系も使ってきたが落ち着いて使い続けられるサービスがなかった (もっとここがこうだったらな〜とか。サービス自体がなくなることもあった) そもそも自分がRSSリーダーを使うのは、情報源を自分でコントロールしたいというのが大きい。SNSのアルゴリズムはエンゲージメントに最適化されているため、気づかないうちにフィルターバブルに閉じ込められる。流れてくる情報は「自分が見たいもの」であって「自分が知るべきもの」とは限らない[1]。RSSリーダーはその対極にある。購読するフィードを自分で選び、アルゴリズムの介在なしに情報が届く。プロアクティブに情報源を設計することで、視野を意図的に
はてな、11億円の資金流出 振り込め詐欺か
インターネット関連事業を手掛けるはてな(京都市中京区)は4月24日、不正な送金指示によって約11億円の資金が銀行口座から流出したと公表した。第三者から虚偽の送金指示があったという。 4月21日に取引先銀行から不審な送金が行われていると連絡があり、確認すると4月20日と21日にある従業員のアカウントから銀行預金を外部の口座へ送金していた。その従業員に確認したところ、悪意ある第三者から虚偽の送金指示があったことが分かった。 はてなは、捜査機関へ全面的に協力するとともに、関係金融機関と被害回復に向けた措置を講じている。社内にも来栖義臣社長を中心とする対策本部を設け、外部の弁護士なども交えて事実関係の調査を進めるという。 なお、この事案に関連して個人情報や顧客情報の流出は24日時点で確認されていない。はてなの運転資金についても十分な流動性を確保しており、事業運営や資金繰りに支障はないとしている。
TimからAppleコミュニティのみなさんへ
Timから Appleコミュニティの みなさんへ 私はこれまでの15年間、毎朝同じように一日を始めてきました。メールを開いて、世界中のAppleユーザーのみなさんから届いたメッセージを読むのです。 みなさんは暮らしの中で起こった出来事を私に共有し、Appleがどんなふうに人生を変えたのかを教えてくれます。Apple Watchがお母さんの命を救った話。登頂は不可能だと思われていた山の頂上で、完璧なセルフィーを撮った話。Macのおかげで仕事の可能性が広がったという感謝の言葉。時には、大事なことがうまくいかないとお叱りを受けることもありました。 そのすべてのメールの中に、私たちが共有する人間らしさが息づいています。それは私に、もっと努力をし、前進しなければという使命感を持たせてくれました。そしてそれ以上に、言葉にできないほどの感謝の気持ちを感じさせてくれました。みなさんのメールを受け取る立
「ブラウザの戻るボタン→広告表示」がスパム扱いに Google、6月にポリシー変更 違反で検索冷遇も
米Googleは4月13日(現地時間、以下同)、ブラウザの戻るボタンを押した際、すぐ元のページに戻さず、広告など意図しないページを表示する行為をスパムとして扱うと発表した。6月15日にGoogle検索のスパム対策ポリシーを更新する予定。違反した場合、Webサイトが検索上位に表示されにくくなったり、検索結果から削除されたりする可能性がある。 同様の行為が増加傾向にあるといい、「『Back Button Hijacking』(戻るボタンの乗っ取り)はブラウザの機能を妨害し、ユーザーの期待する操作を阻害し、ユーザーの不満につながる。最終的には見慣れないサイトを訪れる意欲が低下する」(同社)として、対策を強化する。 GoogleはWebサイトの管理者に対し、戻るボタンの挙動を妨げるようなスクリプトなどをポリシー更新までに削除・無効化するよう呼び掛けている。 関連記事 最新AI「Claude Myt
エンジニア歴20年の私が、素人バイブコーディング勢に物申す - Qiita
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? お前がコードを書き始める前に 言っておきたい事がある かなりきびしい話もするが 俺の本音を聞いておけ はじめに これから少しの間、不器用で、偉そうで、厳しいことを言う。けれど最後まで聞いてくれれば、その裏側にあるものもわかってもらえると思う。だから先に謝っておく。生意気な口を、許してほしい。 まず、お前に話す前に、業界を取り巻く空気の話をさせてくれ。ソフトウェア業界には、昔から消えない風潮がある。 「売れたプロダクトはすべて正しい」 「品質? 障害が起きなければそれでいい」 「細かいことはベンダーに丸投げで構わない」 ビジネスの現場で生
すべてのMacに49.7日バグ—長期稼働でTCP接続不能になる脆弱性が発覚
4月9日、Photon社が「The 49.7-Day Time Bomb Hidden in Every Mac's Network Stack」と題した記事を公開した。 すべてのMacには、49日17時間2分47秒の連続稼働後に新しいネットワーク接続を一切受け付けなくなるという深刻な脆弱性が存在する。この問題は、AppleのXNUカーネルの32ビット整数オーバーフローに起因し、再起動以外に解決方法がない。 特に深刻なのは、この障害の隠密性である。システムは正常に動作し続け、pingへの応答も正常で、既存の接続も維持される。しかし新しいTCP接続は一切確立できなくなる。エラーログすら出力されないため、トラブルシューティングが極めて困難だ。 Mac長期稼働の増加で浮上した問題 この問題が今注目されている背景には、サーバー用途でMacを長期稼働させる企業の急増がある。特にCI/CDパイプライン
新しくプロジェクトに入った人がリポジトリの現状を素早く把握するためのGitコマンド5選
ITエンジニアのアリー・ピエホフスキー氏が、「全然知らないプロジェクトの現状を素早く把握できるGitコマンド」を5つ紹介しています。 The Git Commands I Run Before Reading Any Code https://piechowski.io/post/git-commands-before-reading-code/ ◆過去1年間で最も変更されたファイル20個 以下はファイル名を過去1年間の変更数の多い方から20個並べるコマンド。 git log --format=format: --name-only --since="1 year ago" | sort | uniq -c | sort -nr | head -20 変更頻度の高いファイルを確認することで「活発に開発されている部分」や「予測不可能な影響を広い範囲に与えてしまっている部分」を知ることができま
CloudflareがWordPress後継のサーバーレスCMS「EmDash」をベータ公開 | lilting channel
WordPressが誕生して24年。インターネットの40%以上を動かす巨大CMSだが、プラグインのセキュリティ問題は年々深刻化している。Cloudflareが4月2日にベータ公開した EmDash は、この構造的な問題をアーキテクチャごと作り直すことで解決しようとしている。Astro 6.0をベースにしたフルスタックサーバーレスCMSで、MITライセンスのオープンソースだ。 「WordPress後継」と銘打ってはいるが、24年の蓄積があるWordPressとv0.1.0のEmDashでは正面から比べられない領域が多い。逆に、WordPressが構造的に解決できない問題をEmDashがゼロから設計し直している領域もある。両者の強みと弱みを、領域ごとに掘り下げてみた。 全体比較 観点WordPressEmDashどちらが有利か
長年の悩みがこれで解決! CSSのposition: stickyの仕様が変わり、上部固定と左端固定が同時に実装できるようなります
テーブルのヘッダを上部に固定し、さらに列の1つを左端に固定する、これを実装するのは非常に大変です。 一見、position: sticky;を使って、top: 0;とleft: 0;で実装できそうですが、実際にはどちらか一方しか固定されません。JavaScriptを使用してもかなりの量になります。 ここで朗報です、9年間続いていたCSS仕様の問題が解決されます! position: sticky;がアップデートされ、軸ごとにもっとも近いスクロール位置に追従できるようになったため、このヘッダと列を上部と左端にそれぞれ固定するのが簡単に実装できるようになります。 CSS position: sticky now sticks to the nearest scroller on a per axis basis! by Bramus! 下記は各ポイントを意訳したものです。 ※当ブログでの翻訳記
Claude Codeに仕様書を丸ごと渡すな ── 「要件を伝える」との決定的な違い
はじめに Claude Codeで開発するとき、仕様書をMarkdownで書いてリポジトリに置き、@docs/specification.md を読んで認証機能をこの通りに実装して とやっていないだろうか。 自分はこれをやっていた。仕様書を1つのMarkdownファイルにまとめてdocs/に配置し、Claude Codeに丸ごと読ませて実装させるフローで開発した。 そして精度が悪かった。 なぜ精度が悪いのか、どうすれば改善できるのか。仕様書の渡し方を工夫する方向で調査を進めた結果、問題は渡し方ではなく「仕様書を渡すこと自体」にあると気づいた。 この記事では、Claude Codeの設計思想から掘り下げて「仕様書を渡す」と「要件を伝える」の本質的な違いを明らかにし、仕様書との正しい付き合い方を整理する。 仕様書を渡したら何が起きたか このフローで繰り返し経験した問題が3つある。 長い仕様書の
npm をセキュアな挙動にするために .npmrc に記述する最小設定
はじめに グループIT推進本部 CyberAgent group Infrastructure Unit(以下、CIU)所属・Next Expertsの平井(@did0es)です。 CIUのサービスのWebフロントエンド開発に携わる傍ら、TypeScriptのNext Expertsとして情報発信や社内向けの技術支援を中心に活動しています。 本記事では、pnpm や bun への移行を検討する前に、まず npm のままで実現可能なセキュリティ対策を実施したい人を対象に、 .npmrc に入れるべき最小限の設定を紹介します。 ここで紹介する設定は、最小構成でありつつ、CIUのWebフロントエンドでも共通して採用している内容です。 背景として、npmまわりでは直近で大きなサプライチェーン攻撃が続いています。 Shai-Hulud(2025年9月〜11月) axiosパッケージ改ざん(2026年
サプライチェーン攻撃から身を守るために最低限設定しておきたいこと
こんにちは、クラシルのラクです。 2026年3月だけで、サプライチェーン攻撃が立て続けに発生しています。 3月19日: セキュリティスキャナTrivyのGitHub Actionsが侵害され、CIで実行するだけでSSH鍵やクラウドトークンが窃取される状態に 3月24日: Trivyの侵害を起点にPyPIのLiteLLMにも波及。数時間にわたり悪意あるバージョンが配布 3月31日(本日): npmのaxiosのメンテナアカウントが乗っ取られ、RATが仕込まれたバージョンが公開 Trivy → LiteLLMのように、1つの侵害が連鎖的に別のプロジェクトに波及するケースも出てきています。もはや「自分のプロジェクトは大丈夫」とは言えない状況です。 一方で、こうした攻撃の多くはパッケージマネージャの設定ひとつで防げる可能性があります。Andrew Nesbittが「Package Managers
【緊急】axios がサプライチェーン攻撃 2026.03.31
TL;DR 2026年3月31日、npm で最も利用されているHTTPクライアントライブラリの一つである axios がサプライチェーン攻撃を受けました。攻撃者はリードメンテナーのアカウントを乗っ取り、マルウェアを含む2つのバージョンを公開しています。 項目 内容
axios ソフトウェアサプライチェーン攻撃の概要と対応指針 - GMO Flatt Security Blog
2026年3月31日、HTTP クライアントライブラリ axios の npm パッケージが侵害されました。攻撃者はメンテナの npm アカウントを乗っ取り、マルウェアを含むバージョン 1.14.1 および 0.30.4 を公開しました。axios は npm エコシステムで週間約1億ダウンロードを誇る主要パッケージです。本記事では公開情報をもとに、事象の概要を記録します。また、対応指針を示します。 TL;DR - 対応指針 axios への直接依存に限らず、間接依存(transitive dependency)でも postinstall フックは発火します。 自身のプロジェクトが axios を直接利用していなくても、依存ツリーのどこかに axios が含まれていれば影響を受け得ます。npm ls axios で確認してください。 npm ls axios や lockfile により
お前らの正義の話をしよう - megamouthの葬列
大手ECサイトをスクレイピングするプログラムをClaudeCodeに書いてもらいました。とても便利なので公開したいのですが、友人のプログラマに相談すると「叩かれるからやめておけ」と忠告されました。AIも同意見のようです。正直、基準も理由もよくわかりません。なぜ私はこのプログラムを公開してはいけないんでしょうか? 「叩かれるからやめておけ」というのは、正しい忠告だし、君の為を思って言ってくれた言葉だと感じる。君が公開したスクレイパー付きシステムが何をするものかは知らないが、そのプログラムのインパクトが強ければ強いほど、「『技術者倫理』のない奴は…」というポストは間違いなく現れるだろう。ただし、そういったポストが、本当に正しい理由から発せられているかは、少し怪しいと僕は思っている。 最初に一つだけはっきりさせておきたい。これから僕がする話は、法律の話でも、利用規約の話でもない。技術者倫理の話だ
<h1>Rob Pike's 5 Rules of Programming</h1>
Rule 1. You can't tell where a program is going to spend its time. Bottlenecks occur in surprising places, so don't try to second guess and put in a speed hack until you've proven that's where the bottleneck is. Rule 2. Measure. Don't tune for speed until you've measured, and even then don't unless one part of the code overwhelms the rest. Rule 3. Fancy algorithms are slow when n is small, and n i
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「長持ち家電」は時代遅れ? 大事に使うほど大変になる社会のルール【小寺信良のくらしDX】
隠密行動中のフリゲート艦、乗組員宛の郵便物に同梱されたトラッカーで位置が特定される【やじうまWatch】
