Zenn に Content Security Policy を段階的に導入した話
この記事について 先日、Zenn では Content Security Policy を導入しました。 この記事では Content Security Policy を Next.js ( Pages Router ) で導入する方法を解説するともに、Zenn の実例を紹介したいと思います。 Content Security Policy とは? そもそも Content Security Policy を知らない人が居るかもしれません。 Content Security Policy ( 以後 CSP と表記 )とは、ブラウザに備わっている機能の一つで、この機能を使うことで設定したサイト内のセキュリティリスクを軽減することができます。 基本的には導入した方がいいのですが、設定項目が多いうえに少し設定を間違えるとサイトが機能しなくなったりするので、導入コストがけっこう高いです。そのため、
AWSのPublic IPv4構成をIPv6に切り替える | 外道父の匠
AWS の IPv6化について調査は済んだけど、書き始めるのに非常にドンヨリしております。図を書いて少しでも楽しくいきましょそうしましょ。 皆様も読んだらドンヨリするかもしれませんが、できるだけ丁寧に書いてみますので、PublicIP 有料化に抗いたい人は頑張って追ってみてください:-) 目次 また長いです。でもひきかえさないほうがいいかもしれない。 はじめに 前提知識 目的 IPv6 の設計 従来のプライベート IPv4 IPv6 の割り当て Gateway と Routing VPC SecurityGroup Network ACL Subnet Egress Only G/W NAT64 RouteTable Public Private インスタンスで動作確認 IPv6 アドレスの確認 IPv6用の設定 疎通確認 IPv6リソースの配置 既存リソースの入れ替え アプリケーションの
Amazon EC2 におけるセキュリティ(脆弱性)事例 - blog of morioka12
1. 始めに こんにちは、morioka12 です。 本稿では、Amazon EC2 上で動く Web アプリケーションの脆弱性によって脆弱性攻撃が可能だった実際の事例について紹介します。 1. 始めに 2. Amazon EC2 におけるセキュリティリスク Amazon EBS 被害があった公開事例 3. Amazon EC2 で起こりうる脆弱性攻撃 SSRF が可能な脆弱性 SSRF における回避方法 4. Amazon EC2 の脆弱な報告事例 画像読み込み機能に潜む SSRF を悪用した EC2 のクレデンシャルの不正入手が可能 SAML アプリケーションに潜む SSRF を悪用した EC2 のクレデンシャルの不正入手が可能 Webhook 機能に潜む SSRF を悪用した EC2 のクレデンシャルの不正入手が可能 Webhook 機能に潜む SSRF を悪用した EC2 のクレデ
【続報】スタートアップという蟻地獄で死んだ後の話。
どうも増田です。 以前鬱状態で死をも考えた中、独り言が言いたくて【スタートアップという蟻地獄で死にゆくザマ】を書いた者です。 https://anond.hatelabo.jp/20230515224250 その後、生きてんのかどうなったのかわからんままだとちょっと後味悪いなと思って続報を書きます。 会社は亡くなりました。俺の財産は全く無かったのですが自己破産になりました。 重度の鬱と自律神経失調になったんですが生きました。 なんか最後の方はVC担当の論点のすり替えと業界構造の話してんのに人間性云々になってたのでイラッとして「あの、それって論点ズレていませんか。まずこの件に関しては」と虚無で反論した結果ブチ切れられたけど淡々と「落ち着いて下さい、まずここの論点をクリアにしてそこからです。俺の人間性はまず置いて、物事についてを語らないとどうしようもないでしょう」と伝えたらブチ切れられちった⭐
スタートアップという蟻地獄で死にゆくザマ
どうも初めまして。 スタートアップとかいうカテゴリーの代表をしている増田です。 もう10年近く経ったんだろうか。それでもスタートアップなのか謎だ。 もしかしたら、みんなが見る頃自分はこの世にはもういないかも知らない。なんつって。一生に一回言ってみたかった言葉なんだ許してくれ。 ベンチャーキャピタルとかいう方々にも投資を受けたり、個人名義で借金もした。 組織崩壊して、彼らが信頼していたという人物が競合に入ったりして、社員に脅されたりもしたっけ。 それでも立て直そうと頑張ったんだけど、もう疲れたみたいだ。やる気が一番とかいうけど、本当だな。 頑張ったんだけど、彼等は自分が代表にふさわしく無いというらしい。 数年前からは安定剤無しでは株主と話せなくなってた。 かれこれ10回くらい言われ続けて、能無しとか、強みがないとか、投資した俺らがバカだったとか言われてもなんとかやってきた。 融資も何度もやっ
「基礎からの新しいストレージ入門」は、2023年夏の課題図書
夏も終わりに近づいた時期ですが、エンジニア必読のストレージ入門が発売されました[1]。 基礎からの新しいストレージ入門 基本技術から設計・運用管理の実践まで こちらはゼットラボやSNIAで最新ストレージの情報発信をして下さっている坂下さんの待望の新刊技術書です。 クラウド時代にも陳腐化しないストレージ技術について、基礎からわかりやすく説明してくれています。 (私が考える)対象となる読者 アプリケーション開発をしている方からストレージ以外のインフラエンジニアまで、「ストレージなんもわからん」と感じている人々に、ぜひおすすめしたい入門書です。 特にクラウドからシステム開発に入って、 EBSとかEFSとか雰囲気で使ってる とりあえずS3、他は難しくて分からない ファイルストレージ?ファイルシステム?マウント?なんのこと?? という方は、最初から最後まで本書を通して読んでもらえれば、会社に1人は居
AWSコスト削減とリソース管理 | 外道父の匠
クラウド使いなエンジニアの皆様、猛暑と円安の中いかがお過ごしですか。上層部からインフラコスト削減を突きつけられてはおりませんでしょうか。 今回はおそらく初めてコスト削減についてAWSを軸に書いていきますが、考え方はどこの環境でも似たりよったりなので何かしらの足しになればと思う次第であります。 目次 長いです。ひきかえしたほうがいいぞ! コミュニティに捧げます AWSの売上 コスト削減とは 三大使命 コスト状況整理 Load Balancer 参考リンク 統合による削減 EC2 Autoscaling 参考リンク 情報整理 古いインスタンスタイプの変更 スケジュールの調整 スポットインスタンスの適用 軽量インスタンスの統合・サーバーレス化 アプリケーション処理の軽減 EC2 EBS EBSは高い 不要EBSを削除・スナップショット化 ボリュームタイプの変更 EC2 AMI NAT Gatew
逮捕された頂き女子「りりちゃん」のマニュアルには何が書かれていたのか|山野祐介
「頂き女子」を名乗っていた「りりちゃん」が逮捕された、というニュースを見た。リンクは以下。 「頂き女子りり」を逮捕 恋愛感情利用し男性から金をだまし取るマニュアルを販売か 詐欺幇助の疑い 「頂き女子」とは、「男性からお金を頂く女子」という意味で、恐らくりりちゃんの作った造語だと思われる。 パパ活をする女性に、男性から現金をだまし取るためのマニュアルを販売した詐欺ほう助の疑いで逮捕されたようだ……が、正直「逆に今まで捕まってなかったのか」という感想が先に来てしまった。詐欺は立件が難しいから本人は詐欺で捕まらず、マニュアルの販売で逮捕されるというのもすごい話だが。 そういえば、このりりちゃんが販売していたマニュアルを持っていたので、読み返してその辺のことを書こうと思う。ただ、このマニュアルにはいくつかバージョンがあるらしく、俺が持っているこれが逮捕の決め手になったものかどうかは知らない。 記憶
プレミアムモルツにみる、キラキラ広告と孤高の天才クリエイターの終焉|Yuka Kudo
この動画を見つけた発端は、大好きな2コマ漫画作家である犬犬さん(@inu_eat_inu)のTwitterでした。子育ての面白さや大変さをコミカルな2コマ漫画で配信してくれる犬犬さんが、この動画の企画に関与しているというツイート。最初はクスリと笑いながら軽い気持ちで見た動画でしたが、だんだんと重大なことに気づき始めました。 広告戦略とクリエイターの役割が、遂に大きく転換している。 既に色々な研究者やマーケッターの皆さんが提案し、提唱してきたことなので今更感はありますが、日本の広告の始祖であり牽引者たるサントリーがこの動画を公開したことで、遅ればせながら私もガツンと気付かさました。このnoteでは私なりの気づきをまとめてみます。 偉大な広告企業サントリーとキラキラ広告サントリーといえば日本の広告の歴史を作ってきた企業であり、広告によって日本の食文化を開拓し、日本人を啓発してきた会社であること
モダンWEBサイトにおける画像最適化について
はじめに この記事は『Picture perfect images with the modern img element』という記事を参考に画像最適化に関しての重要な観点をまとめたものです。 画像はWEBにおいても重要な役割を担っており、2021年時点で1つ以上の画像を含むWEBサイトは95.9%、faviconなども含めて1回でも画像取得のリクエストを送信するWEBサイトは99.9%であるという調査もあります。 さらには、LCP要素の約70%が画像であるという調査が出ています。 Largest Contentful Paint(LCP)は、Googleが提唱するCore Web Vitalsの1つで、ウェブページのパフォーマンスを測る指標です。詳しくは次の章で解説します。 つまり、WEBのパフォーマンスにおいて画像の最適化は重要な観点でありユーザ体験に直結することがわかります。 画像最
【テンプレ付】chatgptを使ってツールの要件定義をしたら工数が40時間→4時間になった - みんなのシステム企画
「chatgptを使って要件定義の工数を削減したい」 「そもそもchatgptを使って質の高い要件定義ができるのだろうか」 とお悩みなのではないだろうか。 結論、chatgptで質の高い要件定義を短時間で実現することは可能だ。 実際に私もchatgptを使って下記のような要件定義書を完成させた。 通常この要件定義書を0から自力で作ろうと思うと40時間はかかるが、chatgptを使う事によって4時間で完成させることができた。 しかし、ただプロンプトをなんとな投げ掛ければ良いというわけではない。 目的を達成するために綿密に設計をしたプロンプトを投げかける必要がある。 また、要件定義の中でも ・chatgptに丸投げして良いところ ・自分で手直しをした方が良いところ を精査することも大切だ そこで今回は上記のような要件定義書を4時間で完成させるために、私がchatgptへ投げかけたプロンプトを全
自分を語る記事が読まれない理由|岩佐 文夫
一生懸命書いても読まれなかったブログ記事僕がビジネス雑誌の編集長をしていた時の話である。月刊誌だったため、読者との接点を増やそうと思い、毎週、編集長ブログを書いていた。内容は、その週に出会った人との会話や、雑誌を作りながら考えた経営マターについてなどであり、固定読者もついてそこそこ人気のコンテンツとなった。中でも、読んで面白かった本の記事がよく読まれ、紹介した本の著者や出版社からお礼を言われることも度々あった。 このブログでは、雑誌の発売に合わせ、月に一度は、自分の雑誌の内容紹介をしていた。制作の裏話も含めて、僕らがこんな想いで最新号を作ったので、是非読んでほしいと言う内容である。 ところがである。この月に一度の「自分の雑誌の最新号」についてのブログは、毎回ページビューが伸びないのだ。読者は少ならずこの雑誌に興味を持ってくれているはずなのに、その雑誌の内容について書くと読む人が少なくなる。
世間のスニーカーブームがいきなり終わってしまったのですが|伊藤聡
スニーカーに熱狂した日々の終わり2023年、驚くべきことにスニーカーブームが終わってしまった。本当に終わったのだ。これはなにも「私自身がスニーカーに飽きてしまった」「マイブーム終了」という意味ではない。世間的に、そして何人かの識者の意見によればおそらく全世界的に、あれほど熱狂的だったスニーカーブームがいきなり終焉してしまったのである*1。店頭には買い手のない製品が積まれ、メーカーはセールを連発し、ショップは次々に閉店し、新製品を買うための行列はなくなった。スニーカーショップ「atmos」を立ち上げた本明秀文氏(現在は退社)と、ディレクターの小島奉文氏は、スニーカーブームは2014年あたりから本格的になり、それ以降はずっと右肩上がりだったと語っている*2。約8年から9年のあいだ、人びとはスニーカーの争奪戦に明け暮れ、寝ても覚めてもスニーカーに夢中であった。レア製品の転売額は、二次流通市場で元
ソルト付きハッシュのソルトはどこに保存するのが一般的か - Qiita
pictBLandとpictSQUAREに対する不正アクセスがあり、パスワードがソルトなしのMD5ハッシュで保存されていたことが話題になっています。 2023年8月16日に外部のフォーラムにpictSQUAREより窃取した情報と主張するデータ販売の取引を持ち掛ける投稿が行われた(中略)パスワードはMD5によるハッシュ化は行われているもののソルト付与は行われていなかったため、単純なパスワードが使用されていた29万4512件は元の文字列が判明していると投稿。(それ以外の26万8172件はまだMD5ハッシュ化されたままと説明。) 不正アクセスによるpictBLand、pictSQUAREの情報流出の可能性についてまとめてみた - piyolog より引用 これに関連してMD5ハッシュやソルトに関するツイート(post)を観察したところ、どうもソルトの理解が間違っている方が多いような気がしました。
カスタマイズ可能なマルウェア検知ツールYAMA - JPCERT/CC Eyes
攻撃のファイルレス化やマルウェアの難読化が進むにつれて、ファイル単体で悪意の有無を判断することは難しくなっています。そのため、現在ではサンドボックスやAIなどを活用したマルウェア検知手法やEDRなどのマルウェア感染後の不審な挙動を検知する技術が一般化しています。それでも、インシデントレスポンスの現場ではウイルス対策ソフトでは検知できないマルウェアが見つかることが多々あります。このような未知のマルウェアが見つかると、同種のマルウェアがネットワーク内部に潜伏していることを網羅的に調査することになりますが、ウイルス対策ソフトでは検知できないため、1台ずつ手動で調査する必要があります。 このような問題を解決するためにJPCERT/CCでは、マルウェア検知をサポートする目的でYAMAというツールを作成し、公開しました。YAMAは、自身で作成したYARAルールを使用してメモリスキャンをすることが可能で
引っ越しで「高額な原状回復費用」を請求されたけど、父が弁護士だったから何とかなった | ふ凡のすすめ
こんにちは、ふ凡社です。 2023年1月に引っ越しをした。 引っ越しにあたって、元々住んでいた物件の管理会社から高額の「原状回復費用」を請求された。大変ビックリした。 「いや、その請求内容はおかしいでしょ」と交渉を試みたが、双方の主張は平行線で埒があかない。さてどうしたものか。 私は不動産や賃貸周りの知識についててんで素人だが、一つ大きなアドバンテージがあった。 父が弁護士なのだ。 奇しくも、秒でアクセスできる一親等に法のプロフェッショナルがいる。「この七光り、今使わなくて、いつ使う」ということで、弁護士ダディの全面サポートを受けつつ「はじめての訴訟」をやることにした。 結論から言うと、私は父のおかげで高額な支払いを回避することができた。いっぽうで、決着に至るまでの道のりはかなり大変だった。 この記事は、問題発生からどんな流れを経て裁判にいたり、どんな決着がついたかまでをまとめたレポートで
AWSのNAT gatewayを整理して月額約$357のコストを削減しました - Oisix ra daichi Creator's Blog(オイシックス・ラ・大地クリエイターズブログ)
SREの林 aka もりはやです。 今回はAWSコスト削減についてです。 *注意*参考のスクリーンショットでパブリックなIPやリソースIDが表示されていますが、検証環境のもので既に削除済みです TL;DR NAT gatewayの料金は意外と高い 歴史的経緯で沢山のNAT gatewayが存在した NAT gateway整理の流れ 1. 未使用のPrivate Subnet・Route tableを削除する 2. VPC内の同一AZのNAT gatewayを集約する 3 . 上記の対応で不要となったNAT gatewayを削除する NAT gatewayの"Monitoring"画面で、各種メトリクスが変動していないか 削除対象のNAT gatewayがRoute tableから利用されていないか確認 ついにNAT gateway削除!でもEIP(Elastic IP)は残るので注意 終わ
Windows 11がTLS 1.0/1.1のサポートを終了、不具合が予想されるアプリ一覧
Microsoftは8月1日(米国時間)、「TLS 1.0 and TLS 1.1 soon to be disabled in Windows - Microsoft Community Hub」において、2023年9月にビルドを開始する「Windows 11 Insider Preview」において「TLS 1.0」および「TLS 1.1」をデフォルトで無効化すると伝えた。これは近い将来のWindows 11でTLS 1.0およびTLS 1.1がデフォルトで無効化されることを意味している。 TLS 1.0 and TLS 1.1 soon to be disabled in Windows - Microsoft Community Hub TLS (Transport Layer Security) 1.0は1999年に発表、TLS 1.1は2006年に発表された通信プロトコル。暗号
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
定番サーバー「1U2ソケット」に迫る危機、液冷方式は熱問題の解決策になるか
続・Switchのサラウンド問題。ヘッドフォンで5.1ch再生する方法とは【西川善司の大画面☆マニア】
