4. 事前学習を振り返る • HSTSを元に次のような問題点を考察した その技術では解決できない問題 端末時刻の改ざんによるHSTSの強制失効 その技術の導入により新たに生じる問題 HSTSを用いたユーザー追跡 (HSTS Supercookies) 実装の誤りに起因する問題 指定を誤るとHTTPS非対応のサブドメインがアクセス不能に 仕様上既定されていない振る舞い HSTSはWebSocket(ws:)にも適用されるのか？ CVE-2015-1244: Chrome でWebSocketにHSTSが適用されない HSTSはプライバシーモードにも引き継ぐのか？ またその逆は？ 7. 私の戦歴(参考) • 次のような仕様不備を脆弱性として指摘してきた ChromeのCSP違反レポートの送信先が<base>で制御できる https://crbug.com/431218 ChromeのHTML

追記: (2015/8/3) 大量のはてブが付いたので 続き を書きました。 sshを使用している人は文字列を手軽に暗号化・復号化できるという話。 このテクニックを使えば色々セキュアになるのでおすすめ。 今回はシェルスクリプト中の平文パスワードをセキュアに代替する。 平文パスワードはやめよう シェルスクリプト中でパスワードが必要になったとき、 とりあえず平文で書いてしまいがち。 #!/bin/sh PASSWORD="hoge" これをセキュアにしたい。 面倒くさいのは嫌なので、なるべく手持ちのツールで暗号化、復号化したい。 ssh用の rsa 秘密鍵と、openssl(大抵の環境に入っている)を使って改善しよう。 秘密鍵の準備 パスワードを暗号化するにあたって、秘密鍵を使用する． sshを常用している場合は ~/.ssh/id_rsa という秘密鍵が存在するだろう。 もし秘密鍵が無ければ

渡辺です。 AWSの各サービスを最小限のリスクで運用するには、IAM(Identity and Access Management)の利用は必要不可欠です。IAMには様々な機能がありますが、基本となるUser, Group, Role, Policyを押さえることで、通常の運用についてはほとんどフォローすることができます。今回は、マネジメントコンソールを使ってIAM User / Group / Roleについての確認と、アクセス許可の与え方について解説します。 IAMを構成する基本要素 IAMでは大きく、User（ユーザ）とRole（ロール）の2種類のリソースを作成することができます。UserもRoleもAWSのリソースに対するアクセス許可を持つリソースですが、用途が異なります。また、Groupを作ることで複数のUserを同じアクセス許可を与えることができます。 はじめに、これらのIAM

Essential List of Web Development ToolsWebsites are the most important real estate on the internet. This essential list of web development tools will help you to organize your work with websites.

Spring BootによるAPIバックエンド構築実践ガイド 第2版 何千人もの開発者が、InfoQのミニブック「Practical Guide to Building an API Back End with Spring Boot」から、Spring Bootを使ったREST API構築の基礎を学んだ。この本では、出版時に新しくリリースされたバージョンである Spring Boot 2 を使用している。しかし、Spring Boot3が最近リリースされ、重要な変...

よくMySQLはゆるふわだから 値が勝手に切り詰められる エラーが起きずに変な値/日付が入る 不正なスキーマが入ってしまう など言われることがあります。ただそれは、そもそもの設定が悪いのです。(確かに昔デフォルトがゆるふわなのはいけなかったんですが) ということで、データベースには不正な値が入らないように設定はとにかく厳しくしておくのがオススメです。 じゃあどうするか。 MySQLはSQL Modeによって、その辺りの制約をコントロールすることができます。以前、MySQLのsql-modeで一番厳しいやつはTRADITIONAL、というのを書いたのですが、実はそれだけでは不十分で、TRADITIONAL,NO_AUTO_VALUE_ON_ZERO,ONLY_FULL_GROUP_BYとするのがより安心なようです。 これはkamipoさんに教えてもらいました。 @songmu TRADITI

「情報共有」というテーマは会社の大きな課題であると同時に、一大ビジネスでもある。 試しにGoogleで「情報共有」と検索してみてほしい。 「営業支援システム」 「社内SNS」 「グループウェア」 など、数多くの広告が表示されているだろう。この手の商売は、会社の悩みが尽きることがないので良い市場でもある。 だが、うまく情報共有をしている会社は残念ながら殆ど無い。大事だと思っていても、皆できない。前職でも「社内SNS」はあったが、活用している人は全体の1割から2割程度の人だっただろう。 なぜ大事だとわかっていても情報共有ができないのか。 答えは簡単だ。殆どの会社は「情報の入れ物」を導入することには熱心だが、その入れ物に情報を誰がどう入れるのか、考える事については熱心ではないからだ。 そういった入れ物は本来、自発的に情報を入れてもらわなければ質の高い情報が集まらないのだが、ほとんどの組織は「入力

先月投稿した2015年Webサーバアーキテクチャ序論では、Webサーバアーキテクチャを学ぶ道のりと代表的な実装モデルの概要を紹介しました。 今回は、前回同様、主に新卒Webエンジニア向けに、Webアプリケーションサーバとデータベースサーバ間の接続管理モデルと運用事情について紹介します。 データベース接続の永続化やコネクションプーリングとは何なのか、なぜ必要なのかといったことが主な話題です。 背景 データベース接続の永続化とはなにか データベース接続のオーバヘッド データベース接続の永続化手法 コネクションプーリングとはなにか コネクションプーリング: ドライバ型 コネクションプーリング: プロキシ型 コネクションプーリング全体について PostgreSQLとMySQL 参考資料 まとめ 背景 2015年Webサーバアーキテクチャ序論では、Webサーバアーキテクチャの話とWebアプリケーショ

こんにちは、しょごです。 CMSを使ったシステムサイト構築を長年やっていると、Movable TypeとWordPress、結局どっちがいいの？という疑問が出てくるかと思います。 そこで今回は、改めて完全ウチの目線でMovable Typeのメリットを検証してみたので、お伝えしていきたいと思います。 遠慮はしませんよ。マジで。 Movable Typeのメリットを検証してみた 今回お伝えするMovable Typeのメリットは下記のとおり。 HTMLの静的出力ができる 現行サイトに導入しやすい 導入はラク！設置＆ブラウザで必要情報入力するだけ テンプレート構築に必要なのは“MTML”のみ バージョンアップが簡単（システム的目線で） 「ウェブサイト」機能で同等のサイトを複数管理しやすい 1つずつ見ていきましょう！ 1. HTMLの静的出力ができる Movable TypeのメリットとしてHT

2015.06.03 スキル 社会人になったばかりの若いエンジニアの中には、一度この道に足を踏み入れたからには、自らの技術一本で身を立てていけたらという、強い思いを胸に秘めている人も少なくないのではないか。 そう考えて今回、Rubyの父として知られるまつもとゆきひろ氏に、あえて「これからの時代に技術だけで生き残るには？」という偏ったテーマで取材を依頼した。返ってきたメールの冒頭にあったのが、次の一文である。 「技術だけで生きるというのは幻想である」 まずはその真意を聞くところから、取材は始まった。 まつもとゆきひろさん(@yukihiro_matz) 1965年生まれ。筑波大学第三学群情報学類卒業。プログラミング言語Rubyの生みの親。株式会社ネットワーク応用通信研究所フェロー、一般財団法人Rubyアソシエーション理事長、Speeeをはじめとした複数社の技術顧問、Herokuチーフアーキテ

1. LeaderをSpaceキーにする Leader は素晴らしい概念です。キーの 組み合わせ ではなく 並び によって、操作を行えるようにするものです。私はこれを使っているので、操作のために” Ctrl -何らかのキー”の組み合わせを押す必要はめったにありません。 私は長い間、 , を Leader キーとして使っていました。ですがある時、キーボードの中で一番目立つキーにマップすることを思い付いたのです。Space（スペース）キーです。 これで私のVim生活は激変しました。今や、私は Leader をどちらの親指でも押すことができ、他の指は常にホームポジションにあります。 Leader がとても使いやすくなったので、私が様々なキーバインドで用いるようになったことは周知の話です。 2. 自分が特によく行う操作をLeaderにマップする 私は、自分がVimで作業を行っている中で、その時間の

mRuby.pmにmrubyの任意の関数を呼び出すインターフェースを追加しました。バージョン0.08としてリリースしています。 Perlのデータを引数として渡してmrubyの世界で扱い、mrubyの世界の値を返してPerlから使うことができます。 mrubyからPerlにデータを渡すことは今までのmRuby.pmでも可能でしたが、Perlからmrubyにデータを渡すことは0.08から新しくサポートしました。 つまり、以下のようなコードが動きます。 use mRuby; my $mruby = mRuby->new(src => <<'...'); def add(l, r) l + r end ... my $ret = $mruby->funcall(add => 1, 2) + 3 + $mruby->funcall(add => 4, 5); # => 15 これによって、iOS/A

シンプルで種類が揃っているアイコンは、見つけるのが大変。 Webサイトやアプリなど、ビジネスからポートフォリオや個人ブログまで多目的に使えるさまざまなアイテムが揃ったシンプルなデザインのSVGのアイコン素材を紹介します。 タイトルは800種類だとキリがいいのですが、799種類なので約800種類で。 Glyph Glyph -GitHub SVGアイコンをWebページに配置する方法 Glyphアイコン799種類とダウンロード方法 SVGアイコンをWebページに配置する方法 SVGアイコンをimgタグで配置 SVGアイコンを普通の画像のようにimgタグを使って配置します。 <img src="svg/si-glyph-bicycle-man.svg"> SVGアイコンをインラインで配置 SVGアイコンをエディタで開き、コードをコピペして配置します。右向きのアローだとこんな感じに。 <svg v

私たちの誰もが理解する”シンプル”という概念の正体を突き止めることは、難しそうに見えますが、実はそうでもありません。 私たちが製品やWebサイトをシンプルと感じるかどうかの背景には、”見れば分かる”ということだけではなく、単なる直観的な反応にとどまらない何かがあります。 Steve Jobs は次のように述べています。 シンプルであることは、複雑であることより難しい場合がある。物事をシンプルにするためには、思考を整理して懸命に考えなくてはならない。しかし、努力する価値はある。ひとたび達成すれば、山をも動かすことができるのだから。 シンプルにものを作ることにそんなに力があるのであれば、なぜ私たちはそうできないのでしょうか。 なぜシンプルであることは、こうも複雑なのでしょうか。 人生における多くの事柄と同じように、シンプルさには表面的に見えている以上の何かがあります。ここでは、私たちの脳が新し

Inc.：ウェブ解析サービスの新興企業であるCrazy Eggの共同創設者Neil Patel氏に、サービス開始前に知っていればよかったことは何かと尋ねたところ、彼は次のように回答しました。 「価格設定の方法を知っていればよかったと思います。最初に製品をリリースした際、私たちは収入および採算を最大化できるよう最適化した金額ではなく、自分たちが請求したいと思う金額に基づいて価格を設定してしまいました」 おそらく、こういった後悔をしている起業家はPatel氏だけではないでしょう。商売や経営の初心者にとって価格設定は非常に重要であり、かなり大変な作業でもあります。消費者は買い物に関してさまざまな偏見や予想外の傾向を持つことが知られていますが、製品に適正価格をつけることで、大金を損することを避けられるでしょう。 限られた時間の中で、価格設定に関するすべての資料をいちいち読んで値段をチェックせずとも