OWASPに学ぶパスワードの安全なハッシュ化 | DevelopersIO
Dropbox はソルトとペッパーを利用 次の Dropbox 技術ブログによると、2016年9月時点の Dropbox は、パスワードをソルト化とペッパー化のコンボで保存していました。 How Dropbox securely stores your passwords - Dropbox 具体的には パスワードを SHA512 でハッシュ化 このハッシュ値をソルトとともに bcrypt でハッシュ化 最後にペッパーを鍵に AES256 で暗号化 というようにパスワードを多段で保護してデータベースに保存していました(AES256(BCRYPT(SHA512(PASSWORD) + SALT), PEPPER))。 ※ 図はブログ記事より引用 Dropbox はあくまでもペッパーの実例として紹介しました。 bcrypt の項でお伝えしたように、bcrypt 処理前にパスワードをハッシュ化す
secretlint を使って機密情報を git commit できない環境を作る | DevelopersIO
AWS アクセスキーなど、機密情報の git commit を防ぐ secretlint の紹介記事です AWSアクセスキーセキュリティ意識向上委員会って何? 昨今、AWSのアクセスキーを漏洩させてしまうことが原因でアカウントへの侵入を受け、 多額の利用費発生・情報漏洩疑いなど重大なセキュリティ事案が発生するケースが実際に多々起きています。 そこで、アクセスキー運用に関する安全向上の取組みをブログでご紹介する企画をはじめました。 アクセスキーを利用する場合は利用する上でのリスクを正しく理解し、 セキュリティ対策を事前に適用した上で適切にご利用ください。 tl;dr 開発をはじめる前に、次の手順を実行しよう シェルスクリプトの保存 次のシェルスクリプトを ~/.git-template/hooks/pre-commit として保存しよう。 #!/bin/sh FILES=$(git diff
[Flutter] v1.22から使用できるボタン系のWidgetと代わりにdeprecatedになるWidgetについて | DevelopersIO
[Flutter] v1.22から使用できるボタン系のWidgetと代わりにdeprecatedになるWidgetについて Flutter v.1.22以降使用可能になるTextButtonなどのWidgetとそれに対応してdeprecatedになるWidgetについて扱います。 Flutterでよく使われる主要なボタンのいくつかがdeprecatedになって今後新しいボタンに変更する必要があります。 ドキュメントで紹介されている"Old buttons"は、大抵の場合要求する仕様を満たすことができます。一方アプリにカスタムテーマが必要な場合に使いづらい点がありました。Flutterv1.22からOld buttonsを置き換える"new universe of Material buttons"が使用できるようになっています。deprecatedになったボタンはすぐに使用できなくなるわけ
![[Flutter] v1.22から使用できるボタン系のWidgetと代わりにdeprecatedになるWidgetについて | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/12b9241adb95f448735d29037460ff45a577f6ab/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2020%2F02%2Fflutter.png)
よりよくわかる認証と認可 | DevelopersIO
少し早いですが、メリークリスマス!事業開発部の早川です。 早いもので、入社して 1 ヶ月半が経ちました。 現在は、 prismatix の理解を深めながら、導入支援を行っています。 今回はその中から、認証 / 認可についてお伝えします。 と言っても、これまでに同僚達が書いた分かりやすい記事がありますので、これらのガイダンスの形で、整理していきたいと思います。 ジョインしました 以来、初めての記事となりますドキドキ 目標 本記事をご覧いただいた後、こちらのスライドを何となく理解できる気がすることを目標とします。 本スライドに関するブログ記事はこちらです。 AWS Dev Day Tokyo 2018 で「マイクロサービス時代の認証と認可」の話をしてきた #AWSDevDay 目的 まず、認証 / 認可を学ぶ理由を考えてみました。 近年、様々なサービスが API を通じてつながり、より便利
React界隈で話題になっている「React Server Components」についてまとめました! | DevelopersIO
React界隈で話題になっている「React Server Components」についてまとめました! どうもReact大好きCX事業部の片岡です! 今回はReact界隈で話題になっている「React Server Components」についての内容を意訳してみました。 元ネタ 話題になっているこちらの記事が元ネタです。 https://reactjs.org/blog/2020/12/21/data-fetching-with-react-server-components.html 概要 Fetch APIでデータをやり取りすると、バケツリレーが発生します。例えば、Spotifyのアーティストページにはアーティストの情報と人気の曲とアルバム一覧が並びます。この時、人気の曲とアルバム一覧を取得するには、アーティスト情報を取ってこないといけません。そうすると、アーティスト情報を取得して
「はじめてのAWS設計でやりがちな失敗パターンまとめ」について発表しました #devio2020 | DevelopersIO
西澤です。クラスメソッドに入社してからおよそ5年間クラウドの推進やAWS技術に関する支援をさせていただいております。この経験を何か形にしたいと思い、少し遅れてしまったのですが、Developers.IOイベントに乗じてまとめさせていただきました。 発表資料 資料はこちらにアップロードしております。 夜間に録音したので覇気が無い感じになってしまいましたが、動画はこちらです。 まとめ 「AWS設計でやりがちな失敗パターン」というタイトルで考え始めたのですが、もっともお伝えしたい点は、AWSを利用されるお客さまのマインドセットを変え、クラウドを活用できる組織に変わって欲しい、というところに集約できるかなと思います。技術的な問題以上に、考え方を変えられないこと、組織を変えられないことが、クラウド活用を阻害するアンチパターンになっていると思いました。 どこかの誰かのお役に経てば嬉しいです。
TwitterAPIを申請して一発で承認されるまでの手順まとめ(例文あり)+APIキー、アクセストークン取得方法 | DevelopersIO
大阪オフィスのYui(@MayForBlue)です。 最近TwitterAPIを申請する機会があり、申請から一発で承認されたので、手順をまとめました。 申請作業にかかった時間は20分くらいで、申請から約6時間後に承認のメールが届きました。 目次 前提 TwitterAPIを利用申請する APIキーとアクセストークンを取得する 最後に 前提 TwitterAPIを申請するためのTwitterアカウントを持っていること TwitterAPIの申請に使ったことがない電話番号を持っていること 今回の申請の理由 個人開発のWebアプリでTwitter認証を使用したいから TwitterAPI公式ドキュメント TwitterのAPIについて TwitterAPIを利用申請する 対象のアカウントでログインした状態でTwitter Developerにアクセスします。 画面右上の「Apply」をクリック
JavaScriptでもLINQを使って集計処理を簡単に実装しよう! | DevelopersIO
[ { "event_code": "deviocafe_wt-test", "person_id": 76, "transaction_no": "019" }, { "event_code": "deviocafe_wt-test", "person_id": 74, "transaction_no": "019" }, { "event_code": "deviocafe_wt-test", "person_id": 75, "transaction_no": "018" } ] というデータをtransaction_noでグルーピング&person_idをマージして [ { "transaction_no": "019", "event_code": "deviocafe_wt-test", "person_id": [76, 74] }, { "transaction_no":
【2020年】AWS全サービスまとめ | DevelopersIO
このエントリは、2018年、2019年に公開したAWS全サービスまとめの2020年版です。これまではいくつかに分割して公開していましたが、1エントリにまとめてほしいという要望をもらっていたため、今年は1エントリに集約してみました。 こんにちは。サービスグループの武田です。 このエントリは、2018年、2019年に公開した AWS全サービスまとめの2020年版 です。これまではいくつかに分割して公開していましたが、1エントリにまとめてほしいという要望をもらっていたため、今年は1エントリに集約してみました。どちらがいいのか正直わからないので、フィードバックなどあれば参考にさせていただきます。 2020-01-08 リクエストがあったためAmazon Mechanical Turkを追加。 2018年まとめ 【2018年】AWS全サービスまとめ その1(コンピューティング、ストレージ、データベー
ロックインとはなにか?すべてが悪いのか?「開発におけるロックインのリスク評価と考え方」 #AWSDevDay | DevelopersIO
ロックインとはなにか?すべてが悪いのか?「開発におけるロックインのリスク評価と考え方」 #AWSDevDay とかく悪の象徴として語られがちな「ロックイン」ですが、それが本当に悪いものなのか?そもそもロックインとはなにか?それのリスクをどう考えればよいのか?真正面から解説された素晴らしいセッションでした。 「いや、そこまでAWSどっぷり使ってもうたら、他に移行するの大変やん?」 あなたがユーザー側クラウド導入推進担当として、あるいはクラウドベンダーの担当として上司やお客様から冒頭の質問を投げかけられた時、どのように答えますか? 自分もクラウドベンダーの一員としてお客様と対峙する時、基本的には「AWSにあるものは基本的に全て使いましょう。それが結局は一番オトクです」と答えているんですが、それがすべて本当なのか?AWSのなかでもマネージドサービス複数あるけど、使えば使うほどええってわけでもない
Xcodeの面倒なキャッシュ削除をGUIで行えるMacアプリ『DevCleaner for Xcode』 | DevelopersIO
GUIで面倒なXcodeのキャッシュファイルを削除できるアプリケーション「DevCleaner for Xcode」のご紹介 Xcodeは使用していると開発速度向上を目的としたキャッシュデータを大量に蓄積していきます。開発をしているとそのようなデータを消したくなる時があります。 Xcodeは〜/ Developerフォルダにキャッシュファイルやシンボルを格納していきます。 ディレクトリの場所は決まっているので手動かスクリプトで削除することが多いと思います。今日iOSやFlutterの情報を発信しておられる@_monoさんがそのような内部データをGUIで削除できるアプリケーションを紹介しておられました。 素晴らしいツールを手に入れた( ´・‿・`) > There’s a great tool called DevCleaner which will easily delete up to
【実録】アクセスキー流出、攻撃者のとった行動とその対策 | DevelopersIO
それぞれのフェーズの詳細は以下のようになります。 当該アクセスキーを利用した不正な操作が行われる 流出したアクセスキーを利用し以下の操作が行われました。APIレベルの操作です。一連の操作はスクリプト化されているように見受けられます。 CreateAccessKey 流出したアクセスキーを利用し新規のアクセスキーを作成 DeleteAccessKey 流出したアクセスキーを削除 CreateUser IAMユーザーを作成(権限不足により失敗) CreateKeyPair 新規のアクセスキーを利用しキーペアを作成 RunInstances 全リージョンでインスタンスを起動 各リージョンで20のインスタンスが立ちあがる(起動上限はデフォルトのまま) m5.24xlargeなどインスタンスサイズが大きいものが優先される その後、起動したインスタンスにて仮想通貨Moneroのマイニングが行われました
[社内資料公開]営業向けAWSセキュリティ勉強会 | DevelopersIO
クラスメソッドでは、定期的にエンジニアから営業向けの勉強会を行なっています。先日、セキュリティに関する勉強会を行いました。せっかくなので、皆さんにも資料を共有します。 クラスメソッドでは、定期的にエンジニアから営業向けの勉強会を行なっています。先日、セキュリティに関する勉強会を行いました。せっかくなので、皆さんにも資料を共有します。 セキュリティはなぜ難しいのか? セキュリティに関するAWSサービスはたくさんあり、またパートナー製品も数多くリリースされています。 セキュリティのために何をすればいいのかよくわらない方も多いかと思います。 なぜセキュリティは複雑で難しいのでしょうか? 私たち自身のセキュリティについて考えてみる AWSのセキュリティを考える前に、私たち自身のセキュリティについて考えてみましょう。 私は今、会社の会議室に同僚といます。 皆さんも会社の会議室にいるシチュエーションを
VSCodeでServerless FrameworkのAWS Lambda(TypeScript)をデバッグする | DevelopersIO
どうも!大阪オフィスの西村祐二です。 最近、AWS LambdaをTypeScriptで書く機会が増えてきました。 また、Serverless Frameworkを使う機会も個人的に多少あります。 そこで今回はそのVSCode上でAWS Lambda(TypeScript)をデバッグする方法を紹介したいと思います。 どうやるか 前提として、Serverless Frameworkのaws-nodejs-typescriptテンプレートで雛形を作成したとして進めていきます。 VSCodeのデバッグ設定で下記の設定をすることで、VSCode上で、Serverless FrameworkのAWS Lambda(TypeScript)をデバッグすることができます。 ポイントはsmartStepをtrueにしておくことです。そうしないと、ブレークポイントで止まらずに処理が終了してしまいます。 ファン
GCDを使った非同期処理について改めて調べてみた | DevelopersIO
iOSアプリを開発する際のGCDを使った非同期処理について、理解があやふやだったので改めて調べて、色々と試してみたその結果とメモ。 大阪オフィスの山田です。久しぶりの執筆です。iOSアプリを開発する際のGCDを使った非同期処理について、理解があやふやだったので改めて調べて色々と試してみました。備忘録です。 GCDの基礎知識 GCDについて GCDとはGrand Central Dispatchの略です。ディスパッチキューにタスクを詰めると、タスクを実行してくれます。 キューのタスク処理について キューのタスク処理の方法は2種類あります。 Serial(直列) Concurrent(並列) Serialは、前のタスクが完了次第、次のタスクが実行されます。そのため、同時に実行されるタスクは1つです。Concurrentは、前のタスクの処理状況に関わらず、次のタスクが実行されます。 キューの種類
無料になった Pull Panda を GitHub に導入すると、Pull Requestのやり取りが自動化されて便利に!! | DevelopersIO
My DM settingsの設定も忘れずに行いましょう!!(個人毎に設定が必要です) Team reminders 指定したチャンネルで、指定時間になるとPull Requestが通知されます。(Pull Requestが無ければ通知はされません) Pull Requestが無ければ通知はきませんが、レビュー待ちのPull Requestがあると@usernameでレビュワーに対して通知されます。 また、「レビューが完了したPull Request」も作成者に通知がきます! 「レビューでコメントして承認されなかった」ときは、再レビュー時に明示的にレビュー状態にしてあげないと、通知されません。 (下記を押せばOKです) My DM settings 個人毎に詳細な設定ができます。 (とりあえず全部通知させて、邪魔ならOFFにしようの精神) 主に下記の通知が便利です! レビュワーになったとき
とにかく英語が話せるようになりたい!エンジニアがチャレンジしているおすすめ英語教材12選 | DevelopersIO
クラスメソッドでは空前絶後の英会話ブーム。社内でシェアされ、支持が多かった英語教材(書籍・アプリ・サービス)を12選してみました。 とにかく英語が話せるようになりたい! 俺は英語を勉強したいわけじゃない。英語で会話できるようになりたいんだ!! ということで、現在クラスメソッドでは 空前絶後の英会話ブーム が到来しています。そのきっかけはオンライン英会話・レアジョブを法人契約したことに始まります。今ではSlackのChannelの参加者も120人超となりました。 その主な目的はズバリ ビジネスで使うこと。 海外のカンファレンスに参加してエンジニアと話をしたり、海外発祥のサービスとビジネスパートナーになったり。または英語の技術ドキュメントを完全に理解して使いこなす…などなど、いまやクラスメソッドにとって英語は必要不可欠となりました。 現在、クラスメソッドでは月に1回の英語についてのLT大会を開
Androidで表示できる通知まとめ | DevelopersIO
Android Notification Androidの通知には様々なスタイルがあります。 今回は通知のスタイルに焦点を絞って解説いたします。 一般的なもの 何も指定しない場合、こちらの通知が表示されます。 内容が長い場合は省略されてしまうので、簡単な通知を表示する際に利用しましょう。 val notification = NotificationCompat.Builder(requireContext(), NotificationConst.CHANNEL_SAMPLE) .setSmallIcon(R.drawable.ic_notifications_black_24dp) .setContentTitle("Sample") .setContentText("Sample notification") .build() notificationManager.notify(S
あのGoogleアナリティクス実践本が全文無料公開!インターネット最高 | DevelopersIO
世の中よくないこともいろいろあるけれど、いい時代だと思わされるときもあります。例えばこういうニュースが舞い込んだときなんかには!ということでインプレスが運営するWebサイト「できるネット」が太っ腹企画を展開。Webコンテンツを触る(直感的&直情的な)人ならば誰しもが持ってることでおなじみの一冊、木田和廣著「できる 逆引きGoogleアナリティクス」が全文無料公開されています。多大な感謝かよ〜。 『できる逆引き Googleアナリティクス Web解析の現場で使える実践ワザ』全文公開の記事一覧(目次)- あの定番書がすべて読める! | できるネット 「逆引き」は必携Googleアナリティクス本のひとつ 星の数ほどあるWebマーケティングツール郡の中でも夏の大三角形レベルでエッセンシャルなアクセス解析ツールのGoogleアナリティクス(以下、GA)。ある程度直感的に使えはしますが、幅広い機能性が
【速報】Auth0がSign In with Appleをサポートしました!(ベータ版) #Auth0JP | DevelopersIO
Sign In with Appleを速攻でサポート 先日WWDC 19で発表されたばかりの Sign In with Appleを、Auth0が光の速さでサポートしました! 現在ベータ版で提供されています。 Integrated support for #SignInwithApple ? is now available in Auth0 as a beta feature ? Add Sign In with Apple to your applications with the flip of a switch → https://t.co/7XUcamdN6W#authentication #identitymanagement ? — Auth0 (@auth0) 2019年6月17日 How to Implement Sign In with Apple - Integrat
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
