GitLabで1クリックアカウント乗っ取りが可能だった脆弱性から学ぶ、OpenID Connect実装の注意点 - Flatt Security Blog
はじめに こんにちは。株式会社Flatt Securityセキュリティエンジニアの森(@ei01241)です。 最近は認証や認可に際してOpenID Connectを使うWebサービスが増えていると思います。「Googleアカウント/Twitter/Facebookでログイン」などのUIはあらゆるサービスで見かけると思います。しかし、OpenID Connectの仕様をよく理解せずに不適切な実装を行うと脆弱性を埋め込むことがあります。 そこで、突然ですがクイズです。以下のTweetをご覧ください。 ⚡️突然ですがクイズです!⚡️ 以下の画面はOAuth 2.0 Best Practice上は推奨されないような実装になっており、潜在的リスクがあります。https://t.co/bXGWktj5fx どのようなリスクが潜んでいるか、ぜひ考えてみてください。このリスクを用いた攻撃についての解説記
よくあるSPA+API構成でのOpenID Connectクライアント実装 - Sogo.dev
この記事はニフクラ等を提供している、富士通クラウドテクノロジーズ Advent Calendar 2022の2日目の記事です。 昨日は @ntoofu さんの パケットキャプチャからKubernetes APIのTLS通信を解析する でした。 私は TLS な時点でパケットキャプチャを諦めてしまいそうですが Linux の便利な仕組みと気合があれば TLS 1.3 のパケットキャプチャも可能だとわかり、とても有益でした。私もギークなエンジニア目指して頑張ります。 今日は OpenID Connect のクライアントをどう実装するかについて検討してみたいと思います。 FastAPI + SPA (Vue.js) でちょっとした社内ツールを開発した時に社内の認可基盤との OpenID Connect を用いたログイン連携機能を作りたかったのですが、実装のための情報が少なかったので記事に残してお
SPA認証トークンはlocalStorageでもCookieでもない、Auth0方式はいいねというお話 - @mizumotokのブログ
SPA認証トークンをどこに保存するかは論争が絶えません。localStorageやCookieがよく使われますが、Auth0は違う方法を採用しています。この記事では、Auth0のトークン管理の方式を理解でき、トークン管理上のセキュリティへの理解を深めることができます。 SPAの認証トークンをどこに保存するか ブラウザでトークンを保存できる場所 保存場所の比較 メリット・デメリット Auth0のアプローチ トークンはインメモリに保存 OpenID Connect準拠とトークン取得のUI/UXの悪化回避を両立 Auth0のjsライブラリ ログイン アクセストークンの(再)取得 図解 ログイン アクセストークンの(再)取得 自サービス内の認証だけのもっと簡易な構成 ログイン IDトークン取得 まとめ SPAの認証トークンをどこに保存するか React やVueで認証付きSPA(Single Pa
The False Identifier Anti-pattern
Today, we’d like to highlight a dangerous anti-pattern in the identity world: the false identifier anti-pattern. An anti-pattern is a common response to a recurring problem that’s usually ineffective and risks being highly counter-productive. You may have also heard of the password anti-pattern. Today's discussion represents a possibly even more dangerous practice. The false identifier anti-patte
バックログアイテムの管理をNotionで取り組んでみた
こんにちは、CastingONEでPdMをしている小林です。 日々プロダクト開発を行う中でバックログアイテムの管理は非常に重要です。今回は弊社がどのようにバックログアイテムの管理を行っているか、その設計思想や運用した結果どのような効果が得られたかについて紹介します。 バックログアイテム管理における弊社の課題 これまで弊社では、バックログアイテムの管理にTrelloやZenHubといったツールを活用してきました。しかしながら、これらのツールにはいくつかの課題がありました。 まず、ツールの使い勝手の面で、主にカンバンViewが採用されており、リストViewでのバックログアイテムの管理が難しく、全体像を把握しにくいという点が挙げられます。 直近のタスクを消化するという観点ではカンバンViewは非常に優れていますが、ビジネス部門が把握したいのは全体像であり、全体を俯瞰してプロジェクトを確認するとい
Notionで非エンジニアも巻き込んでスクラムしたら一体感が生まれた話|PharmaX Blog
はじめにこんにちは、PharmaX株式会社のエンジニアの尾崎(@FooOzaki)です。 この度、PharmaXでアドベントカレンダーを実施することになり本記事は節目の10日目の記事になります! 今回はセルフメディケーション事業部でプロダクト管理の仕組みをNotionで改善した話を紹介しようと思います! ・エンジニアと非エンジニア間で溝を感じたり、同じ目線でプロダクトに向かいきれていない感覚がある ・エンジニア以外のメンバーに開発状況がうまく伝わりきらない もしこの悩みに共感できたり心当たりある人には何を課題に感じ、どう改善したのかという部分にはヒントが転がっているのではと思いますので、ぜひ読んでみてください! Notionはツール・手段の1つでしかありませんので、馴染みのない人にも伝わるように書いたつもりです! ちなみに事業部のnotionページはアクセス性抜群で今日もいい感じです! 議
GitHub Projectsを使った(プロダクト/ スプリント)バックログ管理 #スクラム | DevelopersIO
★ はGitHubによって作られるものです。 以降、ビュー名はアルファベットで表記します。 New Item Product Backlog Item (PBI)候補の新アイテム一覧を表示します。新アイテムはリファインメントの度に確認され、Product Backlogへ移るため、本ビューは空が基本の状態となります。 クエリ no:size -ready:"Drop" Product Backlog PBIの一覧を表示します。優先順位順に並んでおり、プロダクトオーナーの合意の下で並び替えを行うことができます。 クエリ is:open -no:size -ready:"Drop" Sprint Backlog 今スプリントの対象となっているPBIとその進行状況を表示します。 クエリ sprint:this レーン概要 statusカラムの値ごとに整理されます。 TODO 進行中ではないアイテ
Keycloakのコンポーネント設計の基礎 - Qiita
本記事の概要、目的 本記事は、OSSのIDプロバイダであるKeycloakを、ソースコード上から機能カスタマイズする際に重要となるポイントを押さえた解説を行います。 Keycloakの特徴として、OSSであり、拡張性高く設計されている点が挙げられるため、認証サーバを選定する際、拡張性を重視する際には有力な候補となるかと思います。 実際にKeycloakで安全に機能拡張する際、基礎的な構造を理解した上でコーディングを行う必要があります。 しかし、コンポーネント設計に関してKeycloakは独自のアーキテクチャを採用しており、若干取っ付きづらい面があります。 本記事は これからKeycloakのカスタマイズを行う Keycloakのカスタマイズを行ってみたものの、イマイチ仕組みがよくわからない という人向けに、土台を理解した上で納得のいくコーディングが行えることを目標としています。 本記事で扱
2024年版のDockerfileの考え方&書き方 | フューチャー技術ブログ
最近はお客さんとの勉強会でDockerのドキュメントをつまみ食いして読むというのをやっていますが、改めて最新版を読んでみて、いろいろ思考が整理されました。2020年の20.10のマルチステージビルドの導入で大きく変わったのですが、それ以前の資料もweb上には多数あり「マルチステージビルドがよくわからない」という人も見かけるので過去の情報のアンラーニングに使っていただけるように改めて整理していきます。 仕事でPythonコンテナをデプロイする人向けのDockerfile (1): オールマイティ編で触れた内容もありますが改めてそちらに含む内容も含めて書き直しています。 本エントリーの執筆には@tk0miya氏から多大なフィードバックをいただきました。ありがとうございます。 基本的なメンタルモデル現代的な使い方を見ていくために「Dockerを使ってビルドする」というのはどのようなものか考えを整
Algomaticの採用哲学|大野峻典 | Algomatic CEO
こんにちは、株式会社Algomaticの大野(@ono_shunsuke)です。 2023年4月に、20億円の投資を原資に「生成AI時代を代表する企業になる」ことを目指し、Algomaticという会社を作りました。Algomaticは、この技術革命期におけるチャレンジの数を最大化すべく、スタートアップスタジオ的な組織構造を取り、複数領域で同時に事業を立ち上げています。 複数事業の同時立ち上げスタートアップスタジオ型の組織スタートアップスタジオ構想は、言うは易く行うは難しで、いわば複数のスタートアップの創業メンバーを同時に集めるようなものであり、特に採用・組織づくりについては、とてもチャレンジングな取り組みです。 しかし、これまで創業から約1年、仲間集めと事業立ち上げの両面で、(まだ道半ばではありますが)確かな手応えを感じています。現在、フルタイム25名、パートタイムを含めて40名の心強いメ
Techouse社内勉強会の内容を紹介します(1) データベース<ACID編> - Techouse Developers Blog
Techouseの「エンジニア基礎勉強会」とは Techouse では「基礎勉強会」と称して2週間に1回、わたしが OS・ネットワーク・データベース・ハードウェア・セキュリティ・システムアーキテクチャなどをお話する勉強会を開催しています。 講師は私ひとり、資料を準備するのも私ひとり、動画を収録して YouTube Live で社内向けに配信する作業も私ひとりでやってます。 参加は任意ですが、社内のメンバー (社員・インターン生・業務委託でご参画いただいている方) の多くの方が参加してくれています。先日の RubyKaigi 2024 に参加してくれたメンバーもほとんどがこの勉強会に参加し、基礎的な知識をもった上でセッションへ臨んでくれました。 開催履歴 これまでの開催履歴はこんな具合です。 見ていただくとわかる通り、ほんとうに基礎的な内容を1個ずつやっているということがわかるかと思います。
UML 2 コンポーネント図
UML 2 コンポーネント図の概要 by Scott W. Ambler, Copyright 2003 コンポーネントベース開発(component-based development: CBD)とオブジェクト指向開発は一緒に使われるものであり、コンポーネントを構築するための基礎技術としてはオブジェクト技術が好んで使われることがよく知られています。私は通常、UMLコンポーネント図をアーキテクチャレベルの成果物として使います。これはビジネスソフトウェアアーキテクチャや技術ソフトウェアアーキテクチャのモデリングに使いますが、たいていはその両方です。物理アーキテクチャ、特にハードウェアの問題に関しては、UML配置図またはネットワーク図を使うとよいでしょう。実際私の場合は、これらの図を行き来して作業を進めます。 規模の大きなチームではコンポーネント図が特に有効です。サイクル0で行う最初のアーキテ
Phan静的解析がもたらす大PHP型検査時代 - pixiv inside [archive]
こんにちは、pixivでPHPをやってるうさみです。健全なコードベースは黙っても降ってこないので、チーム全体で開発効率を高めるような改善をするのがお仕事です。 テキストエディタはmicro推しです ヾ(〃><)ノ゙☆ さる11月3日に大田区産業プラザ PiOで開催されたPHPカンファレンス 2016にて大怪獣に蹂躙されながらPhanについて30分のセッション発表をいたしましたので、その内容を紹介します! Phanとは PhanはPHPの静的解析ツールです。開発元はハンドメイドのマーケットサービスを運営し、現在PHP作者のRasmus Lerdorf氏する米Etsy社です。もちろんRasmus Lerdorf氏も開発に参加してます。 Phanは以下のような項目を検出できます。 関数・クラス・定数・変数などがすべて定義済か、アクセスできるか 関数の型と引数の数が合ってるか PHP5とPHP7の
![Phan静的解析がもたらす大PHP型検査時代 - pixiv inside [archive]](https://cdn-ak-scissors.b.st-hatena.com/image/square/7fdaa8be58c79ec950cacb6d1ae0d8f7de33e9bf/height=288;version=1;width=512/https%3A%2F%2Fcdn-ak.f.st-hatena.com%2Fimages%2Ffotolife%2Fz%2Fzonu_exe%2F20161111%2F20161111195637.jpg)
ロギングベストプラクティス - kawasima
#翻訳 https://www.scalyr.com/blog/the-10-commandments-of-logging/ CC BY 4.0 @Brice Figureau 1.自分でログの書き出しをしない printfをつかったり、ログエントリを自分でファイルに書き出したり、ログローテションを自分でやったりしてはいけない。運用担当者にお願いして、標準ライブラリやシステムAPIコールを使うようにしよう。そうすれば、実行中のアプリケーションが他のシステムコンポーネントと適切に連携して、特別なシステム設定なしに適切な場所またはネットワークサービスにログを記録できるようになる。 ロギングライブラリを使いたければ、特にJavaの世界にはLog4j, JCL, slf4j, logbackなど多くのものが存在する。私はslf4jとlogbackを組み合わせて使うのが好きだ。とてもパワフルで、設
SREチームで始めたSLOモニタリングを プロダクト開発組織に拡大している話 | ドクセル
SREチームで始めたSLOモニタリングを プロダクト開発組織に拡大している話 株式会社ユーザベース 安藤裕紀 2023.8.23 みんなで考えるシステムの安定運用Night〜信頼性から紐解くこれからの開発〜 LT 00 自己紹介 安藤 裕紀 / Yuki Ando NewsPicks SREチームリーダー 大手SIerで10年半エンジニア/アーキテクトとしてアプリケーション 開発、インフラ構築、クラウド活用コンサルティングなど大企業の 技術支援を行った後、2021年10月よりニューズピックス入社。 現在の仕事はSREチームのリードとエンジニア採用の推進。 ©Uzabase, Inc. All Rights Reserved.
初めて書くPRD(プロダクト要求仕様書)|Miz Kushida
※ Product Manager Advent Calendar 2018 の1日目の記事となります。 はじめにプロダクト・マネージャーの皆さん、PRD(Product Requirements Document)に何を書いていますか? ここでは”初めて”書くPRDとして、一体どういう内容を書けばいいのかを述べたいと思います。具体的な粒度については、Product Huntの例(本文参照)を見ていただければと思います。 PRD Template例えば、プロダクト・マネジメント界隈では知らない人はいないであろう、及川さんのこちらの記事にもPRDについて述べられています。 上記の記事は2017年のものですので、内容もアップデートされていると思いますが、参考になる部分は多々あります。上記の記事の再掲となりますが、記載すべき内容の見出しを以下に列記します。 1. 概要 2. 背景 3. プロダク
これからはじめる 実践SRE / SLO の監視をやってみよう
SRE がアツいですね。 昨年は以前に増して SRE 関連のイベントも増え、SRE 人材への注目も更に高まっていると感じた 1 年でした。私も Google Cloud の Customer Engineer として、お客様へ SRE のお話をする機会が増えてきています。 ご存知の通り、SRE は Google から生まれた運用プラクティス、またはそのロール自体を指す言葉です。 詳細は無料で読むことができる書籍を御覧ください。 “Site Reliability Engineering” 及び “The Site Reliability Workbook” (右上の右2つ)は HTML 形式 なので、Google Chrome で右クリックして 翻訳を選択するという簡単な手順で日本語でも読むことができます。(書籍がよい方は日本語版も購入できます。) 今回のテーマは SLO (Service
情報セキュリティ部「部内勉強会」の取り組み
はじめに MICINの情報セキュリティ部では、2021年3月から部内勉強会を毎週開催しています。最初は4名から始まりましたが、部門メンバーの増員や組織改編もあり、現在は毎週10名程度が参加し、持ち回りで発表を行っています。勉強会の目的としては、 最新の技術情報の交換 各自の業務内容のアウトプット・キャッチアップ 各自が興味のある情報の共有 としており、本の輪読や技術解説、ハンズオンなど形式は様々で、ジャンルも情報セキュリティ部が担当するセキュリティやSRE・インフラ分野だけでなく、生成AIやワークスタイルなど、情報セキュリティ部のメンバーとして有益な情報であれば、何でもOKとしています。 この記事では、2023年に部内勉強会で発表された内容をジャンル別にご紹介します。情報セキュリティ部の1年間の取り組みについて、簡単に知っていただければ幸いです。 部内勉強会の様子(オンラインとのハイブリッ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
[マイベストTech Lead rince氏]あらゆる商品を扱う商品データベースを再設計した話 #データ負債解消2 | Offers Magazine
PHP | Qodana