あとで読むに関するnotakzoのブックマーク (19)

  • 新NISA「やってはいけないこと」「すべきこと」最後の総点検

    やまざき・はじめ/1958年、北海道生まれ。東京大学経済学部卒業。現在、楽天証券経済研究所客員研究員。株式会社マイベンチマーク代表取締役。東京大学を卒業後、三菱商事に入社。野村投信、住友生命、住友信託、メリルリンチ証券、パリバ証券、山一証券、明治生命、UFJ総研など、計12回の転職を経験。コンサルタントとして資産運用分野を専門に手掛けるほか、経済解説や資産運用を中心に、メディア出演、執筆、講演会、各種委員会委員等を務めた。2024年1月1日、永眠。 山崎元のマルチスコープ 旬のニュースをマクロからミクロまで、マルチな視点で山崎元氏が解説。経済・金融は言うに及ばず、世相・社会問題・事件まで、話題のネタを取り上げます。 バックナンバー一覧 来年からいよいよ期待の新制度である「新NISA」が始まる。そこで、新NISAを活用する上で「やってはいけないこと」と「すべきこと」について、最後の総点検をし

    新NISA「やってはいけないこと」「すべきこと」最後の総点検
  • 2021年1Q 個人的おすすめ増田文学9選

    # タイトル日付 ブクマ感想1 茶とコーヒーと俺ん家の話 1/23 642 これぞ増田文学2 小さな図書館の思い出を喋りたい 2/27 274 生々しく悲しい別れの話3 コロナ失職したアラフォーおっさんが自作のWEBサービスを公開するまで 4/4 432努力の話。がんばれおっさん。4 はじめてラーメン二郎に行った 2/5 233 二郎デビューを思い出させるシズル感5 同棲を解消したら同棲を解消しなかった未来が見えた 2/26 353 じんわりと、ずっしりと胸に来る6 コロナで母が壊れた 2/6 183 最後まで読んで欲しい7 金沢駅のトイレで、e-maのど飴を握りしめたあの日のこと 2/2 518 心温まる素敵な増田8 緊急事態宣言下のカツカレー 1/27 922 日常を切り取るのが上手い9 市役所でべしゃり散らす女児を見ていて思った話 3/9 796 SFチック。興味深い。雑多に選んでみ

    2021年1Q 個人的おすすめ増田文学9選
  • 今年はてブで話題になった無料で読める読み切りマンガ10選 | アル

    はてなブックマークは、みんなが今、インターネット上で話題にしている記事がわかる「ソーシャルブックマーク」サービスです。 はてなブックマーク はてなブックマークはオンラインにブックマークを無料で保存できるソーシャルブックマークサービスです。みんながブックマークしたインターネット上の旬なニュースや情報が集まります。 b.hatena.ne.jp そして、今年はマンガの話題が非常に多くありました。まさに2020年はマンガの当たり年!といっても過言ではないでしょう。 そこで、この記事では、漫画を読みまくっているアル編集部が選んだ、「はてなブックマークで話題になった漫画作品で特に刺さったもの」をまとめてみました。すべて読み切りマンガでかつ無料のものを集めています。 全部オススメです! 読み切り作品その淑女は偶像となる(637users)

    今年はてブで話題になった無料で読める読み切りマンガ10選 | アル
  • 中古マンション購入の注意点5つ!プロ秘伝の失敗しないためのチェックリストを大公開 | ゼロリノベジャーナル

    宅地建物取引士/元銀行員 鰭沼 悟 宅地建物取引士、不動産投資家歴15年、元銀行員。不動産仲介からリノベーション設計・施工をワンストップで提供する株式会社grooveagent(ゼロリノベ)代表取締役。 中古マンションの購入で失敗しないために絶対に押さえるべき注意点は5つのみ! 中古マンションの購入で失敗しないためには、次の5つの注意点を押さえることが重要です。 資金計画 築年数 耐震性 設備 周辺環境 修繕計画 逆にいえば、これら3つさえきちんと押さえていれば、中古マンションの購入に成功する確率はぐっと高まります。 1-1.中古マンション購入で失敗する原因は「知識不足」 そもそも、中古マンションを購入しようと思ったきっかけは何でしょうか? 多くの方は、「好きなエリアで暮らしたいから」「比較的リーズナブルに購入できるから」といった理由のはずです。 とくに新築マンションの価格が高騰している首

    中古マンション購入の注意点5つ!プロ秘伝の失敗しないためのチェックリストを大公開 | ゼロリノベジャーナル
  • 普通の人が資産運用で99点をとる方法とその考え方 - hayato

    2024年9月13日、「普通の人が資産運用で99点をとる方法とその考え方」が日経BPから出版されました。詳しくはこちら。 はじめに 資産運用で 99 点をとる方法とその考え方について説明します。この記事の対象はいわゆる「普通の人」です。 資産運用趣味ではない。 資産運用を始めてみたいが何をしてよいのかわからない。 資産運用をすでに行っているが毎年ころころと方針を変えてしまっている。 資産運用に無駄に時間ばかり費やしている。 今のところ資産はすべて銀行の普通口座や定期預金にいれている。このまますべて現金でおいておくのも何か損しているみたいでモヤモヤする。だけど難しいことは勉強したくないし時間も使いたくない。 といった人たちです。 記事では最初に結論、すなわち「やるべきこと」を述べます。資産運用で 99 点の投資効率を達成するためにはこの結論部分だけを実行するだけでよいです。 次に、それだけ

    普通の人が資産運用で99点をとる方法とその考え方 - hayato
  • 楽しく生きるための100冊 2019|さとなお(佐藤尚之)

    ボクが主宰している「コミュニティ4th」では、毎月「Bookトライブ」という読書会をやっています。 一冊課題図書を決めて、みんなで読んできて感想を言い合う、という会ですね。 そこでここ数年、何を読んできたか、というのはこちらに書きました。 で。 去年の年末、そのトライブによく来ている谷川敦さん(あだ名はタフマン)という30歳男子(当時)が、こんなようなことを相談してきました。 「教養のある大人になりたいなあ、とぼんやりとした憧れを持っているんですが、ほとんども読まずに30歳になってしまいました。来年はBookトライブの課題図書だけでなく、もっとたくさんを読みたいと思うのですが、絶対読むべきを100冊くらい教えてくれませんか?」 ・・・なるほど。 ちょっと上からになって申し訳ないけど、良い心がけじゃw。 よし、ここはボクだけでなく、驚異の読みにして「Bookトライブ」の部長である高島

    楽しく生きるための100冊 2019|さとなお(佐藤尚之)
  • セフレですよ、不倫ですよ、ねえ、最低でしょ - 傘をひらいて、空を

    仕事の都合で別の業種の女性と幾度か会った。弊社の人間が、と彼女は言った。弊社の人間が幾人かマキノさんをお呼びしたいというので、飲み会にいらしてください。 私は出かけていった。私は知らない人にかこまれるのが嫌いではない。知らない人は意味のわからないことをするのでその意味を考えると少し楽しいし、「世の中にはいろいろな人がいる」と思うとなんだか安心する。たいていはその場かぎりだから気も楽だし。 彼らは声と身振りが大きく、話しぶりが流暢で、たいそう親しい者同士みたいな雰囲気を醸し出していた。私を連れてきた女性はあっというまにその場にすっぽりはまりこんだ。私は感心した。彼女は私とふたりのときには同僚たちに対していささかの冷淡さを感じさせる話しかたをしていた。 どちらがほんとうということもあるまい。さっとなじんで、ぱっと出る。そういうことができるのである。人に向ける顔にバリエーションがあるのだ。私は自

    セフレですよ、不倫ですよ、ねえ、最低でしょ - 傘をひらいて、空を
  • H2Oが自動生成したRandom Forestソースコードをハックする - WAF Tech Blog | クラウド型 WAFサービス Scutum 【スキュータム】

    はじめに H2OはH2O.ai社がOSSとして公開している機械学習の実装です。 筆者が使ってみた感じ、以下のような特徴があるようです Javaでフルスクラッチで開発されている しかし、PythonやRのユーザも取り込めるように、PythonとRのインターフェースもきちんと用意されている 使用できるアルゴリズムの数は非常に少ないが、どれもKaggle等でよく使われる厳選されたものになっている(上画像を参照) そのため、「サービスやプロダクトに機械学習を実用する」という視点だと、迷いがなく非常に使いやすい 研究や学習向けではなく、完全に実用向き 学習時に並列処理が行われるので、マルチコアCPUの良さを十分に活かすことができる。(H2Oでクラスタを作成することもできるようだが、筆者はそちらは調べていない) OSSであるが、非常にお金がかかっている印象。UIが洗練されており、ヘルプやドキュメントも

    H2Oが自動生成したRandom Forestソースコードをハックする - WAF Tech Blog | クラウド型 WAFサービス Scutum 【スキュータム】
  • WAFとHTTPリクエストスマグリング

    HRSとは 2018年の7月に、「XSS due to the header Transfer-Encoding: chunked」というタイトルでPHPの脆弱性報告がありました。 https://bugs.php.net/bug.php?id=76582 日語の情報源としては徳丸さんによるこちらの記事が参考になります。 この脆弱性は下記のように、HTTPリクエストヘッダ内に一見矛盾していたり、明確でない内容が含まれている場合の挙動についてのものでした。 Transfer-Encoding: chunked Content-Length: 25 この問題はHTTPリクエストスマグリング(HTTP Request Smuggling、以下HRS)と呼ばれていて、今から13年前、2005年に知られたものです。筆者は今から11年前に「ウェブアプリケーションセキュリティ」という(通称:金床)

    WAFとHTTPリクエストスマグリング
  • IPレピュテーションでウェブアプリへの攻撃は防げるか - WAF Tech Blog | クラウド型 WAFサービス Scutum 【スキュータム】

    はじめに IPレピュテーションはIPアドレスそのものの信頼性をスコアリングし共有する手法で、主にスパムメール対策において使われてきました。しかし近年では(他社さんの)WAFがウェブアプリケーションへの攻撃を防ぐためにIPレピュテーションを利用する、というケースが増えてきたように感じます。 筆者は、あくまで個人的な感覚としてですが、「IPレピュテーションはウェブの攻撃検知・防御では役に立たないだろう」と思っていたのですが、今回これを客観的に評価してみることにしました。 何を調べるか? IPレピュテーションというのは要するに「一度(あるいはそれ以上)悪さをしたIPアドレスは、次から許さないぞ」というアプローチです。つまりあるIPアドレスからの最初の攻撃に対しては無力ですが、一度攻撃を見つけたら、次からはそのIPアドレスからの攻撃を防ぐことができる、ということになります。 そのため調べるべきなの

    IPレピュテーションでウェブアプリへの攻撃は防げるか - WAF Tech Blog | クラウド型 WAFサービス Scutum 【スキュータム】
  • 2017年のJoomla LDAPインジェクション脆弱性について

    はじめに 2017年にJoomlaに見つかったLDAPインジェクションの脆弱性、CVE-2017-14596について調査をしたので、簡単にブログにまとめたいと思います。 怪しい動画 脆弱性があったのは./plugins/authentication/ldap/ldap.phpの中です。ユーザ入力をそのままエスケープ処理することなくLDAPのSearchに渡してしまっているという、典型的なものでした。 これを発見したのはRIPSTechという企業のようで、こちらのブログ記事が一時情報源となっているようです。この記事からはこの脆弱性を突くデモ動画へのリンクが存在しているのですが、この動画は非常に興味深い(?)です。 一見するとLDAPインジェクションの脆弱性をうまく突いて、管理者のパスワードを抜いているようであり、「あちゃ〜、Joomlaダメだこりゃ...」と思います。しかしよく考えると、かな

    2017年のJoomla LDAPインジェクション脆弱性について
  • 異常検知システム開発の難しさ

    はじめに 「異常検知したい」と考えている人は多いと思います。もはや囲碁ですら機械が人間を上回る時代となったので、システムの故障を発見したりクレジットカード詐欺を見つけたりという異常検知システムも、データサイエンスを使えば人間以上に優秀なものを作れるのではないか?と考えるのも自然でしょう。 一方で、実際に異常検知システムの開発に乗り出してみたものの、意外と上手く完成まで辿りつけなかったり、せっかく作ったけれども結局誤検知だらけでお蔵入りしたり、というケースもあるのではないかと思います。この記事では実際に異常検知システムをゼロから開発してみた経験からいくつかの点について書いてみたいと思います。 この記事にはアルゴリズム的な、技術的な知見は含まれていません。「もし居酒屋で異常検知をネタに呑むとしたら、このへんで盛り上がるかな」的な記事として書いてみましたので、お時間あるときに気軽に読んでいただけ

    異常検知システム開発の難しさ
  • ヒストグラムベースの異常検知アルゴリズムHBOSとは何か

    HBOSの概要 HBOSはヒストグラムベース、統計ベースの教師なし異常検知アルゴリズムです。非常にシンプルでわかりやすく、論文も読みやすいです。ラベルがついていないデータセットに対して適用し、各データについて異常度(Anomaly Score)を算出してくれます。利用者は結果と相談しながらこの異常度に対して閾値を決め、それ以上を異常として扱うような形で使うことができます。こちらの研究レポートでHBOSが速度・検出精度ともに優秀であることが紹介されています。 ヒストグラムベースとはどういうことか HBOSでは各特徴それぞれについて全データの値からヒストグラムを作成し、それぞれのビン(ヒストグラムのいわゆる縦棒のこと)について、所属するデータの数が多ければそのビンに所属するデータは正常、少ないならば異常という考え方でスコアが付けられます。個人的にはクラスタリングでの異常検知にも近い考え方だと思

    ヒストグラムベースの異常検知アルゴリズムHBOSとは何か
  • クラスタリングベースの異常検知アルゴリズムXBOSとは何か

    XBOSの概要 XBOS(Cross interaction based outlier score)はクラスタリングを使う教師なし異常検知アルゴリズムです。異常と正常両方を含んだラベルなしのデータセットに対して適用し、それぞれのデータに対して異常度のスコア付けを行う形で使用します。発想も実装も非常にシンプルで、Pythonではわずか55行のコードの実装になっています。Scutumにおけるアノマリ検知のために開発されたもので、こちらの記事で書いたようにかなり良い性能を発揮します。 XBOSの処理は大きく2つのステップに分かれており、まずクラスタリングを行い、次にクラスタ間の調整を行います。 Step1: K-Meansによるクラスタリング まずはじめにクラスタリングを行います。クラスタリング自体はどのアルゴリズムを使っても問題なく、ScutumではとりあえずK-Meansを使っています。K

    クラスタリングベースの異常検知アルゴリズムXBOSとは何か
  • Kaggleクレジットカード詐欺データセットで3種の異常検知アルゴリズムを比較

    はじめに Scutumでは2017年の初旬からアノマリ検知(異常検知)による防御機能の開発を格的にスタートし、1年ほどかけて徐々に実用性を高めてきました。ここで行っているのはいわゆる「教師なし学習による異常検知」で、中核としているアルゴリズムはXBOSというものです。 しばらくの間は完全に手探りでシステム開発を進めていて、異常検出のアルゴリズムの定量的な性能については科学的な裏付けに乏しい状態でした。「なんとなく動いている(異常を見つけることができている)ようだから、これでいいか」という感じの状態でデプロイし、結果を見て改善を重ねるというサイクルを繰り返してきた形です。 2018年になり、これまで殆ど目を通すことができていなかった異常検知に関する学術的な情報(論文等)を見ていたところ、いくつか面白い発見がありました。そこで今回、少し自分でも手を動かして調査したポイントのうちの1つ、3つの

    Kaggleクレジットカード詐欺データセットで3種の異常検知アルゴリズムを比較
  • さよならCSRF(?) 2017

    はじめに 2017年、ついにOWASP Top 10が更新されました。筆者が一番印象的だったのは「Top 10にCSRFが入っていない」ということです。 なぜCSRFが圏外になってしまったのかは4ページのリリースノートで軽く説明されています。「retired, but not forgotten」つまり「引退したね...でも君の事は忘れてないよ」という感じでしょうか。全米がCSRFのために泣きそうです。 それはさておき、具体的には「as many frameworks include CSRF defenses, it was found in only 5% of applications.」という部分が引退理由だと思われます。「多くのフレームワークがCSRF対策を備えた結果、5%のアプリケーションにしかCSRFは見つからなかった」というのが引退の理由です。 この理由を読むと、「というこ

    さよならCSRF(?) 2017
  • Tomcatに見つかった3つの脆弱性について

    はじめに Apache Tomcatに立て続けに見つかったCVE-2017-12615~12617の3つの脆弱性は基的には同じ原因によるものでした。3つのうち2つは任意のJSPファイルをPUTリクエストでアップロードできてしまい、アップロード後にアクセスすることでJavaのコードが実行できてしまう、というパターンのRCE。残りの1つはJSPがそのまま静的ファイルとしてアクセス可能なためにソースコードが漏洩してしまう、というものです。 今回JPCERT/CCも注意喚起するなど、広く知られることになりましたが、一方でなかなかパッチが提供されないという状況にもなっています。今回はこの脆弱性についての調査を報告します。 readonlyパラメータとは何か JSPがアップロードできてしまうのはreadonlyパラメータがfalseになっている場合です。このパラメータはデフォルトでtrueであり、f

    Tomcatに見つかった3つの脆弱性について
    notakzo
    notakzo 2017/10/03
    セキュリティ
  • Struts2 S2-052を例とした脆弱性攻撃手法の調査及びそれらを考慮した防御機能の開発

    はじめに 先日、Struts 2に新たな脆弱性S2-052(CVE-2017-9805)が発見され、修正されました。 これはリモートからの任意のコードの実行(RCE)が可能な脆弱性であり、「またか」と思われた方も多かったのではないかと思います...。 しかし実はこの脆弱性によるRCEは、過去繰り返しStruts2に報告されてきたOGNLインジェクションとは異なるメカニズムで発生するものでした。 ここでは、この脆弱性の原因と、RCEに至るメカニズムを解説してみようと思います。 多少プログラミングの知識のある方向けになってしまいますが、ご容赦ください。 シリアライズ/デシリアライズ プログラム内で扱うオブジェクトのインスタンスを特定のフォーマットに従ってバイト列に変換する、またその逆操作を行う仕組みをシリアライズ/デシリアライズと呼びます。 これは単なるデータの保存・復元ではなく、オブジェクト

    Struts2 S2-052を例とした脆弱性攻撃手法の調査及びそれらを考慮した防御機能の開発
  • Struts2が危険である理由

    はじめに 2017年3月、Struts2にまたしても新たな脆弱性(S2-045、S2-046)が見つかり、複数のウェブサイトにおいて情報漏洩等の被害が発生しました。筆者は2014年4月(およそ3年前)に「例えば、Strutsを避ける」という記事を書きましたが、今読み返してみると「やや調査不足の状態で書いてしまったな」と感じる点もあります。今回、良いタイミングなのでもう一度Struts2のセキュリティについてざっとまとめてみたいと思います。 なぜJavaなのにリモートからの任意のコード実行(いわゆるRCE)が可能なのか Struts2はJavaアプリケーションであり、Java製のアプリケーションサーバ上で動作します。Javaはいわゆるコンパイル型の言語であるため、通常はランタイムにおいて任意のコードを実行することはできず、RCEは難しいはずです。 JavaのウェブアプリケーションでRCEが成

    Struts2が危険である理由
  • 1