VS Codeで任意コード実行が可能だった脆弱性から学ぶ、Electron開発の注意点(CVE-2021-43908) - Flatt Security Blog
初めに こんにちは。株式会社Flatt Security セキュリティエンジニアの石川です。 近年、クロスプラットフォームなデスクトップアプリケーションを作成する上で、Electronを採用することが選択肢の1つになってきています。 Electronの開発では、ライブラリとしてのElectronの実装と、その上にユーザーが構築するデスクトップアプリケーションの2つのコードが存在します。デスクトップアプリケーションの実装においても、メインプロセスとレンダラープロセス、サブフレームなど、考慮すべき概念が多数存在します。 そこで本稿では、Electronのアーキテクチャを意識しながら、実際に発見された脆弱性の傾向について考察することで、 Electron開発者が開発時に気を付けるべき点とその緩和策について、セキュリティの観点から記述していきます。 その上で、一例として、2022年のBlack H
5月新刊情報『ソフトウェア設計のトレードオフと誤り』
『ソフトウェア設計のトレードオフと誤り ―プログラミングの際により良い選択をするには』 Tomasz Lelek、Jon Skeet 著、渋川 よしき、山田 智子、本田 健悟、辻 大志郎、宮永 崇史、小橋 昌明、柏木 祥子、岸本 卓也、後藤 玲雄、棚井 龍之介、原木 翔、山本 力世 訳 2023年5月25日発売予定 472ページ(予定) ISBN978-4-8144-0031-7 定価4,180円(税込) 「プログラムを設計するときに行った技術的な判断や選択が、後日大きな制約となる」これはプログラマなら誰しも経験したことのあることでしょう。本書は、そんなプログラミングにおける各種の設計上の選択について、トレードオフの内容やそれがどのような誤りを招きうるのかという点を踏まえて紹介する書籍です。 コードの重複、エラーや例外処理、柔軟性と複雑性のバランスのようなコードレベルの選択から、APIの設
2023年、今私が使っている生産性爆上げツールたち - Qiita
Original article:https://blog.cassidoo.co/post/producivity-apps-2023/ 以下はCassidy Williams ( dev.to / Twitter / GitHub / Webサイト ) による投稿、The Productivity apps I use in 2023の日本語訳です。 技術者には珍しくWebサイトがファンシー。 The Productivity apps I use in 2023 お気に入りのツールや、それをどう使って仕事を進めるのかについてよく聞かれます。 その質問に答えるため、そして次に同じことを聞かれたときにリンクを投げつけるために、この記事を書いています。 効率的ですね! 昨年にも同じ記事を書きましたが、全てを書ききれていなかったのと、さらに書き足したいことがあったことに気が付きました。 なお
グラフが論理的思考力を高める
図1 リンクの種類(意味的関係) 文と文の間の関係などはISO(国際標準化機構)の国際標準になっており、図の意味的関係の集合はそれらの国際標準を参考にして策定したもの。こうした関係の集合は言語に依存しないと考えられる。 従って、テキストの代わりにグラフを正式の文書として作成・編集・活用すれば、教育や業務、研究における文書処理(文書の作成・編集・活用)の効率が高まるはずです。さらに、グラフ作成者の批判的思考力が高まるため、文書処理に限らないさまざまな場面で知的生産性が向上すると考えられます。 テキストよりもグラフの方が文書処理の効率が高いのも、グラフを作成すると批判的思考力が高まるのも、グラフが論理的な構造を明示的に表現し、操作を容易にしているからだと考えられます。セマンティックエディタは、論理的な構造の操作をさらに容易にすることで、グラフのこのようなメリットを増大させると期待されます。 し
ErgoArrowsProの紹介をするよ! - 自作キーボード温泉街の歩き方
こんにちは。自キ温泉ガイドのサリチル酸です。 今回は比較的長い時間(1年半)をかけて開発してきたErgoArrowsProがついに完成したので、改めて特徴について説明したいと思います。 ErgoArrowsProとは 写真で見るErgoArrowsPro 特徴1:指の長さにあわせたキー配列 特徴2:アロー(カーソル)キー 特徴3:アルミ削り出しケース 特徴4:すべてのキーがホットスワップ可能で組立簡単 特徴5:BLE Micro Proによる無線接続が可能 特徴6:一体型パームレスト 特徴7:テンティングスタンド 特徴8:LEDは非搭載 特徴9:カバーケース 特徴10:Remap / VIAで簡単にキーマップが変更可能 基本的なスペック 販売ページ 紹介記事 ランキング参加中 おわりに ErgoArrowsProとは ErgoArrowsProはErgoArrowsの上位版というより、今の
Linux におけるファイル I/O の基礎
すべてがファイルというモデルの Linux (Unix) において、ファイル I/O (以降単に I/O と書く) を知っておいて損はない。 この記事では、基本的なファイルと関連する I/O について、対応する Linux システムコールも併せて説明する。 次回はこれらを実際に Linux 上で確認する予定。 ファイル Unix におけるファイルとは、普通「通常ファイル」のことを指し、バイトがリニアに並んだデータ (byte stream) のことである。 ファイル内のバイトは読み書きが可能で、指定されたバイトから開始する。この開始バイトはファイル内の「位置」と考えることができ、ファイルポジションまたはファイルオフセットという。 通常ファイルとは別に、スペシャルファイルというファイルとして表現されたカーネルオブジェクトがある。Linux では、スペシャルファイルとしてデバイスノード・名前付
Dockerについて網羅してみた(ハンズオンあり)
Dockerコンテナの概要と利点 コンテナでぐぐると、「仮想サーバー技術がうんたらこんたら〜」と出てくるが、それは忘れていいというのから衝撃を受けた。笑 それから入る情報が多かったので、(正直意味不だった) 一言で、コンテナとは「互いに影響しない隔離された実行環境を提供する技術」 もっとシンプルに考えていい。難しく考えようとしていた →システムの実行環境を隔離した空間のこと 例)システムAとシステムBは、コンテナがあれば例えば、共通のフレームワークをアップデートしたりしても互い影響はない コンテナの特徴は、「独立」していること(ここで言う独立とは単体で完結していること) 1台のサーバーにシステムが複数あっても競合しないこと コンテナを実現するソフトの代表が「Docker」 DockerはLinux上で動作するソフトで、Linuxに「Docker Engine」をインストールするとDocke
MINDHACK
English page is here. 悪人の頭をお花畑にするテキストADV 【『MINDHACK』二次創作・ファン活動・配信活動に関してのガイドライン】 (2023年4月6日更新) 『MINDHACK』ムービーパートが正常に再生されない方へ ABOUT 『MINDHACK』は、悪人の頭の中をお花畑に変えるテキストアドベンチャーゲームです。 あなたは他人の精神をプログラムで破壊できる天才ハッカー。 個性的な悪人たちをハックして、ハッピーな人格に書き換えましょう。 どんな札付きのワルも、あなたの手にかかればピュアな子羊に早変わり。 精神破壊の快感をお楽しみください。 WORLD 『MINDHACK』は、現代社会とファンタジーを融合させた世界の物語です。 ギャングのヘッドを務めるウニ、カルト宗教の信者、 異星からやってきた怪生物、世界の破滅を目論む魔王…… 素性も姿も多種多様な悪人たちを、
Docker一強の終焉にあたり、押さえるべきContainer事情
章立て はじめに Docker・Container型仮想化とは Docker一強時代終焉の兆し Container技術関連史 様々なContainer Runtime おわりに 1. はじめに Containerを使うならDocker、という常識が崩れつつある。軽量な仮想環境であるContainerは、開発からリリース後もすでに欠かせないツールであるため、エンジニアは避けて通れない。Container実行ツール(Container Runtime)として挙げられるのがほぼDocker一択であり、それで十分と思われていたのだが、Dockerの脆弱性や消費リソースなどの問題、Kubernetes(K8s)の登場による影響、containerdやcri-o等の他のContainer Runtimeの登場により状況が劇的に変化している。本記事では、これからContainerを利用したい人や再度情報
[書評] ハッキングAPI ―Web APIを攻撃から守るためのテスト技法
サマリ ハッキングAPI―Web APIを攻撃から守るためのテスト技法(2023年3月27日発売)を読んだ。本書は、Web APIに対するセキュリティテストの全体像と具体的なテスト方法を記載している。ペンテスターは、APIの検出、APIエンドポイントの分析、攻撃(テスト)を行う必要があり、そのために必要な情報がすべて記載されている。また、実習のためのツールと「やられサイト」を複数紹介し、具体的なトレーニング方法を解説している。単にツールやサイトの使い方の説明にとどまらず、本格的なペネトレーションテストの考え方を説明している。 本書の想定読者はAPIのペネトレーションテストを実施するペンテスター及びペンテスターを目指す人であるが、API開発者やウェブアプリケーション脆弱性診断員にとっても有益な内容を多く含む。 重要事項説明 本書の監修者の一人(洲崎俊氏)と評者は知人関係にある 評者が読んだ書
GPTの仕組みと限界についての考察(1) - conceptualization
GPT4が登場してChatGPTが盛り上がってますね。 本記事は、GPT(を支えるTransformerという仕組み)をChatGPTユーザにとって分かりやすく説明し、その能力と限界についての見通しをよくしよう、という趣旨になります。 少し長くなりそうなので、全部で記事を3回に分けようと思います。 (1)大まかな背景と概要:本記事 (2)GPTの能力と可能性:実際の使用例とTransformerの仕組みを踏まえて説明 (3)GPTの限界と未来展望:Transformerの仕組みが持つ限界と研究の進展を予想 GPT3と4の違い: トークン長とは何か? まずここから話を始めます。GPT-3は、パラメータ数が750億個(850GBの容量を食う)でトークン長が4097(GPT-3.5)でした。GPT-4は、パラメータ数は非公開でトークン長は32768ですので、ちょうど8倍になります。 さて、トーク
個人的AWS ログ管理のベースライン - mazyu36の日記
AWSのログ管理についてはいくつか考えるポイントがあると思います。 どのログを保存するか。 CloudWatch Logs(以下CW Logsと記載)とS3のどちらに保存するか、もしくは両方に保存するか などなど。 システムの特性によるところも多いかと思いますが、自分の中でのログ管理のベースラインが定まりつつあるので、頭の整理がてらまとめます。 自分の中での大まかな方針としては以下です。 S3に保存できるものは基本S3に保存する。 以下の場合は、CW Logsに保存する。必要に応じてS3に転送する。 アラームを出したい場合 さっとCW Logs Insightでログを確認したい場合 CW Logs に出さざるを得ない場合 全体像としては以下になります。 なおあくまで個人的な経験に基づくものなので、実際にはシステムの特性を踏まえて方針の決定が必要かと思います。 またこれは必要、これは不要など
LINEの通信プロトコルを解析する方法
前置き 本記事は特定のサービスのリバースエンジニアリングを推奨するものではありません。 リバースエンジニアリングの学習を目的とした利用を前提としています。 また、この記事は私が2021年に公開したWrite-upの日本語訳です。 内容は2018年に行ったリバースエンジニアリングの結果に基づいていますが、2020年にはいくつかの仕様が変更されたことに留意してください。 Shh 0. LINEの解析について こんにちは、リバースエンジニアリングについて学んでいる らと です。 各国にはそれぞれ人気なメッセージングアプリがあると思いますが、私の国、日本ではLINEが最も多くのユーザーに利用されています。 私はLINEの通信プロトコルに非常に興味がありましたが、LINEはOSSアプリケーションではありません。 そのため、LINEをリバースエンジニアリングすることに決めました。 1. LINEってな
ゼロからのOS自作入門 - ぱたへね
ゼロからのOS自作入門を1年かけて読みました。 book.mynavi.jp 長い時間かかりましたが、それだけの価値がある本です。 OSに限らずCPUや周辺デバイスの制御を手を動かしながら勉強したい人にお勧めです。 C++のソースコードが読みやすく、解説も詳しいです。ただ、扱っている内容が高度なのでちょっとよく分からないところがでてくるのはしょうがないと感じました。ただ、一回は動かしたという自信がつくので、今後何か必要な事が出てきたら、確実にこの本に戻ってこれます。 これからもずっと本棚に居続けるそんな本になりました。 本の内容 ブートローダーから始まって、GUI付きのOSを作っていきます。タスク(プロセス)の管理、入出力、ファイルシステム、GUIとパソコンっぽい機能が充実しています。最低限動くところをC++のソース付きで解説してあるのですが、その最低限の所がかなり上の方にありました。楽し
情報セキュリティ企業が“脆弱性だらけのWebアプリ”無償公開 実習用の題材に
WAF開発を手掛けるEGセキュアソリューションズ(東京都港区)は2月28日、Webアプリケーションの脆弱性について学べる実習用アプリケーション「BadTodo」を無償公開した。同アプリは多くの脆弱性を含んでおり、実際に攻撃したりソースコードを確認したりして実践的に学習できるとしている。 BadTodoは脆弱性診断実習用のアプリ。情報セキュリティの専門家であり同社CTOの徳丸浩さんが制作した。Webブラウザ上で動くToDoリストアプリとして動作するが、情報処理推進機構(IPA)の「IPA ウェブ健康診断仕様」や国際Webセキュリティ標準機構の「OWASP Top 10」で紹介されている脆弱性を網羅的に含む、脆弱性だらけのアプリになっている。 EGセキュアソリューションズによると、BadTodoには各種脆弱性を自然な形で組み込んでおり、脆弱性スキャンで見つかりにくい項目も含んでいるという。 徳
知的好奇心がくすぐられる良質なゆっくり解説
ここでの「ゆっくり解説」の定義:ゆっくりボイス又はボイロを使って解説をしている、まんじゅうが居なくても良い 「ちょっと調べた」とかコタツ記事のレベルを超えてるゆっくり解説をまとめる 難しすぎるとかマニアックすぎるタイプは除いてる 他にあったら教えて (なんかYoutubeへのリンクが貼れなくなってる?量多いからかも) 奇書の人三崎律日/Alt F4 著書持ち ニコ動からやってて有名なので今更かとは思う @altf4854 しくじり企業の人カカチャンネル こちらもニコ動からやってた古参、最近は起業家の話とか調査報告書の解説もやってる @cakachannel 地理の人地理の雑学ゆっくり解説 この人の動画は雑学というレベルではない、地理x人類史が非常に面白い、参考にした本もたまに教えてくれる @GeoYukkuri 生き物系へんないきものチャンネル 著書持ち、ざんねんないきものブームの火付け役
ダメなUIを作るコツ|yumemi
先日、「イカれたUIを作ろうの会」というオンラインイベントを開催しました。多くの皆さまにご参加いただき、誠にありがとうございました。 また、当イベントでは期待以上に自由で多様なUIがお披露目され、おおいに血湧き肉躍りました。主催者としてうれしい限りです。 ちなみに社内でも「ダメなUIを作ろうの会」と銘打って勉強会を実施しました。こちらもクローズドな空間ならではの盛り上がりを見せました。 社内での勉強会のお知らせ背景そもそもこのような会を実施した背景には、つぎのように思ったことがきっかけでした。 エンジニアとかUXとかDXとかHCDとかと比べてUIのイベントが少ない気がする。酔いどれUIデザイン選手権をやりたい。一番イカれたUIをデザインしたやつが勝ち。 — yumemi (@n__yumemi) January 24, 2023 たとえば、connpassで検索したときの結果は「UIデザイ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Winnyのネットワークの面白さ | ドクセル
データベースの仕組み(アーキテクチャ)をざっくり理解する
音声合成してみよう
