こんにちは。 苦しんでプログラミングを学んだ柴犬こと、「くるしば」と申します。 元々コンサルタントの仕事をしていましたが、独学でプログラミングを学習し、Webサービスを作って起業しました。 その後個人で開発したサービスを売却したり、また別のIT系の会社を創業、経営したりしています。 去年の8月から下記のTwitterにてプログラミング学習に関して発信し始め、ありがたいことに10000人以上の方々にフォローして頂きました。 プログラミング初心者に絶対覚えてほしい、ググる時の効率が10倍上がるコツ pic.twitter.com/hK1ZhNavwh — くるしば | 読めば10倍効率が上がるプログラミング学習の教科書 (@shiba_program) September 13, 2022 技術書、Webサービス、QiitaやzennのWeb記事など、最近は本当にプログラミングを学習できるコン
はじめに こんにちは。株式会社Flatt Securityセキュリティエンジニアの村上 @0x003f です。 本稿では、Webアプリケーション上で実装される「ログイン機能」の実装パターンをいくつか示し、その「仕様の中で起きうる脆弱性」とその対策について解説していきます。 「ログイン機能」はToB、ToC問わず多くのWebアプリケーションで実装されている機能で、XSSやSQL Injection、Session Fixationといったような典型的な脆弱性の観点については、なんらかの解説を見たことのある方も多いと思います。 しかし、「仕様の脆弱性」というのはあまり多く語られていない印象です。今回はそのようなタイプの脆弱性についての解説を行います。なお、IDaaSを用いずに自前でログイン機能を実装しているケースを複数パターン想定しています。 はじめに ログイン機能の仕様パターンとセキュリティ
はじめに 今作業しているマシンが、インターネットへ通信するときに、送信元IPアドレスが何になるか知りたいときはないでしょうか。 そんなときに私が使っているのが、https://ifconfig.io/ というサービスです。 以下の特徴があります。 curl ifconfig.io で単純に IPアドレスだけ返ってくる JSON に対応 IPv6 に対応 http / https 両対応 個人的に覚えやすいアドレス(主にこの理由で使っています) 使い方 ブラウザで https://ifconfig.io を開くと大体の使い方が分かります。 サクッと curl ifconfig.io 単純に IP アドレスだけ知りたときは curl ifconfig.io を実行します。一番良く使います。 $ curl ifconfig.io 203.0.113.1 IPv6 での通信の場合は、IPv6 アド
アスツール社からSmoozのサービス終了が発表されました。 Smoozのサービス終了のお知らせ | Smooz Blog さて、問題を拡大解釈する人がとても多いので、改めて書いておきますが、私が指摘したのは主に以下の点です。 ・プライバシーポリシーが非常に大雑把で、アプリを使う上でのユーザーの情報は企業側が柔軟に使えてしまうようなものだったこと ・何に利用するために、どのような情報を送信しているかが明確ではないこと ・サービス利用データの提供をオフにしても、ユーザーIDと紐付けた情報の外部送信が止まらないこと ・どのようなユーザー情報が記録保存されているか明確になっていないこと ちゃんと説明をして、送られる情報の範囲を線引きし、ユーザーに対して提示することが必要だと言っているんです。 情報を提供することに対して見合った対価が得られるのであればユーザーは使うだろうということも書いてきたように
202012_smooz.md Smoozサービス終了に寄せて 前置き この文章と、それに含まれる考察や各サービスへの脆弱性報告などはmala個人の活動であり、所属している企業とは関係ありません。 一方で私は、企業が閲覧履歴を収集して何をしたいのか、所属してる企業や他社事例について、ある程度詳しい当事者でもあります。 一般論として書けることは書けるが、(業務上知り得た知識で開示されてないものなど)個別具体的なことは書けないこともあり、また観測範囲に偏りがある可能性もあります。 Smoozに報告した脆弱性2件 最近、Smoozというスマホ向けのブラウザアプリに2件脆弱性の報告をした。 この記事を書いている時点で、Smoozの配布が停止されていて、修正バージョンの入手が出来ない。 2件目についてはまだ返事が来ていない。 脆弱性情報の開示にあたって特段の許可は得ていないが、開発元からも利用停止す
「ドコモ口座」+「Web口座振替受付サービス」の悪用 簡単な時系列 「Web口座振替受付サービス」のセキュリティがガバガバ 「ドコモ口座」もガバガバである 「Web口座振替受付サービス」のシステムも問題だが、「ドコモ口座」の責任も免れないだろう 9月9日中の追記 9月10日の追記 9月11日の追記 「ドコモ口座」+「Web口座振替受付サービス」の悪用 「ドコモ口座」を利用した不正送金が気になりすぎて自分でまとめてみた。 簡単な時系列から「Web口座振替受付サービス」の実体、「ドコモ口座」の問題点などを述べていきたい。 被害情況については ドコモ口座を悪用した不正送金についてまとめてみた - piyolog が詳しい。 手法は不明であるが、『ドコモ口座』の不正利用、誰が被害に遭う?→『ドコモ口座』を使ってない人(篠原修司) - 個人 - Yahoo!ニュース や 「ドコモ口座」で相次ぐ不正出
詳細不明なところもありますのでなんとも言えないんだけど、外部から見える範囲でわかる問題点について解説してみます。詳細を調べたら問題なかったり、中の人だけが知っている仕様によってクリアされている問題もあるかもしれません。 事実誤認があれば訂正しますのでよろしく。 そもそもドコモ口座って? ドコモユーザーならおなじみ、それ以外でも使えるアカウントサービスである「dアカウント」に紐づけてキャッシュレス決済などで使用できる電子マネー(だよね)のことです。 dアカウントは元々はドコモ契約者向けのアカウントサービスだったんですが、スマホを起点としたサービスを提供するに当たり、汎用的なアカウントサービス(ID提供サービスとも言えます)にするためにドコモの回線契約とのつながりを限定的にしたものです。GoogleアカウントやFacebookアカウントでのログインと同様、dアカウントでのログインができるように
はじめに 2兆3,176億円という壮大な予算額を計上し、2020年5月1日より受付が開始された政府の「持続化給付金」。所管は経済産業省(正確にはその外局たる中小企業庁)ですが、経産省はその執行にあたって「民間団体等に委託する」旨を、当初から明らかにしてきました(画像1)。 ※経済産業省関係令和2年度補正予算の事業概要(PR資料)p.13より引用。 民間団体への委託規模としては、類例を見ないほどに巨額のお金(しかも国費)が動く、今回の持続化給付金。しかも委託先にはその事務費(手間賃)として約769億円が支給されます(記事の⑤をご覧ください)。政府による布マスク配布事業の2倍近いお金が、一団体に流れ込むというのです。 令和2年補正予算案のもう一方の目玉であった10万円の一律給付(特例定額給付金/総務省所管)については市区町村を介しての給付となりましたので、民間委託はこちらのみ。委託先はどこが選
株式会社ウルフチーフ 代表取締役。TIS株式会社にて19年半、さまざまな業種のシステムアーキテクチャ設計を担当し、2018年に退職、株式会社ウルフチーフを創業する。以降流しのアーキテクトとして、前職時代から書き溜めていたOSSプロダクトや技術記事を元に、様々な現場でアーキテクチャの設計や研修を実施している。 課題:リポジトリの肥大化に伴ってリリース頻度が低下 川島 freeeではどのような課題を解決するためにマイクロサービス化を検討されたのでしょうか? 横路 freeeのプロダクトの成り立ちからお話しすると、「会計freee」の最初のリリースが2013年で、翌年に「人事労務freee(当時の名称は給与計算freee)」をリリースしました。その段階で既に、各プロダクトや認証・認可を扱うサービス基盤などは、リポジトリやサービスを分割する形で開発・運用を行っていたんです。 しかし、プロダクトがマ
大阪オフィスのYui(@MayForBlue)です。 クラスメソッドでAWSエンジニアというロールで働き始めて2ヶ月が経ちました。 元々プログラマだった私がAWSを勉強するために何をしたか、いま現在どのようにAWSを勉強しているかを備忘録として残しておきたいと思います。 特にこれからAWSを勉強したいと思ってる方の参考になると嬉しいです。 ポエムです。 目次 AWSを勉強するために最初にやったこと 現在の勉強方法 最後に AWS学習のおすすめ記事 AWSを勉強するために最初にやったこと 当時のスペック 当時(約10ヶ月前)はプログラマ歴1年ちょっとでインフラ、クラウドは実務経験も知識もない状態でした。 仕事では主に業務アプリのプログラマをやっていました。 なぜAWSを勉強しようと思ったか そもそもプログラマなのになぜAWSを勉強しようと思ったかですが、初めはAWSではなく"インフラ"を勉強
架空企業「オニギリペイ」に学ぶ、セキュリティインシデント対策:徳丸浩氏が8つの試練を基に解説(1/3 ページ) ECサイトやWebサービスでセキュリティインシデントを起こさないためには何をすればいいのか。2019年12月に開かれた「PHP Conference Japan 2019」で徳丸浩氏が、架空企業で起きたセキュリティインシデントを例に、その対策方法を紹介した。 ECサイトやWebサービスを提供する会社で発生したセキュリティインシデントに関するさまざまなニュースが後を絶たない。どうすればこうしたインシデントは防げるのだろうか。 『体系的に学ぶ安全なWebアプリケーションの作り方』(通称:徳丸本)の筆者として知られる徳丸浩氏(EGセキュアソリューションズ 代表取締役)は、2019年12月に開かれた「PHP Conference Japan 2019」のセッション「オニギリペイのセキュリ
Amazon Web Services ブログ モダンアプリケーション開発ホワイトペーパー(日本語改定版)が公開されました 皆さん、こんにちは! モダンアプリケーション開発スペシャリスト ソリューションアーキテクトの福井です。 私が執筆したモダンアプリケーション開発のホワイトペーパー(日本語版)がAWSホワイトペーパーサイトで公開されましたので、その内容を紹介させて頂きます。このホワイトペーパーは、以前こちらのブログで紹介させて頂いたModern Application Development on AWS(英語版)の日本語版になります。 ホワイトペーパーの内容 公開されたホワイトペーパードキュメントは、「AWS モダンアプリケーション開発 – AWS におけるクラウドネイティブ モダンアプリケーション開発と設計パターン」(日本語版)というタイトルの51ページのドキュメントで、 はじめに
Istio導入のメリットとハマりどころを、実例に学ぶ~マイクロサービス化の先にある課題を解決する マイクロサービス化にともなサービス間の接続の複雑化、という課題への対処としてサービスメッシュとこれをもたらす「Istio」が注目されています。Istioをいち早く導入したユーザベースの阿南さんが、導入メリットと、使って分かった「ハマりどころ」を解説してくれました。 マイクロサービスを増やしていくならサービスメッシュ化を検討すべき KubernetesやIstioは今までの技術の集大成 運用したからこそわかるIstioのハマりポイント ハマりどころ1:設定の反映が遅延する ハマりどころ2:エンドポイント登録がnamespase単位で分かれていない ハマりどころ3:istio-proxyの制限にひっかかる 使っている人に聞いてみた「Istio-proxyを経由すると10ms遅くなる?」 Istio
はじめに 中山です WorkLinkってサービスをご存じでしょうか? Amazon WorkLink のご紹介 今年の1月にリリースされたサービスなのですが、まだ東京では提供されていないためか、日本語での技術情報が公式のドキュメント以外ではほぼありませんでした(ニュースサイトの紹介記事を除く)。 唯一見つけた情報はこちらです。さすがクラウドネイティブさん。 AWS WorkLinkを触ってみました WorkLinkとは? クローズドなネットワーク内にあるWebサービスへモバイルデバイス (Android, iOS) でセキュアにアクセスための手段を提供します。 ユーザー認証はSAMLに対応したIdPと連携することができ、特定の要件を満たしたデバイスのみにアクセスを許可するような制御も可能です。 デバイス - WorkLink 間の通信はVPNで暗号化されます。 。。。と書いたものの、ちゃん
みなさんコンテナを使うことの意味を自信もって答えられるでしょうか? ここ1年ほどコンテナ関連の仕事をメインでやっているハマコーですが、いろんなお客様からこういったお声をいただくことが多くありました。 「それはコンテナ化する意味があるの?」 「こんなコンテナ運用は危ない?」 「ECSの設定とか実際めんどい。docker runじゃだめ?」 「EKSって使えんの?」 そういう声を聴く中で、自分なりの答えを模索していたわけですが、岡山での弊社イベントAWS最新技術の祭典Developers.IO 2019 at 岡山城へ登壇するにあたり、そのあたりのもやもやを自分なりに昇華したのが、本日の内容です。 「このアプリをコンテナ化する意味があるのか、わからない」 「コンテナ化することで余計めんどくさくなった」 「AWSのコンテナサービスの何を使ったら良いのかわからない」 という悩みを抱えている方には、
今年もラスベガスで、AWSの最大のイベントre:Invent開催中です。初回のキーノートが終わった所ですが、怒涛のサービス発表で頭が混乱中です。整理のために、サービスに対する感想をつけてみます。間違っているかもしれないので、悪しからず。 AWS AppSync モバイル等での複数端末のデータ同期を見据えたソリューション。必要性はすごく解るが、それってCognito Syncでやりたかったことじゃないのかな?認証認可のサービスにデータ同期を加えた筋の悪さを解消に来たのか? 2017/12/3 追記 中の人曰く、次のような役割分担とのこと AWSの新サービス群に対する一行所感 - プログラマでありたい ありがたし / Cognito Syncは「一つのIdentityに(≒一人の人間)が持つ」複数端末間での設定値等の同期のためのものだったので、前提と志向が違うのです > AppSync “それ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く