Passkey認証の実装ミスに起因する脆弱性・セキュリティリスク - GMO Flatt Security Blog
はじめに こんにちは、GMO Flatt Security株式会社 セキュリティエンジニアの小武です。 近年、WebAuthn、特にPasskeyはパスワードレス認証への関心の高まりや利便性の高さから、普及が進んでいます。 WebAuthnによるPasskey認証は強固な認証手段ですが、複雑な認証基盤の実装に不備があると、依然としてアカウント乗っ取りを含む従来のセキュリティリスクを払拭できません。 本記事では、W3CのWorking Draft(2025年5月現在)である Web Authentication: An API for accessing Public Key Credentials Level 3 を読み解き、Relying Party(RP)としてPasskey認証を導入する際に実装で注意すべき点を説明いたします。 はじめに Passkey認証でも生まれ得るセキュリティリ
頑張りすぎず、PlaywrightのCI実行時間を短縮した話 - カミナシ エンジニアブログ
カミナシのソフトウェアエンジニアisanaです。 カミナシレポートの開発に携わっています。 私たちのチームでは、Webアプリケーションの品質担保のため、Playwrightを用いたブラウザテストを実装し、GitHub Actionsで実行しています。しかし、このCIプロセスにおいていくつかの課題がありました。 他方、ソフトウェア開発においては日々寄せられるVoCに対応したり、新機能の開発を行うなかで、負債や課題を上手くハンドリングしていく必要があります。 本稿では、CIプロセスにおける課題をコスパよく解決するための改善策と、その過程で遭遇した「ハマったポイント」について、具体的な設定例を交えながらご紹介します。 PlaywrightやGitHub Actionsを利用している開発者の方々にとって、少しでも参考になれば幸いです。 前提となる環境 本稿で紹介する事例は、以下の環境を前提としてい
Apple、Intel x86_64アプリをApple Silicon Macで動作させる「Rosetta 2」の提供を終了するのを前に、macOS 26 Tahoe Beta 2でアプリのRosetta依存をチェックできるブートオプションを追加。
Appleがx86_64アプリをApple Silicon Macで動作させる「Rosetta 2」の提供をmacOS 27までで終了するのに先立ち、macOS 26 Tahoe Beta 2でRosettaを依存のアプリをチェックできるブートオプションを追加しています。詳細は以下から。 Appleは世界開発者会議(WWDC25)の基調講演で、次期「macOS 26 Tahoe」を発表すると共に、基調講演に次いで開催したPlatforms State of the Unionでは、macOS 26 TahoeがIntel Macをサポートする最後のmacOSになると発表し、 それに伴い、現在Intel Mac向けに開発されたx86_64アプリを、Apple Silicon Mac上で動くように変換するバイナリトランスレーター「Rosetta 2」の提供を、来年の秋にリリース予定のmacOS
なぜ私たちは住所正規化エンジンをRustで"再発明"したのか? - FFIによる多言語高速化と開発者体験の裏側 - Sansan Tech Blog
Sansan Engineering Unit マスターデータグループ(データ戦略部門)の松本です。 私たちのチームは、「Activating Business Data」というミッションを掲げ、企業の活動の礎となる重要なデータ、いわゆる「マスターデータ」とその利活用という課題に、技術を駆使して向き合っている組織です。 さて、ビジネスデータを扱う上で「住所」は欠かせない情報です。 それは単に「モノを届ける場所」を示すだけではありません。 お客様を深く知るための「解像度」になる: 顧客のオフィスの位置を正確に知ることは、効果的なマーケティングや営業戦略を立てる上で不可欠です。 データ統合の「鍵」になる: 複数のサービスやデータベースに散らばったお客様の情報を「同一人物である」と正しく繋ぎ合わせる(名寄せする)際、住所は氏名と並んで最も重要なキー情報となります。 このように、正確な住所データは
UIを変えたら、プロダクトもチームも、動き出した - RAKUS Developers Blog | ラクス エンジニアブログ
こんにちは、デザインマネージャーの青柳です。 あらゆるプロダクトにとって、最良のUXを目指すことは必然だと思います。 私たちもまた、お客様により快適な体験を提供するため、継続的なUX改善に取り組んでいます。 今回ご紹介するのは勤怠管理システム「楽楽勤怠」のUI/UX改善プロジェクト。 シリーズを一貫する体験設計と、顧客満足につながる独自性の両立を目指して、プロダクトの体験を一歩進める取り組みに挑みました。 今回はプロジェクトの背景・工夫・成果だけでなく、デザイン組織が実現したい未来像や、そこに挑むデザイナーたちの姿についてもお話しできればと思います。 目指すのは「一貫した体験の提供」と「使いやすさの向上」 視認性と導線改善を支える標準UIの力 限られたスペースに最適な導線を 実際に対応したデザイナーたちからのコメント 「顧客のために」その一言で、私は腹をくくった(デザイナー Aさん) 統一
Amazon Auroraのエンドポイントを変えずにKMSキーを交換する方法 - Nealle Developer's Blog
はじめに こんにちは。SREチームの森原(@daichi_morihara)です。最近はゴルフにはまっており、先日初めてラウンドをまわりました。スコアは138😇😇😇、伸び代ですね。 今回はAmazon Auroraのクロスアカウントバックアップの実装と、その際に生じたAmazon AuroraのKMSキーの差し替え作業で得た学びを共有しようと思います。 前提 AWS Backupというサービスを利用してAmazon Auroraのクロスアカウントバックアップを実装しました。AWS BackupはAmazon Auroraに限らず、RDSやDynamoDBなどの多くのサービスのバックアップを簡単に作成・管理することのできる便利なサービスです。 docs.aws.amazon.com このAWS Backupを使用してクロスアカウントバックアップを実装するにあたり、いくつかの制約が存在し
PayPayのフィッシングが簡単すぎた話|j416dy
※この記事は以下記事を読んだ前提で書いてます。 ※あまりに被害が多かったのか、2025/6/19 夕方にPayPay連携機能は止まったようです。 この記事を読んで、QRコードを読み取るだけでお金抜かれるなんてことがあるのか?と思ったら、実際あまりに簡単に抜けるような構成であることがわかったので、検証結果を置いておきます。 WINTICKET連携はQRコード2連続読込方式正規のログイン・連携機能のUIを先に確認します。 PCブラウザでWINTICKETを操作、スマホでPayPayアプリを操作する場合の流れです。 競輪投票のWINTICKETでアカウント作成、ログイン後、 ポイント残高右側の「+」ボタンでチャージ画面に遷移します。 遷移後、入金手段としてPayPayを選択します。 オレンジの+ボタンでポイントをチャージする ※ポイント残高は出金できないが、投票結果の払戻金は出金できる仕様すると
AIエージェント規格「MCP」が3ヶ月ぶりにアプデ! どこが変わったの? - Qiita
主にAIエージェントとツールの接続を標準化するのに使われているModel Context Protocol。 急速に普及が進んでいますが、その仕様は絶賛策定中です。 前回の改版2025/3/26から約3ヶ月、先週6/18に大きなアップデートがありました。 そのうち大きな変更点を9つ、ピックアップしてまとめます。 基本プロトコル ライフサイクル 1. 運用フェーズの遵守事項を義務化 ネゴシエートしたときの「MCPバージョン尊重」と「成功した機能のみ使用」がSHOULDからMUSTに強められました。 トランスポート 2. 標準入出力でJSON-RPCのバッチ対応が廃止 stdioでサポートされていたJSON-RPCのバッチ呼び出しが削除されました。 3. HTTPヘッダー内でMCPバージョン指定が義務化 HTTPでネゴシエートしたプロトコルバージョンを、後続リクエストヘッダーで指定することが必
ブラウザから MCP サーバーに接続する use-mcp React フック
React コンポーネントから MCP サーバーに接続する use-mcp フックを使用したコンポーネントの例を試してみましょう。2025-06-18 バージョンの MCP の仕様ではクライアントとサーバーのトランスポートの方法として stdio と Streamable HTTP が定義されていますが、use-mcp では Streamable HTTP による接続をサポートしています。HTTP もしくは SSE(Server-Sent Events)を使用して MCP サーバーに接続します。 MCP サーバーとして Git MCP を使用します。これは GitHub の任意のレポジトリを MCP サーバーとして利用できるツールです。public なレポジトリであれば認証無しで接続できます。URL はレポジトリの URL の github.com の部分を gitmcp.io に置き換え
CommonJS と ES Modules の違い 🚀 - Qiita
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? JavaScriptの世界には、モジュールを扱うための2つの主要なシステムがあります。それが「CommonJS」と「ESモジュール(ECMAScript Modules)」です。どちらもコードを分割し、再利用可能にするための仕組みですが、いくつか重要な違いがあります。 📚 モジュールとは? モジュールとは、特定の機能やデータを持つ独立したコードの単位のことです。モジュールにすることで、コードの可読性や保守性が向上し、大規模なアプリケーション開発がしやすくなります。🚀 🌟 CommonJS モジュール CommonJSは、主にNod
普通のエンジニアが、 4 年かけて個人開発の OSS で GitHub Star 2.3k を獲得するまでに考えたこと
star-history: https://www.star-history.com/#dagu-org/dagu&Date はじめに 2022年、私は Dagu という名のワークフローエンジンを個人で開発し始めました。そして 2025 年 6 月現在、GitHub でのスターは約 2.3k を超えました。もちろん、世界的な大手OSSと比較すれば、その規模は決して大きくはありません。しかし、企業の内部ツールから個人の Raspberry Pi 上で動く趣味のプロジェクトまで、様々な用途で、そして世界中の多様な地域から、日々 Issue やフィードバックが寄せられています。 この記事は、特別なスキルを持たない、いわゆる「普通」のソフトウェアエンジニアである私が、一つの OSS を4年間諦めずに継続し、どのようにして小さなコミュニティを育んできたか、その過程で得た学びや考えを共有するものです。
ページにもともと読み込まれているCSS由来のスタイルを打ち消して、しがらみのない開発をするのにall:unset, all:revertを使えそう - hitode909の日記
長年開発を続けているページでは、Bootstrapなど、ページ自体のスタイルを丸ごと上書きしてしまうCSSライブラリが読み込まれていることがある。 一方、最近はReactコンポーネントを作って、スタイルはCSS Modulesで当てたい、という機会が増えている。 CSS Modulesを使うと、コンポーネントに適用スタイルを明示的に指定することができるが、そこにページ丸ごと上書きCSSライブラリが混ざってくると、思うようにスタイルが当たらない、ということになる。 たとえば、Bootstrapを読み込んだページのpタグには、margin bottom: 10pxのようなスタイルが問答無用で指定されてしまう。 こういうしがらみから逃れる手法は無いのかな、と思って、Bootstrapを読み込み済みの歴史のあるページでは、Shadow DOMなどを使ったらBootstrapの依存を消せますか?など
Supabase Authをバックエンドサーバー(express.js)を経由してoAuthを実装する方法 - Qiita
導入 この記事では、Supabase・Node.js(Express.js)・クライアントサイドの3つを組み合わせて、OAuth認証を実装する方法について紹介します。 クライアントから直接Supabaseを操作するのではなく、一度Expressサーバーを経由してOAuthを行う構成です。 注意点 本記事の内容は、OAuthの基本的な仕組みについてある程度理解していることを前提としています。 もしOAuth自体が初めてという方は、まずは基礎から学ぶことをおすすめします。以下の資料がとても参考になりました: https://www.youtube.com/watch?v=PKPj_MmLq5E&t=6s こうした資料を一通り見てからこの記事を読むと、より理解が深まると思います やりたいこと まずは、今回実現したい構成と比較するために、Supabaseの公式ドキュメントにある基本的なOAuth実
生成AI と Model Context Protocol サーバーによる 5G コア オペレーション自動化の取り組み紹介 〜Interop Tokyo 2025〜 - NTT Communications Engineers' Blog
こんにちは、イノベーションセンターの福田です。 NTT コミュニケーションズ株式会社は、日本最大級のネットワーク展示会である 「Interop Tokyo 2025(会場:幕張メッセ、会期:2025年6月11日〜13日)」 において構築される ShowNet に対し、生成 AI と Model Context Protocol (MCP) による 5G コアオペレーション自動化のコントリビューションを行いました。 本記事ではその構築にあたって具体的にどのようなことを開発したのか、その実装を通して得た知見やノウハウを紹介します。 背景 どんなことをしたのか Model Context Protocol (MCP) とは? サーバー・クライアント・ホスト アーキテクチャ 動かしてみてわかったこと MCP を利用することによるメリット MCP を利用する上での注意点 MCP のツールの網羅性 M
重たいモバイルディスプレイと老眼からの解放! 独自チップを搭載したARグラス「XREAL One」を試す
PCにサブディスプレイを接続すると作業効率が爆上がりすることから、オフィスや自宅で使っている人は少なくないはずだ。USB Type-Cケーブル1本で映像と電力供給も行えるモバイルディスプレイも増えてきたことから、日頃から持ち歩いているという人もいるだろう。 しかし、購入したものの「重くて持ち歩きたくない」「カフェなどで広げるスペースが意外とない」といったケースに直面していないだろうか。 そうした状況でおすすめしたいのが、XREALの最新ARグラス「XREAL One」だ。他のARグラスと何が違うのか。本製品を試用する機会を得たので、ARグラスを外部ディスプレイとして使うことのメリットとともに紹介したい。
Async Rust
TOPICS Programming 発行年月日 2025年07月16日 発売予定 PRINT LENGTH 284 (予定) ISBN 978-4-8144-0118-5 原書 Async Rust FORMAT Print ネットワークアプリケーションの複雑化により、数千から数万のネットワーク処理を並行して処理することが求められるようになりました。OSが提供するスレッドでも並行処理は実装可能ですが、オーバーヘッドが大きいためこの規模の並行性を実現することは困難です。このため、プロセス内部で複数のタスクをスケジューリングすることで並行性を実現する非同期機構の採用が、さまざまな言語で進んでいます。Rustのasync/awaitによる非同期機構はその1つで、async/awaitによる簡潔でわかりやすい記述をコンパイラが状態遷移マシンに書き換えることで、スタックを使用しない低コストな非同期
Apple、Perplexity AI買収について社内で協議:Gurman氏 - こぼねみ
AppleはAI検索エンジンのスタートアップ企業Perplexity AIの買収提案について社内で協議していることをBloombergのMark Gurman氏が報告しています。 Perplexity AIGurman氏は「協議は初期段階にあり、買収提案につながらない可能性もある」としています。Appleはコメント控えました。Perplexityは「現在または将来のM&A協議について当社は全く承知していない」と述べました。 AppleがPerplexityへの買収提案を行うかどうかは、現在進行中Googleの反トラスト法(独占禁止法)訴訟の結果に左右される可能性があります。AppleとGoogleとの合意によりAppleデバイスでのデフォルト検索エンジンとしてGoogleを採用しAppleに年間約200億ドルの収入をもたらす契約が、Googleに対する判決の一部として無効化される可能性があ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「機械彫刻用標準書体」フォントがv0.310へ、計2,561グリフにまで拡充/アクリル板の注意書きなどでよく見かける独特の機能美を持つフォント - 窓の杜
闘魂CDK道場:TypeScriptでAWSインフラを組み、Python Lambdaを叩き込むまで - Qiita
Anthropic、「Claude Code for VSCode」をリリース/ターミナルで動作する同社のコーディング支援AIツールを「Visual Studio Code」で
