Webサービス公開前のチェックリスト
個人的に「Webサービスの公開前チェックリスト」を作っていたのですが、けっこう育ってきたので公開します。このリストは、過去に自分がミスしたときや、情報収集する中で「明日は我が身…」と思ったときなどに個人的にメモしてきたものをまとめた内容になります。 セキュリティ 認証に関わるCookieの属性 HttpOnly属性が設定されていること XSSの緩和策 SameSite属性がLaxもしくはStrictになっていること 主にCSRF対策のため。Laxの場合、GETリクエストで更新処理を行っているエンドポイントがないか合わせて確認 Secure属性が設定されていること HTTPS通信でのみCookieが送られるように Domain属性が適切に設定されていること サブドメインにもCookieが送られる設定の場合、他のサブドメインのサイトに脆弱性があるとそこからインシデントに繋がるリスクを理解してお
by Sansec Forensics Team Published in Threat Research − June 25, 2024 The new Chinese owner of the popular Polyfill JS project injects malware into more than 100 thousand sites. Update June 28th: We are flagging more domains that have been used by the same actor to spread malware since at least June 2023: bootcdn.net, bootcss.com, staticfile.net, staticfile.org, unionadjs.com, xhsbpza.com, union.m
TL;DR 2024/06/26 実害が出ているようです、polyfill.ioを利用している場合は直ちに利用を止めましょう。 GIGAZINE: JavaScriptライブラリ「Polyfill.io」にマルウェアが混入され10万以上のサイトに影響 Codebook: Polyfill.io使ったサプライチェーン攻撃でサイト10万件以上に影響 polyfill.ioから配信されるスクリプトが汚染される環境下にあり、危険な可能性があります。利用している方がいらっしゃいましたら外しておくことをおすすめします。または安全なバージョンのものがCloudflareとFastlyから利用できるので、ドメインをpolyfill-fastly.netやpolyfill-fastly.ioに変更して利用しましょう。 背景 自社で使用しているマーケティングプラットフォームサービスで作成したWebページをGo
Sansecは6月25日(現地時間)、「Polyfill supply chain attack hits 100K+ sites」において、オープンソースのJavaScriptライブラリ「Polyfill.io」が改変され、10万以上のWebサイトに展開されたと報じた。 Polyfill supply chain attack hits 100K+ sites Polyfill.ioの買収 Polyfill.ioはAndrew Betts氏が開発した人気のJavaScriptライブラリ。古いWebブラウザをサポートし、JSTOR、Intuit、世界経済フォーラムを含む10万以上のWebサイトに利用されている。 Polyfill.ioは2024年2月、中国を拠点とするコンテンツデリバリーネットワーク(CDN: Content Delivery Network)企業の「Funnull」に買収
【JS体操】第2問「画像の横長具合を比較しよう」〜正攻法&ハック部門の解説〜 - KAYAC engineers' blog
こんにちは! カヤック面白プロデュース事業部のおばらです。 普段は受託案件のデザイン・フロントエンド開発などを担当しています。 さて、『JS体操』第2問 いかがでしたか? 今回初めての方々 第1問に引き続きの方々 複数のアプローチで何通りも回答してくださった方々 普段業務で JavaScript をバリバリ書いているであろう方々 JavaScript を学んでいる学生の方々 などたくさんの方々が挑戦してくださいました。 とても嬉しいです。ありがとうございます! 『JS体操』とは? 『JS体操』とはカヤックが主催する JavaScript のコードゴルフ大会です。 もともとは社内の勉強会として始めた施策です。 その詳細は以下のブログ記事を御覧ください! techblog.kayac.com 第2問の詳細はこちら https://hubspot.kayac.com/js-taiso-002 も
重要度別:2024年1-6月 GA4のアップデート紹介(寄稿:小川卓) - はてなビジネスブログ
株式会社HAPPY ANALYTICSの小川卓(id:ryuka01)です。 Google Analytlcs 4 (以下、「GA4」)は2022年に正式リリースされてからも継続的にアップデートを重ねています。今回の記事では、2024年1月以降に行われたアップデートをまとめて紹介いたします。 アップデートによって何が変わったのか、どう活用できるのか?そして筆者が考える役立ち度(5段階評価)も紹介いたします。対象が非常に限られているものや、影響が無いものはピックアップしません。それでは時系列で早速みていきましょう。 ※リリース日は公式サイトでのアナウンス日を参照していますが、各アカウントへの反映はその前後に行われており一定ではありません 2024年2月8日:手動トラフィックソースのディメンションとレポート追加 2024年2月24日:「広告」メニュー内のレポートと仕様が更新 2024年2月28
はじめに 初めまして。プラットフォーム開発部にてデータ基盤の整備をしているazukiと申します。 今回はdbt(Data build tool)を導入した経緯と非中央集権的なdbtの使い方についてご紹介したいと思います。 今回は導入に関してまとめていますので、dbtの運用面の詳細は別記事で解説予定です。 データモデリングツール導入の背景 ピクシブではプロダクトの多さを理由に非中央集権データ組織を採用しています。 ドメインチームがメインでデータの取り組みやデータモデリングを行い、データ駆動推進室やデータ基盤チームはそのサポートや整備を担当しています。 その背景に関しては、【PIXIV MEETUP 2023】の方でお話していますのでぜひご覧下さい。 speakerdeck.com 今までBigQueryのデータ加工SQLは自社で開発したツールで管理していました。 pythonから変数埋め込み
NotionをWebサイトに変える【Notion Sites】の詳細と他ツールとの比較|usutaku | 臼井拓水
AI研修のMichikusa株式会社CEOのusutakuです。 2024年6月25日、Notion公式から新機能「Notion Sites」が公開されました。 https://www.notion.so/ja-jp/product/sites?utm_medium=social&utm_campaign=notionsitesこれは一言で言うと、NotionをWebサイトとして公開できるよという機能です。 「あれ?Notionってこれまでも外部公開できなかったっけ?」 「Notionをサイトにするツールって他にもあるよね?」 などと思った方がいるかと思います。 そんな方向けに、今回のアップデートでできるようになったことと、他サービスとの比較などをまとめてみました。 今回のアップデートでできるようになったことhttps://www.notion.so/ja-jp/product/sites
はじめに こんにちは。カナリーでソフトウェアエンジニアをしている @yoshi-jr です。 私たちは 【もっといい「当たり前」をつくる】 をミッションに掲げている不動産テックカンパニーです。弊社では、現在下記のプロダクトを運用しています。 「Canary」: BtoC の部屋探しポータル(アプリ/Web) 「Canary Cloud」: BtoB SaaS(不動産の仲介会社様向けの顧客管理システム) この記事では、 CANARY のウェブ版(以降 CANARY Web)で利用している技術スタックをまとめています。 この記事を読んでわかること CANARY Web について技術スタックの全体像・概要が理解できる 話すこと CANARY Web のアーキテクチャ CANARY Web で利用しているモジュールとその歴史 話さないこと CANARY Web 視点以外でのアーキテクチャ 各モジュ
はじめに 何回も個人開発に挑戦しては失敗してきた自分が、ようやく安定的に月間5万人くらいが使うサービスを作ることができました。 この記事を通じて、個人開発のアイデアからリリースして運用するまでの流れを紹介し、同じように個人開発に挑戦している方々にとって、少しでも参考になる情報を提供できれば嬉しいです! アイデアから実現までのステップ 1. アイデアの発想 自分の場合は、シンプルに自分が欲しいと思ったのがきっかけでした。趣味的なサービスなのですが、こんなのあったら便利なのにと思い、まだ世の中にサービスとして存在していなかったので作ろうと思いました。 このように日頃からアンテナを張ったりして、解決したい問題やこんなのがあったら便利ではないかなどアイデアを出します。 ブレインストーミングや本を読んだりとアイデアの出し方は色んな手法があるので、自分に合った方法で見つけるのが良いかと思います。 2.
Namecheap Takes Down Polyfill.io Service Following Supply Chain Attack - Socket
Security News Namecheap Takes Down Polyfill.io Service Following Supply Chain Attack Polyfill.io has been serving malware for months via its CDN, after the project's open source maintainer sold the service to a company based in China. More than 110K websites using the Polyfill.io service have been impacted by a supply chain attack after a Chinese company bought the service earlier this year. The C
セキュリティ企業Sansecは2024年6月25日(現地時間)、JavaScriptのライブラリ「Polyfill.io」にマルウェアが混入していたと報じた。混入したマルウェアは10万以上のWebサイトに影響を与えたとされている。 Polyfill.jsは古いWebブラウザをサポートするためのライブラリであり、「JSTOR」や「Intuit」「World Economic Forum」など多くのWebサイトで利用されている。2024年2月に中国企業が「cdn.polyfill.io」ドメインと「GitHub」アカウントを購入した後、マルウェアが埋め込まれたコードが配布されるようになったという。 中国企業によるPolyfill.ioの買収とマルウェアの混入 Sansecの分析によると、サイバー攻撃者が「Google Analytics」ドメインを偽造し、モバイルユーザーをスポーツベッティング
Automatically replacing polyfill.io links with Cloudflare’s mirror for a safer Internet
Automatically replacing polyfill.io links with Cloudflare’s mirror for a safer Internet06/26/2024 polyfill.io, a popular JavaScript library service, can no longer be trusted and should be removed from websites. Multiple reports, corroborated with data seen by our own client-side security system, Page Shield, have shown that the polyfill service was being used, and could be used again, to inject ma
これからWebマーケティングを始めたい、または思うように成果が出ないことに悩んでいてあまり費用をかけずに独学でWebマーケティングを学びたい担当者の以下の課題にお答えする記事です。 独学でWebマーケ ... Webマーケティングは日々新しいサービスや手法が登場するため、書籍での学習だけでなくWebサイトなどで日々新しい情報を取得することが重要です。 YouTubeには多くのWebマーケティングに関する動画を公開しているチャンネルがあり、最新トレンドなどの情報を無料で閲覧することができます。 これらのチャンネルの運営者としては、Webマーケティング関連のサービスやツールを提供している会社がサービスの販促目的で運営するチャンネルや、Webサイト制作会社あるいはWebコンサルティング事業を展開している個人、企業などが運営するチャンネルなどがあります。 内容はサービス紹介やSNSの使い方など基礎
The polyfill.io domain is being used to infect more than 100,000 websites with malicious code after what's said to be a Chinese organization bought the domain earlier this year, researchers have said. Multiple security firms sounded the alarm on Tuesday, warning organizations whose websites use any JavaScript code from the polyfill.io domain to immediately remove it. The site offered polyfills – u
アナリティクスは必要か? GA4・・・ゼロから再装備 検索キーワードでタイトルを変える - ♛Queens lab.
グーグルアナリティクスとは グーグルアナリティクスが作動していない アナリティクスを再装備 国別のデータが面白い どのような経路かを確認してみる ついでに検索ワードも調べてみる 結局アナリティクスは必要か グーグルアナリティクスとは Googleが無料で提供するWebページの アクセス解析サービス 。 使用目的は、 サイト訪問者の動向を把握すること。 サイト内の人気ページを把握し サイトを改善することで・・・・。 一応設定はしてありますが これを利用して何かの対策をしない限りは 有っても無くてもかな~?と 思ったのは私だけではないはず。 企業のマーケティング担当者などは こういうのを分析するのでしょうが 一般人の私たちにはどうなんでしょう。 グーグルアナリティクスが作動していない ユニバーサルアナリティクス(UA)から Google Analytics 4(GA4) への移行で ユーザーの
ほろ酔いの懇親会と人が運んでくるもの - わかるLog
6月28日(金) ジョギング無し。 朝から雨。 やっと梅雨らしい感じの日だ。 日中は、各サイトのGoogle Analyticsが新フォーマット(GA4)になっていたかどうかのチェックなど、そして台本準備を進める。 夜はZoomセミナーと懇親会だった。 飲みながら19:00から始まって、終了したのは22:30ごろ。 最後はほろ酔い状態でところどころ記憶が薄れているが(笑)新たな方法論や質疑応答などがあり、非常に充実した時間となった。 僕も今日は積極的に質問して、参考になった。 Webや動画制作などパソコンで完結する作業は、とかく一人きりの状態になることが多い。 効率的で集中できる面がある一方、コミュニケーション不足になったり、新しい情報に疎くなったりする。 やはり、鮮度の高い情報を得るには、ネットの情報だけではなく、同様に作業・開発している仲間の意見を聞くことは重要だ。 少なくとも自分を「
Ruby 3.3.3にアップグレードするとbundle installでnet-popがインストールできない|TechRacho by BPS株式会社
2024.06.17 Ruby 3.3.3にアップグレードするとbundle installでnet-popがインストールできない Ruby 3.3.3がリリースされました Ruby 3.3.3がリリースされたので、自分のRailsアプリのRubyを3.3.3にアップグレードしようとしたところ、ローカルのDockerコンテナではRailsアプリを正常に実行できたにもかかわらず、Herokuにデプロイするとbundle installの部分で以下が発生してデプロイできませんでした。 ... Downloading net-pop-0.1.2 revealed dependencies not in the API or the lockfile (net-protocol (>= 0)). Running `bundle update net-pop` should fix the prob
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Polyfill supply chain attack hits 100K+ sites
polyfill.ioを使うのは危険かもしれない(危険だった) - Qiita
JSライブラリ「Polyfill.io」がマルウェアに改変、10万サイト以上に影響
dbt導入におけるデータモデリング環境整備 - pixiv inside
2024年|CANARY Web の技術スタック
個人開発で月5万人が使うサービスを作って学んだアイデアから実現までのステップ - Qiita
JavaScriptのライブラリ「Polyfill.io」にマルウェア混入 10万以上のWebサイトに影響
Webマーケティングを学ぶのにおすすめのYouTubeチャンネル15選!:2024年6月版
Remove Polyfill.io code from your website immediately