こんにちは! エンジニアリンググループ マルチデバイスチーム 新卒1年目の小林です。 エムスリーでは、2週間に1度、Tech Talkという社内LT会(現在はリモートで)が開催されています。これは、とある回の発表テーマリストです。 Tech Talkのとある回の発表テーマリスト このように、最近エムスリーでは文字列が流行っている(?)ようなので、その勢いに乗って私も文字列照合アルゴリズムについて書きたいと思います!(業務とは全然関係ない話です) Knuth-Morris-PrattやBoyer-Mooreアルゴリズムは解説記事がたくさん出ていると思うので、この記事ではシンプルかつ高速なQuick-SearchとQuite-Naiveアルゴリズムについて説明し、速度比較を行った結果についてご紹介します。 文字列照合アルゴリズムとは テキストとパターンという文字列が与えられたときに、中に出現す
VMよりコンテナよりもさらに軽量な分離技術、V8のIsolateを用いてサーバレスコンピューティングを提供するCloudflare Workers
CDNプロバイダのCloudflareは、いわゆるサーバレスコンピューティングサービスの一種としてCDNのエッジにおいてJavaScriptのコードを配置し実行できる「Cloudflare Workers」を提供しています。 Cloudflare Workersは、HTML5の機能であるService Workerの実行環境をクラウド上で提供するというものです。 Service Workerとは、もともとWebブラウザに実装されバックグラウンドで起動される、いわばプログラミング可能なローカルプロキシです。ルーティングやレスポンスやキャッシングなどを操作し、オフラインで動作するWebアプリケーションを実現する上で重要な機能を提供します。 Cloudflare Workersを用いると、例えば次のようなことが可能になると説明されています。 異なるタイプのリクエストごとに、異なるオリジンサーバへ
いわくら君が書いてくれた通り 、トラベルブックではFastlyを導入しました。Fastlyについて初めて分かったことがたくさんありました。列挙してみたら30個もあったので、一個ずつ紹介してみることにします。 そもそもFastlyとは そもそもFastlyとはCDNのサービスです。現在では後述するCompute@Edgeを主力としたサーバーレス環境を推していますが、とにかくCDNです。今回は www.travelbook.co.jp ドメイン全てに対して適応し、全てのHTMLページをFastly経由にしました。 もともとVarnishでページをキャッシュしていた部分をFastlyに置き換えることで冗長化・安定化、また、パフォーマンスアップを図ります。 加えて、これまでキャッシュの対象外だったページも、この際TTL付きでキャッシュする、というのが今回やったことです。 詳しくはいわくら君の書いた
AWS 認定 ソリューションアーキテクト – プロフェッショナル(AWS Certified Solutions Architect – Professional)の学習方法 - NRIネットコムBlog
小西秀和です。 この記事は「AWS認定全冠を維持し続ける理由と全取得までの学習方法・資格の難易度まとめ」で説明した学習方法を「AWS 認定 ソリューションアーキテクト – プロフェッショナル(AWS Certified Solutions Architect – Professional)」に特化した形で紹介するものです。 重複する内容については省略していますので、併せて元記事も御覧ください。 また、現在投稿済の各AWS認定に特化した記事へのリンクを以下に掲載しましたので興味のあるAWS認定があれば読んでみてください。 ALL Networking Security Database Analytics ML SAP on AWS Alexa DevOps Developer SysOps SA Pro SA Associate Cloud Practitioner 「AWS 認定 ソリュ
はじめに 対象イベント 読み方、使い方 Remote Code Execution(RCE) 親ディレクトリ指定によるopen_basedirのバイパス PHP-FPMのTCPソケット接続によるopen_basedirとdisable_functionsのバイパス JavaのRuntime.execでシェルを実行 Cross-Site Scripting(XSS) nginx環境でHTTPステータスコードが操作できる場合にCSPヘッダーを無効化 GoogleのClosureLibraryサニタイザーのXSS脆弱性 WebのProxy機能を介したService Workerの登録 括弧を使わないXSS /記号を使用せずに遷移先URLを指定 SOME(Same Origin Method Execution)を利用してdocument.writeを順次実行 SQL Injection MySQ
独自ドメインSSLだとCloudFront使えないから横綱無理だよねー、という話がありました。うん、確かにそうでした、執筆時点では…! 本日2013/06/12、CloudFrontの独自ドメインSSL対応が発表(英語・日本語)されましたので、みなさん揃って横綱になればいいと思います。 よく訓練されたアップル信者、都元です。AWSを利用して構築した環境から、クライアント(モバイルやブラウザ等)に対してHTTPを使って静的なコンテンツを配信したいケースって、多いですよね。多いというか、むしろどんなシステムにも多かれ少なかれ、静的なコンテンツ配信があると思います。 スケーラビリティ・柔軟性・可用性・パフォーマンス・コスト 静的なコンテンツというのは、コンテンツをリクエストに応じて生成したりせず、完成品としてのファイルが手元にある状態です。例えば、多くのWebシステムにおいて、ほとんどの画像やJ
事象 J-CASTで報じられた件とはまた別の漫画村サイトが発見されたという情報を@HiromitsuTakagiさんより頂きました。情報提供誠にありがとうございます。 もう一つこれとは別の漫画村クローンが出てきているようだが……。https://t.co/QgLYCYkN8j — Hiromitsu Takagi (@HiromitsuTakagi) June 2, 2019 見つけました。相変わらずURLは自重します。 ※モザイクをかけています 第一印象ですが、 前回の件と比べると非常に良くできた印象です。 もしかすると、前回のサイトはブラフでこちらが本命ではないかというぐらいの出来の違いです。 技術的調査 前回調査と同じ視点で調べて行きます。 CDN利用の有無 漫画村と同じCloudflareを使っています。海賊版サイトの定番の作りです。 オリジンサーバーは完全にCloudflareの
httpとhttpsの違い
TLSの有無 言うまでもないことですが、httpsでは通信路をTLSを使って保護することが想定されています。[1][2] デフォルポート httpは80、httpsは443です。[3][4] 権威性 以降の説明に入る前に前提を確認します。本稿は「httpとhttpsの違い」と題されていますが、これはURLのスキーム部分のことを指しています。URLはリソースの所在を指すものであり、通信方法はそこから二次的に決まるものです。このことを前提に置きつつ権威性について説明します。 Webにおいて、所望のリソースにアクセスする方法はひとつではありません。このような方法のうち、リソースの所有者の制御下にある(第三者による加工などが行われていないと期待される)方法で取得することを権威的アクセスと呼びます。[5] どのようなアクセス方法が権威的とみなせるかについて100%客観的で統一的な指標があるわけではな
Fetch API 解説、または Web において "Fetch する" とは何か? - Block Rockin’ Codes
Update [14/11/11]: Chromium での実装が M40 からあるそうなので、末尾に引用追記させていただきました。 [14/11/12]: この記事を書くにあたって、色々なかたにレビューや助言を頂いたのですが、謝辞などが一切抜けてました、本当にすいません。追記しました、ご協力頂いた方々本当にありがとうございました。 WHATGW Fetch Spec WHATWG のメンテナンスするドラフトに Fetch Spec が追加されました。 もうすでに日本語訳もあります、すばらしい。Fetch Standard 日本語訳 この仕様には二つのことが定義されています。 "Fetching": Fetch するとは何か? の定義 "Fetch API": fetch() の定義 後者の定義に基づく fetch() という DOM API の実装も始まっています。(詳細は後述) しかし
Erlang クエックブック
文字列 文字列を数値に変換する list_to_integer("123"). % 123 list_to_integer("-10"). % -10 n進数の文字列を数値に変換する u は指定した基数で変換、# は文字列が表現している基数で変換します。 io_lib:fread("~16u", "100"). % {ok,[256],[]} io_lib:fread("~2u", "100abc"). % {ok,[4],[abc]} io_lib:fread("~36u", "100%%%"). % {ok,[1296],"%%%"} io_lib:fread("~#", "16#100"). % {ok,[256],[]} io_lib:fread("~#", "2#100abc"). % {ok,[4],[abc]} io_lib:fread("~#", "36#100%%%").
これをどう作ったかの解説。 PWA まず、上のスクリーンショットのアイコンはSafariの「ホーム画面に追加」で作られたものである。タップするとフレームなしのブラウザが立ち上がって、xsystem4(ゲームエンジン)のWebAssembly版が起動する。xsystem4のWebAssembly移植についてはこちらの記事に書いた。 この種のWebアプリはプログレッシブウェブアプリ (PWA)と呼ばれる。最近さっくり廃止されかかったりして、いつまで使えるかは少し心配でもあるが…。 iOS / iPadOS SafariにおけるPWA SafariのPWA対応は他プラットフォームのChromium系ブラウザと大きく違っている点が一つあって、SafariとインストールされたPWAはストレージを共有しない。つまり、例えばSafariでログインしたユーザーがホーム画面にサイトをインストールしてそちらを
手を合わせて「いただきます」に違和感を覚える?
『NY午前0時 美術館は眠らない』配信開始!/岩渕潤子 @tawarayasotatsu 「いただきます」と「ごちそうさま」は食べ物、食べ物を作ってくれた人、料理してくれた人に感謝する上で大事だけど、TVドラマの食事シーンで手を合わせるのは、最近のことだと思う。小津映画、『さざえさん』に出てくるような、伝統的東京の山の手の食卓では、手を合わせていないように思うのだが。 2013-11-08 05:23:40 TrinityNYC @TrinityNYC わかります、わたしもあの手を合わせるの、すごく違和感あります。RT @tawarayasotatsu: 最近の「いただきます」と言って手を合わせるのはどこオリジンなんでしょうね。幼稚園体験? いずれも、うちの親は、たまたまTVなどを一緒に見ている時にアレが出るとすごく嫌がり 2013-11-08 05:31:24
人並みにマルクスなんか読みまして「貧困は社会問題だ!政府のせいだ!国家の責任だ!」と考えておりました若かりし頃の「えらいてんちょう」。もやいやTENOHASHI(TENOHASHIでは炊き出しの手伝いのみを行っておりますので、誤解を招かぬように削除します。詳細:追記を参照。2017.6.5)でボランティアの経験を積むと、てんちょうに頼めば生活がなんとかなるらしい、と噂を聞きつけた若い生活困窮者が集まるようになりました。今回はそんな彼らのケーススタディー。 先に断っておきますが、生活保護者の大半は真面目につつましい生活を送っていることも存じており、生活保護は全員クズだとか、そういったことを言いたいわけではありません。貧困は社会問題といっても、大半は本人の責任で、国家は立派にその役割を果たしている、というのが今回の趣旨です。 【S(当時22歳)のケース】 Sは北海道出身で、私と同級生。北海道の
はせがわようすけ氏のブログエントリ「機密情報を含むJSONには X-Content-Type-Options: nosniff をつけるべき」にて、巧妙な罠を仕掛けることにより、別ドメインのJSONデータをvbscriptとして読み込み、エラーハンドラ経由で機密情報を盗み出すという手法が紹介されました。これは、IEの脆弱性CVE-2013-1297を悪用したもので、MS13-037にて解消されていますが、MS13-037はIE6~IE8が対象であり、IE9以降では解消されていません。 また、MS13-037を適用いていないIE6~IE8の利用者もしばらく残ると考えられることから、この問題を詳しく説明致します。サイト側の対策の参考にして下さい。 問題の概要 JSON形式のデータは、通常はXMLHttpRequestオブジェクトにより読み出しますが、攻撃者が罠サイトを作成して、vbscript
FBIがみんなに広告ブロッカーを使って欲しい理由
FBIがみんなに広告ブロッカーを使って欲しい理由2023.11.15 16:3598,228 Thomas Germain - Gizmodo US [原文] ( Kenji P. Miyajima ) 2022年12月26日の記事を編集して再掲載しています。 みなさんは広告ブロッカー、使ってますか? 凶悪犯罪の捜査で忙しいはずの米連邦捜査局(FBI)が、公式サイトで広告ブロッカーを使用するように呼びかけました。 広告ブロッカーはネット詐欺防止に効果的GoogleやBingなどの検索結果にブランドや企業の広告が表示されるじゃないですか。インターネット犯罪苦情センターによると、広告のブランドになりすました犯罪者が何の疑いも持たないユーザーを本物そっくりの偽サイトに誘導して、ランサムウエアやフィッシング攻撃の餌食にするそうです。FBIは、対応策として広告ブロッカーが効果的としています。 FBI
twitterでなんどもつぶやいてるので多分知られているとは思うんですが、Web配信の技術という本を書きました。 せっかくなんで、なんでまたこんな本を書いたのかとかどういう流れだったのかみたいなのを簡単に書いてみようかなと そもそもどういう本なのか 非常にタイトルを決めるのが難しい本でした。 サブタイトルに「HTTPキャッシュ・リバースプロキシ・CDNを活用する」とあるようにいわゆるHTTPキャッシュの本なわけですが、コンテンツ配信の技術といえばCDNの印象が強く出ますし(本書はCDNの使いかたというわけではないです)、Web配信といえば動画ストリーム配信(VTuberの配信とか)を思い浮かべる人も多いと思います。 今考えればWebコンテンツ配信の技術とすればよかったかもと思いつつ、今度は長くなりすぎるのでなかなか難しいです。 ということでHTTPキャッシュを使ってWebサイトを高速化した
const url = "https://fetch-api-normalization.deno.dev"; await fetch(url, { method: "PATCH" }); await fetch(url, { method: "patch" }); 実行すると、次のようなエラーを得るはずです。 PATCH を小文字で書いた際のエラーの一例 さて、どのような条件でこのエラーが発生するのでしょうか?これが意図されたものなのだとしたら、 GET や POST は大文字・小文字を無視してよくて PATCH は無視できない理由がなにかあるのでしょうか?以下でその理由を探ってみましょう。 いつエラーが発生するか このエラーは、 Fetch API を利用して外部の HTTP サーバーに対してリクエストを行う時に、 PATCH と書くべきところを patch と書いていると発生します。
なんか、ここ数日…… 外国から『ゲムぼく。』へのアクセスがめちゃくちゃ増えてるな……特にアメリカ…… 韓国からもアクセスが多いが、これはいつものことだ。ぼくは韓国発のゲーム『ラストオリジン』を熱心にプレイしており、それで韓国のユーザーから「日本にやばい熱量の奴がいる」とウワサされて「韓国と日本を結ぶわいせつな橋」と呼ばれているからだ。あまりにも光栄かつ不名誉なアダ名である。 ただ、アメリカは珍しい。理由がよくわからない。 ぼくはさすがにアメリカと日本を結ぶわいせつな橋になった覚えはない。 リファラー情報を見ると、X(旧Twitter)からのアクセスと、アメリカで人気の掲示板からのアクセスが急増している。 ということは、そのあたりの場所で、なにかしらの形で『ゲムぼく。』の記事が紹介されている……? ええっと、アメリカからのアクセスが増えている記事は…… これか! 対戦格闘ゲーム『ギルティギア
![日本にはこのような変態のニュースサイトがあるのですか?[ギルティギア ストライヴ]](https://cdn-ak-scissors.b.st-hatena.com/image/square/b6ea7d396d00d3703414ff9e2477e3e526265ef2/height=288;version=1;width=512/https%3A%2F%2Fgameboku.com%2Fwp-content%2Fuploads%2F20240203_232429000_iOS.jpg)
vtuber?昔、VNIというものがあってね……(昔語り) - orangestarの雑記
VNIについて今年の5月くらいに思ってたこと 先日は、文学フリマに来ていただいてありがとうございました。折本は結局出せませんでしたすいません。 以下、今年の5月くらいに書いたけれども更新のタイミングを逃したまま、放置してたもの。 5月の時点でも、VNIの話をするには少し(だいぶ)遅れていたんですけれどもね。 まだこのころはこんなのんきなことを考えてたんですが、時間の流れは速いですね……。ネットがドッグイヤーを超えてハツカネズミレベルで時間が進んでる。もう、6カ月で3世代ほど世代が進んだ感じ。タイミングを逸したまま、このまま放置かと思ったんですが、ヴァ―チャルが熱い今このタイミングにと思ってアップ。 バーチャル蟲毒と一部で呼ばれている12体の同一個体の中からオリジンを得るための戦いが今あるんですが、物語が生まれすぎていてヤバイ。 ここは悪いインターネットですね。 作者: 小島アジコ発売日:
仕様やUI(画面)は現行バージョンと異なる可能性があります。 Cacooの最新版についてはこちらからご確認ください。 CacooでAWS構成図を作成されてるみなさまに朗報です!この度、AWSの構成図を自動でCacooに挿入する新機能をリリースしました。 本機能はAWSのアイコンを自動で配置するため、AWS構成図をより簡単に、よりスピーディに描画できます。 解決できる課題 一からステンシルをCacooに置く必要がなくなります 今回の機能で取得できるサービスは全てCacooのステンシルに対応した上で配置するので、そこから自由に各リソースを配置し直すことができます。 現在のAWSの状況を把握できるのに役立ちます CacooのUI上で視覚化できるので現在のAWSの状況を把握しやすくなります。 AWSの構成図をチームで共有しやすくなります Cacooでは複数人の編集、閲覧ができます。自動で作成を行う
しばたです。 以前の記事でも触れた様にCloudFrontとS3を使って静的サイトを作る構成に対する理解にあいまいな部分があったので改めてまとめてみました。 特に目新しい話も無く知っている人には当たり前の内容かもしれませんが、まあ、自分自身の理解を整理するために記事にしていきます。 1. S3静的ウェブサイトを使うパターン はじめの構成は「S3静的ウェブサイト」を使ったパターンです。 S3にはバケットの内容を静的ウェブサイトとしてホストできる静的ウェブサイトホスティングの機能があります。 この機能ではHTTPのみ利用可能なためHTTPSを使う場合はCloudFrontと組み合わせる必要があります。 S3静的ウェブサイトを使うにはバケット内のコンテンツを公開する必要があり、S3バケットはパブリックアクセス可能にする必要があります。 また、必ずHTTPのWEBサイトが公開されることになるためユ
ハッピーホリデー!id:cockscombです。この記事ははてなエンジニアAdvent Calendarの8日目のエントリです。 今年1月、はてなスターのリニューアルを行いました。リニューアルの内容は告知をご参照ください。 はてなスターのリニューアルでは、クロスオリジンの問題を解決するために特別な実装をしています。今回は、ホリデーシーズンをお祝いして、そのひみつを詳 (つまび)らかにします。 はてなスターとクロスオリジン はてなスターは、はてなブログなどに埋め込んで利用されます。はてなブログは hatenablog.com や hatenadiary.jp などのサブドメインを利用しており、さらにはてなブログProでは独自のドメインを設定できます。 はてなスターは複数の異なるドメイン名のサイトから利用される、ということです。 要するにはてなスターはクロスオリジンで利用されます。一方ではてな
これまで数多くのシステム障害を復旧してきました。 障害は無いに越したことは無いですし、起こらないように最善を尽くすのが我々エンジニアの使命です。 しかし、どれだけ最善を尽くしても起こる時には起こります。 今回は、これまで数多くの障害を復旧させてきたエンジニアが、復旧作業時に何を考えているのかを改めて言語化してみたいと思います。 こういう情報ってそれぞれのエンジニアの頭の中にあってあまり共有されないので、意外に参考になるかなと思います。 障害復旧対応の醍醐味 表現が適切かは分かりませんが、僕はシステム障害を復旧させるのが大好きです。目の前に起こっている事象からヒントを集め、地道に原因を切り分けてクリティカルヒットを見つけたときは名探偵になった爽快感があります。 加えて、動いているものを常に動かし続ける日頃の保守運用とは異なり、動いてないマイナスの状況を0まで戻すということで、復旧成功した際に
嘘、大嘘、そして (Cloudflare の) 統計 : Cloudflare のパフォーマンステストの欠陥を証明
嘘、大嘘、そして (Cloudflare の) 統計 : Cloudflare のパフォーマンステストの欠陥を証明 数週間前、Fastly の競合企業の一つである Cloudflare が、自社のエッジ・コンピューティング・プラットフォームは Compute@Edge と比べて約3倍も高速であると 自社のブログ記事で断言しました。しかし Cloudflare によるこの見当違いな主張は、事実とは異なる印象を与えるために統計が利用されるリスクについて学ぶ良い機会でもありました。この記事では、Cloudflare のテスト手法を分析するとともに、より有用で科学的な比較による結果をご紹介します。 世の中には「嘘、大嘘、そして統計」の3種類の嘘が存在すると言われています。これは統計の説得力を皮肉った言葉であり、統計の中には信用できるものもありますが、今回 Cloudflare が公開した統計は明ら
サーバーレスシングルページアプリケーション
Webアプリケーションにまつわる様々なリスクとコストを取り除くサーバーレスアーキテクチャをとり入れれば、強力なWebアプリケーションを素早く構築することができます。本書は、実際に動くアプリケーションを作りながら、サーバーレスアーキテクチャの特徴について学びます。 S3でアプリケーションをすばやくデプロイする方法、CognitoでGoogleやFacebookなどのIDプロバイダと接続しユーザーIDを管理する方法、DynamoDBでブラウザから直接ユーザーデータを読み書きし、API GatewayとAWS Lambdaでカスタマイズしたマイクロサービスを構築する方法などについて豊富なサンプルコードを使って解説します。サーバーレスアプローチのシングルページアプリケーションを設計、コーディング、テストして、再び設計にフィードバックする一連の流れを実践的に学べる本書はエンジニア必携の一冊です。 正
逆向きに接続する Reverse HTTP Transport の仕様 - ASnoKaze blog
『Reverse HTTP Transport』という提案仕様がIETFに提出されています。著者はMetaとNokiaの方々らです。また、HAProxyの方も同様の機能を検討しているそうです(参考URL)。 普通のProxyサーバでは、Proxyサーバからオリジンサーバにコネクション確立するのが一般的です。そのためにオリジンサーバが外部から接続を受けられるようにする必要があります。 Reverse HTTP Transportでは、逆にオリジンサーバからProxyサーバにコネクションを確立し、HTTPリクエストを受け付けるという構成になります。コネクションの確立/TLSハンドシェイクだけが逆向きで、コネクション確立された接続上で、ProxyからHTTPリクエストが送られます。 これによりオリジンサーバをインターネットに公開する必要がなくなります。 プロトコルについて この Reverse
Cloudflare待機室
本日、Cloudflare待機室をご紹介できることをうれしく思っております!まず、プロジェクトFair Shotという新プログラムで選ばれたお客様に最初にご利用いただけます。このプログラムは、新型コロナワクチン接種の圧倒的な需要によって、予約登録Webサイトが機能しなくなっている問題の解決を目的としています。BusinessプランとEnterpriseプランのお客様への一般提供については、近い将来行う予定です。 でも、待機室が楽しみってどういうことでしょうか?大半の方が、待機室がどういうところかをご存知のはずです。そこにいるということにうれしい要素は、ほぼありません。私たちがよく知っている待機室は、医師の診察を受ける前にいる部屋です。そうです、予約していても、医師に待たされたり、患者が遅れたりすることがありますね。医師は一度に1人の患者しか診ることができないため、患者が順番待ちをするという
Webアプリケーションの堅牢化に欠かせない知識を凝縮! セキュリティ学習のスタートに最適の一冊! 本書は、安全なWebアプリケーションを開発するための基本知識を、フロントエンドエンジニア向けに解説したセキュリティの入門書です。 これまでWebアプリケーションの開発で、セキュリティは「バックエンドの仕事」というイメージの強い領域でした。しかし、アプリケーションの安全性を高めるためには、フロントエンドエンジニアにも、セキュリティの基礎知識や具体的な対策の実践が求められます。 本書では、Webセキュリティの必須知識である「HTTP」「オリジン」などの基礎トピックや、「XSS」「CSRF」といったフロントエンドを狙ったサイバー攻撃の仕組みを、サンプルアプリケーションを舞台にしたハンズオンで学びます。 もちろん、攻撃からユーザーを守る防御の手法もしっかりおさえます。個々の攻撃手法に応じた対策のほか、
GraphQLはいつ使うか、RESTとの比較
さぼです、沖縄でWebと設計について考えてます。2023/09/23 に沖縄で行われたTechBaseOkinawa2023 にて上記のタイトルで登壇しました。 今回の内容は GraphQLを設計の観点から考えてみる GraphQLの目的や用途を整理する GraphQLを使う時、または使わない時のヒントを持ち帰ってもらう 最近、GraphQLじゃなくてRESTで良くないと思うケースがなんとなくわかってきたのでそれを共有する という感じで話しました。話した内容を文字に起こし少し改修してZennでも共有することとします。 まえおき 最近はクライアントAppとサーバーAppを分けて実装する事が増えてきた クライアントの環境はますます複雑になっている クライアントとサーバーはWebAPIで通信を行う クライアントが複雑になるのと同時にWebAPIの要求が更に増して来ている APIの要求・応答を効率
StackScript、k8s、Terraformを使って、Linodeで負荷試験環境を自動で構築する方法について、アカマイ・テクノロジーズの岡本英輝氏と佐藤裕行氏が、実際のデモを交えて紹介しました。後半はLinodeを使った負荷試験のデモとQ&Aについて。前半はこちら。 Linodeのメリットが得られやすいユースケースとは? 佐藤裕行氏(以下、佐藤):後半は、Linodeのユースケースについて、少し岡本さんと話を進めていきたいと思うんですけども。今回はアプリケーションの負荷試験にフォーカスして、デモなども見せていきます。 その前に、負荷試験以外のサービスでいうと、こういうのに向いているとか、こういうのに向いてそうなところって、なにか感覚として持ってたりしますか? 岡本英輝氏(以下、岡本):前半に続いて、ちょっと転送量コストの話ばっかりになってしまうんですけど、やはりアウトバウンド転送量を
2014-09-27: 該当サイト上にXSSがなくても攻撃可能であることが id:mayuki さんのコメントで判明しましたので全面的に書き直しました。ファイアウォール内であっても攻撃者はファイアウォール内のShellshock攻撃が通用するCGIのURLがわかっているだけで攻撃可能ですので早急に対応が必要です!会社のブログにも書いてますが、ファイアウォール内に置いてあるサーバで攻撃者が直接アクセスできないからといってbashの更新を怠っていると、条件によっては攻撃が可能となります。 条件としては、 そのサーバにはシェルを経由して外部コマンドを起動するCGI等が動いている(通常のShellshockの攻撃と同条件) 攻撃者がそのURLを事前に知っている(あるいは推測可能) となります。 攻撃者は、ユーザーを罠URLへ誘導し、以下のようなJavaScriptを罠ページ上で動かし、攻撃対象のW
はじめに こんにちは、株式会社Flatt Security セキュリティエンジニアの森岡(@scgajge12)です。 本稿では、Amazon S3 の脆弱な使い方によるセキュリティリスクと対策を解説し、実際の設定不備などに関する事例についても紹介します。 Flatt Security は専門家の視点でセキュリティリスクを調査するセキュリティ診断を提供しています。クラウドとアプリケーションの総合的な診断の事例として SmartHR 様の診断事例がございますので、是非インタビュー記事をご覧ください。GCP の事例ですが、もちろん今回取り上げる AWS でも同様の診断が可能です。 はじめに Amazon S3 とは バケット・オブジェクト バケット オブジェクト アクセスポリシー バケットポリシー アクセスコントロールリスト(ACL) IAM ポリシー 署名付き URL Amazon S3 に
S3経由でXSS!?不可思議なContent-Typeの値を利用する攻撃手法の新観点 - Flatt Security Blog
はじめに セキュリティエンジニアの齋藤ことazaraです。今回は、不可思議なContent-Typeの値と、クラウド時代でのセキュリティリスクについてお話しします。 本ブログは、2024 年 3 月 30 日に開催された BSides Tokyo で登壇した際の発表について、まとめたものです。 また、ブログ資料化にあたり、Content-Type の動作や仕様にフォーカスした形で再編を行い、登壇時に口頭で補足した内容の追記、必要に応じた補足を行なっています。 また、本ブログで解説をする BSides Tokyoでの発表のもう一つの題である、オブジェクトストレージについては、以下のブログから確認をすることが可能ですので、ご覧ください。 blog.flatt.tech なぜ今、この問題を取り上げるのか? 従来のファイルアップロードにおいて、Content-Type の値を任意の値に設定すること
一部、直訳ではなく意訳した部分がございます。原文と表現が異なることがございますので、ご了承ください。この日本語訳は、私が理解を深めるために、自分なりに日本語化したものです。本日本語訳には、翻訳上の誤りがある可能性があります。したがって、内容について一切保証をするものではありません。正確さを求める場合には、必ず原文を参照してください。当方は、この文書によって利用者が被るいかなる損害の責任を負いません。もし誤りなどを見つけたら、当サイトのお問い合わせより連絡いただければ幸いです。 原文URL:http://www.w3.org/TR/2011/WD-html5-diff-20110525// 原文タイトル:HTML 5 differences from HTML 4 - W3C Working Draft 25 May 2011 翻訳日:2011/05/26 最終更新日:2011/05/26
robots.txt レポートには、サイトの上位 20 個のホストに対して Google が検出した robots.txt ファイル、前回のクロール日、発生した警告やエラーが表示されます。また、急いでいる場合には、レポートから robots.txt ファイルの再クロールをリクエストすることもできます。 このレポートは、ドメインレベルのプロパティでのみご利用いただけます。つまり、対象となるのは次のいずれかです。 ドメイン プロパティ(example.com や m.example.com など) パスが指定されていない URL プレフィックス プロパティ(例: 「https://example.com/」は対象で、「https://example.com/path/」は対象外) robots.txt レポートを開く robots.txt ファイルとクロール ステータスを確認する ドメイン プ
TL;DR X-Content-Type-Options X-Frame-Options(XFO) X-XSS-Protection Content-Security-Policy (CSP) Upgrade-Insecure-Requests Strict-Transport-Security (HSTS) Public-Key-Pins (HPKP) 設定 TL;DR X-Content-Type-Options MIME スニッフィングの無効化 X-Frame-Options(XFO) フレーム表示を制限しクリックジャッキングを予防 X-XSS-Protection XSSフィルタの有効/無効 Content-Security-Policy (CSP) XSSなどの攻撃を軽減するセキュリティレイヤー Strict-Transport-Security (HSTS) HTTP の代わり
小比良 和威 @ohira_y このタイプの数の子は実際に販売したり、お節に入れる際には「数の子加工品」等の名称になるはずで、通常の塩数の子や味付け数の子とは区別がつくようになっています。 twitter.com/kikori2660/sta… 2017-12-04 07:23:38 ぜちこオリジン @zechiko12 子供の頃散々数の子の白い膜みたいなのを取る作業をやらされてたんで 金型変えたって ニセ物はニセ物ってわかるで… あのひらひらが一枚づつ切り込み入ってたら 騙されるけどさ… 2017-12-04 09:04:49
2013-03-05 おれのかんがえたさいきょうのまく◯なるど 前回までのあらすじ。太宰メソッドってなんだったっけと思ってぐぐったMK2さんはじゃっかんかしこくなりました。そうか。俺が嫌いなあれにはそういう名称がついてたのか。がんばって書いたのに……。 気を取り直しまして、今日は別のことを書きたいと思います。 朝、店頭でゴミの分別やってて、某巨大ハンバーガーチェーンのゴミが非常に多くていらいらしました。いらいらするあまり「俺が貴様を改善してやる」とか思って、どうやったらマックがよくなるかいっしょうけんめい考えてみました。最近、増田でそんなネタを見たような気もするので、ここはひとつ捻りを加えようと思って、うちの奥さまにインタビューしてみることにしました。 「最近◯ックがいろいろ迷走してるっぽいのだが、改善策を考えてあげてください」 「そんなんもん知るかポテト食いたい」 「そこをなんとか。社長
■感謝したい なるべく情報を入れずに見に行った。 たぶん「面白いが、悔しい」(こういうのに関われない自分や、日本の映画界の悔しさ)という感想になるのではないかと思っていた。 違った。 一番近い感想は「感謝」だ。これは感謝したい。監督、愛してる。 ■俺史上実写ロボランキング1位 もちろん、微妙なところや突込みどころは大量にある。 あるのだが、それを押し流すだけの勢いがある。 いっちゃなんだが、すばらしい。 俺の人生における、実写ロボット映画ランキング1位が塗り替えられた。 ちなみに2位はゴジラvs釈由美子、3位はロボ・ジョックス、その後トランスフォーマーに続く。Gセイバーはカウントしない。 24年目にしてガンヘッドの解毒がなった。 ■感謝したい映画 パシフィック・リムがなぜ感謝したくなる映画になったのか。 たぶんコレは「この映画のジャンルをリスペクトしている」のが本当に感じられるからだと思う
ある日ふと思い立って調べてみた、イケてるしヤバい*1言語REBOLについて紹介します。 REBOLは、 Relative Expression Based Object Language 「相対的な表現をベースにするオブジェクト言語」の略です。よく意味わからん。 Wikipediaによると、 1997年にリリースされたREBOLは、カール・サセンラスが20年に渡って設計したものである。サセンラスは AmigaOS の主要アーキテクトであり、REBOLの設計にあたっては、表示的意味論の知識に基づいて、LISP、Forth、LOGO、Self といったプログラミング言語の概念を利用した。 引用元:REBOL - Wikipedia 大雑把にいうと、LispやForthやLOGOやSelfに似たスクリプト言語です。ここからダウンロードできます。最新バージョンはオープンソースライセンスになっていま
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
シンプルかつ高速な文字列照合アルゴリズムを紹介します - エムスリーテックブログ
Fastlyについて知らないかもしれない30のこと – TravelBook Tech Blog
【2020年】CTF Web問題の攻撃手法まとめ - こんとろーるしーこんとろーるぶい
AWSにおける静的コンテンツ配信パターンカタログ(アンチパターン含む) | DevelopersIO
続・新しい漫画村?ができたらしいので調査しておく - orangeitems’s diary
iPadに18禁ゲームをインストールする(ためのWebアプリを作る)
「貧困は社会のせいだ!」と信じて、生活保護申請随行のボランティアをしたら、クズばっかりだった話
JSONをvbscriptとして読み込ませるJSONハイジャック(CVE-2013-1297)に注意
Web配信の技術という本を書きました – cat /dev/random > /dev/null &
Fetch APIは「PATCH」だけ大文字と小文字の挙動が異なる
日本にはこのような変態のニュースサイトがあるのですか?[ギルティギア ストライヴ]
AWS構成図をCacooに自動で挿入する機能をリリースしました | Cacoo(カクー) ブログ
CloudFrontとS3で作成する静的サイト構成の私的まとめ | DevelopersIO
はてなスターのひみつ - Hatena Developer Blog
僕が障害復旧対応時に考えていることを言語化してみる - Qiita
フロントエンド開発のためのセキュリティ入門 知らなかったでは済まされない脆弱性対策の必須知識 | 翔泳社
“わずか10分”で「負荷試験環境」の構築が可能に クイックにチェックできる状況をサクッと作れる、Linode活用法
ファイアウォール内のサーバに対するShellshockを利用した攻撃 - 葉っぱ日記
Amazon S3の脆弱な利用によるセキュリティリスクと対策 - Flatt Security Blog
W3C - 『HTML 5 differences from HTML 4』日本語訳 - HTML5.JP
robots.txt レポート - Search Console ヘルプ
商用環境で設定しておきたいセキュリティ関連 HTTP ヘッダまとめ - A Memorandum
『数の子、お前マジかよ…』工場での数の子の作り方が衝撃的すぎた「もうなにも信じられない」
おれのかんがえたさいきょうのまく◯なるど - 24時間残念営業
映画:パシフィックリム 感想 島国大和のド畜生
イケてるしヤバい言語 REBOL - yojikのlog