はじめに はじめまして、セキュリティエンジニアのSatoki (@satoki00) です。今回はブラウザの開発者ツールのネットワークタブから隠れて、Webサイト内の情報を送信する手法をまとめます。所謂Exfiltrationというやつです。中にはCSPの制限をBypassするために用いられるテクニックもあります。CTFなどで安全に使ってください。 前提 発端はWeb上でテキストの文字数をカウントできるサイトが閉鎖する際の話です。カウント対象のテキストデータがサイト運営 (やサイトを改竄した攻撃者) に盗み取られていないかという議論が巻き起こっていました。「盗み取られていない」側の主張は、ブラウザの開発者ツールのネットワークタブにリクエストを送信した形跡がないというものでした。ここで ブラウザの開発者ツールのネットワークタブに表示がなければ外部へデータを送信していないのか? といった疑問が
ロードバランサーってなんやねん
はじめに どもども、インフラ案件で奮闘中の井上弥風(いのうえみふう)です。 現在プロジェクトでELB(Elastic Load Balancing)を使用しており、その内部機能を完全に理解したいと思い、この記事を書きました。 この記事について この記事の最終的な目標は、「ELBとは何か?」を深く理解し、それを自信を持って説明できるレベルになることです。 しかし、ELBを完全に理解するためには、まず基本的なロードバランサーの概念を押さえる必要がありました。 そこで、この記事ではELBの根底にあるロードバランサーとは何かという点に焦点を当てていきます。 ELBの詳細については、この記事の後に公開予定の「ELBってなんやねん」という記事で詳しく取り上げます。 ELBに興味のある方は、ぜひそちらもご覧ください。 記事のゴール この記事を通じて、ロードバランサーがどのようにしてトラフィックの負荷分散
PostgreSQLのPub/Sub機能とJavaのクライアント実装 | フューチャー技術ブログ
本記事は「珠玉のアドベントカレンダー記事をリバイバル公開します」企画のために、以前Qiitaに投稿した記事を改訂したものです。 はじめにPub/Sub型のメッセージングアーキテクチャを採用するにあたっては、kafkaなどのブローカーミドルウェアや、Amazon SNS、Google Cloud Pub/Subなどのマネージドサービスを利用するケースが多いかと思います。ところでPostgreSQLでも実はPub/Subができます。 すでに業務でPostgreSQLを使っていれば、新たにPub/Subブローカーを構築しなくても、疎結合なシステム間通信を簡易的に実現できます。 本記事ではこの機能の紹介と、Pub/SubクライアントをJavaで実装する場合の選択肢、考慮点を示しています。 ※実行環境はPostgreSQL 16.2とJava 21です ※データベースの文字コードはUTF-8としてい
こんにちは! シェルフィー株式会社で SRE を担当している石田です。 弊社では、本番のワークロードにて Fluent Bit を使っております。 今回、Fluent Bitの処理について理解を深めたので記事を書いてみました。 世界中で使われているとても有名なミドルウェアなので、参考になればとても嬉しいです。 はじめに 弊社では、ECS on Fargate で稼働しているバッチジョブのログをサイドカーコンテナ(Fluent Bit)を使い Datadog に連携しています。 ログのサイズが 16 KB 以上ある場合、shim-logger の仕様により、そのログは分割されてしまうため、 Fluent Bitにて分割されたログの再結合処理を行う必要性があります。 この点についてはDeNAさんの記事がわかりやすいので、詳細はそちらを参考にしてもらえたらと思います。 AWS ECS on Fa
小説の設定を練るとき
小説の設定を練るときのフォーマットを作って、割と納得いくものになりました。 創作で悩みがある人の助けになればと思って、具体例や書く時のコツと一緒に公開します。 上から埋めていくと本文を書けるくらいにイメージが固まってきて、心穏やかに小説を書けます。 小説って書くのに時間かかるから、勢いで書くと書いてる間に飽きるし、考えたこととか忘れて投げ出しちゃう。 設定を練ろう! ちなみに、小説の実力は趣味程度だから、上手な人は優しくアドバイス貰えると嬉しいな。 追記: みんなブックマークありがと!記事に影響を与えたコメントは後ろで謝辞してあるよ。 ====以下、フォーマット==== テーマ例: ゾンビウイルスが流行した世界でリモートワークする日常 小説の着想や表現したいことを書く自分の身の程をわきまえて、あんまりカッコつけない 何個か挙げて優先順位つけてもいいタイトル例: ゾンビさんは在宅 思いつかな
インボイス管理サービス「Bill One」の認証を内製認証基盤に置き換えて認証基盤のコストを削減した話 - Sansan Tech Blog
Bill One Engineering Unit 共通認証基盤チームの樋口です。 Bill Oneでは昨年までAuth0を認証基盤として利用してきましたが、認証基盤を内製化することでコストを大幅に削減しました。 この認証基盤は、昨年12月に無事リリースされ、Bill Oneの認証を支えています。 今回は認証基盤の内製化に至った経緯と設計、移行プロセスについて紹介します。 Bill Oneについて 認証基盤に関する課題 解決方法の検討 IDaaS(Identity as a Service)について 設計とシステム構成について 認証基盤の設計 システム構成 アカウントの移行について メールアドレス・パスワードでのログインを利用しているユーザーの移行 SSO(Single Sign-On)の移行 振り返りと今後 ドメイン変更による問い合わせの増加 内製化によって体験の改善がスムーズに Bil
メルカリを退職します/転職のためロンドンに移ります/ジョージア工科大学のCS修士に進学します - ときどき起きる
アップデートです メルカリを退職します 転職のためロンドンに拠点を移します ジョージア工科大学のコンピュータサイエンス修士(オンライン)に進学します 最後に メルカリを退職します 例の写真 2024/07/30付けで退職します。最終出社日は2024/07/12でした。 2022/01/01に入社し、2年7ヶ月の所属となりました。前職が2年8ヶ月だったので、似たような期間で辞めることになりとても不思議な気分です。 自分が所属していたのはUS@Tokyoというチームで、日本からアメリカのメルカリを開発するという少し変わったことをしていました。 もちろん現地にもエンジニアが多くいて、時差の関係上ほとんどのミーティングが午前中に発生して午後がほぼフリーになるのは非常に開発者として体験が良かったです。 また、完全に英語環境ということもあり、入社時は字幕をつけて必死にミーティングに参加している状態だっ
セキュキャン2023でSysmonForLinuxを使った経験があり、プログラムの挙動ログを自作ロガーで取りたいなと思ったので、Go+ebpf-goで簡単なシステムコールロガーを実装した。eBPFもGoも初心者なのでコードが汚いのは御愛嬌。 コード全体 コードはここに書いた。記事作成時点のコードであって、最新版ではないので注意。 main.go package main import ( "bytes" _ "embed" "encoding/binary" "encoding/json" "fmt" "os" "os/signal" "syscall" "github.com/cilium/ebpf" "github.com/cilium/ebpf/link" "github.com/cilium/ebpf/ringbuf" "github.com/cilium/ebpf/rlimit"
会社上層部に丸一日マンマークで仕事を観察されて地獄だった。 - Everything you've ever Dreamed
会社上層部四天王に一日マンマークされて死にかけた。嫌な予感はしていた。「社員ひとりひとりが経営者意識を持ってほしい。皆さんとは待遇と立場が違うだけで目指す方向性は一緒です」と激ヤバ発言を繰り返していた会社上層部が、方針転換したのだろうね、先日の朝礼で「我々役員も立場と待遇の違いを越えてイチ社員の仕事をすることが大事」と根本的に間違った現場第一主義発言をしていたからだ。社員ひとりひとり経営者意識発言の時点でヤバかったのが、更にダウングレードされた感が凄かった。会社上層部四天王は、金融機関からの出向を経て取締役になっているため、ウチの業界(食品業界)のことを知らない。仕事もわからなければ、コネクションもない。プライドが高いので知ろうともしない。NAI・NAI・60(60代)なのである。 クソ現場第一主義の一環で、四天王四番目の男、通称四番(ヨンバン)が抜き打ちで僕に密着マークをすることになった
go-smtp-mockをSMTPのモックサーバにして単体テストする | フューチャー技術ブログ
はじめにTIG真野です。 バックエンドのアプリケーションの上で、メール送信するコードがある場合の単体テストをどう実現するか悩みました。 メールには、タイトル・本文・From・TO・CC・BCCなど複数の設定値がありますし、SMTPサーバの接続情報もあります。これらを表現する構造体のモデルだけに絞った検証に留めることは、気が進みませんでした。時代はインフラレベルでダミーサーバを動かしモックする方向で動いています。SMTPでメール送信し、その送信結果をテストコード上で取得&検証する一連の流れを行って動作を確かめたいと思いました。 方法として、澁川さんのMailSlurperを使って6桁のコードの送信コードのテストをするで紹介されたMailSlurperを使うか迷いましたが、以下の点で牛刀だなと感じました。 メール送信するのはごく一部の機能(私の場合は1機能。今後増える見込みは現時点で見えなかっ
Okta CIC (Auth0) Enterprise Connectionsを活用した外部IdP(SAML, OpenID Connect)認証設定ガイド | TC3株式会社|GIG INNOVATED.
Okta CIC (Auth0) Enterprise Connectionsを活用した外部IdP(SAML, OpenID Connect)認証設定ガイド はじめに Okta CIC(Auth0)管理画面における認証関連設定項目 Okta CIC(Auth0)の認証方法(connection)は複数種類があります。例えば、ユーザー名/パスワードをAuth0に登録した上でログインする方法はDatabase Connectionsです。その他にも、Googleアカウントからの認証を実現するのであればSocial Connectionsがあります。Passwordless Connectionsについては以前のブログ記事にてご紹介しました。 このように様々な認証方法に対応していますが、本記事では、Enterprise Connectionsを利用した外部IdPを活用した認証をご紹介します。接続
NTTドコモにおける Leminoの大規模ライブ配信を支えるアーキテクチャ(第一回) | Amazon Web Services
Amazon Web Services ブログ NTTドコモにおける Leminoの大規模ライブ配信を支えるアーキテクチャ(第一回) 本稿では株式会社NTTドコモ(以下、docomo)において、映像配信サービス『Lemino』の開始にあわせて配信基盤を再構築し、同時視聴ユーザが数百万規模のライブ配信を実現した取り組みについて、全4回に分けてご紹介します。この取り組みについて概要をご覧になりたい方は導入事例ページもご覧ください。 第一回 適切なデータストアの選定とアーキテクチャの見直し 1.はじめに docomoの『Lemino』は、2015 年から提供していた『dTV』をリニューアルする形で誕生した映像配信サービスです。 既存システムにとらわれず、新機能を素早く提供するとともに大規模なライブ配信を実現するために、データストアを改めて選定し、全てのアーキテクチャを見直しました。 dTV では
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ブラウザ開発者ツールのネットワークタブに表示されない情報送信手法 - Qiita
Fluent Bit の低レイヤーに飛び込んでみて、わかったこと
eBPFに入門して簡単なシステムコールロガーを実装した - zebian.log