こんにちは。技術本部SRE部ZOZO-SREブロックに所属している杉山です。SRE部のテックリードとして、オンプレ/クラウドのインフラを担当しています。 ZOZOTOWNでは、既存システムのリプレイスプロジェクトを進めています。各サービスのマイクロサービス化は進んでいますが、バックエンドでは「WindowsServer + IIS」で稼働しているシステムがまだ多く残っています。そのリプレイスプロジェクトを進めるうえで重要なポイントとなる、セッションストアのリプレイス「セッションオフロードPhase 2」が完了しました。本記事では、リプレイスしていくうえでの工夫や課題への対応を紹介します。 目次 目次 セッションオフロードPhase 2について プロジェクト概要 Phase 1:CacheStoreのリプレイス Phase 2:SessionStoreのリプレイス ZOZOTOWNが抱える、
シンジです。個人での利用、会社での利用に問わず、クラウドサービスに登録した自分の情報や普段利用するデータ、誰にも教えたくない秘密情報であったとしても、利用者本人のみが利用できる保護されたものだと思っている人も多いようですが、そんなわけあるか。 クラウドサービスのデータの所有権 所有権とか言い出すと、どの国の法律でどう定義されているから云々みたいな話になります。権利だけで挙げても、著作権や使用権、再利用権など広がる広がる。所有権だけを見て国内民法で見てみると、データは無体物であって民法上の所有権の対象にはならないとか言われる始末なので、いやいやそんなこと言われましても俺のものは俺のものですとか言いたくなるかもしれません。 全部が全部そうなってるとは言いませんが、どんな大手の有名クラウドサービスであろうが多くの場合、「クラウドサービスに上げたデータは、クラウド事業者のもの」です。 Google
はじめに 今フロントエンド/バックエンドの垣根を超えて巷を賑わせている T3 Stack について調べてみました。要素技術一つ一つが濃密なので、本記事ではあまり深入りはしませんが、「それらがどういう旨みを持ってT3 Stackを成しているのか」、「少し動かしたことがあるよ」と読み終わる頃には人に説明できるようまとめてみました。 キーワードは full-stack typesafety(フルスタックな型安全) です。📝 T3 Stack T3 Stack とは、Theo 氏によって提唱された Web 開発技術スタックで、以下の思想に焦点を当てています。 simplicity(シンプルさ) modularity(モジュール性) full-stack typesafety(フルスタックな型安全) The “T3 Stack” is a web development stack made by
ウェブ・セキュリティ基礎試験(徳丸基礎試験)
お知らせ 受験宣言して試験を申し込んで主教材・公式問題集をもれなくGET!キャンペーン ウェブセキュリティ試験(通称:徳丸試験)は2023年3月6日よりバウチャーチケットを割引で購入できるようになります。10名以上の団体受験を希望される法人は団体割引価格(10%引き)が適用されます。お問い合わせはこちらよりお願いします。 ウェブ・セキュリティ基礎試験実施の背景 全世界で稼働しているWebサイトは5億サイトになりました。企業にとっても重要な位置づけになるため、サイバー攻撃の対象となるケースも増え、攻撃手法も複雑かつ巧妙になってきています。よってウェブ・セキュリティに対する対策は以前よりまして緊密且つ迅速に施さなければなりません。ユーザ、開発者に対してより一層のウェブ・セキュリティに対する意識と知見を高めるべく、本試験を実施いたします。本試験の主教材はウェブ・セキュリティの名著として知られる徳
ORMをアップグレードするために行った大改修
この記事は「Eureka Advent Calendar 2021」の8日目の記事です。 こんにちは、Backendチームのdaisuzuです。 本記事ではPairsのバックエンドで使用していたgithub.com/go-xorm/xorm(v0)をどのようにしてxorm.io/xorm(v1)にアップグレードしたのかを紹介します。 アップグレードの目的としては主に以下の2点を考えていました。 データベースに起因する諸々のトラブルが解消するかもしれないという期待今後も開発が続いていくのにいつまでも古いバージョンを使い続けるのは不健全ここでいうデータベース起因のトラブルとは、1リクエストで複数のセッションが使われるようになっていたため、常にセッション数が多い状態になっていたことや、セッションの制御がうまく効かなかったせいか度々デッドロックやデータ不整合が発生していたことです。 これを去年の1
こんにちは、うしろのこです。直近1年ではVueから離れて、maja と呼ばれる組織管理基盤の新規プロダクトの開発をしていました。 プロダクトの話はこちら(maja)↓ note.st.inc 今回は、0->1における技術選定や開発中の工夫、結果どうだったかなどを書きます。 技術選定 初めに、前提条件は以下のような感じでした。 メンバーはReactの経験が豊富、フロントを触るのは多くて3,4人くらい 常にユーザー認証された状態で操作されるため、FE用のmiddleware的な層があるとうれしい toBアプリケーション せっかくなので使ったことのないものを使ってみよう、ということで、すでにWAFでの導入が進んでいたCloudflareの技術の採用をFEでも検討しました。少し触った感じではdeploy体験がよく、ローカル開発環境であるwranglerの出来も申し分なかったため、Cloudflar
目次。 目次。 はじめに。 「株式自動売買」と「システムトレード(シストレ)」の違いをもう一度。 株式自動売買プログラムを自作するメリット。 プログラミング技術が身に付く。 幅広い知識(ネットワーク関連・機械学習など)が身に付く。 学術論文から最新の研究成果を取り入れることができる。 プログラムを自分好みに思いのまま改変できる。 楽しい。 株式自動売買プログラムを自作するデメリット。 膨大な時間がかかる。 幅広い知識(ネットワーク関連・機械学習・プログラミングなど)が必要。 信用取引口座の開設。 信用取引とは? 空売り(売建)ができる。 レバレッジを効かせることができる。 ロング・ショート戦略:暴落リスクを回避することができる。 プログラム関連の準備。 プログラミングの勉強方法。 ニューラルネットワークの改良。 株式売買注文発注・訂正・取消、保有建玉・委託保証金維持率確認など、株式売買(信
【感想】『基礎から学ぶ サーバーレス開発』: AWS Serverless 2020 を知ろう - Rのつく財団入り口
基礎から学ぶ サーバーレス開発 タイトルに「AWS」が入っていませんが、AWSに限定してサーバーレス周りの開発の基礎を一通り解説した本。作者陣はCIerとしても有名なアイレット社の方々。JAWS-UG運営の方もいらっしゃいますね。そういえば2019年のAWS Summitに行った時にcloudpackのノベルティをもらった覚えがあります…… 基礎から学ぶ サーバーレス開発 CHAPTER01 サーバーレスとは CHAPTER02 サーバーレス開発でよく使うサービス CHAPTER03 サーバーレスアプリケーションの構築 CHAPTER04 サーバーレスの運用・監視 CHAPTER05 サーバーレス開発におけるセキュリティ CHAPTER06 サーバーレスの構築例 完全サーバーレスでのWebページ構築事案 APIバックエンドにRDSを用いた事例及び2019年のアップデートについて サーバーレ
Shopifyに様々な独自機能やデザインを組み込めるShopifyアプリとShopifyテーマ。この記事はそんなShopifyアプリとテーマの開発に必要な基本情報と役に立つTIPSを日本の開発者向けにまとめたものです。初心者の方からすでに開発に着手されている方にまで必要な情報を簡単に幅広く網羅してあります。全ての情報は公式サイト(英語)に記載されています。 アプリ開発 テーマ開発 カスタムストアフロント(旧ヘッドレスコマース) マーケットプレイス(モールなどの外部の販売場所の構築) APIドキュメント アプリ開発の流れ アプリ開発の基本的な流れは以下になります。 [パートナーアカウントの登録] > [開発ストアの追加] > [アプリの作成と資格情報の取得] > [開発ストアへのインストール] > [APIを使った処理の作成] > [Polarisを使ったUIの作成] >(埋め込みアプリにし
Rails/Deviseを利用した認証を Amazon Cognito 認証に委譲する - stmn tech blog
スタメン エンジニアの松谷(@uuushiro)です。Railsアプリケーションにおいて認証機能にDeviseが利用されるケースは多いと思いますが、サービスの特性次第で メールアドレスをIDとした認証だけでなく、携帯電話番号をIDとした SMS認証、外部ソーシャルID連携やSAML認証、MFA設定など多様な認証機能に対応する必要があります。その際にDeviseにモジュールを追加したりカスタマイズするなど、アプリケーション側で対応することも1つの手ですが、クリティカルな作業で工数がかかる割にはサービスの本質的な競争力の向上には繋がることは少ないです。できれば自前で実装するのは避けたいなと考えていたときに、Amazon Cognito というアプリケーションで必要とする一連の認証機能を提供してくれるサービスを思い出しました。Deviseを利用した認証を Amazon Cognitoに委譲するこ
面接で聞かれた技術的質問🚀
初めまして、最近、転職活動をしているバックエンドエンジニアです。 面接の場面で、技術的質問を受ける経験がよくあるのですが 声に出すと中々説明出来なかったので、自身の振り返りも込めて質問内容を大雑把にまとめようと思います。 内容は、ネットワーク、セキュリティ、データベースに関してです。 ネットワーク🌼 ブラウザであるURLを叩いて、ページが表示されるまでの流れを教えてください DNSサーバーにアクセスし、ドメインに紐付けされたIPアドレスの取得。 取得したIPアドレスを元に、ブラウザからリクエストが送信される。 リクエストを受信したサーバーが、データパケットという形でレスポンスが返却し、Webサイトの情報がブラウザに表示される Cookieとは何か?また、どのような場面で使用されるかを教えてください Cookieとは ウェブブラウザに保存された情報。 どのような場面で使用される? ユーザ識
自分の中のモンスターに打ち勝て! サイボウズ社長室フェローが説く、40代からのチームビルディング 管理職にはなりたくない!? 40代になったらやるべき、スペシャリストのチーム構築術 #2/2 サイボウズ株式会社が開発するツールの活用事例や、チームビルディングのノウハウなどを紹介する総合イベント「Cybozu Days 2019」が、東京、大阪、名古屋の3都市で今年も開催されました。2019年のテーマは「モンスターへの挑戦状」。同社代表 青野慶久氏の近著『会社というモンスターが、僕たちを不幸にしているのかもしれない。』に端を発し、会社に巣くう“思い込み”による支配への挑戦をメッセージに掲げています。この記事では11月8日に東京会場で行われたセッション「管理職にはなりたくない!? 40代になったらやるべき、スペシャリストのチーム構築術」の模様をお届けします。サイボウズ社長室フェローの野水氏が登
IPoE方式とVNEの役割 NGN IPoE協議会 会長 石田慶樹 2018年10月11日(木) 「第50回ISP&クラウド事業者の集いin京都」講演資料 本日の内容 • IPoE方式とは • VNEの役割 • IPv4 over IPv6 • NGN IPoE協議会について 本日の内容 • IPoE方式とは • VNEの役割 • IPv4 over IPv6 • NGN IPoE協議会について 案1 案2 PPPoE方式(旧トンネル方式) 案3 IPoE方式(旧ネイティブ方式) 案4 IPoE方式(旧ネイティブ方式 ) • ISPがSNI-IFを使って接続 • NGNには手を入れずに土管として使 用 • IPv4 ISP接続と同様の方式 • ユーザへNTT東西とISPのふたつの IPアドレスを払出し • NGNとインターネットをL3接続 • ユーザへインターネット接続可能な NTT東西の
認証・認可はどんな種類のアプリケーションにも求められる機能だ。一方で、技術仕様が複雑で実装が困難な領域でもある。「仕様の調査に膨大な時間がかかった」「認証の実装方法に不備があり、アプリケーションに脆弱性を作ってしまった」といった経験を持つエンジニアは少なくないだろう。そうした課題を解決してくれるのが、Auth0株式会社が提供する認証・認可のプラットフォームである。多種多様な機能を有する同社のライブラリは、わずか数行のコードを記述するだけで利用可能だというから驚きだ。同社ソリューションズエンジニアの山口央氏が、Auth0のサービスを用いて認証・認可の課題を解決する方法を解説した。 講演資料:ソフトウェア開発における認証・認可の位置付けと課題、現実解を探るアプローチ Auth0株式会社 ソリューションズエンジニア 山口央氏 認証・認可を外部サービスでまかなうことの利点 現代は、数多くのアプリケ
[Multi-AS Segment Routing 検証連載 #7] Delay-Based TE - NTT Communications Engineers' Blog
サマリ SR-MPLS で構成されたネットワークにおいて、リンクの遅延を測定し Delay-Based TE を実現 IOS XR + Junos の Multi-vendor 環境での動作検証 この記事は Multi-AS Segment Routing 検証連載の第 7 回です。目次は こちら 概要 イノベーションセンターの竹中です。本記事ではリンク遅延値を用いる Delay-Based TE について説明します。 Delay-Based TE は各リンクの遅延時間をメトリックとして、E2E 遅延が最短となる経路を選択する経路制御手法です。遅延最短経路はシビアなリアルタイム性が求められる、例えばライブ配信や遠隔操作などでの活用が期待されます。 以降では、Segment Routing を用いたネットワークにおける Delay-Based TE の実現手法と、遅延の実測方法や Multi
![[Multi-AS Segment Routing 検証連載 #7] Delay-Based TE - NTT Communications Engineers' Blog](https://cdn-ak-scissors.b.st-hatena.com/image/square/10047de91d255835bc36317c4e86f88ddc341a8f/height=288;version=1;width=512/https%3A%2F%2Fcdn-ak.f.st-hatena.com%2Fimages%2Ffotolife%2FN%2FNTTCom%2F20220901%2F20220901114549.png)
AWS IAM アイデンティティセンターで、AWS コマンドラインインターフェイス (AWS CLI) と SDK 向けのセション管理機能をサポート
本日より、AWS IAM アイデンティティセンター (AWS Single Sign-On の後継サービス) のお客様は、AWS コマンドラインインターフェイス (AWS CLI) セッションと SDK セッションのセッション時間 (15 分から 7 日) を管理できるようになりました。今回のリリースにより、IAM アイデンティティセンターで組織のアクセスポータルのセッション時間を設定すると、アプリケーションとコンソールのセッションだけでなく、AWS CLI と SDK のセッションにもそのセッション時間が適用されます。 今回のリリースより前は、AWS CLI と SDK のセッションの制限は 8 時間でした。長いセッション時間を設定できるようになったため、再認証を行わなくてもジョブを長時間実行したり、長時間実行しているジョブが突然終了するのを防いだりすることができます。また、組織のセキュ
AWS CLIをAWS IAM Identity Center(SSO)で認証させるには? | DevelopersIO
AWS OrganizationsのAWS IAM Identity Center(旧AWS Single Sign-On;AWS SSO)を利用すると、Organizations配下のAWSアカウントにSSOできます。 本記事では、同機能をAWS CLIから利用する方法を紹介します。 AWS IAM Identity Centerの詳細は次のブログを参照ください。 なお、本記事ではAWS Identity Center directoryでユーザー管理しているものとします。 ポイント IAM Identity CenterにはAWS CLI v2が対応。v1は未対応 設定ファイルはAWS CLIだけでなくAWS SDK全般で流用可能 IAM Identity Centerはリージョナル・サービス IAM ユーザーのように永続的なアクセスキーは存在せず一時的な認証情報を利用 各アカウントへ
PHPのフレームワークって何?使うメリットを知りたい。今はどんなPHPフレームワークが需要あるの? システムエンジニアがこの悩みにお答えします。 この記事を書いている僕は、WEBコンサルタント兼SEとしてシステムやマーケティングを担当しています。PHPのフレームワークも一通り使ったことがあり、お気に入りはLaravelです。 PHPプログラマーを目指すならば、フレームワークは必ず学習したほうがいいです。 僕は現在、WEB系システムエンジニアとしてPHPの仕事もしていますが、周りのエンジニアもフレームワークかWordPressのどちらかを使うのが一般的です。 需要が高く人気のPHPフレームワークを紹介します。 PHPフレームワークで開発するメリット フレームワークを使うとPHPのプログラミング開発期間を格段に短縮できます。 プログラマーにとって怖いことは、納期に間に合わないことです。 プログ
セッション管理について誤った認識を持っていたり、サーバのスケーラビリティを考慮しないままアプリケーションの開発を進めてはいけません。開発の終盤でサーバの負荷分散ができない、なんということになりかねません。 本記事では、Web 初心者向けにセッション管理の主要な2種類の方法について説明します。具体的な実装例として、Web サーバに express を使用しますが、基本的な考え方はどの言語、どの Web サーバでも同じです。 セッション管理とは そもそも、セッション管理とは何でしょうか。 ブラウザから Web サーバへの通信は HTTP で行われます。HTTP プロトコルはステートレスです。つまり「状態」を持てません。 クライアントから Web サーバへリクエストがあるたびにクライアントとサーバ間でコネクションが張られ、リクエストを受け、レスポンスを返却した後、コネクションは破棄されます。 も
JJ1UZH - はてなサマーインターン2022に参加した
はてなリモートインターン2022の参加記です. 媒体は問わないとのことで, なぜか みなさんはてなブログで書いていらっしゃるようなのですが, 自分はGithub Pagesに書きます.天邪鬼ですみません.言い訳をすると,Emacs/org-modeでしか文を書けない病に冒されているのです. まずインターンに行こうと思ったきっかけは,先輩がインターンは行ったほうがいいぜと言っていたことと, 大学の必修単位に読み替えられることです. はてなに応募した理由は,内容がおもしろそうだったのと,技術スタックにScalaがあったからでした. Scalaでの開発であれば多少慣れていたし,好きな言語なのでいいなと思ったのです. 結局Scalaは使わなかったんですけどね. 面接はリモートで行われました(インターン自体がフルリモート). 応募したきっかけや技術的な興味の他,GitHubでの活動についても話して,
Firebase で普通の Rails アプリにログイン したい、という要求がある。 Firebase + Rails というコンテキストでよくあるのは クライアントサイドは普通の React アプリや iOS アプリで Firebase をつかって認証 Rails 側は API を提供し、 Firebase で生成した idToken でユーザーを特定 みたいな事例だと思う。この時 Rails 側は基本的にセッション管理の必要がない。 ただ今回は Firebase で認証して Rails のセッションを作りたい。ようするに、ユーザーの管理とログインまわり(典型的には Google とか Github とかを使うだろう)だけを Firebase にやらせたい。 ではどうするか、といえば以下のような感じにすればよい。 まずログインページは以下のような感じにする。 <button id="lo
とくに断りがない限り、引用文は Workers Durable Objects Beta: A New Approach to Stateful Serverless を Deepl で翻訳したものです。 前提知識として、 Cloudflare Workers 自体の解説はしません。こちらを参照してください。 Cloudflare Workers それは Frontend / Node.js が CDN Edge Side まで拡張されるもの 要約すると Cloudflare Workers は CDN Edge で低遅延、低スペックCPUの Node.js の Worker が高速に動くサーバーレス環境です。 Durable Objects とは 注意: まだクローズドベータです。 本来は、手元で動かしてから記事を書くつもりでしたが、クローズドベータに申し込みしてから待てども待てども解禁
個人情報とプライバシーの保護に役立つセキュリティ対策とAIを悪用するハッカーへの対策 | 初心者向けアドバイス - deve.K's Programming Primer - プログラミング初心者のための入門ブログ
SNS活動とプライバシー保護:写真交換とメタデータの注意点 セキュリティ対策 一般のユーザーに向けた対策 ソフトウェア開発者向けの対策 攻撃手法や脅威について AIはサイバーセキュリティを侵害するのか? AIを使用した新たな攻撃手法 最後に この記事では、セキュリティに関心のある人々にとって重要な情報を提供し、セキュリティやプライバシーの保護に役立つ知識と対策方法を紹介します。 さらに、ハッカーがAIを利用して攻撃を行う方法についても探ってみましょう。 現代のデジタル時代において、セキュリティの重要性はますます高まっています。 個人情報や機密データの保護は切迫した課題であり、特に開発者やプログラマーにとっては重要なテーマです。 個人情報やクライアントのデータは、悪意のある第三者に漏洩する可能性があるため、適切に保護する必要があります。 開発者やプログラマーは、暗号化技術やセキュアな通信プロ
Auth とは? 認証(Ahthentication)や認可(Ahthorization)の意味。 Laravelでは、デフォルトで認証機能があり、コマンドで作れる。 Jetstream とは? Laravel8の認証ライブラリ。 Laravel〜5:make:auth、Laravel6〜7:laravel/uiに分離。Laravel8では、全部入り(Jetstream)になったんだとか。。 Jetstream がやってくれることは、 ログイン、新規登録、メール検証、2段階認証、セッション管理、APIサポート(Laravel Sanctum)、チーム管理など。めっちゃやってくれる。。 1. Jetstreamの導入 【 導入のコマンド 】 // ① Jetstream のインストール % composer require laravel/jetstream // composerを使ってイ
安全なウェブサイトの作り方 - 1.4 セッション管理の不備 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
安全なウェブサイトの作り方 - 1.4 セッション管理の不備 概要 ウェブアプリケーションの中には、セッションID(利用者を識別するための情報)を発行し、セッション管理を行っているものがあります。このセッションIDの発行や管理に不備がある場合、悪意のある人にログイン中の利用者のセッションIDを不正に取得され、その利用者になりすましてアクセスされてしまう可能性があります。この問題を悪用した攻撃手法を、「セッション・ハイジャック」と呼びます。 また、推測や盗用以外に、セッション管理の不備を狙ったもう一つの攻撃手法として、「セッションIDの固定化(Session Fixation)」と呼ばれる攻撃手法があります。悪意ある人があらかじめ用意したセッションIDを、何らかの方法(脚注1)で利用者に送り込み、利用者がこれに気付かずにパスワードを入力するなどしてログインすると起こりうる問題です。悪意のある
ゴールデンウィークのはじめ(4月29日)に投稿された以下のツイートですが、5月7日20時において、1,938.8万件の表示ということで、非常に注目されていることが分かります。 我が名はアシタカ!スタバのFreeWi-Fiを使いながら会社の機密情報を扱う仕事をしてたら全部抜かれた。どうすればよい! pic.twitter.com/e26L1Bj32Z — スタバでMacを開くエンジニア (@MacopeninSUTABA) April 29, 2023 これに対して、私は以下のようにツイートしましたが、 これ入社試験の問題にしようかな。『スタバのFreeWi-Fiを使いながら会社の機密情報を扱う仕事をしてたら全部抜かれた』と言う事象に至る現実的にありえる脅威を説明せよ。結構難しいと思いますよ。 https://t.co/LH21zphCTV — 徳丸 浩 (@ockeghem) April
こんにちは。ecbeing金澤です。 レビューのSaaSサービス「ReviCo(レビコ)」を開発しています。 はじめに:ReviCoは1周年を迎えました 1年前のReviCo パフォーマンス改善のためにやったこと CDNキャッシュをきちんと設定する スロークエリをきちんと対処する 表示処理を優先するようロジックを見直す 中間テーブルを作って重いSQLが毎回走らないようにする ElastiCacheを導入する データ的に独立しているテーブルをAuroraからDynamoDBに移動する 書き込みDBと読み込みDBを分離する APIのキャッシュヒット率を上げる まとめ 今のReviCo おわりに:今後の展望など お知らせ はじめに:ReviCoは1周年を迎えました 少し前になりますが、4月にReviCoは正式ローンチ1周年を迎えました。 おかげさまで多くの企業様にご利用頂いているのですが、 ユー
強まる個人データ保護強化の波 メディアビジネスはどう変わるか?——Beyond the Cookies:ITPが作り出すWebの未来(1) - Media × Tech
2018年5月に施行されたEU一般データ保護規則(General Data Protection Regulation、以下「GDPR」)をきっかけに、個人をめぐるデータの扱い方に対して、より厳しい規制が課されようとしています。こうした動きによって、WebのCookie(クッキー)を使って個人をターゲティングし、ビジネスに結びつけている広告事業者やメディア運営者が、大きな影響を受けると見られています。同時に、米アップルのWebブラウザ「Safari」を中心に、個人をターゲティングする技術について、中でもCookieを排除するテクノロジー規約であるITP(Intelligent Tracking Prevention)が広がりを見せるなど、インターネットを取り巻くテクノロジーは大きく変わろうとしています。 法的にも技術的にもこれまでのWebの仕組みが抜本的に変わるなか、広告事業者やメディア運
※2022/01/04 運用後に ElastiCache -> DynamoDB にした部分を追記&修正 AWS Lambda x Laravel でサーバーレス構築 ⇒ 本番リリースまで実施しました。 ベストプラクティスではなかったり、情報を見落としていたりもあると思いますが、 後々の Serverless Laraveler のために『こんな感じでしたよ』というのを残しておきます。 あと費用感。とても大切。 想定される読者像 AWS 完全に理解した!って人。 Laravel で Serverless したい人。 Serverless は理解しているけど『実際の費用感どうなん?』と思っている人。 背景とお気持ち 情報公開時にアクセス/トランザクションがスパイクするようなWEBサービスを作る 小規模開発なので予算は可能な限り抑えたい でも開発環境で本番環境と同等の検証ができるようにしたい
サブスクペイのセキュアコーディング教育文化についてご紹介 - ROBOT PAYMENT TECH-BLOG
はじめに 皆様いかがお過ごしでしょうか!プロダクト開発本部技術部ペイメントシステム課の yoponpon と申します。主にサブスクペイの技術基盤を見ております。 今回はあらゆるセキュリティ対策をしているサブスクペイについて、その対策の一部であるセキュアコーディング教育の文化について紹介をいたします。 セキュアコーディングとは ※まとまった公式な内容が見当たらなかったのでいくつかのサイトでの説明をまとめさせていただきました セキュアコーディングは、サービスやシステムへの悪意のある攻撃、マルウェアに対してその攻撃に耐えうるコーディングをすることを指します。例えば SQLインジェクション、XSS、CSRF などの攻撃に対策されたプログラム手法となります。 一般的な攻撃手法であれば Web Application Firewall や何かしらのソリューションで防ぐことも可能ですがアプリケーションの
World Wide Webは1990年にティム・バーナーズ=リー氏によって発明されました。発明当初は文書ファイルの共有が目的であったWWWですが、30年後の現代では画像やムービーといったコンテンツを含むウェブサイトが当たり前となっています。しかし、Cookieを用いたセッション管理がプライバシーの観点から問題視されるなど、ウェブの高度化に合わせて生まれた問題があるのも事実。オープンソースのテキストブラウザ「Bombadillo」を使うと、ウェブに頼ることなくリモートのテキストを表示することができます。 Bombadillo: Home https://bombadillo.colorfield.space/ BombadilloはmacOSやLinuxなどで利用可能で、今回はUbuntu 20.04にBombadilloをインストールします。まずはBombadilloのビルドに必要なパッ
ども、@kimihom です。 明日、2020/02/04 に Chrome 80 のリリースが予定されている。そこで巷で話題になっている SameSite の部分で対応が必要になるケースがでてくる。 ウェブ上で調べても全然その対応方法が出てなかったので、記録として残しておこう。 問題となり得るケース Rails アプリでログイン機能を実装していて、iframe で そのログインセッションを使い続けている場合、Chrome80 から問題が起こる可能性がある。その他のケースもあるので、自分の作っている Web アプリが SameSite による影響が出るのかを確認しておこう。詳しくは既にたくさんのページで紹介されているので読んでおいて欲しい。 Google Developers Japan: 新しい Cookie 設定 SameSite=None; Secure の準備を始めましょう Chr
SPA(Vue + RailsAPI)で何とかログイン認証機能 + CSRF対策を実装したので、ブログにメモしておきます。 実装の概要 使用した技術たち JWT(JsonWebToken) アクセストークン、リフレッシュトークンって? WebStorage JWTSession 遷移の概要(より正確な内容は要Gem参照) トークンストアの設定 バックエンド側の仕事 Signinコントローラー フロントエンド側の仕事 axiosのインスタンスの作成 main.jsでインスタンスの読み込み インスタンスの使用方法 ただ、ブラウザによって上手く動作しないものが… 3rd party cookiesとは? 余談 実装の概要 今回は、JWT + (WebStorage + Cookie)を使って実装しました。(後に用語説明します) WebStorageとJWTによるセッションの管理(ログイン状態の管
負荷試験ツールHedgehog
負荷テストツールってたまにしか使いませんが、実はけっこうな数のツールが公開されているのはご存知でしょうか? ほとんどのツールは知られることなく消えていく運命にあるわけですが、たくさんあるのには理由があります。 そのあたりを中心に、負荷テストに携わる人がいま知っておきたい、知っておいて損はないツールを紹介していきたいと思います。 対象は、ソースが公開されているのもので、一定数ユーザーが存在していて開発が継続されているものに限定しています。 負荷テストツール7選をプロがレビュー! ここからは開発会社である我々プロの視点から見る、負荷テストツールを7つご紹介します。 ツールによる実装言語の違いや特徴をまとめていますので、ぜひ参考にしてくださいね。 1. Apache Bench 公式:https://httpd.apache.org/docs/current/programs/ab.html リ
安全なウェブサイトの作り方 - 1.6 CSRF(クロスサイト・リクエスト・フォージェリ) | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
ログイン後の利用者のみが利用可能なサービスの悪用 不正な送金、利用者が意図しない商品購入、利用者が意図しない退会処理 等 ログイン後の利用者のみが編集可能な情報の改ざん、新規登録 各種設定の不正な変更(管理者画面、パスワード等)、掲示板への不適切な書き込み 等 注意が必要なウェブサイトの特徴 次の技術を利用してセッション管理を実装しているウェブサイトが、CSRF攻撃による影響を受ける可能性があります。 Cookieを用いたセッション管理 Basic認証 SSLクライアント認証 また、上記を実装するウェブサイトのうち、ログイン後に決済処理等の重要な処理を行うサイトは、攻撃による被害が大きくなるため、特に注意が必要です。 届出状況 CSRFの脆弱性に関する届出が、ウェブサイトの届出全体に占める割合は、1パーセント未満と多くはありません。しかしながらこれらの脆弱性については、ソフトウェア製品の届
さてさて、2020年の3月に7.xがリリースされたLaravelですが、約半年の期間を経て、この9月8日に「バージョン8.x」が公開されることになりました。🎉✨ そして、Laravelが大好きな開発者として、時期バージョンが気になってしょうがないので、ちょっとフライングしてリリースノートに書かれている内容をシンプルにまとめてみることにしました。(8.xのページがすでに存在していました) ぜひ皆さんの今後の参考になれば嬉しいです。 ※なお、8.xのリリース前に書いた記事ですので内容が変更になることも考えられます。そのあたりはご了承ください。また、まだ実際に動かしていない部分もありますので、今後変更する可能性もあります。 では、ひとつずつ見ていきましょう❗ 【追記:2020.09.08】オートインクリメントについての新機能を追加しました 【追記:2020.09.24】ルート設定の変更点を追加
はじめに アカウントサービスチームとは 最近の課題改善 さいごに はじめに こんにちは! メンバーシップサービス部 アカウントサービスチームの今井です。 現在はアカウントサービスチームのプロダクトオーナーとして、チームが持つプロダクトの価値の最大化に務めています。 今回は、私たちのチームでの取り組みについて紹介したいと思います。 アカウントサービスチームとは DMM会員の認証と顧客情報に関連するプロダクト(認証基盤と顧客情報基盤)を開発・運用・保守するチームです。 チームメンバーはプロダクトオーナー1名、スクラムマスター2名、開発メンバー8名(Aチーム4名、Bチーム4名ずつ)の計11名です。 「安心・安全・シームレスに利用できる会員サービスを提供する」ことをミッションに、2019年度下期は「多要素認証の導入」「OAuth 2.0 デバイスフローの導入」「セッション管理の改善」などの施策を通
Snowflake のアーキテクチャーとキーコンセプトまとめ #SnowflakeDB | DevelopersIO
こんにちは。大場です。 Snowflake では、これから触れる方向けに Getting Started Videos が用意されています。 Architecture & Key Concepts Introduction to Snowflake Introduction to Virtual Warehouses Introduction to Worksheets & Queries Introduction to Data Loading この記事では、ひとつめの「Architecture & Key Concepts」の動画に沿って、その名のとおりアーキテクチャーとキーコンセプトをまとめて紹介したいと思います。 Snowflake とは Snowflake は AWS や Azure などの代表的なクラウドサービス上で動く Data Warehouse as a Service
モバイルアプリケーション開発 10大チェックポイント 2023(JSSEC Mobile Top 10 2023)は、2016年のリリースを最に更新されていない「OWASP Mobile Top 10プロジェクト」を再解釈し、現在の状況にあった「Mobile Top 10」を選定しました。 OWASP(Open Web Application Security Project)※1 のLabプロジェクトである「OWASP Mobile Top 10 ※2」は、OWASPが数多く公開する啓発文書「Top 10」シリーズの一つで、スマートフォン(モバイル)アプリケーション開発者に対する意識向上を目的とした文書です。この文書は、スマートフォンアプリケーションの開発に気を付けなければならない10項目がわかりやすくまとめられており、開発者が最低限理解しておくべきことを記述した文章で構成されています。
こんにちは。サービス部の武田です。このエントリは、2018年から毎年公開しているAWS全サービスまとめの2023年版です。 こんにちは。サービス部の武田です。 このエントリは、2018年から毎年公開している AWS全サービスまとめの2023年版 です。昨年までのものは次のリンクからたどってください。 AWSにはたくさんのサービスがありますが、「結局このサービスってなんなの?」という疑問を自分なりに理解するためにまとめました。 今回もマネジメントコンソールを開き、「サービス」の一覧をもとに一覧化しました。そのため、プレビュー版など一覧に載っていないサービスは含まれていません。また2022年にまとめたもののアップデート版ということで、新しくカテゴリに追加されたサービスには[New]、文章を更新したものには[Update]を付けました。ちなみにサービス数は 234個 です。 まとめるにあたって、
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ZOZOTOWNにおけるセッションストアのリプレイス完了までの道のり - ZOZO TECH BLOG
クラウドに上げたデータは誰のものなのSlack編 | ロードバランスすだちくん
【今さら聞けない?!】T3 Stack によるフルスタックWebアプリ開発 - Qiita
Remix x Cloudflare Workersで0->1 - STORES Product Blog
ディープラーニングを使った株式自動売買プログラム稼働に向けた準備の話。 - sun_ek2の雑記。
Shopifyアプリとテーマの開発方法 - Shopify 日本
自分の中のモンスターに打ち勝て! サイボウズ社長室フェローが説く、40代からのチームビルディング
IPoE方式とVNEの役割
開発者はコアな機能の実装に集中できる! Auth0が提供する認証・認可の最適解【デブサミ2019夏】
PHPフレームワークのおすすめをWEB系プログラマーが紹介 – ITキャリア
ユーザーのセッション情報をスケーラブルに保つ 2 つの方法 - Qiita
Firebase で普通の Rails アプリにログイン - Diary
Cloudflare Workers の Durable Objects について
【Laravel】初めての認証(Laravel8でJetstreamを使う) - Qiita
フリーWi-Fiを使ったら秘密情報を抜かれる経路にはどのようなものがあるか - Qiita
ReviCoのパフォーマンスチューニング奮闘記 - ecbeing labs(イーシービーイング・ラボ)
Serverless Laravel を振り返る※お金のお話もあるよ! - Qiita
ウェブに頼らずインターネットを楽しめるテキストブラウザ「Bombadillo」
Rails における Chrome80 の SameSite 対応 - ボクココ
SPAでのログイン認証とCSRF対策の実装(JWT使用) - Web備忘録
Laravel 8.x の新機能・変更点のまとめ
DMMアカウントサービスチームの取り組み(レイテンシ改善) - DMM inside
JSSEC技術部会 モバイルアプリケーション開発 10大チェックポイント 2023 | JSSEC
【2023年】AWS全サービスまとめ | DevelopersIO