Elastic Load Balancing(ELB) ☘️ はじめに 本ページは、AWS に関する個人の勉強および勉強会で使用することを目的に、AWS ドキュメントなどを参照し作成しておりますが、記載の誤り等が含まれる場合がございます。 最新の情報については、AWS 公式ドキュメントをご参照ください。 👀 Contents ELB とは ELB の基本 ELB の種類 CLB:Classic Load Balancer ALB:Application Load Balancer NLB:Network Load Balancer GLB:Gateway Load Balancer ELB の料金 ロードバランサーキャパシティーユニット (LCU) とは サブネットに必要な CIDR スティッキーセッション クロスゾーン負荷分散 Connection Draining アクセスログ 📖
初めに Firebase Authenticationを使用すると簡単にアプリにユーザー認証の仕組みを実装することができます。 自前のWebサーバーでFirebase Authenticationのユーザー認証を検証したい場合、IDトークンをクライアントから送ることで実現できます。 このIDトークンとセキュリティについて記載します。 以下の記事も参考にしてください。 JWTでセッション管理してはいけない 登場する単語 IDトークン ユーザーの情報が含まれたJWT。 有効期限が1時間しかない。 更新トークン IDトークンを取得するために使用するトークン。 Webサーバーでのユーザー認証の流れ クライアントはFirebase Backendから更新トークンを使ってIDトークンを取得する。 クライアントはWebサーバーにIDトークンを送る。 WebサーバーはIDトークンを検証し、ユーザーを認証す
Webサイトの改ざんとは管理者以外の第三者が、不正にWebサイトを操作し別の情報に書き換えてしまうことを指す。今やインターネットに接続するパソコンやスマートフォン(以下、スマホ)が広く普及し、日常生活の一部としてWebサイトを閲覧している。悪意のある攻撃者はそのような状況に狙いを定め、罠を仕掛けてくる。この記事ではWebサイト改ざんの手口や事例、その対策などについて解説する。 Webサイトの改ざんとは Webサイトの改ざんとは、悪意のある第三者により、管理者の意図しない変更が勝手になされてしまうこと。Webサイトが抱える脆弱性や、FTPに接続する管理者のパソコンがマルウェアに感染することで引き起こされることが多い。Webサイトが改ざんされることで、所有者の意図に反する不適切な情報発信や、Webサイトの訪問者をマルウェアに感染させてしまうなどのトラブルに発展する恐れがある。 一般社団法人JP
OpenID Connect, ふたつのトークンの物語 「なぜ OpenID Connect にはトークンが二種類あるの?」という質問を、たびたびもらいます。そこにはいくつかの設計上の要件があり、わたしたちは仕様策定のなかで議論してきました。 1 - RP (リライング・パーティ) からの要件は、ログイン後のユーザー・インタフェースの簡便なカスタマイゼーションです。 そこでは、ユーザーへのレスポンスを一秒以下で行うことが求められました。つまり、ユーザー ID を取得するための、IdP へのさらなるラウンドトリップ (問い合わせ) は許されなかったのです。パスワードによる認証に加えて数秒の遅延が発生するようでは、実際に使うことはできないと、多くの RP が考えています。Facebook は署名つきリクエスト (signed request) を用いて、ユーザー ID をレスポンスに格納して返
セキュリティとアクセシビリティって衝突しがちだと思っている。 このページでは常識的に考えればセッション一時間の寿命で十分でしょ、と思ってそうすると、障害がある人がとんでもなく長い時間かけて使ってくれているのを排除したりすることになる。 セッションの寿命の話だと結局セッションの寿命短くしたい理由が jwt や Rails の cookie store を使っていてステートレスに全部管理しているので指定したセッションだけ狙い撃ちで殺せないから、とかだったりするので、サーバーサイドでもセッション管理しましょう、で済まないことはない。 セキュリティと口にすれば手抜きが許容されやすい、みたいな面もあるにはあるのだが、突き詰めればアクセシビリティとセキュリティはどうしても対立する概念だと思う。アクセシブルなシステムは攻撃者にもアクセシブル。 たとえばだけど、 MFA はアクセシビリティを阻害する。ぼく
デジタル庁クラウドチーム Cloud Architect 山本教仁 前回のnote記事「マネージドサービス、コンテナ、サーバレス」を説明した際に、Web API (Application Programming Interface)アーキテクチャを採用することで、従来のWeb 3層アーキテクチャ実現方式よりサーバアプリケーションを軽量化でき、コンテナ化と合わせて大規模なアプリケーションをより低コストで実現できると説明しました。アプリケーションアーキテクチャを選択する際には、システム要求や既存の各種制約、開発効率、その他さまざまな観点から検討すると思いますが、ここではインフラ技術とコスト最適という観点からWeb APIアプリケーションアーキテクチャについて説明します。従来のWebアプリケーションサーバで画面を生成してブラウザに返し、画面間の遷移を管理するというアーキテクチャに比べて、ユーザ体
djangoとは? djangoは、pythonプログラミング言語でwebアプリケーションを開発するためのフレームワークです。シンプルで効率的な開発を可能にする機能やツールセットを提供し、高い生産性と堅牢性を実現することができます。djangoは、mtv(model-template-view)アーキテクチャを採用しており、データベースの操作からビジネスロジックの実装まで、モジュール化されたコンポーネントを提供しています。また、セキュリティ対策も充実しており、信頼性の高いwebアプリケーションを開発することができます。 djangoの特徴 djangoの特徴を以下に紹介します。 シンプルな設計: djangoはシンプルで明快な設計が特徴です。フレームワークのコード自体も読みやすく書きやすい設計になっており、開発者にとって生産性の向上に貢献します。 生産性の向上: djangoは再利用可能な
ガートナーの米国本社発のオフィシャルサイト「Smarter with Gartner」と、ガートナー アナリストらのブログサイト「Gartner Blog Network」から、@IT編集部が独自の視点で“読むべき記事”をピックアップして翻訳。グローバルのITトレンドを先取りし「今、何が起きているのか、起きようとしているのか」を展望する。 サイバーセキュリティの危険度の低減と、日常業務の自動化を両立させる RPA(ロボティックプロセスオートメーション)は、ITリーダーの間で新たな人気を集めている。迅速に展開して反復業務を自動化でき、企業が時間と費用を節約するのに役立つ。 だが、RPAにはリスクが伴う。RPA botは機密データを扱い、システム間でこれらのデータをあるプロセスから別のプロセスへと移動するからだ。こうしたデータは、セキュリティを確保しなければ侵害される恐れがあり、企業に数百万ド
JSer.info #637 - Safari 16.4がリリースされました。 WebKit Features in Safari 16.4 | WebKit Safari 16.4 Release Notes | Apple Developer Documentation Beta版時の2023-02-20のJS: Sandpack 2.0、Safari 16.4 Beta、Reactドキュメンタリー - JSer.infoでも紹介しましたが、大量の変更点が含まれています。 margin-trimプロパティ、lh unit、CSS Typed Object Model APIのサポート、Constructable Stylesheetsのサポート Declarative Shadow DOM、EmentInternals、Imperative Slot APIのサポート RegExp l
CookieによるAPI経由のユーザー認証機能を作る【Laravel6とNuxt.jsで作る管理画面】 - Deha magazine
PHPの人気のフレームワークLaravelを利用してWebサイトの管理画面を開発することができます。 このシリーズではそんな管理画面の構築に関して、技術者向けにその手順を紹介しています。 この記事ではCookieでAPI経由のユーザー認証機能を作る方法をご紹介! Nuxt.jsからLaravelのAPIをAjaxで通信できるようにする手順はこちらの記事で解説中。 ・Laravelを使って構築をしたい方 ・Webサイト構築の具体的な手法が知りたい方 これらに当てはまる方におすすめの記事となっています。このシリーズを読めばLaravel6とNuxt.jsで管理画面を作成することができますよ。 最低限やりたいことを決めるまず実装の前に、最低限やりたいことを決めておきます。あれもこれもと機能を詰め込みすぎてしまっても実装に時間がかかってしまい大変です。今回は管理画面を作りたいので、以下の要件にしま
SPA(Vue.js) + REST API構成でSpring Secirityで認証まで作った時に気を付けることや大事なこと - Qiita
SPA(Vue.js) + REST API構成でSpring Secirityで認証まで作った時に気を付けることや大事なことSecuritySPAVue.jsSpringBoot#Spring SPA(Vue.js) + REST API (Spring Boot)で認証処理を含んだアプリケーションを作成した際に、 大事だなと感じたところをまとめました。少しでも参考になれば幸いです。 開発前に事前知識として見ておいたほうがいいリンク 認証処理のアーキテクチャ オリジン間リソース共有 (CORS) Preflight request (プリフライトリクエスト) Spring Securityのアーキテクチャ セッション管理 CSRF対策 Spring Securityで利用する各インターフェースの概要を押さえる 利用方法 実装クラスを独自にBeanに追加し利用する方法と、その他用意されてい
IT Leaders トップ > テクノロジー一覧 > セキュリティ > 市場動向 > PHP技術者認定機構、Webセキュリティの実務知識試験を2021年4月に開始 セキュリティ セキュリティ記事一覧へ [市場動向] PHP技術者認定機構、Webセキュリティの実務知識試験を2021年4月に開始 2020年7月15日(水)日川 佳三(IT Leaders編集部) リスト 一般社団法人BOSS-CON JAPANの内部組織であるPHP技術者認定機構は2020年7月15日、Webセキュリティの実務知識を問う試験「ウェブ・セキュリティ実務知識試験」(通称:徳丸実務試験)を2021年4月から開始すると発表した。本試験に先立ち、ベータ試験を2020年12月に実施する。試験問題はEGセキュアソリューションズ(代表:徳丸浩)が作成する。 ウェブ・セキュリティ実務知識試験は、Webセキュリティの実務知識を問
個人開発を何度もしてきて、何一つとしてリリースしてない私が考えてみました。 リリースしないというセキュリティ担保では、やはり駄目だろう、と。 駄目なんだろうな、と思い、自分なりに整理してみました。 個人的な結論 結論から話せ、と世の中がいうので結論から言います。 OIDCの処理はバックエンドで行えるならバックエンドで行う ブラウザから利用するWebシステムならCookieを使えば良い せっかくだしcookieにはJWTを入れておけばいい 個人的にはこんな感じでいいんじゃないかと思いました。 理由はここから先に記載します。興味があったら見てください。 セキュリティは難しいし、得意じゃないのでご指導ご鞭撻は優しくしてください。(祈り) OIDCの処理はどこに置くのがいいのか OIDC自体はブラウザで結果を受け取ることも、サーバで受け取ることも可能です。 ということは、まずそもそもどこで完結させ
概要 社会人1年目が終わるので、この1年間で読んだ本のうち技術寄りの68冊と、Udemy 10本をざっくり紹介します。 ※2024年3月追記 他記事に合わせてオススメ度を10段階に変更 2024年現在に合わせて記述を全面修正 本記事で読んだ書籍は2021年4月から2022年3月までに読んだものです。 生成AIなど最新のトレンドを反映していないため、2年目以降の記事も適宜読んでもらえると嬉しいです。 説明 オススメ度、難易度を10段階で付けています。 「技術寄りのスキルを地道に付けたいSE1年目」を想定しており、情報系学部生やWeb系エンジニア1年目へのオススメ度とは異なります。また、SEでも「コードは書きたくないです。上流だけやって数年でコンサルに転職したいです」というキャリア観の人へのオススメ度とも異なります。 難易度観はIT業界新卒平均の感覚と上下にズレていることがあります。 参考まで
Google Cloud Enterprise SearchとRetrieveReadCompose方式RAGを利用して社内公式情報を全部質問できるようにしてみた | DevelopersIO
Google Cloud Enterprise SearchとRetrieveReadCompose方式RAGを利用して社内公式情報を全部質問できるようにしてみた はじめに 新規事業部 山本です。 ChatGPT(OpenAI API)をはじめとしたAIの言語モデル(Large Language Model:以下、LLM)を使用して、チャットボットを構築するケースが増えています。通常、LLMが学習したときのデータに含まれている内容以外に関する質問には回答ができません。そのため、例えば社内システムに関するチャットボットを作成しようとしても、素のLLMでは質問に対してわからないという回答や異なる知識に基づいた回答が(当然ながら)得られてしまいます。 この問題を解決する方法として、Retrieval Augmented Generation(以下、RAG)という手法がよく使用されます。RAGでは
サイトの脅威を排除する優れたWordPressセキュリティプラグイン ウェブサイトへの初期投資を行う段階で、サイトの保護には力を入れるのが賢明です。ハッキング、マルウェア、バックドア攻撃、SEOスパムなどは、サーバーや訪問者データ、ウェブサイトのインフラを悪用する脅威のほんの一部に過ぎません。 セキュリティの脅威は、将来の収益、顧客の信頼、そしてサイト全体の安全性を危険にさらします。そこで、潜在的な脅威をすべて阻止する優秀なWordPressのセキュリティプラグインを厳選しました。 サイトにセキュリティプラグインを導入するのは、住宅で言えば、保険に加入し、警報システムを設置するようなものです。その投資には、高額な頭金、検査費用、融資などが必要になります。それに準じる投資をウェブサイトに行ったら、最大限に保護したいと思うのは当然のこと。この記事で、サイトの保護についてみていきましょう。 Wo
Python・Ruby・PHPの人気Webフレームワーク比較&学習サイトまとめ - paiza times
こんにちは。倉内です。 プログラミング学習の目的は人それぞれだと思いますが、「基礎学習を終えたらWebアプリケーションやWebサービスを自作してみたい」となるのではないでしょうか。 ただ、プログラミング初心者の方にとって、そもそもどのように開発に取り組んでいけばいいのか、自分で方針を立てるのは少し難しいかもしれません。 Webアプリ開発には、画面や機能を実装するためのコードの書き方だけでなく、サーバやミドルウェア、インターネットの仕組み(HTTP通信、TCP/IP、セッション管理の仕方)などかなり幅広い知識が必要です。 ただし、それらすべてを基礎から学び理解していなくても「Webアプリケーションフレームワーク」(以降、フレームワーク)を使えば、アプリやサービスを作成することができます。(もちろん学んでおいて損はありません) そこで今回はプログラミング言語ごとによく利用されているWebフレー
2022年10月くらいのAWS最新情報ブログとかをキャッチアップする – AWSトレンドチェック勉強会用資料 | DevelopersIO
こんにちは、臼田です。 みなさん、AWSの最新情報はキャッチアップできていますか?(挨拶 社内で行っているAWSトレンドチェック勉強会の資料をブログにしました。 AWSトレンドチェック勉強会とは、「日々たくさん出るAWSの最新情報とかをブログでキャッチアップして、みんなでトレンディになろう」をテーマに実施している社内勉強会です。 このブログサイトであるDevelopersIOには日々ありとあらゆるブログが投稿されますが、その中でもAWSのアップデートを中心に私の独断と偏見で面白いと思ったもの(あと自分のブログの宣伝)をピックアップして、だいたい月1で簡単に紹介しています。 10月は69本のピックアップになりました。これからre:Invent期間に入りもっと本数が増えることを考えると恐ろしいですね… ちなみにAWSの最新情報をキャッチアップするだけなら週刊AWSがおすすめですが、Develo
[速習] ドメイン駆動設計(DDD) 第1回 ソフトウェアのプロフェッショナルへの道 (レイヤードアーキテクチャと依存性の逆転/境界づけられたコンテキスト) - Qiita
[速習] ドメイン駆動設計(DDD) 第1回 ソフトウェアのプロフェッショナルへの道 (レイヤードアーキテクチャと依存性の逆転/境界づけられたコンテキスト)Java初心者DDDドメイン駆動設計レイヤードアーキテクチャ 前回の記事では、GPT-4 32kを用いたドメイン駆動設計(DDD)の新しい設計手法について説明しました。GPT-4 32kの大規模なコンテキストサイズを活用することで、複雑なタスクも無理なく実行でき、設計プロセスの効率化を大いに進めることができました。また、設計と実装の間のギャップを最小限に抑えることができ、開発者はドメインの複雑さを容易に理解し、それを反映した設計を効率的に行うことができました。これにより、新たな開発体験が実現しました。 今回は、前回の記事とは別に、ドメイン駆動設計(DDD)の具体的な概念と実装について掘り下げていきます。 ドメイン駆動設計 ソフトウェア開
![[速習] ドメイン駆動設計(DDD) 第1回 ソフトウェアのプロフェッショナルへの道 (レイヤードアーキテクチャと依存性の逆転/境界づけられたコンテキスト) - Qiita](https://cdn-ak-scissors.b.st-hatena.com/image/square/55510ead412cbe6a23c43131bb901572df6cca6b/height=288;version=1;width=512/https%3A%2F%2Fqiita-user-contents.imgix.net%2Fhttps%253A%252F%252Fcdn.qiita.com%252Fassets%252Fpublic%252Farticle-ogp-background-412672c5f0600ab9a64263b751f1bc81.png%3Fixlib%3Drb-4.0.0%26w%3D1200%26mark64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-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%26mark-x%3D142%26mark-y%3D57%26blend64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZoPTc2Jnc9NzcwJnR4dD0lNDBTaGlnZW1vcmlNYXNhdG8mdHh0LWNvbG9yPSUyMzFFMjEyMSZ0eHQtZm9udD1IaXJhZ2lubyUyMFNhbnMlMjBXNiZ0eHQtc2l6ZT0zNiZ0eHQtYWxpZ249bGVmdCUyQ3RvcCZzPWRmZWFlYWM3YjdmNzg5ZTg0Y2FmZDUwMjY5NTkzMzY4%26blend-x%3D142%26blend-y%3D486%26blend-mode%3Dnormal%26s%3D50f78c1315a68636025c885209494172)
インターネット技術を学ぶうえで情報セキュリティを正しく理解することは不可欠ですが、ITにおけるネットワークの重要性が増し利用方法が多岐になるにつれて、技術者なら誰もが知っているべきセキュリティ技術の範囲はどんどん広がっています。 本書は、日々更新されていくネットワークセキュリティ技術にキャッチアップしていくために必要となる基礎を体系的に網羅した「マスタリングTCP/IPシリーズ」の1冊です。基本的な暗号技術、それらのセキュリティプロトコルへの応用、認証技術、Webアプリケーションへの多様化する攻撃手法の理解と対策などを扱っています。 第1版発行から10年弱が経過し、技術は進歩しセキュリティに対するニーズも高まっています。こういった背景を踏まえて、第2版では目次構成の見直しを行い、大幅な加筆修正を行っています。 第2版序文 序文 目次 第1章 情報セキュリティ概論 1.1 情報セキュリティと
ざっくりと理解するBlitz.js | isoppp.com
はじめに 最近少しBlitz.jsを触ってみたので備忘録的に書いてみます。 執筆時点では v0.24.3 / 0.25.0-canary.2です。 ドキュメントからの部分抜粋みたいになってしまったので、これからBlitz触ってみようかな、という人向けの記事です。 Blitz.jsのはじまり https://blitzjs.com/docs/community-history ざっくりとはBlitz.jsは作者BrandonBayer氏がReactによるRuby on Railsが欲しいなとつぶやいていたものの誰も全然やってくれないからもう自分でやろう、みたいな形でスタートしています。この背景からBlitz.jsはReactを用いたNode.js向けのRuby on Railsのようなフルスタックアプリケーションを作れるフレームワークを目指すという思想で始まっています。 プロジェクトの指針は
クッキーにメールアドレスを保存することはセキュリティの観点から問題ないと思いますか? (クッキーは暗号化されており、httpOnly、secureを適切に設定し、10分程度の有効期限にする場合) セッション管理をCookieStoreと呼ばれる方式にすると、まさにそういう状況になります。CookieStoreはセッションの中身を暗号化してクッキーそのものに保存する方式であり、たとえばRuby on RailsだとデフォルトのセッションストアがCookieStoreとなります。この状態で、セッション変数にメールアドレスを保存すると、結果としてクッキーにメールアドレスを暗号化して保存したことになります。 CookieStore方式の問題点は、中身が暗号化されていても、クッキーが盗まれたらそれをブラウザに゙セットすることでセッションが再開でき、保存されているメールアドレス等が画面表示されることで
RustのWebフレームワーク「axum」でSNSアプリのAPIサーバを作る――Web開発での記述性、要素技術を解説
RustのWebフレームワーク「axum」でSNSアプリのAPIサーバを作る――Web開発での記述性、要素技術を解説:Rustで始めるWebアプリケーション(2) RustでWebアプリケーションを開発する際に基礎となる要素技術からRustの応用まで、Rustに関するあれこれを解説する本連載。第2回ではAPIサーバを構築し、SNSアプリを簡易実装することでRustを使ったWeb開発での記述性や要素技術を解説する。 paizaでWebエンジニアをやっている藤田と申します。 前回は、WebアプリケーションにおけるRDB(リレーショナルデータベース)の立ち位置と、RustからRDBを制御する実装および自動テストについて記述しました。今回は、RustでWebフレームワークである「axum」を用いて(REST)APIサーバを構築し、SNSアプリを簡易実装することで、RustでのWeb開発での記述性や
はじめに SREグループ・ヒロチカです。GO株式会社では、サービスのクラウドインフラの設計から構築・運用までを担当しています。 今回、高トラフィックが予想されるアプリケーションに対して負荷試験を実施するにあたり、軽量に負荷をかけられるツールを試してみた中で、Golangベースでかつお手軽に負荷をかけられるツール「vegeta」が便利だったため、こちらの記事で紹介したいと思います。 負荷試験ツール vegeta 今回利用した「vegeta」は、Golangで書かれているCLIで実行可能なシンプルな負荷試験ツールです。 公式リポジトリ: vegeta 説明文を読むとHTTPサービスに対して一定のリクエストレートで負荷リクエストを投げることを目的として開発され、CLIでの利用だけでなくライブラリとしても利用できるとのことでした。 他にも数多ある負荷試験ツールの中で、自分がvegetaを採用したの
Case1「IaaS上のSoEから、SoRで管理されているデータを参照する」時の連携方式 堀越悠久史氏(以下、堀越):3つぐらい(ケーススタディを)持ってきているので、鶴田さんと一緒に考えていきたいと思います。 (スライドを示して)このような問題設定というか、こんな話ですね。IaaS、まぁAWSだと思ってください。そこに構築されたSoEです。Webや先ほどやったようなオンラインショップ、もしくはチャットボットみたいなやつかもしれません。 そこから、チャットボットだと思えば、取引のデータを確認したいです。「私のいついつの履歴って何ですか」みたいなことを確認したいパターンです。ほかのシステムと連携の実績のあるAPIが、オンプレミス(内)で提供されている流れですね。さて、考えられる方式にはどんなものがありますかという話です。 鶴田拓己氏(以下、鶴田):そうですね。ほかのSoR側に他システムと連携
bff.md
bff.md BFF について 参考資料 Sam Newman - Backends For Frontends マイクロサービスの思想から捉える Backends for Frontendsとその類似パターン BFF's cosmos in FOLIO sec at uit BFF(Backends For Frontends)超入門――Netflix、Twitter、リクルートテクノロジーズが採用する理由 (1/2):マイクロサービス/API時代のフロントエンド開発(1) - @IT BFF(Backends For Frontends)の5つの便利なユースケース:マイクロサービス/API時代のフロントエンド開発(2) - @IT BFF @ SoundCloud | ThoughtWorks Sam Newman - Backends For Frontends wrote in 2
はじめに ユーザーがアプリケーションにログインできるようにすることは、Webアプリケーションに追加する最も一般的な機能の一つです。この記事では、Flask-Loginパッケージを使用してFlaskアプリケーションに認証を追加する方法を説明します。 ログインしていないユーザーは見ることができない保護されたページに、ユーザーがログインしてアクセスできる、サインアップとログインページを構築します。ユーザーモデルから情報を取得し、ユーザーがログインした時にプロファイルがどのように見えるかを保護されたページに表示してシミュレーションします。 この記事では、次のことを説明します。 セッション管理に Flask-Login ライブラリを使用 組み込み Flask ユティリティを使用して、パスワードをハッシュするときに使用 ログインしているユーザーのみがアクセスできる保護されたページをアプリケーションに追
OAuth2.0認証クライアントを自前実装で導入してみる【SolidStart+OAuth2.0+Box】 - RAKUS Developers Blog | ラクス エンジニアブログ
こんにちは。新卒2年目のrksmskです。 今回は認証ライブラリを用いず、SolidStartでOAuth2.0認証クライアントを基本実装してクラウドストレージサービスであるBoxを利用できるようになるまでをまとめた記事となります。 よろしくお願いします。 モチベーション 環境 準備 - SolidStart 準備 - Box 実装 API ページ ①&② アクセストークン発行用の承認トークンを取得するため、認証サイトにリダイレクトする サーバー側 クライアント側 ④&⑤ 承認コードを受け取り、受け取った承認コードを使用してアクセストークンを取得する サーバー側 ⑥ アクセストークンを使用して、認証ユーザーの情報取得を行い、アクセストークンと認証ユーザー情報をセッションに格納する サーバー側 クライアント側 +α Boxにアップロードしたファイルの情報をAPIから取得して、一覧表示する サ
SPAのテストをするときに気にしたほうが良さそうなこと #テストラジオ #テストアドカレ - yoshitake_1201’s diary
この記事は、ソフトウェアテストアドベントカレンダー1日目の記事です。 qiita.com 先日、第147回テストラジオでSPAのテストについて語りました。 この記事はその話に少し追加をしたものです。 SPAのテストをする時の参考になると嬉しいです。 testradio.fm twitcasting.tv SPAとは? Single Page Applicationの略で、単一のWebページのみから構成するアプリケーション(Webサイト)のことです。 SPAについて細かく知りたい方は以下の記事が参考になると思います。 SPA(Single Page Application)の基本 - Qiita SPA(Single Page Application)ってなに? シングルページアプリケーション - Wikipedia SPAのテストで特に気にしたほうが良いところ 実体験 & 友人からの情報
アカウントユーザーの管理画面での行動履歴のすべてを記録するWordPressプラグイン「WP Activity Log」の使い方 – ワードプレステーマTCD
複数のユーザーで1つのWordPressサイトを管理している場合、いつ誰がどんな変更を加えたかを記録に残しておきたいと思うことはありませんか? 特に企業で運営するWordPressサイト、個人情報を取り扱うECサイトを運営する場合は、多くのスタッフや関係者が管理画面にログインすることになるため、各ユーザーの行動履歴を自動的に記録することはセキュリティや個人情報保護の観点からも必要なことです。 そこで役立つのがWordPressプラグイン「WP Activity Log」。アカウントユーザーのダッシュボード内での行動履歴(アクティビティログ)を記録するプラグインです。 「WP Activity Log」機能概要 「WP Activity Log」をインストールすると、WordPressサイト内で行われたアクティビティのすべてが記録します。 すべての投稿・固定ページ・カスタム投稿タイプの投稿・
Webのバッチ処理とオンライン処理のポイントとシステムの応答性能を学ぶ#3(社内勉強会)|TechRacho by BPS株式会社
#1 処理時間とレスポンス時間 #2 バッチ処理とオンライン処理 #3 バッチ処理を設計するときの注意点(本記事) #4 オンライン処理とUXの工夫 #5 Railsのジョブ管理システムと注意点 #6 バッチ処理ですぐに使えるノウハウ、まとめ バッチ処理を設計するうえでの注意点 バッチ処理を設計する際は、処理時間がどの程度になるのかを事前に計測・見積し、その結果を元に実行計画を立てるのが重要です。少なくとも、所要時間の見通しもなくバッチ処理を作成するのは危険です。 一般的にはデータ量が増えれば処理時間も増えるので、データ量が増えたときに処理時間がどのように延びるかは予め見積もっておきます。たとえば「データが1万件のときは20分、件数が倍になると処理時間が4倍増える」といったように、データ増加に応じた処理時間を予測できるように計測やベンチマークを事前に実施しておく必要があります。 データ量と
Retty Advent Calendar 2019 22日目の記事です。 昨日は神@pikatenorくんの記事で、「マイクロサービス時代のセッション管理」でした。 自己紹介 こんにちは。Retty広告コンテンツ部門でサーバーサイドの開発を担当している堤です。 最近はインフラ管理の仕事も多くなり、AWSと格闘したりDockerと格闘したりしています。 今回は、Dockerのbuildを手軽に高速化1してくれる2つのオプションについて、速度比較を行いました。 概要説明 Dockerには、並列buildを実現するためのオプションが2種類存在します。 片方は、docker-composeの--parallelオプションで、もう一つはBuildKitの並列buildです。 今回は、こちらの2つのオプションについて速度比較を行いました。 結果としては、オプションなしと比較して、parallelオプ
私 is 誰 今年の7月にドワンゴの教育事業部に異動し、N予備校でプログラミング講師をやることになりました。 現在は週2回ニコ生やN予備校上にてプログラミング入門コースの授業放送をしています。 ドワンゴ自体は7年目となり、ニコニコ動画の開発を4年、エンジニア教育やエンジニア採用を2年ほどやってきました。 この記事で書きたいこと 現部署に異動後、教材のインプットを兼ねて『N予備校プログラミング入門コース』を履修したのですが、明らかに難易度が僕の想像した "入門コース" から外れたガチ編成になっていて衝撃を受けたことが記事を書こうと思ったきっかけです。 中身としてはとても良い教材になっているので、僕のような勿体無い誤解が少しでも減れば幸いです。 入門コースはいわゆる入門コースではない 『プログラミング入門コース』のゴールは ドワンゴがエンジニアとして採用したいレベル や IT企業のエンジニアイ
実践Capistrano 3(1): タスク、ロール、変数(翻訳)|TechRacho by BPS株式会社
概要 原著者の許諾を得て翻訳・公開いたします。 英語記事: Piotr Murach - Working with Capistrano: Tasks, Roles, and Variables 原文公開日: 2019/11/17 著者: Piotr Murach 日本語タイトルは内容に即したものにしました。 Capistranoは、Webアプリケーションのデプロイやメンテナンスを自動化するのに有用なツールです。私の場合、Ruby on Railsアプリケーションやその他のRackベースのアプリケーションのデプロイに用いています。依存関係のインストール、アセットのコンパイル、データベーススキーマのマイグレーションといった厄介な作業は、Capistranoがまとめて面倒を見てくれます。Capistranoを使わない場合、手動でサーバーにsshログインして必要なコマンドを手入力することになりま
Tonamelのスポンサー機能を作ったときのマイクロサービスの分割方法 - KAYAC engineers' blog
この記事は Tech KAYAC Advent Calendar 2021の6日目の記事です。 ごきげんよう、Tonamelサーバサイドエンジニアの谷脇です。GUILTY GEAR -STRIVE-ではラムレザルを使っています。ランクマで出会ったらよろしくおねがいします。 さてこの記事では、最近リリースしたTonamelのスポンサー機能に関する設計の進め方と実装の振り返りをつらつら記述していきます。 Tonamelとは tonamel.com Tonamelとはeスポーツ大会などをエントリーからトーナメント表構築および進行をサポートするWebサービスです。以下の機能を主に提供しています。 Tonamelの特徴 スポンサー機能とは スポンサー機能は2021年9月に一部の大会主催者向けにリリースした機能です。以下の画像のように、大会に対してお金を使ってスポンサーが出来る機能です。 Toname
#142 JWTどこに保存するべきか問題 JWTをどこに保存するかを色々調べていたので、それらについて端的にまとめる。そもそもAPIファーストでフロントとバックが疎結合なアーキテクチャはなぜセッションではなくJWTみたいな認証トークンを使用するのかや、APIのRESTの考え方からもう一度復習することにした。 目次 APIはステートレスであるべきというRESTの考え RESTの考え方の1つに「ステートレス」というものがある。APIは「状態を保持しない」設計にしろということである。そもそもHTTP通信は「ステートレス」であり、それだと色々困ることがあったからセッションというものが登場した。セッションは「ステートフル」であり、「状態を保持する」機能である。ステートフルなセッションは、誰のものか判別するために一意のIDが必要になる。一般的にそのIDを保存する場所がCookieであり、クライアント側
ウェブサイトの改ざんとは ウェブサイトの改ざんとは、悪意のある第三者により、管理者の意図しない変更が勝手になされてしまうこと。ウェブサイトが抱える脆弱性や、FTPに接続する管理者のパソコンがマルウェアに感染することで引き起こされることが多い。ウェブサイトが改ざんされることで、所有者の意図に反する不適切な情報発信や、ウェブサイトの訪問者をマルウェアに感染させてしまうなどのトラブルに発展する恐れがある。 一般社団法人JPCERTコーディネーションセンターが2020年10月に公表した資料によると、ウェブサイト改ざんのインシデント報告件数は同年の7月から9月までの四半期で374件となり、前四半期の291件から1.3倍に増加している。なかでもウェブサイトに埋め込まれた不正なコードにより、詐欺サイトへ強制的に転送されるという事例が、数多く確認されている。 ウェブサイト改ざんの具体的な手口 ウェブサイト
こんにちは、最近 30 MINUTES SISTERS にはまっている、SRE Gの渡邉です。今回で2回目になります。 昨今、AWSのコスト削減が流行っていたりするみたいですが、弊社も時流に遅れることなく?AWSのコスト削減を行ったので、その話を何回かにわけて書いていきたいと思います。 まずは成果から 絶対値はあれなので、数字はないですが、どん AWSのコストエクスプローラー、償却コスト、サービス別より 5月から12月で、およそ 45% の削減となっております。ってタイトルに既に書いていましたね。 なお、Reserved InstancesやSavings Plansで2、3月に期限が切れるものがあるので、更に削減がされることが想定されています。 はじまり 春の終わり頃に、本部長からコスト削減の話がでてきました。 まぁ暗号資産の相場はわかっているし、公表されている決算の数字だってもちろん理
※本記事は2022年1月18日に公開された記事の翻訳版です。 Author: @urahiroshi、Web Platformチーム エンジニアリングマネージャー Web Platformチームのミッション Web Platformチームは、もともとメルカリWeb版のネットワークインフラとセッション管理サービスを維持するために作られました。しかし、今後はミッションを「メルカリグループのWebプロダクトに対し、Webマイクロサービスのプラットフォームをサービスとして提供する」に変更する予定です。 このミッションの目的を明確にさせていただくと、メルカリには「Camp」という体制があります(https://engineering.mercari.com/structure/) 。Campはクロスファンクショナルな構造で、それぞれのCampにはWebフロントエンド開発者とモバイル開発者がいます。
開発本部 MIXI M事業部の ritou です。 本投稿はMIXI DEVELOPERS Advent Calendar 2023 2日目の記事です。 先日、MIXI Mはパスキーによる認証をサポートしました。 それに続き、Google/Appleアカウントを利用したソーシャルログインをサポートしましたので紹介します。 経緯 MIXI Mではサービス開始当初から、デフォルトの認証方法であるSMS/Email OTPを超える安全性と利便性、そして費用面のバランスを実現できる認証方法を検討していました。 パスキーによる認証をサポートしたことにより、安全性、利便性とフィッシング耐性を享受できるようになりました。これまでのようなSMSやメール送信を行わないことにより、送信コストの削減という効果もあります。しかし、非対応環境やクロスプラットフォームでの利用、そしてまだまだパスキー自体の認知度が低い
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
【初心者向け】Elastic Load Balancing(ELB) 入門!完全ガイド
Firebase AuthenticationとIDトークンと更新トークンとセキュリティの話 - Qiita
Web改ざんはどのように行われるのか? その手口と対策 | サイバーセキュリティ情報局
OpenID Connect, ふたつのトークンの物語
セキュリティとアクセシビリティって衝突しがちだと思っている。 - Diary
Web APIアーキテクチャ|デジタル庁 ガバメントクラウド
【django】pythonでwebアプリケーションを開発するためのフレームワーク - Qiita
RPAのセキュリティを確保するための4つのステップ
2023-03-29のJS: Safari 16.4、DenoとCloudflare WorkersのNode.js互換性、pnpm 8.0.0
PHP技術者認定機構、Webセキュリティの実務知識試験を2021年4月に開始 | IT Leaders
OIDCを利用した個人的なWEBシステムで認証情報を何をもって維持するのか考えてみた
SE 1年目で読んだ技術書68冊+α - Qiita
サイトの脅威を排除する優れたWordPressセキュリティプラグイン
マスタリングTCP/IP 情報セキュリティ編(第2版) | Ohmsha
クッキーにメールアドレスを保存することはセキュリティの観点から問題ないと思いますか? (クッキーは暗号化されており、httpOnly、secureを適切に設定し、10分程度の有効期限にする場合) | mond
負荷試験ツールvegetaを使ってみた - GO Tech Blog
SoEとSoRの連携をどう進めていくか? 3つの実例をもとにした、それぞれのケーススタディ
Flask-Login を使用してアプリケーションに認証を追加する方法 | DigitalOcean
Docker: 並列buildオプションの速度比較 - Retty Tech Blog
N予備校プログラミング入門コースで学べること - Qiita
【REST API】認証トークンをどのように扱うのが良さげか調べたことをまとめる - s u p ?
ウェブサイトの改ざんの手口を解説
AWSのコストを45%削減した話 その1 - coincheck tech blog
Web Platformチームのご紹介 | メルカリエンジニアリング
MIXI MがGoogle/Appleアカウントによるソーシャルログインをサポートしました