開発本部 MIXI M事業部の ritou です。 本投稿はMIXI DEVELOPERS Advent Calendar 2023 2日目の記事です。 先日、MIXI Mはパスキーによる認証をサポートしました。 それに続き、Google/Appleアカウントを利用したソーシャルログインをサポートしましたので紹介します。 経緯 MIXI Mではサービス開始当初から、デフォルトの認証方法であるSMS/Email OTPを超える安全性と利便性、そして費用面のバランスを実現できる認証方法を検討していました。 パスキーによる認証をサポートしたことにより、安全性、利便性とフィッシング耐性を享受できるようになりました。これまでのようなSMSやメール送信を行わないことにより、送信コストの削減という効果もあります。しかし、非対応環境やクロスプラットフォームでの利用、そしてまだまだパスキー自体の認知度が低い
現在多くのアプリケーションでは、クッキーを用いたセッション管理をしています。 認証結果の保存などセキュリティ上重要な役割を果たしており、 食べ物のクッキーのカロリー問題も大事ですが、今回はWebにおけるcookieにどのような問題があるのか・どう防ぐのかを見ていきます。 なお、この記事は徳丸浩著の「安全なWebアプリケーションの作り方」を参考にしています。 🍪クッキーとは?セッション管理とは? まずはセッション管理が何かを説明します。 例えば、TwitterなどでIDとパスワードを入力して一度ログインしたサイトにしばらくしてからもう一度アクセスした場合、IDとパスワードを入力しないでもそのまま入れますよね。 もしくは、ショッピングサイトで買い物をしている途中で、商品をカートに入れたままログアウトしたとします。しばらくしてから、もう一度同じショッピングサイトにログインしたら、カートの中の品
CSRF攻撃の仕組みと対策
脆弱性が蔓延し、絶えず増え続ける今日、ユーザーのセキュリティとプライバシーの保護は、これまで以上に重要視されています。脆弱性を見過ごせば、評価が失墜したり、高額な制裁金を科されたり、顧客や訪問者からの信頼を失ったりする可能性が高まります。 ウェブサイトやウェブアプリケーションは、常にマルウェアやスパムなどの攻撃の危険に晒されています。今回は、そんな攻撃の1つであるCSRF(クロスサイトリクエストフォージェリ)に焦点を当てます。CSRF攻撃は、気づかない間に発生する可能性があり、特に問題視されています。また悪意のある要求は正しい要求と区別が難しく、開発者やサイト運営者が発見しづらいというのも厄介です。 この記事で、CSRF攻撃の概要と仕組み、そして対策について学びましょう。 CSRF攻撃について動画での解説もご用意しています。 CSRF攻撃とは クロスサイトリクエストフォージェリは、略してC
“他人が仕込んだ”隠しカメラをこっそり盗み見るサイバー攻撃 カメラのシリアル番号だけで遠隔操作(ITmedia NEWS) - Yahoo!ニュース
隠しカメラモジュール。(1)マイクロカメラ、(2)、リセットボタン、(3)電源スイッチ、(4)Micro-USBポート、(5)バッテリー、(6)Wi-Fiアンテナ、(7)Wi-Fiモジュール、(8)CPU 英国のウォーリック大学に所属する研究者らが発表した論文「Spying on the Spy: Security Analysis of Hidden Cameras」は、誰かが仕込んだ隠しカメラを遠隔から盗聴できる攻撃を提案し、隠しカメラの脆弱性を指摘した研究報告である。 【画像】トラフィックを傍受するために使用されるネットワークサンドボックスのアーキテクチャ IPベースの隠しカメラのセキュリティについて体系的な調査を行った結果、広範な脆弱性があることが判明した。これらの脆弱性により、遠隔地の攻撃者は、カメラのシリアル番号を知るだけで、カメラがファイアウォールの内側のネットワーク内にある
CEATEC 実施協議会は10月20日から開催した「CEATEC 2020 ONLINE」でのアクセス障害について説明した。2019年比で4倍程度となる想定外の同時アクセスがあったため、入場登録が正常に行えない状況が発生したとしている。 同日の10時に開幕したCEATEC 2020 ONLINEは、9時30分から13時にかけて、入場登録サイトに対するアクセスが集中し、アクセス障害が発生。入場登録が正常に行えない状況になった。 発生原因は、入場登録サイトへ想定外の同時アクセスがあったため、入場登録サイトのサーバーが高負荷状態になり、正常な登録フローを実施できなくなってしまったとのこと。CEATEC ONLINE(展示会場)へのログインは入場登録サイトと連携しており、高負荷状態で連携用のAPIが正常に動作しなくなったとのこと。結果、高負荷状態で正常に登録できないユーザーがリロード要求を繰り返し
GCPで完結する動画配信サービスの設計と実装
現時点では実装できていない機能もある為詳しく記述できない箇所や実際の仕様と異なる、変更される箇所も出てきます。その点を考慮して閲覧していただけると嬉しいです。 サービスの仕様 以下の特徴を持つようなサービスを設計します。 ユーザーがmp4形式の動画をアップロード アップロードされた動画をHLSにトランスコードし閲覧時に配信 配信されている動画はユーザー単位のアクセス制限をかける事が可能 今回は動画をメインに取り扱っていますが、動画以外にも画像や音声、テキストデータなどを扱う事が可能だと思います。 配信基盤の設計 配信にはCloudStorageを利用します。加えてCloudStorageのrulesでは表現の難しいユーザー単位でのアクセスコントロールを予定しているのでHttpLoadBalancer, CloudCDNを利用する予定です。 以下は署名付きCookieを使用した場合のシークエ
Author: @urahiroshi, Engineering manager of Web Platform team 2022年8月4日、メルカリで “web-2” と呼ばれるサーバがシャットダウンされました。これはメルカリWeb版の開発に携わっているチームにとって、一つの区切りとなる出来事でした。 web-2はPHPで記述されたwebサーバで、2015年から https://www.mercari.com/jp/ 配下のコンテンツを配信していましたが、現在では複数のWebマイクロサービスがその機能を担っており、 https://www.mercari.com/jp/ 配下のページは後継となるWebマイクロサービスが配信するページへリダイレクトされています。 メルカリWebのマイクロサービス化に向けた開発が始まり、最終的にweb-2がシャットダウンされるまで、実に4年以上の期間がかか
こんにちは、高校 1 年生の define です。競技プログラミングが趣味で、普段は AtCoder などのコンテストに参加しています。現在は黄色コーダーですが、中 2 の時から全く進歩していません...。 さて、今年は縁あって文化祭実行委員(文実)として筑駒文化祭 2021 "EVERGREEN" の運営に携わっていたのですが、その中でも特に面白かったプロジェクト「入場管理システムの開発・運営」について記事にしようと思います。 なお、この記事の許可は取っていますが、文化祭実行委員会の公式な見解ではありません。ご了承ください。 1. 入場管理システムとは 昨年度から導入された文化祭における感染症対策の一つです。各団体の受付時にスマホなどを用いて来場者の入場証にある QR コードをスキャンしてもらうシステムで、これにより以下のような効果が期待できます。 各団体の混雑状況を文実がリアルタイムに
2024年8月21日から23日にかけて、ゲームを中心としたコンピューターエンターテインメント開発者向けのカンファレンス「CEDEC2024」が開催された。本記事では、「『FINAL FANTASY VII EVER CRISIS(以下FF7エバークライシス)』全世界同時リリースを支えた大規模負荷に耐えるハイパフォーマンスなゲームサーバーの仕組み」と題した、セッションの様子をお届けする。 FF7エバークライシスのゲームサーバーに求められた要件は、「“250万DAU(デイリー・アクティブ・ユーザー)”に耐えられる構成」かつ、「全世界同時リリース」の実現だ。開発を担当したのはサイバーエージェントのゲーム・エンターテイメント事業部(SGE)に所属する子会社のひとつ、アプリボットである。 同ゲームにおけるバックエンドのリーダーを担当した永田員広氏から、独自開発のORM(Object Relation
Laravel のセッションストレージにDynamoDBを利用する - 早くエンジニアになりたい
yoshitake_1201 がスルーしているので代わりに書いちゃいます。 この記事は、 Fusic Advent Calendar 2018 5日目の記事です。 はじめに インフラのメイン担当として関わっている案件で、 ECS を使った構成で Laravel を動かすことになりました。 認証を含むWEBアプリケーションが複数のコンテナで動作するので、セッション管理が問題になってきます。 アプリケーション担当者と議論して、結果としてDynamoDBを使う運びになりました。 しかし、Laravel にはデフォルトで DynamoDB をセッションストレージとして使う機構は用意されていないので、今回はチーム内で実装することにしました。 やってみる Laravel の公式ドキュメントを確認しながら進めます。 HTTPセッション 5.7 Laravel ドライバの実装 カスタムセッションドライバで
CTOだけど、一ヶ月Web就職をレビューしてみた。
https://anond.hatelabo.jp/20210617075257 0. 温度感基本的に現在では、バックエンド・フロントエンド・運用保守全てができないエンジニアに価値は無い。 経験者でも、これらができない/わからないのは、相当恥ずかしいことだと思った方がいい。 典型的はてなーな意識の高さ。 上がってるような基本(元増田に上がってるやつの倍ぐらい)が全部立ち上げからできて 2〜3個プロジェクト経験したらテックリードの素養が既に身についてそう。 つまり、ただのエンジニアにはそこまで要求されない。 プロジェクト的にもどっちかが弱いと Rails/DjangoにjQuery+Bootstrapみたいな構成や Amplify/FirebaseにVue/Reactみたいな構成も全然あるので フロントとバックエンドも一旦はどっちかでいい。 面接はなんとか抜けてもらうとして、 チーム開発での
初めに 既存のRailsでシングルサインオン(以下SSO)を実装したいときによく出てくるのが、OpenID Connect。入門解説やフロー解説はありますが、実際にRailsで実装するときはどうすれば良いのかわからない...ということで調べてまとめてみました。実装前の前提知識ということで、ざっくり説明します。 参考 第一回 認証基盤のこれからを支えるOpenID Connect | オブジェクトの広場 OpenID Connectとは? 分かりやすい解説がすでに幾つかあるので、そちらに任せます。ここの例はすでに存在するサードパーティ(Yahoo)のアカウントを使って自社サービス(Gree)のアカウントを紐づけるSSOの概要です。 スライド67ページ目の「サービス導入例」が分かりやすいです。この辺をみてある程度流れを確認した後に、初めのほうの説明見るとイイですね。ただ、構成要素について詳しい
はじめに 就職や転職を考えているWebエンジニアのみなさん、どんなことを勉強していますか。プログラミング言語を勉強した後の悩みといえば、どのフレームワークを使用すれば良いかではないでしょうか。フレームワークの選択はキャリアに影響する大切なポイントです。そこで今回は、フロントエンドとバックエンド開発などで需要が高いフレームワークを4つピックアップしました。それぞれのフレームワークの特徴などを解説していきます。あなたのスキルアップの参考にしてみてください。 フロントエンドで人気なフレームワーク 1. React ReactはFacebookが開発したJavaScriptのライブラリで、ウェブのフロントエンド開発で広く使われています。動的なWebアプリケーションを手軽に作ることができるため、特に人気のあるフレームワークの一つです。Reactは他のライブラリやフレームワークに比べて学習が難しいとさ
概要 flaskを使用したWebアプリを作成しています。 以下の参考にさせて頂いたサイトのREADMEコピペほぼで実装できました。 本記事のコードはpassword照合のロジックを書く必要があります。 参考にさせて頂いたサイト flask-loginの公式ドキュメント https://flask-login.readthedocs.io/en/latest/ flask-loginの説明 Flask-Loginは、Flaskのユーザーセッション管理を提供します。ログイン、ログアウト、長期間のユーザーセッションの記憶といった一般的なタスクを処理します。 import flask import flask_login login_manager = flask_login.LoginManager() login_manager.init_app(app) app = flask.Flask(
PHP: セッション管理の基礎 - Manual
Getting Started Introduction A simple tutorial Language Reference Basic syntax Types Variables Constants Expressions Operators Control Structures Functions Classes and Objects Namespaces Enumerations Errors Exceptions Fibers Generators Attributes References Explained Predefined Variables Predefined Exceptions Predefined Interfaces and Classes Predefined Attributes Context options and parameters Su
GaugeとPlaywrightをGitHub Actionsで実行する際に工夫していること - コドモン Product Team Blog
こんにちは!プロダクト開発部の関根です。 飛行機好きの息子のために飛行機が見られるお出かけスポットやいい感じのYouTube動画を探す毎日です。 さて、コドモンではATDDでソフトウェアを開発しており、E2EテストのツールとしてGaugeやPlaywrightを利用しています。 今回は、E2EテストをCI基盤であるGitHub Actions上でも動作させるために工夫していることをいくつか紹介したいと思います。 CI環境におけるE2Eテストの流れ GitHub Actionsを用いたE2Eテストの実行プロセスは以下の通りです。 Workflowが開始されると、最初にk8s環境へのデプロイ用コンテナイメージのビルドが行われます。続いて、Self-hosted Runnerを使用してk8sリソースを構築し、ヘルスチェックが完了するのを待ちます。その後、GaugeによってE2Eテストを実行し、テ
2021年のオープンソース活動の振り返り記事です。 今までの振り返りの一覧です。 今年のオープンソース活動振り返り @ 2020 | Web Scratch 今年のOSS活動振り返り @ 2019 | Web Scratch 今年のOSS活動振り返り @ 2018 | Web Scratch 今年のOSS活動振り返り @ 2017 | Web Scratch 今年のOSS活動振り返り @ 2016 | Web Scratch 今年のOSS活動振り返り @ 2015 | Web Scratch 今年のOSS活動振り返り @ 2014 | Web Scratch 2021年のGitHubのPublicなContributionsは8000~9000ぐらいを推移していました。 Privateリポジトリも含めると大体1.5倍ぐらいなので、これは2020年と大体同じ比率なようです。 データの取得には
SuperTokensSuperTokensはAuth0やFirebase Authなどの代替として開発されたオープンソースの認証プラットフォームです。ユーザーにはストレスのないログインフローを提供しつつセキュアなセッション管理を実現できる
[AWS IoT Core] MQTT v5 を使用してメッセージ及び、セッション有効期限とクリーンスタートを実装して見ました | DevelopersIO
1 はじめに CX 事業本部のデリバリー部の平内(SIN)です。 AWS re:Invent 2022 で発表された、AWS IoT Core での MQTT v5 対応に反応して、色々入門しています。 今回は、メッセージ及び、セッション有効期限とクリーンスタートについての実装を試して見ました。 初めに、作成したサンプルが動作している様子を紹介させてください。 左のコンソールが Publisher、右のコンソールが Subscriber です。 Publisher は、パラメータに有効期間(秒)を指定してメッセージを送信します。 メッセージブローカーは、有効期間(秒)だけ、メッセージを保持するので、 期間内に Subscriber が立ち上がってくれば、そのメッセージを取得できます。 1 回目は、有効期間 3 秒で Publish し、3 秒以上経過してから Subscriber が上がっ
![[AWS IoT Core] MQTT v5 を使用してメッセージ及び、セッション有効期限とクリーンスタートを実装して見ました | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/d9fdf277e5e3da9b9ad5eb3751b2220bf7849aa7/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F05%2Faws-iot-core.png)
フレームワークを学習するには、フレームワークを自作するのが一番だとどこかで聞いたため、いっちょPHPでオレオレフレームワークを作ってみました。 拙いですけど…。 製作期間は大体12時間くらい。 ITの現場では負の遺産としてよく揶揄されるオレオレフレームワーク。 F社とかが作った独自フレームワークとか、社内の凄腕?プログラマが作ったやつとか…。 まあ、私一人で使うならいいよね。 折角なのでコードを晒して解説して、初学者の糧になってもらえればと思います。 フレームワークの概要 今回作ったのはPHPのWebフレームワークで、MVC(Model View Controlle)を採用しています。 MVCとはなんぞやみたいな説明はWebの各所で語られています。 下手なこと言うとお前のMVCはMVCじゃないとか言われそうなので説明は放棄します笑 主だった機能は、 ・フロント部分はjQuery、Boots
Nuxt3でセッションを使用したログイン認証機能を作る
はじめに Nuxt3も安定してきたのでクッキーを使ってセッション管理するログイン認証機能を作ってみます。必要最小限ですがDBを使用した本格的な認証機能です。 主な仕様 主な仕様は以下のとおりです。 Nuxt3がベース MongoDBによるユーザ情報(ログイン情報)の管理 Redisによるセッション情報の管理 動作環境 動作させるプラットフォームはWindows10です。WSL2も使用します。 デモでは以下のソフトウェアが必要です。 Node v16.0以上 MongoDB v6.0(WSL2にインストール) Redis v7.0(WSL2にインストール)
XSSとCSRFの違い表 ■CORS(Cross-Origin Resource Sharing) 追加のHTTPヘッダーを使用して、あるオリジンで動作しているウェブアプリケーションに、異なるオリジンにある選択されたリソースへのアクセス権を与えるようブラウザーに指示するための仕組み。 サーバがブラウザに指示するというところがポイント。 ブラウザ側はCORS制約を検知するとエラーの挙動をとる。なのでPostmanのようにhttpリクエストを投げるようなツールはCORS制約を受けない。あくまでCORS制約を受ける場合においてはサーバ側からのレスポンスを読み取らせないというブラウザに備わる機能。 ※深堀り! CORS対策をブラウザがしているのであればCSRFトークンといった対策をサーバ側はする必要ない?と思ってしまうけど、そうじゃない。 先述したようにCORSはあくまでブラウザの挙動。CSRF対
2022年7月も終わりました。7月は梅雨が開けたのに雨が梅雨のようにふった月でした。エアコンがなくても眠れる日もあったり、暑かったりと、個人的には体温調整に気をつけた月でした。7月もネット話題になったり個人的に使ったりいろいろありました。気になったWEBサービスを紹介していきたいと思います。 Toreru 知り合いのYouTubeのチャンネル名が第三者によって商標登録出願されたらしいという話を聞きました。個人運営の媒体なものできちっと管理できているわけでもないので、そのようなことが起きたら対応できません。Youtubeにかぎらず個人でなにかずっと運営してくとなったら、きちんと商標登録したほうがいいかもしれません。ちょっと調べてみると面倒な手続きなど代行してくれるサービスがありました。Toreruは商標登録の代行サポートサービスで、通常ある書類の郵送をする必要はなく、完全オンライン完結の便利
はじめに 今回は「Webを支える技術」という本を読んだのでその本の内容について自分なりにまとめていきたいと思う。初心者には難しい本でしたがWebのことについて幅広く学べるいい本だった。 Webを支える技術 Amazon ここからは実際のメモ。メモなので読みづらいかもしれませんが下の内容がちょっとは理解できた「Webを支える技術」の内容。Webの歴史などはまとめていない。 第1部 Web概論 現在のコンピューターにおいて最も重要なソフトフェア ⇨ Webを観覧するソフトウェア、ブラウザ(Browser)。 Webについて Webの用途は主に3つ Webサイト 最も身近な例(Googleの検索サイト、Amazonのショッピングサイトなど)。 ユーザーインターフェースとしてのWeb 人間向けのインターフェース。 Webはユーザーインターフェース(UI)の分野でも使われる。 ルーターやテレビ、ハー
OpenResty lua-resty-openidc phpでSSO Webアプリ環境作成
はじめにOpenResty と lua-resty-openidc を使って、Apache ではなく、Nginx 系のシングルサインオン(SSO)の Web アプリ動作環境を作成しましたので、その手順を紹介します。構成は、以下です。 SSO は、OpenID Connect の仕組みを利用し、OpenID Connect の OpenID Provider(OP)/Identity Provider(IdP)は、GitLab を利用します。GitLab を OpenID Provider として利用する手順は、以下の別記事を参考にしてください。この記事では、GitLab 側の説明は省略します。 「GitLab as OpenID Connect identity provider をやってみた」 SSO、OpenID Connect とは何かの説明は省略します。 【検証環境】 Ubuntu
カラーミーショップでは、ショップオーナーが利用する管理者ページに管理者が2要素認証でログインできる機能を2020年3月16日にリリースしました。この記事では、いかにしてカラーミーショップの管理者ページに2要素認証を実装していったかについて、担当したデザイナーとエンジニアから紹介します。 以降の文中では、カラーミーショップの管理者ページのことを、そのサブドメインからadminと呼び、2要素認証のことを2FAと呼びます。 2FA機能の概要 今回はSMSを用いた2FA機能をカラーミーショップのadminに実装しました。次の手順で2FAを設定できます。 adminログイン後に「オーナー情報」ページから「2要素認証」へ進む 画面の案内にしたがってSMSを受信できる携帯電話番号を入力し、認証コードを記載したSMSを受信する 認証コードを画面の案内にしたがって入力することで端末の所持者であることを認証し
ASP.NET Core | 業務プログラムの実践学習
スタートアップ .NET ASP.NET Core入門 簡単なページを作ってみる - ウマヤディア 意識低めのASP.NET Core MVC入門(2)簡単なフォームを作る 意識低めのASP.NET Core MVC入門(3)モデルを使ってみる 概要 はじめてのASP.NET MVC5 連載:ASP.NET MVC入門【バージョン3対応】 - @IT 第1回 Controller-View開発のキモを押さえる(1/3) - @IT 第7回 レイアウト/部分ビューでアプリ共通のデザインを定義(1/4) - @IT ASP.NET MVC 開発を始める前に理解しておきたいこと - Qiita ASP.NET の機能 - ASP.NET 入門 【Visual Studio 2019】ASP.NET MVCでHello,Worldを出力!初心者でもわかりやすい画像付き | フライテック ASP.N
8月29日、海外の技術メディアLINUXexpertが「時代遅れの Linux コマンドライン ツールの調査: より優れた代替ツールへの移行」という記事を公開した。この記事では、Linux環境における古いコマンドラインツールの現状と、それらを置き換えるべき現代的なツールについて詳しく紹介されている。 以下に、その内容を紹介する。 Linuxの古いコマンドラインツールとその代替品 Linuxは強力なコマンドラインツールを豊富に備えている。しかし、技術の進化とともに、一部のツールは時代遅れとなり、より優れた代替ツールが登場している。この記事では、以前は一般的に使われていた古いツールと、その代替品について解説する。 screen なぜ時代遅れか: screenはかつて、複数のターミナルセッションを管理するための主要なツールであったが、開発が停滞し、現代のツールに比べて機能が劣る。 代替ツール:
AWS IAM Identity Center にセッション管理機能が追加されました | DevelopersIO
いわさです。 本日のアップデートで IAM Identity Center にセッション管理機能が追加されたようです。 IAM Identity Center 上で IdP としてユーザー管理を行い、AWS のマルチアカウントを始め様々な外部サービスへのシングルサインオンを実現することが出来ます。 この独自管理するユーザーに対してセッション管理を行うための機能が追加されたという形のようです。 旧 AWS SSO のころからあまり IAM Identity Center に触る機会が少なかったのですが良い機会なのでアップデートの確認を兼ねて触ってみたいと思います。 セッション期間の設定 ひとつめは以下のようにセッション期間を設定することが出来るようになりました。 今までは固定で 8 時間だったようです。 設定メニューの認証タブに「セッション設定」が追加されています。 こちらはユーザーやグルー
よく使うgemをまとめてみる 前口上 先月まとめたように、SaaSブームの中でアプリからWebへの回帰が少し起きている感覚があり、アプリのバックエンドでAPIだけなら軽量フレームワークでいけた場合でも、画面の描画もやる場合はなんだかんだでフルスタックフレームワークの方が融通がきくように感じています。 とりわけB向けサービスではアクセスがそれほどないが業務要件が複雑という場合もあり、ORMの能力がダイレクトにビジネス上の競争力につながるため素朴なRailsでActiveRecordの構成がはまるケースも多いです。 Ruby on Railsでの開発は枯れに枯れているのですが、まとめたことがなかったのでよく使うライブラリー(gem)について書いておきます。 gemの選び方 他社事例を調べるのも大事ですが、Ruby Toolboxでだいたいの人気感を探るのもよいです。 www.ruby-tool
※2019年10月4日に配信された緊急開催オンラインセミナーの録画です。 いくつかのとても大切な説明事項が含まれますので、ライセンスの種類(コマーシャル、スタートアップ、非商用目的、学生・教育機関、体験版)に関わらず、すべてのFusion 360 ユーザー様はできるだけ聴講されることをお勧めします。 今年の9月、10月にかけてFusion 360にはいくつかの大きなアップデートが施されました。ユーザーインターフェースから機能、サービス、使用形態に至るまで、操作性やセキュリティ、コラボレーションを強化、促進するアップデートとなっています。アップデートによって今までと何が変わったのか、活用方法とそのメリットを詳しくご紹介いたします。 2:15 新UIについて 10:29 セッション管理について 22:40 無償ライセンス体系について 39:57 Fusion Teamについて
ちょっと時間が経ってしまいましたが、2020/11/7にJJUG CCC 2020 Fallをオンラインで開催しました。オンラインでのイベント開催は、まだ世の中にもノウハウがないと思うので公開報告です。 JJUG CCC 2020 Fall 会場タイムラプス 概要 セッションスケジュールはこちら。3トラック26セッション(10:00 - 18:50)と、事務局が配信するアンカンファレンスが1トラックで、計4トラックです。通算の参加者は600名程度で、通じての参加は300名程度でした。 セッションスケジュールセッションは事前録画の動画(40分)とし、ライブ感を出すために動画配信後はZoom経由で講演者がQA(10分)に答えるようしました。また、講演者は配信中に録画をみながらチャットに参加したり、Twitterで返信したり、わりと自由に過ごしてもらいました。事前録画の負荷はありますが、当日は気
ブラウザベンダ各社では、ユーザのプライバシー保護を目的として、いわゆる「Webトラッキング防止機能」を実装しています(表1参照)。 表1 ベンダごとのWebトトラッキング防止機能今回、「3rd Party Cookieを用いたWebトラッキング」の防止機能について、ブラウザごとに確認しました。 HTTP Cookie概要HTTP Cookie(以降、Cookieという)は、サーバ側でセッション管理などをするための「箱」で、例えば、その箱の中に識別子を入れるなどして、ドメイン内のページを跨ぐ遷移においても状態をサーバ側で保持するために用いられます。 ブラウザがアクセスしているサイト(図1中のwww.example.xxx)から発行されているものを1st Party Cookieと呼びます。また、そのサイトのページを構成する別のドメインのサイト(図1中のwww.ad-service.co.xx
実演動画あり!CORS設定の不備によって起きる問題とは | クラウド型Webセキュリティ診断ツール - Securify
CORSとは? CORSとは、オリジン間リソース共有(Cross-Origin Resource Sharing)の略称で、異なるオリジン間でデータや画像、およびスクリプトファイルなどを共有する仕組みです。なお、CORSはオリジン(Origin)単位でコントロールします。このオリジンはURLやドメイン名と混合しやすいため、間違えて解説などに使われているケースがありますが、正しくは以下の通りとなります。 URL scheme://host:port/path/file Origin scheme://host:port URLはリソースの位置を表すため、該当ファイルのパス名までを含みますが、オリジンは通信ルールおよびホスト名(インターネット上に公開している場合はドメイン名)とポート番号までの組み合わせを単位とします。 また、CORSでは基本的に同一のオリジンか、そうでないかの差異によってコン
「トリマ」利用規約 「トリマ」(以下「本アプリ」といいます)は、ジオテクノロジーズ株式会社(以下「弊社」といいます)が使用許諾する、本アプリをインストールしたスマートフォン端末(以下「利用端末」といいます)で計測した移動距離に応じて弊社所定の単位のポイント(以下「マイル」といいます)その他各種コンテンツを提供することを目的としたアプリケーションソフトウェアです。 第1条(適用) この「トリマ」利用規約(以下「本規約」といいます)は、本アプリおよび本アプリ内で提供される移動距離実績、獲得マイル、位置情報、地図表示、その他の情報・データ(以下、総じて「本データ」といいます)の使用に関する諸条件を定めたものです。本アプリは、弊社所定の方法により本規約に同意した利用者(以下「利用者」といいます)のみ使用することができ、本規約は、本アプリをご利用になるすべての方と弊社との間に適用されます。また、
既存RailsアプリをSSO化して本番環境で活用した話(前編)
この記事は 2021/09/16 (木) に行われた WESEEK Tech Conference の内容をまとめたものです。 発表前半部分の 「OpenID Connect に対応した認証基盤を構築した話」 を掲載しております。 既存RailsアプリをSSO化して、本番環境で活用した話【WESEEK Tech Conf #12】 目次 インターネットマルチフィード様紹介 インターネットマルチフィード(株)とは? MF社では、JPNAP と transix というサービスを提供しております。 JPNAP は IX(Internet eXchange) のサービスで、様々な事業者様にご利用いただいております。 transix は NTT 東・西日本が提供しているフレッツ光の IPv6 IPoE 接続を事業者様向けに提供しているサービスです。 各サービスの詳細な内容については、こちらをご覧くだ
ALB + Cognito 認証とセッションを用いてユーザー別にページ表示させる | DevelopersIO
はじめに おはようございます、もきゅりんです。 まず、本稿をまとめた背景を説明しておきます。 現状、Cognito を Webアプリケーション を利用するには JSフレームワークの利用、つまりSPA/SSR を前提とした Amplify SDK を利用する実装になるかと思います。 *1 しかし、弊社に技術相談されるお客様の中には、JSフレームワークおよびSPA/SSR、AmplifySDKを利用しない、Webアプリケーションでの Cognito のご利用を希望されるケースがたまにあります。 そのような要望の際、認証ページの日本語が対応できない *2 ALBとCognitoの統合を使った認証機能は、かなり限定的な利用機会にはなってくるとは思うのですが、一つの選択肢にはなるかな、と認識しています。 本稿が利用機会の一参考例となれば幸いです。 ただし、実際に利用を検討する際には、検証を目的とする
こんにちは。 本日はNext.jsでクッキーを使用したセッション管理を実践してみたいと思います。 なお、認証に関連するセッションについては、各認証サービスの公式ドキュメントを参照してください。 まずは、簡単にセッションの概念について説明します。 1.セッションとは?PHPやRubyなどのサーバーサイド言語を扱う場合、セッション管理は当たり前のように行われることです。 セッションは、サーバー側にデータを保存する仕組みです。 簡単に言えば、サーバーがユーザーの情報や状態を記憶しておくためのものです。 しかし、セッションについて理解する前に、ステートについても説明したいと思います。 2.ステートレスとステートフル● ステートレス ステートレスサーバーは、クライアントのセッション状態を保持せず、リクエストに対するレスポンスが一貫して同じです。 ● ステートフル ステートフルサーバーは、クライアント
セッション管理やコンテンツ表示の最適化など、Webサイトの利便性を高めるためにも使われるCookie。しかし、最近では「プライバシーを侵害する一要因だ」として批判を浴びる対象ともなっている。この記事ではCookieが抱える問題点をはじめ、Cookieの削除や受け入れ拒否をする際の影響範囲と内容、そして削除の手順について解説していく。 Webサイトの利便性を高めるCookie Cookieとは、WebサーバーからWebブラウザーに送信される小さなデータのこと。HTTP Cookieとも呼ばれ、WebブラウザーがWebサーバーとHTTP(あるいはHTTPS)での通信を行う際に、セッション管理に利用される。WebサーバーがCookieの情報を照合することで、ユーザーが間隔を空けてページに再訪した場合でも、前回訪問時の状態からWebサイトでの行動を再開することができるようになっている。 例えば、E
IPv6アクセス網の現状とこれから
「IPv6アクセス網の現状とこれから」 NGN IPoE協議会 日本ネットワークイネイブラー株式会社 石田慶樹 Copyright© JPNE 2018, All Right Reserved. 1 IPv6化の遅々とした歩み 経緯 •IPv6の時代はなかなか来なかった •IX(JPIX)におけるIPv6正式サービス開始は2008年9月 •IPv4アドレスの中央在庫の枯渇は2011年2月 •NTT NGNでIPv6サービスの開始は2011年7月 •本格的なIPv6の普及は2016年から 2 Copyright© JPNE 2018, All Right Reserved. IPv6の普及 FTTHの IPv6化 加速 NTT東西の コラボ光の 開始 PPPoE(IPv4) の輻輳 ハイパー ジャイアントの IPv6志向 2011年7月 IPv6サービス(IPoE)提供開始 2012年6月
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
MIXI MがGoogle/Appleアカウントによるソーシャルログインをサポートしました
クッキーの危険性(ダイエットではなくセキュリティの話)
CEATEC 2020 ONLINEで3時間半に渡りアクセス障害--現在は完全復旧
メルカリWebのマイクロサービス化、その4年 | メルカリエンジニアリング
筑駒文化祭入場管理システム "siesta" 開発・運営記 - Qiita
目指すは“毎秒20万リクエスト”対応、「FF7エバークライシス」におけるパフォーマンス向上策の数々 (1/3)
RailsでOpenID Connectするときの前提知識 - Qiita
駆け出しWebエンジニアへ勧める〜人気フレームワーク4選〜 - Qiita
flask-loginでWebアプリの認証を実装できた - Qiita
今年のオープンソース活動振り返り @ 2021
Auth0代替として開発されたオープンソースの認証プラットフォーム・「SuperTokens」
PHPでオレオレフレームワークを作ってみた | It works for me
【これで解決】SPAでセッション管理するならCookieにしよう【CakePHP4編】 | りゅうりんブログ
2022年7月 話題になったり気になったWEBサービス
「Webを支える技術」の内容のまとめ - Qiita
カラーミーショップにSMSを用いた2要素認証を実装しました - Pepabo Tech Portal
今使っているなら移行を検討しよう!時代遅れのLinuxコマンドと代替ツールまとめ
Railsの開発でよく使うライブラリー(gem)一覧 - algonote
【重要!】新しく生まれ変わったFusion 360を徹底解説!【10/4 オンラインセミナー】
JJUG CCC Fall 2020をオンラインで開催しました - arclamp
3rd Party Cookie対策の状況:2020Q1版
「トリマ」利用規約・プライバシーポリシー|トリマ公式サイト|移動するだけでマイルが貯まるポイ活アプリ
Next.jsとUpstashでセッション管理をしてみる【Redis】|ryry_w
Cookieを削除するとどうなるのか? | サイバーセキュリティ情報局