Google Analyticsで正しい数値を取得できていない利用者は意外にも多く、弊社調べでは20%を超えています。 今回は、今すぐ直せる簡単な解析環境の修正方法をお伝えしたいと思います。 最近では「加重並べ替え」など、ますます高機能な項目を追加している「Google Analytics」。これが無料だから、すごいことです。 けれど無料だからこそ?とりあえず導入はしてみるもののきちんと使えていない。放置している。という方も多くいらっしゃるように思います。 いくら費用はかからないと言っても、トラッキングコードの埋め込みなどで確実にコストはかかっているのです。使いこなさないのはもったいないです。とはいえGoogle Analyticsの環境整備のために、サイト改修が新たに発生するのも状況によっては本末転倒な話かもしれません。今回は、トラッキングタグの修正やサイト改修など、費用や期間のかかる大
Rust/ActixWeb + React/Next.js で GraphQL を使ってビデオチャットアプリを構築してみた
今回、GraphQLバックエンドの構築にはAsync-graphqlを使用しています。 RustのGraphQLライブラリとして、もうひとつ有名なJuniperも存在しますが、 Async-graphqlの方が機能が豊富で、実現できる仕様の幅が広いです。 また、不具合が非常に少なく、この手のライブラリを使用する際に稀に発生する、 「ライブラリの不具合を回避するためのハック的な実装」みたいなものは今回一切必要ありませんでした。 このライブラリの使い勝手がよかったがために、 ミニマムに抑えようとしていたアプリ機能が少し大きくなった気がします。 ■ セッション管理について 本アプリにおいてセッションの管理は、一般的なWebアプリに用いられるものと同じ、 サーバーでセッションデータを保持し、紐づくセッションIDをクライアントのCookieに保存する方式をとっています。 この手のアプリ構成において、
restful_authentication を導入したので手順などメモっときます。 restful_authentication ・ログインなどのセッション管理を行なう Rails プラグイン ・メールによる認証登録ができる ・セッション状態を acts_as_state_machine で管理することが可能 ・acts_as_authenticated を置き換えるプラグインらしい(参照) ・eringi.com「acts_as_authenticated を試してみた。」 acts_as_state_machine のインストール >ruby script/plugin install http://elitists.textdriven.com/svn/plugins/acts_as_state_machine/trunk/ restful_authentication のインスト
[翻訳] 端末の神秘を解き明かす - Qiita
原文 The TTY demystified http://www.linusakesson.net/programming/tty/ 翻訳 TTYサブシステムはLinuxおよびUNIX一般の設計において中心的な位置を占めます。しかし、不幸なことにその重要性はしばしば見過ごされ、良い入門記事を見つけづらくなっています。それでも、LinuxにおけるTTYの基礎知識は開発者やパワーユーザーにとって不可欠です。 これから見ていくシステムはあまりエレガントではありません。TTYシステムはユーザーから見るととても便利ですが、実際は特殊ケースが多く、入り組んでいます。なぜこうなっているのかを理解するには、歴史を紐解く必要があります。 歴史 1869年、株価表示器が発明されました。株価表示器は、タイプライター、長いワイヤーのペア、表示用紙テーププリンタから構成される電気機械で、遠く離れた場所にリアルタイ
![[翻訳] 端末の神秘を解き明かす - Qiita](https://cdn-ak-scissors.b.st-hatena.com/image/square/dac065d60807e072abf0965311483f7d522bd189/height=288;version=1;width=512/https%3A%2F%2Fqiita-user-contents.imgix.net%2Fhttps%253A%252F%252Fcdn.qiita.com%252Fassets%252Fpublic%252Farticle-ogp-background-412672c5f0600ab9a64263b751f1bc81.png%3Fixlib%3Drb-4.0.0%26w%3D1200%26mark64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZ3PTk3MiZoPTM3OCZ0eHQ9JTVCJUU3JUJGJUJCJUU4JUE4JUIzJTVEJTIwJUU3JUFCJUFGJUU2JTlDJUFCJUUzJTgxJUFFJUU3JUE1JTlFJUU3JUE3JTk4JUUzJTgyJTkyJUU4JUE3JUEzJUUzJTgxJThEJUU2JTk4JThFJUUzJTgxJThCJUUzJTgxJTk5JnR4dC1hbGlnbj1sZWZ0JTJDdG9wJnR4dC1jb2xvcj0lMjMyMTIxMjEmdHh0LWZvbnQ9SGlyYWdpbm8lMjBTYW5zJTIwVzYmdHh0LXNpemU9NTYmcz0yYmViNWJlMjJhMTYyNmVkZjlhYzg5YjEwZGJhOGQ2Yw%26mark-x%3D142%26mark-y%3D57%26blend64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZoPTc2Jnc9NzcwJnR4dD0lNDBhb3NobzIzNSZ0eHQtY29sb3I9JTIzMjEyMTIxJnR4dC1mb250PUhpcmFnaW5vJTIwU2FucyUyMFc2JnR4dC1zaXplPTM2JnR4dC1hbGlnbj1sZWZ0JTJDdG9wJnM9MzBlNzQ3MGYyZDljNTQzNGE1MmQ2YzU5ODAxZWE4M2E%26blend-x%3D142%26blend-y%3D436%26blend-mode%3Dnormal%26txt64%3DaW4g5qCq5byP5Lya56S-44O044Kh44Or56CU56m25omA%26txt-width%3D770%26txt-clip%3Dend%252Cellipsis%26txt-color%3D%2523212121%26txt-font%3DHiragino%2520Sans%2520W6%26txt-size%3D36%26txt-x%3D156%26txt-y%3D536%26s%3Dbbce053fd0a1eba89149f647c830351f)
OWASPとは、Webをはじめとするソフトウェアのセキュリティ環境の現状、またセキュアなソフトウェア開発を促進する技術・プロセスに関する情報共有と普及啓発を目的としたプロフェッショナルの集まる、オープンソース・ソフトウェアコミュニティです。ここでは、OWASP Japan公式サイト等では伝えきれないマル得情報を配信します。 OWASP Top 10に代表される日本語化された成果物と比較すると、日本語化されていないOWASPの成果物は馴染みづらい印象を受けるとともにその利用を躊躇しているといったご意見を何度かいただいています。 とはいえ日本語化されていない成果物の中にも有用な成果物は数多く存在し、その中でもOWASP Cheat Sheet Seriesはセキュリティを専任とする方をはじめ、開発者、設計者、マネジャー、利用者など、どの立場の方にとっても有用な情報が詰まっています。それゆえに、
(use gauche); 書評 - プログラミングGauche : 404 Blog Not Found
2008年03月14日00:00 カテゴリ書評/画評/品評Lightweight Languages (use gauche); 書評 - プログラミングGauche ピンポーン。ベッドから飛び出してインターフォンへ「はい?」 プログラミングGauche Kahuaプロジェクト / 川合史朗監 初出2008.03.13; 販売開始まで更新予定 「SWQ便です」「むぁ、ふぁーい」 ピンポンピンポーン。およ、もう玄関だ。「今行きまーす」 「お荷物こちらになりまーす」ん、また献本か、え、オライリー?オライリー!もしや! ベリベリ「あ、やっぱり!!」「すみません、先にサインを」 失礼しました。というわけでオライリー矢野様より献本御礼。 本書「プログラミングGauche」は、文字通りGaucheプログラミングの本、でGaucheとは何かというと、Practical、つまり実践的なschemeの実装。
Webの未来とブラウザのこれからをデバイス連携から考えた - Nothing ventured, nothing gained.
先日、ブラウザ技術について友人と話す機会があった。 いろいろ、本当にいろいろな話をしたのだが、ブラウザとデバイスの連携についての話でも盛り上がった。 Device APIと言われるような機能を始め、Gamepad APIなど、さまざまなデバイス系のAPIが提案され、実装も開始されている。これにより、従来はOSの上のアプリケーション、すなわちネイティブアプリケーションと呼ばれるものでしか可能でなかったこともブラウザを経由してWebアプリケーションで実現できるようになっている。 それは、デバイスの緯度経度をとることであったり、傾きを得ることであったり、電源状態を把握することであったりする。これらの機能とオフライン機能を組みわせることで、Webアプリケーションは従来の枠組みを越え、より一般のアプリケーションとして利用されていくようになるだろう。 ブラウザはより高機能になり、ブラウザがOSと呼べる
久しぶりに、こういう類の記事を書いた。 拡張機能リスト AdBlock 広告ブロック。FirefoxでおなじみのAdBlock Plusとはちがってメニューやらボタンやらがあるからいいかなって思った。 AutoPatchWork いろんなページを継ぎ足してくれる、あれ。 こっちはページ下部にバーが表示される。AutoPagerizeはページ右上に■が表示される。 そこら辺は好き好きです。 Better Pop Up Blocker ポップアップの動作を、より細かく決めることが出来る。 オプションから細かく設定できるので、これは入れておくべき。ちなみに、Safari版もある。 Copy Link Text FIrefoxでいうMake Linkと同じ物。 ページ中のリンクを右クリックすると、リンクテキストをコピー出来る。もちろん設定から追加編集できる。 開いているページのURLをテキスト付き
ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog こんにちは、R&D統括本部 開発推進室 セキュリティプラットフォーム技術の戸田 薫です。 セキュリティプラットフォーム技術の取り組みについてご紹介します。 「ヤフーのセキュリティに対する取り組みについて 第1回目」で「アプリケーションを開発するときには、既知の脆弱性を意識して行わなければなりません。」と述べたことについて、ヤフーがどのように取り組んでいるかについてご紹介いたします。 ◆セキュアなシステムを構築するために 安全に利用できるシステムを構築するためには、知識や技術がなければなりません。 そのためにヤフーでは 1:教育 2:アプリケーションのセキュリティ対策 3:ソースコードレビュー 4:脆弱性テスト 5:セキュリティチェ
詳解 Tomcat
本書は根強い人気を誇るJavaアプリケーションサーバ、Tomcatについて解説したものです。日本人唯一のTomcat PMC(プロジェクト管理委員会)メンバーであり、アクティブコミッタである藤野圭一氏による執筆で、Tomcatの機能や使い方についてだけでなく、アーキテクチャについても踏み込んで詳しく解説することで、さらに深い理解を促し、中上級者が自分で機能を拡張してカスタマイズできるような情報も提供します。最新バージョンTomcat 8に対応した唯一無二の書籍です。 正誤表 ここで紹介する正誤表には、書籍発行後に気づいた誤植や更新された情報を掲載しています。以下のリストに記載の年月は、正誤表を作成し、増刷書籍を印刷した月です。お手持ちの書籍では、すでに修正が施されている場合がありますので、書籍最終ページの奥付でお手持ちの書籍の刷版、刷り年月日をご確認の上、ご利用ください。 第2刷正誤表 ※
PHPのセッションアダプション脆弱性克服への道のり
(Last Updated On: 2018年8月13日)PHP Advent Calender用のエントリです。 PHPのセッション管理は非常に簡単です。セッションをsession_start()で開始して$_SESSION配列を使うだけです。便利で簡単なセッションモジュールですがセッションアダプションに脆弱であるため、一般に言われてる「ログインする時にはsession_regenerate_id()を呼ぶ」コーディングではセッションアダプションに脆弱になってしまいます。 まずは危険性と対策を紹介します。 セッションアダプションの危険性 セッションアダプションとは外部などから設定されたセッションIDを受け入れ初期化する脆弱性です。一番分かりやすい例はTrans SIDを有効にして http://example.com/index.php?PHPSESSID=1234567890 とアクセ
Frontend/BackendのOAuth2.0クライアント書いてみた - Got Some \W+ech?
個人的に認証・認可まわりに興味を持ち出して以来、RFCやドキュメントを読みまくっていた。しかしながら、仕事が忙しかったり、そもそもここらへんを仕事でやるポジションにいないため、ちゃんと実装してみないことにはどうにもならんな、と思いだした。よって、最終的なゴールを雑なFAPI*1準拠したOAuth/OIDCシステムを実装していくことにした。具体的には以下の順番でやろうとしている。認証はもしかしたら、以前つくったFIDO2サーバー使うかも。 OAuth2.0クライアント(Code Grantのみ) OAuth2.0認可サーバー OAuth2.0リソースサーバー FAPI Part1化 OIDC化 FAPI Part2化 まずは、OAuth2.0クライアントを雑に作成した。ある程度できたので、一旦、棚卸しもかねてブログを書く。 その過程で湧いた疑問は、解を求める終わりのないRFC・ドキュメント漁
浅煎り珈琲 -Java アプリケーション入門
完全目次 Java を始める前提 本コンテンツの仕様 プログラミング言語とは何か Java とは何か Java の実行形態と特徴 Java のオブジェクト指向 Java の基本規則 オリエンテーション 開発準備 Howdy, Java! print()/println() コメント 変数 基本データ型 IEEE754 浮動小数点数 基本データ型とリテラル 変数の型宣言と初期化 変数の自動型変換 文字列と参照型変数 変数の明示的型変換とキャスト 配列 コマンドライン引数と配列 配列の定義 多次元配列 演算子 演算子の優先順位 命名規則とキーワード 制御構造 条件分岐 if 文 文字列比較 switch 文 繰り返し while 文 for 文 拡張for文 continue/break 文 繰り返しの入れ子 多重ネストからの脱出 制御構造の演習 Java のオブジェクト指向 オブジェクト指向
軽量なMVCフレームワークの自作(改訂版)
はじめに Webアプリケーションを構築する際のアーキテクチャとして、「MVC」が広く用いられています。PHPにおいても、「mojavi」や「Phrame」など、いくつかのフレームワークが実装されています。ググってみると、日本語の解説ページなどを見つけることもできます。 最も有名なMVCフレームワークは、Javaで使える「Struts」でしょう。多くのMVCフレームワークがStrutsの影響を受けています。Strutsは非常に強力なフレームワークですが、その分、お手軽感に欠けるきらいがあります。特に、お手軽感を求めてPHPを使われている諸氏には、馴染みにくいのではないかと思います。 本稿では、手軽に使える、軽量なMVCフレームワークの雛型として、拙作の「nagaMVC」を紹介します。nagaMVCの基本的な構成について解説します。 対象読者 主に、LAMP構成(Linux+Apache+My
使いやすい認証機構を実現する「Apache Shiro」 今回取り上げる「Apache Shiro」は、Javaアプリケーション向けに開発された認証と承認のためのオープンソースのフレームワークです。Shiroを使うことで、ログインなどの認証の仕組みや、アクセス管理、セッション管理などといった機構を、容易にアプリケーションに付け加えることができるようになります。 JDKにはJAAS(Java Authentication and Authorization Service)という認証・承認サービスが用意されていますが、JAASで提供されるAPIはあまり使い勝手が良くなく、わかりにくいという意見が大多数を占めていました。ShiroはJAASよりも理解しやすく、簡単に利用できる認証・承認の仕組みを提供する目的で開発されました。Shiroを利用するメリットとしては次のようなものが挙げられています。
Rails2.0の変更点で、セッション(session)データの保存先がクッキー(cookie)になったということを、よく目にする。確認してみると、確かに以前はtmp/sessionsフォルダの中に常にセッションファイルがあり、増え続けていたが、2.0環境にしてからはいつも空っぽだ。そうなると、本当にクッキーに保存されているのか?どのように保存されているのか?実際に覗いてみたくなった...。 クッキーを確認する MacOS X版のFirefox2.0のクッキーは、Firefoxの環境設定 >> プライバシー タブ >> Cookieを表示 ボタン、で表示される。 想像以上のクッキーの多さに驚く。一つずつ見ていてはキリが無いので、検索で「localhast」と入力してみる。 すると一気に絞り込まれ、Cookie名から「_test_slip202_session」が求めるクッキーだと予想できる
Gauche(ゴーシュ)は、プログラミング言語Schemeの処理系のなかでもきわめて実用的で軽快な処理系です。豊富なライブラリが用意され、スクリプト言語処理系として手軽に扱うことができます。本書は、Schemeの初心者を対象に、Gaucheの基礎からプログラミングの実際までを詳しく解説。Gaucheの開発環境でプログラマがどのように考え、作業していくのかを、順を追って理解できます。本書によって、SchemeやGaucheのコードを読み解く準備ができ、実用的なGaucheプログラミングへの第一歩を踏み出せることでしょう。 はじめに 第1部 予備知識 1章 LispとScheme 1.1 Lispの起源 1.2 S式と前置記法 1.3 Scheme 1.4 Gauche 2章 Gaucheの特徴 3章 Gaucheの設計思想や誕生の背景 3.1 Perlの影響 3.2 Common Lispの
いまさら聞けないMongoDBの基礎知識とインストール、CRUD操作の基本、モデリングツールMongooseの使い方
「MEANスタックで始めるWebアプリ開発入門」連載目次 前回の、『Node.jsのMVCフレームワーク「Express」における静的ファイル、ルーティング定義、セッション管理、エラー処理』では、サーバ側のMVCフレームワーク「Express」のいろいろな機能について紹介しました。 今回は、MEANスタックの「M」の部分、MongoDBについての概要と、Node.jsからMongoDBへアクセスする方法について解説します。 なお、本記事を見て実際にサンプルを動かしたい場合、以前の連載記事(第1回、第2回)を見て環境を作成しておきましょう。 ドキュメント指向データベース「MongoDB」とは 第1回の記事「LAMPに代わる構成として注目のMEANスタックの基礎知識とインストール、ひな型作成」でも少し触れましたが、MEANスタックアプリにおけるデータベースといえば、MongoDBです。 Mon
未来検索ブラジルのエンジニア、末永匡氏のBlogに「ニコニコ大百科ではEeePCをロードバランサおよびセッション管理に利用している」という旨が掲載されている。 EeePCは、SSDとUPSを備えた次世代サーバプラットフォームです。 メンテナンスの際、キーボードやモニタをつなぐ必要もありません。 また、各種Linuxの導入情報が充実しています。 メモリ増設などを行っても5万未満で調達を行うことができます。 消耗品として扱えるため、減価償却の必要もありません。 ラック内占有体積も少ないです。 このように EeePCをサーバーとして利用することのメリットが挙げられているのだが、確かに負荷がかかりにくく、大規模なファイルアクセスも不要なロードバランサやセッション管理にEee PCを利用するのは良いアイデアだと思う。しかし、ノートPCをそこそこ大規模なアクセスのあるサーバーとして利用する例というのは
以下の記事を読みました。 CookieのPath属性は本当に安全性に寄与しないのか 結論として以下となっています。 結論。Path属性は特殊な状況下ではある程度安全性に寄与する Path属性は、これを設定してCookieを発行するあるパス(以下「自身のパス」)にサーバサイドのプログラムを書き換えられるような脆弱性がなく、同一オリジン内の別のパスにそのような脆弱性がある場合に、そのパスへのCookieの漏洩することを防ぐことができます。 中略 つまり、「体系的に学ぶ 安全なWebアプリケーションの作り方」の記述はおそらく間違えです。 とはいえ私はセキュリティは専門ではなく、特に攻撃側には疎く、この記事に書いた以上の調査・実験もしていないため、この結論も確実とは言い切れません。詳しい情報をお持ちの方がいたら、ぜひご教示ください。 記事では、iframeなどを用いた攻撃について言及されていて、そ
IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、ウェブサイトの開発者・運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料「安全なウェブサイトの作り方」に、携帯電話向けウェブサイトに関する注意点4項目などを追加した改訂第5版を、2011年4月6日(水)からIPAのウェブサイトで公開しました。 URL: http://www.ipa.go.jp/security/vuln/websecurity.html 国内の携帯電話向けウェブサイト(以下「携帯サイト」)には、携帯ID(*1)を用いたいわゆる「かんたんログイン」機能等、セキュリティ上特有の問題点があり、情報セキュリティの研究者などから、情報漏えいにつながる可能性が指摘されていました。2010年10月には、指摘されていた問題が原因となり、宅配便サービスの顧客向け携帯サイトで個人情報漏えい事故が発生しています。
高木浩光@自宅の日記 - 携帯電話向けWebアプリの脆弱性事情はどうなっているのかに、高木浩光氏が携帯電話向けWebアプリケーションの安全性についてコメントされておられる。 なぜ「URLにセッションIDが含まれる場合はセキュリティに注意する必要があり」なのかと言えば、Refererによってリンク先にセッションID入りのURLが流出し、流出先サイトの人にセッションハイジャックされてしまうからだ。 確かにそうなのだが、携帯電話向けWebアプリケーションでは、セッションIDをURLに埋め込むことが定石として用いられている。 その理由は、他に適当な方法がないからである。 携帯電話向けWebの代表例であるi-modeでは、Cookieをサポートしていない。そのため、セッションIDを埋められる場所というと、 URLに埋め込む Hiddenフィールドに埋め込んでPOSTで送出する くらいしか代替手段がな
Unix Programming Frequently Asked Questions 日本語訳 - 1 プロセス制御 - 1.6 どうすればゾンビプロセスができることを防ぐことができますか?
Go to the first, previous, next, last section, table of contents. 1 プロセス制御 1.1 新しいプロセスの生成: fork() 1.1.1 fork()は何をするのですか? #include <sys/types.h> #include <unistd.h> pid_t fork(void); fork()関数は存在しているプロセスから新しいプロセスを生成するために使用さ れます。新しいプロセスを子プロセスといい、すでに存在していたプロセスは親 プロセスといいます。fork()の戻り値をチェックすると、この両者を区別できま す。親プロセスには子プロセスのプロセスIDが返されますが、子プロセスには 0が返されるのです。 ですから、以下の簡単なコードがfork()の使い方の基本になります。 pid_t pid; switch
Rails検証報告書 - プログラマの思索
日本OSS推進フォーラムという団体がRailsに関する調査結果を公開していたのでメモ。 【元ネタ】 日本OSS推進フォーラム 「RubyTF_Ruby_on_Rails検証報告書」 (PDF:975KB) おそらくIPOの外郭団体のような立場で、日本の大手SIの技術者がRailsを調査したらしい。 その報告書を読むと、Railsは企業向けにそこそこ使えるが、スケールアップやセキュリティ、技術蓄積にやや難がある、とのこと。 報告書で興味を引いたのは、セキュリティに関する所。 リダイレクト、Web アプリケーション内リンクをSSLにする対応は特に問題なく非常に簡単。 Railsで特徴的なのは、CookieでHTTP セッションを管理できることだろう。 ここの仕組みが非常に分かりやすい。 Railsでは、HTTPセッションをシリアライズ化してCookieに書き込む。 この時、サーバーにもハッシュ
Java/ServletとJSESSIONIDのURL管理 - Glamenv-Septzen.net
Servlet 2.5 今回主に取り上げるTomcat6, Jetty7で対応しているServlet 2.5の仕様を確認すると、"SRV.7.1 Session Tracking Mechanisms"で以下のように記されています。 SRV.7.1.1 Cookies Session tracking through HTTP cookies is the most used session tracking mechanism and is required to be supported by all servlet containers. The container sends a cookie to the client. The client will then return the cookie on each subsequent request to the server,
Oracle でセッション管理するならどうする? :: Drk7jp
以前、セッション管理に向いているデータベースは MySQL ? Oracle ? という記事で Oracle と MySQL のパフォーマンス差について書いたことがありますが、新年度の技術開発に向けてまた改めて検証をしています。世の中いろいろな事情で 商用 DB を使っている人は大勢いるでしょう。Oracle を使ってセッション管理をする必要だってあるかもしれない。 と言うわけで今回は、Oracle でセッション管理するならどうする?編です。比較対象として MySQL でのパフォーマンスも計測しています。Oracle とか MySQL は実行環境でパフォーマンスが結構異なるので、一応検証環境はこんなかんじ。 検証マシンスペック VMware 6.0.6000 上に構築した raw-disk タイプの仮想環境 Intel(R) Core(TM)2 CPU 6700 @ 2.66GHz mem
Deno で掲示板サイトを作ろう! with upstash & supabase その 2 (ミドルウェアと掲示板の作成) - 虎の穴開発室ブログ
皆さん、こんにちは。 自宅では、トラドラオニタイジン極がご本尊みたいになっています。おっくんです。 今回は、「Deno で掲示板サイトを作ろう! with upstash & supabase」企画の2回目として、掲示板の登録と参照の実装を進めていきます。 今回の実装で、次のように、掲示板の登録ができるようになります。 前回記事はこちら toranoana-lab.hatenablog.com 訂正 始めに、第1回で取り扱った環境変数の取り扱いについて、一部訂正をさせていただきます。 第1回に紹介した、以下のdotenvの実装がありました。 [anonymous-board/util/config.ts] import { config } from "dotenv/mod.ts"; export const envConfig = await config({ safe: true })
「golang.tokyo」は、プログラミング言語のGoの導入企業のメンバーが集まり、Goの普及を推進するコミュニティです。ここで、フューチャー株式会社の渋川氏が登壇。GoでWebサービスを作る時の悩みから、認証リバースプロキシを作成した話を紹介します。 自己紹介 渋川よしき氏:フューチャー株式会社の渋川が発表します。まず「お前誰よ?」ですが、2017年からフューチャーで働いています。いろいろ本を書いています。『Real World HTTP』のほか、昔のものですが『つまみぐい勉強法』『Goならわかるシステムプログラミング』もあります。最近はよくJavaScriptというか、TypeScriptとGoとPythonを書いています。ほかに仕事でFlutterもやっています。 著書の『Real World HTTP』はちょこちょこ増刷もされています。買ってくれた方、ありがとうございます。実は今
前回のシリアル/パラレル処理の視点に立ってコネクションプールについて考えてみたい. コネクションプールが遅いとは はてなおやさんが考察しているように 普通にmod_perl でコネクションプールを素直に張るとコネクション数が爆発する. 図にすると図1のような感じで個々のapacheがコネクションを複数持つので,サーバ台数が増えるとコネクション数が飛躍的に増えることがわかると思う. 図1 コネクションが爆発してる様子(正直書くのも大変) コネクション数が増えると単純にコネクションを維持するコストも増えていくので, このあたりが「コネクションプーリング都市伝説」の根拠になっていると思われる. これはこれで全くその通りで間違いない. さて,ここでもうちょっと大きな視点に立って,クライアント<->サーバ間の通信路が 1個の伝送路をパケットによって多重化しているととらえてみたい.そうするとここで シ
ツリー型タブ 0.7.2009042301 評価開発元作者: SHIMODA Hiroshiダウンロード数週間ダウンロード数: 1785カテゴリタブ&ウィンドウ Windows エクスプローラのフォルダツリーのように、Firefox のタブをツリー状に表示します。リンクから開かれたタブは自動的にツリーに追加されるので、タブのグループ関係が視覚的に分かります。ツリーは初期設定でコンテンツの左側に表示され、ネットブックのような縦幅の狭い画面を有効に活用することが可能です。 対応バージョン Firefox 2.0 - 3.6a1pre 詳しい説明 Windowsのエクスプローラのフォルダツリーのように、Firefoxのタブをツリー状に表示します。リンクなどから開かれたタブは自動的にツリーになります。タブのグループ関係が視覚的に分かるので、大量のタブを開きがちな人にお勧めです。主な特長: * タブ
Strutsの諸問題を解決するWebフレームワークとは?:オープンソースTERASOLUNAで作るWebアプリ(1)(1/3 ページ) 本連載では、4回にわたってWebフレームワークの1つとしてオープンソース化された「TERASOLUNA Server Framework for Java」(以下、TERASOLUNAフレームワーク)を紹介します。 TERASOLUNAフレームワークが、いかにしてWebアプリケーションに特有のセッション管理や認証処理、トランザクション管理などの煩雑な処理を簡素化し、業務開発者が業務処理の実装に集中できる仕組みを提供しているかについて説明します。 しかしStrutsは、Webブラウザを介したアプリケーション開発に必要な基本的な機能を備えているものの、「モジュールの独立性」「プログラムの可読性」「テスト容易性」といったところになると、各プロジェクトの業務開発者
Keycloakとは - Qiita
(2022年1月14日追記)この度、日立製作所さんとNRI OpenStandiaメンバ共著でKeycloakの解説本を出版させていただくことになりました。本記事の最後に書籍のご紹介をしております。 何故、Keycloak? Keycloakはオープンソースのアイデンティティ・アクセス管理ソフトウェアです。シングルサインオンやAPIアクセスの認証・認可制御を実現するもので、この分野のソフトウェアとして後発の部類に入ります。現在コミュニティベースの開発が進められており、この分野のソフトウェアとしては最も勢いのあるソフトウェアの1つと言われています。技術トレンドの発信元として有名なThouthtWorksのTechnology Radarでも、この3月(2017年3月)に初めて名前が上がりました。またつい先日の最新版ではASSESSからTRIALに評価が変わっており、ますます注目度が上がってい
【技術書メモ】体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 〜毎週アウトプットチャレンジ④〜 - 銀行員からのRailsエンジニア
毎週 1冊技術書を読んでブログでアウトプットするチャレンジの第4弾ですーー! 今回は、体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生まれる原理と対策の実践 を読みました。 本書はWebアプリケーションの脆弱性に関する名著であり、2018/6/20に第2版が発売されました。 少し長くなってしまいましたが、頑張ってまとめましたので是非読んでみてください。 1 Webアプリケーションの脆弱性とは 3 Webセキュリティの基礎 3-1 HTTPとセッション管理 3-2 受動的攻撃と同一オリジンポリシー 4 Webアプリケーションの機能別に見るセキュリティバグ 4-1 Webアプリケーションの機能と脆弱性の対応 4-2 入力処理とセキュリティ 4-3 表示処理に伴う問題 4-4 SQL呼び出しに伴う脆弱性 4-5 重要な処理の際に混入する脆弱性 4-6 セッション管理の不備
なんでMongoDBでセッション管理するのか Node.js + Express (Connect) で標準で提供されている MemoryStore でセッション管理を行うとメモリ上での管理になるため node が落ちるとセッションデータが消えることになりセッションの永続化ができませんし、動作確認もソースの確認も行っていませんが、production で起動した際に出力されるメッセージ(https://github.com/senchalabs/connect/blob/master/lib/middleware/session.js#L199)に Warning: connection.session() MemoryStore is not designed for a production environment, as it will leak memory, and will n
Microsoftは米国時間4月22日、ブログへの投稿とChannel 9の動画で「Windows Subsystem for Linux」(WSL)の仕組みに関するさらなる詳細を明らかにした。WSLを用いて「Windows 10」上でBashシェルを動作させるというデモは、同社が3月30日から4月1日にかけて開催した開発者向けカンファレンス「Build 2016」の目玉となっていた。 Windows 10の内部にこっそりとLinuxカーネルが隠されているわけではない。Windows Kernelチームによって開発されたWSLが、Windows上でLinuxのバイナリを動作可能にするための土台を提供しているのだ。 同社の説明によると、WSLにはユーザーモードで動作するセッション管理マネージャと、Linuxカーネルをエミュレートするピコプロバイダドライバ、手を入れていないユーザーモードのLi
株式会社MIXI 開発本部 MIXI M事業部の ritou です。 DroidKaigi 2023にてお話しさせていただきました。 資料も公開しました。 今回も発表内容全部書き出してみたをやってみます。 同時通訳ありだったので台本はできていて、この通り話せたら良いだけだったのですが実際はそううまくいかずに普通に時間なくなりました。 それではどうぞ。 これからパスキーに関するユースケースと、それに伴うユーザーエクスペリエンスの課題について発表します。 株式会社MIXIでエンジニアとして働いています。 MIXI MというサービスでID基盤の開発に携わっており、8月にパスキー対応を行いました。 その経験も踏まえて、今日はお話をさせていただきます。 また、OpenIDファウンデーションジャパンでエバンジェリストをしています。 今日はID連携とパスキーの関係についてもお話します。 この発表を通して
2008年01月30日00:09 カテゴリLinux screenでシリアルコンソール接続 Linuxでシリアルコンソールに接続するには、昔から cu コマンドを使っていたのですが、screen でもできるんですね。 以下の記事を読むまで知りませんでした。 Linuxでシリアルコンソールを使う - builder by ZDNet Japan 例えば、 # cu -l /dev/ttyS0 -s 115200 で接続していたのなら、screen では以下でOKです。 # screen /dev/ttyS0 115200 cu はデフォルトではインストールされていない事が多いかと思いますが、screen だと大抵インストールされているのもいいですね。 あと、screen なら、コンソールのログを取ったり、デタッチ、アタッチでのセッション管理が嬉しい。 例えば、次のような使い方。 /etc/s
Pythonから利用できるRust製超高速データ分析ライブラリPolarsの実力:Rustで始めるWebアプリケーション(終) RustでWebアプリケーションを開発する際に基礎となる要素技術からRustの応用まで、Rustに関するあれこれを解説する本連載。第3回は、Rust製の高速データ分析ライブラリであるPolarsの速度を簡易的に検証し、考察する。 paizaでWebエンジニアをやっています藤田と申します。前回の連載では、RustでWebアプリの基礎となるセッション管理と、SNSのAPIサーバを構築するための実装概略、Rustの強力な型システムによるサーバサイドアプリケーションの記述性について示しました。 今回は、趣向を変えてRust製の高速データ分析ライブラリである「Polars」を利用し、その速度を簡易的に検証、考察します。今回のプロジェクトもGitHubのサンプルリポジトリを用
今年もPHPカンファレンスにてトークさせていただくことになりまして、以下のようなお話をいたします。 日時:9月25日(日) 14:40〜15:40 場所:大田区産業プラザPiO および YouTube 費用:無料 講演タイトル:SPAセキュリティ超入門 申し込み: connpass アジェンダ: SPA(Single Page Application)の普及が一層進んでおり、従来型のMPAを知らないウェブ開発者も生まれつつあるようです。SPA対応のフレームワークでは基本的な脆弱性については対策機能が用意されていますが、それにも関わらず、脆弱性診断等で基本的な脆弱性が指摘されるケースはむしろ増えつつあります。 本セッションでは、LaravelとReactで開発したアプリケーションをモデルとして、SQLインジェクション、クロスサイトスクリプティング、認可制御不備等の脆弱性の実例を紹介しながら
Google TalkのAPIとソースコードのリリース
Google Talkソフトウェアの心臓部であるlibjingleライブラリがBSDスタイルのライセンスの下にリリースされた。この動きがオープンソースのインスタント・メッセージング・クライアントにとって追い風となることは間違いない。 先月、Jabber Software Foundation(JSF)は、Jabber(XMPP)プロトコルの2つのエクステンション、Jingle SignalingとJingle Audioのドキュメントをリリースした。同じ日、この2つのエクステンションの共同開発元であるGoogleは、libjingleというライブラリをBSDスタイルのライセンスの下にリリースした。エクステンションの実装であるlibjingleは、Google Talkソフトウェアの心臓部である。Google Talk本体で使用されるAPIがオープンにされたことと併せて、この2つの動きは、オ
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Google Analytics 今すぐ直せる解析環境 5の項目
restful_authentication でメール認証するぞ | てらじろぐ
OWASP Cheat Sheet Seriesを日本語訳して馴染みやすくしてみた。
入れておいて良かったと思えるGoogle Chrome Extensionリスト。 - あまたの何かしら。
ヤフーのセキュリティに対する取り組みについて 第2回目
第20回 Javaアプリケーション向けの認証フレームワーク「Apache Shiro」 | gihyo.jp
2.0のcookie session storeを体感する - ザリガニが見ていた...。
oreilly.co.jp -- Online Catalog: プログラミングGauche
「普通じゃない」サーバーのおすすめは? | スラド Slashdotに聞け
Re: CookieのPath属性は本当に安全性に寄与しないのか - Qiita
プレス発表 「安全なウェブサイトの作り方 改訂第5版」を公開:IPA 独立行政法人 情報処理推進機構
携帯電話向けWebアプリケーションのセッション管理手法 - ockeghem's blog
欲しかったのはGoが使えてセキュリティが確実なミドルウェア 「とりあえず作りたい」から完成した認証リバースプロキシ
「コネクションプーリング都市伝説」はほんとに都市伝説?(その3) - 最速配信研究会(@yamaz)
Mozilla Japan - Firefox 用アドオン - ツリー型タブ
Strutsの諸問題を解決するWebフレームワークとは?
Node.js + Express + MongoDB でのセッション管理 - hogehoge
MS、「Windows Subsystem for Linux」のアーキテクチャ詳細を明らかに
DroidKaigi 2023にてパスキーについて話しました
screenでシリアルコンソール接続 : しげふみメモ
Pythonから利用できるRust製超高速データ分析ライブラリPolarsの実力
PHPカンファレンス2022にてSPAセキュリティ超入門の話をします