ここでははてな認証APIをサードパーティ製のウェブアプリケーションに組み込む方法を具体的に解説します。認証のシーケンスに関しては認証APIを利用した認証の流れをご覧ください。 ■ 1. APIキーを取得する 認証APIを利用するアプリケーションには API キーが必要です。まずはAPI キーの新規取得ページからキーを取得します。 なお、APIキーは特定のアプリケーションに固有のものであり、複数のアプリケーションで使い回すことはできません。新規にアプリケーションを作りたい場合はその都度 APIキーを取得してください。 新規にAPIキーを取得すると、該当のキーがキー一覧に追加されます。 ■ 2. APIキーの設定を行う APIキーを取得したら次に、取得したキーの一覧から設定画面に進み、キーの設定を行います。画面の指示に従って、そのキーを使ったアプリケーションの情報を入力してください。 タイトル
これは? GenEPUB.com [じぇねぱぶ] は、電子書籍EPUBファイルをプレーンテキスト (plain text) から簡単に生成する変換サービスです。各種お好みのテキストを、オンラインでEPUB化してダウンロードできます。電書 (eBookコンテンツ) を手軽に自作してみましょう。APIも利用できます。(※ドキュメント未整備) 利用法 最初に、【ご利用の前に】タグの内容を一度必ずお読みください。 上の【EPUBを生成】タグをクリックして現れるフォームにて、a) EPUB化したいテキストを入力・貼り付け、または b) EPUB化したいテキストファイルを選択し、送信ボタンを押してください。 次に現れる画面で、EPUBのプレビューとダウンロードができます。また、EPUBファイルのダウンロードURLをご自身のメールアドレスに送信することもできます。 EPUBの閲覧は、専用機器の電子書籍リ
【フロントエンド編】TECH LEADの技術を惜しげも無く公開します!React × PHP Laravel × BEAR.Sunday × SSR - TECH LEAD Blog
こんにちは、@TECH LEADです。 前回の「【アーキテクチャー編】TECH LEADの技術を惜しげも無く公開します!」は、たくさんの方に読んでいただきありがとうございました。 第二回となる今回は、TECH LEADサービスでのフロントエンドの実装をご紹介します。 アーキテクチャー編 フロントエンド編 ←いまここ サーバーサイド(アプリケーション層)編 サーバーサイド(内部API層)編 インフラ編 目次 目次 はじめに SPAを辞めたわけ TECH LEADのフロントエンド 主な技術 ディレクトリ構成 サーバーサイドレンダリングに関して 注意点 静的なHTMLが生成される V8jsの罠 クライアントサイドレンダリングに関して TECH LEADを作ってみて まとめ エンジニアの皆さんへお願い 次回予告 PR TECH LEAD Job TECH LEAD Resume TECH LEAD
authorization_code_flow 1�U�U ��V�U @startuml UA -> App: /login UA <-- App: Redirect UA -> 認可サーバー: /auhorize UA <- 認可サーバー: ログインページ表示 UA -> 認可サーバー: ログイン UA <- 認可サーバー: 認可(AppにXXXを許可しますか? UA -> 認可サーバー: OK UA <-- 認可サーバー: Redierct UA -> App: /callback?code=xxx&state=xxx App -> 認可サーバー: /token に認可コードを渡す App <- 認可サーバー: AccessToken App -> App: セッションにAccessToken保存 UA <- App: ログイン完了 @enduml bad_practice_auth
補足 この記事は旧徳丸浩の日記からの転載です(元URL、アーカイブ、はてなブックマーク1、はてなブックマーク2) 備忘のため転載いたしますが、この記事は2008年7月22日に公開されたもので、当時の徳丸の考えを示すものを、基本的に内容を変更せずにそのまま転載するものです。 なお、この記事を書いた後、WAFはこの記事の予言(願い?)通りに進展したように思います。そのあたりの歴史については、こちらのインタビュー記事を参照下さい。 補足終わり PCIデータセキュリティ基準(PCIDSS)がWAF(Web Application Firewall)について言及していることなどから、最近再びWAFへの関心が高まっている。一方、WAFは、一部のユーザや専門家に非常に評判が悪い。なぜ、そのようなことになるのか。本稿では、WAFの基本機能を説明した上で、その限界と運用上の問題を指摘し、今後のWAFの使い方
ウェブ・セキュリティ基礎試験(通称:徳丸基礎試験)に合格してきた - サーバーワークスエンジニアブログ
出来立てホヤホヤの徳丸基礎試験に合格してきたので、ドヤしたいと思います。 ウェブ・セキュリティ基礎試験(通称:徳丸基礎試験)とは 2020年7月15日に開始された試験 徳丸本の理解度を測る試験 徳丸浩氏が問題を作成 全40問、制限時間60分、4択問題、正答率70%以上で合格 詳細はこちらをご確認ください。 ウェブ・セキュリティ基礎試験(徳丸基礎試験) 試験内容 出題範囲も上記リンク先に記載ありますが、徳丸本の目次と完全に一致しています。 その範囲からというのは間違いはないですが、検証環境の構築方法などは実際は試験に出ません。 同ページの動画でもおっしゃられていましたが、「ツールの使い方よりもセキュリティの原理を学んでほしい」ということのようです。 実際に受験し終わった後の感想としても確かにそのような感じでした。 様々な脆弱性に対し、その原理を知り、どの対策が効果的かを選択できれば、合格点取
「40代を過ぎると一気に景色が変わる」 サイボウズの20年選手が語る、“スペシャリスト”で生きるという現実 管理職にはなりたくない!? 40代になったらやるべき、スペシャリストのチーム構築術 #1/2 サイボウズ株式会社が開発するツールの活用事例や、チームビルディングのノウハウなどを紹介する総合イベント「Cybozu Days 2019」が、東京、大阪、名古屋の3都市で今年も開催されました。2019年のテーマは「モンスターへの挑戦状」。同社代表 青野慶久氏の近著『会社というモンスターが、僕たちを不幸にしているのかもしれない。』に端を発し、会社に巣くう“思い込み”による支配への挑戦をメッセージに掲げています。この記事では11月8日に東京会場で行われたセッション「管理職にはなりたくない!? 40代になったらやるべき、スペシャリストのチーム構築術」の模様をお届けします。サイボウズ社長室フェローの
※凡例 地域型JPドメインの第2レベルとは、tokyo.jpなど第2レベルのドメイン名でCookieが発行できるもの 地域型JPドメインの第3レベルとは、chiyoda.tokyo.jpなど第3レベルのドメイン名でCookieが発行できるもの 背景が赤のセルは現バージョンでバグのあるもの。無色は旧バージョンの参考情報 携帯電話に関しては機種毎に仕様が異なる可能性が高く、全機種について調査したわけではないので、上記はあくまで抜き取りでの結果であることに注意されたし ※確認機種、バージョン等 iモード:P-07A(iモードブラウザ2.0)で確認 EZweb:W52T、biblioで確認(結果は同じ)。詳細は後述 Softbank(1): 821N, 932SHで確認。これらは非公式JavaScript対応機 Softbank(2): 944SH(公式JavaScript対応機)で確認 Andr
【ハウツー】Adobeの新たな挑戦「Cocomo」を早速試してみた! (1) Adobeが提供する新たなPaaS「Cocomo」 | エンタープライズ | マイコミジャーナル
18日(米国時間)、Adobe SystemsはMAX 2008カンファレンスの開催に合わせて、コードネーム「Cocomo」と呼ばれるWebサービスを公開した。 Cocomoは、最近流行りのPaaS(Platform as a Service)モデルによるサービス提供を目指すものであり、Adobeにとっては新しいビジネスモデルの試みとなる(どのようにしてCocomoから収益を上げていくかは、まだ未定とのこと)。 Cocomoの現在のバージョンは0.9で、β版という扱い。ドキュメントなどには「ACROBAT.COM」という文字が見受けられることから、正式リリースされた暁には、Adobeが提供するWebサービス群のポータルである「http://www.acrobat.com/」に組み込まれることになるだろう。 Cocomoの狙いは、リアルタイムでのコラボレーション(協調)作業を促進するようなプ
こんにちは。 この春に無事大学を卒業したので、KRAYアルバイトから社員に転職しました、浅海です。 最近、JavascriptのリアルタイムWebアプリケーションフレームワークのMeteorで遊びました。 リアルタイムWebアプリケーションを簡単に作ることができますので「最近流行りのリアルタイムWeb、一度やってみたいなー、でも難しそうだなー」と思っている方におすすめです! この記事ではグーグルマップ上で会話できるリアルタイムチャットの作り方を解説します。 完成品はこちら 目次 注意事項 Meteorを始める リアルタイムチャットの作成 Googleマップとの連携 作ったアプリケーションを公開する 宣伝 注意事項 ・この記事を執筆時点のMeteorのバージョンは0.42です。 ・「コマンド一発でインストール!!」とか書きましたが、これは自分が使っているMacでの話です。 windowsのc
こんにちは、虎塚です。 10月18日(日)、次世代 Web カンファレンスに行ってきました。イベントの趣旨は「「次世代 Web カンファレンス」を開催します - Block Rockin’ Codes」で公開されています。 午後2つめのセッション「http2」に参加したので、取ったメモを共有します。 オーナー: @Jxck_さん @jovi0608さん @tatsuhiro_tさん @kazuhoさん 2015年はHTTP2が登場 ——Jxck_さん:HTTP2のRFCが今年出ましたけど、現状をふりかえってもらえますか。 jovi0608さん:2015年5月にRFC 7540 - Hypertext Transfer Protocol Version 2 (HTTP/2)とRFC 7541 - HPACK: Header Compression for HTTP/2でHTTP2の仕様化が完
上記の技術をファイル変更と同時にリアルタイムで行う為に利用するのがタスクランナー。 タスクランナーは元々 Grunt や gulp が使われていたが、今では npm scripts と Webpack を利用する模様。 シングルページアプリケーションについて (SPA) 一つのHTMLだけで画面遷移が可能なwebアプリケーションのこと。 Webpack で最終的に吐き出される HTML/CSS/JS 等のファイルをS3等に設置。 API通信やページ遷移はレンダリング後にjsで非同期に行い、同期的な通信は一番最初のみにする。 SPAに使われるフレームワークには Vue.js や React.js 等がある。 コンポーネント指向について コンポーネント指向とは、「GUIパーツをモジュール化したもの」である。 コンポーネントを構成する要素には、下記の4つがある。 情報構造 (HTML) スタイル
はじめに 以前のエントリでSSLに対する新しい攻撃手法「BEAST」を紹介しましたが、今回はBEASTをさらに発展させた「CRIME」という攻撃について簡単に紹介したいと思います。一次情報源としてこちらのスライド(英語)が閲覧できますので、時間がある方はぜひ目を通してみてください。 CRIMEの意味 CRIMEは "Compression Ratio Info-Leak Made Easy" あるいは "Compression Ratio Info-Leak Mass Exploitation" の頭文字で、SSLやSPDY(あるいはHTTPボディ部のgzip圧縮)で使われる圧縮アルゴリズムに注目した攻撃手法です。あまり知られていませんがSSLには圧縮機能が存在しており、サーバ側・クライアント側双方が圧縮機能をONにしている場合に、データが圧縮されます。 BEASTとの関係 CRIMEはB
セッション管理の要注意点 - Qiita
Webアプリを開発するに当たって、「自分でセッションを書きたい」なんて思う人はおそらく1%もいないでしょう。とはいえ、標準で備わっているセッション機能に問題や機能不足があって、手を入れざるを得なくなる、という場面も多々存在してしまいます。ここでは、セッションまわりでよく問題になる部分について触れてみましょう。 そもそも、セッションとは Webアプリにおけるセッションは、 接続ごとに固有の識別子(セッションID)を割り当て、その接続を使った通信のたびにセッションIDを送受信する セッションIDと紐付ける形でデータを持って、アクセスごとに値を読み出す。 データが書き変われば、書き戻す。 というような流れで、「接続ごとにデータを保存する」ということを実現しています。 セッションとCookie 上の1にあるような「通信のたびにセッションIDを送受信する」ために使われるのがCookieです。ただ、C
独立行政法人産業技術総合研究所から発行されたテクニカルレポート(AIST03-J00017)において、セッション管理のためにクッキー(cookie)を使用し、かつ、SSL/TLS のような経路のセキュリティ保護を行っている Web アプリケーションにおいて、クッキーを secure モードで発行することの重要性が指摘されています。 このテクニカルレポートに関連して、経路のセキュリティと同時にセキュアなセッション管理を行う必要性について解説します。
参考 http://wiki.nginx.org/Phases (2016.3追記)上記のURLは ページがなくなっていました。残念ながらオフィシャルページで似た記載が見当たりません。下記あたりを参照してください。 http://www.aosabook.org/en/nginx.html#sec.nginx.internals http://www.nginxguts.com/2011/01/phases/ http://www.programering.com/a/MzN4MzMwATY.html http://www.slideshare.net/joshzhu/nginx-internals/37 lua-nginx-module がフックする処理 lua-nginx-module は、上記の nginx の Phase のうち、Rewrite, Access, Content,
堅牢なお問い合わせフォームを作ることになり、規定書に Cookie には secure 属性を指定してねとありました。secure 属性なんて初めて聞いたので、ちょっと調べてみたところ、secure 属性以外にも expires 属性とかいろいろありますけど、知ってるやと思ったらこれも危険に繋がるみたい。 secure 属性って何 これを指定すると HTTPS の通信時のみクッキーを送信します。逆に指定しなければ HTTPS の時に作った Cookie が HTTP の時に見ることができてしまい、盗聴されることに繋がりますね。 expires 属性って何 クッキーの有効期限を指定するものなんですが、指定しなければブラウザを閉じたときは Cookie は破棄になるんですが、有効期限を指定した場合に危険があるみたいです。 この属性が指定されていなければ,ブラウザを起動していないユーザーが被害に
■ 攻撃者視点ではなく開発者視点での解説を 8月に@ITに「機密情報に合法的に近づけるWebアプリケーションを守れ」という記事が 出ていた。 タイトルからして意味がわからない。「合法的に近づける」とは何だ? 英文 の直訳か何かか? その連載第2回「多様化するWebアプリケーションへの攻撃」が今日掲載されたのだが、問題を正しく理解し ないまま書かれた記事と言わざるを得ない。例えば次のように書かれている。 この例では、「userid=-20298745283」がクエリストリング にあたる。クエリストリングはURL内に含まれているため、誰でも見ることが できる。従って、ユーザーのちょっとした出来心やいたずら(例えば 「この数字の最後を1つだけずらせばどうなるかなー?」) によって、脆弱性が露見することも多い。 この例であれば、誰が見ても明らかなように、「userid」のパラメー タがユーザー管理
生業として脆弱性検査をやっていない限り、Web サイトの脆弱性にぶち当たったりすることは、稀なことだとは思うんですよね。 自分も、ずいぶんと長いことコンピュータの仕事に関わってきましたけど、一ユーザとして脆弱性を見つけてしまったことは、後にも先にも以前書いた図書館システムの件だけだったりしますが…。 自分は、富士通のシステムが使われていた頃から、Web での図書の貸出予約が出来るように利用者登録をしていたので、新システム切り替わりと同時にパスワードを変更して使っていたわけですが、新システムに切り替わって 1 ヶ月になろうかという頃、利用者メニューにログインしているときに、ふといや~な予感が…。 [From セッション管理がダメダメな図書館システムを 3 年も前に見つけてしまった顛末 - Soukaku's HENA-CHOKO Blog] でもって、数日前に見かけた見かけた、こんな話。 学
「セッション管理」のすべて
Webにアクセスして買い物をしたり,銀行口座に振り込んだりするといったことは今や当たり前。こういった便利なWebサイトを陰で支えているのが「セッション管理」だ。Webサイトでの処理が複数画面をまたいだときにきちんと引き継がれるようにする。ときには,間違った使い方をしたユーザーをフォローし,ネット上の脅威からユーザーを守る。Webアプリを実現するうえでネットワークに必須の「セッション管理」のすべてを理解しよう。 プロローグ [「セッション管理」って何だろう] 処理のつながりと状態を管理,Webアプリに必須のしくみ ステップ1 [基本のしくみ] Webブラウザに情報を預けて,アクセス時に送信させる ステップ2 [セキュリティ対策] セッションIDを暗号化,URL埋め込みは危険 ステップ3 [携帯電話のWebアクセス] パソコンとは異なるしくみ,URLの利用が一般的
TL;DR RDS の メジャーバージョンアップグレード を行なった PostgreSQL 11.6 -> 15.5 MySQL 5.7.44 -> 8.0.36 PostgreSQL は AWS CDK を利用した、自前での手動切り替えをベースにした Blue/Green デプロイによるアップグレードを行なった MySQL は AWS コンソールから AWSが提供している機能である RDS Blue/Green Deployments による MySQL のアップグレードを行なった nginx の ngx_http_proxy_module を活用してサービスのダウンタイムを防止した はじめに 初めまして。株式会社ジーニーの GENIEE CHAT開発チームのマネージャーを担当しています。 今回は、データベースのメジャーアップグレードを行った際の手順やポイントなどを書いていこうと思います
Screenを使う
注意: Screenでは、ほとんどすべての機能呼び出しと、2ストロークキーの 関係がカスタマイズ可能です。2ストロークキーは、デフォルトでは C-a(CTRL + a)で始まりますが、emacsやtcshなどでは「行頭へ移動」のときに 頻繁に使いますので、多くのひとが変更しているでしょう。 他人様の設定ファイル(.screenrc)を貰ってくるときは注意しましょう。 「escape」という設定項目で設定できます。ちなみに、わたしは C-tにしています。ので、他のキーに設定しているひとは 適当に読みかえてください。 で、Infoにならって、 以後は「C-?」というのを「^?」という表現にします。 はじめに ...古い「はじめに」はこちらに移動しました。 もくじ 基本操作など セッション管理(リアルタイム版) セッション管理(解説) 応用例 その他 おまけ w3m-imgをscreenに対応さ
セッション HTTPでは、WebブラウザとWebサーバが次のようにして通信します。 WebブラウザとWebサーバが接続される Webブラウザが要求を出す Webサーバが応答を返す 接続を切断する この一連の流れを「セッション」と言います。あるセッションと別のセッションとは、基本的には無関係です。 ところが、これでは困る場合があります。例えば、インターネット上のショッピングサイトで、「商品Aを購入」というボタンをクリックしたとします。これをセッションAとしましょう。続けて、「商品Bを購入」というボタンをクリックしたとします。これをセッションBとしましょう。このユーザは商品Aと商品Bを購入したいわけですね。しかし、Webサーバにとっては、セッションAとセッションBは無関係です。つまり、「商品Aを購入」ボタンを押したユーザと「商品Bを購入」ボタンを押したユーザとは無関係ということになります。これ
星野君の趣味の1つであるFlashゲーム制作。ところが自作ゲームに欠陥があり、全面的な修正が必要なことが発覚した。月曜日、思いっきりブルーな状態で出社してくると、Web管理システムに新たなトラブル発生? 町田さん 「ねえ、星野君」 星野君 「あ、町田さん。どうかしたんですか?」 町田さん 「Web管理ツールって、何かいじった?」 星野君 「え……、特に何もしてないですけど……。何か変ですか?」 町田さん 「まあ、いいからちょっと来てよ」 ちょっと不機嫌そうな町田さん。星野君は、何か怒らせるようなことでもしでかしたのかとドキドキしながらついて行った。 町田さん 「これなんだけどさぁ。昨日まで使えてたのに、なんかログインできなくなっちゃったんだよね……。ほらっ」 星野君 「え、ちょっと貸してもらっていいですか?」 町田さんの使っていたWebブラウザを借りて試してみるが、確かにログインできない。
感想とかは後にしてとりあえず内容メモをUPしまする。 始まりの言葉(村田さん) 山本さん、山口さん、丸本さんありがとう 宴会は3時ごろに出欠の確認をします。 店は去年と同じところ yoheiさんどうぞ。 yoheiさん 導入 プレゼンツールはid:secondlifeさんのツールを勝手にパクッてカスタマイズして使ってます。ありがとう。 前置き 去年も言ったけど、RESTはアーキテクチャスタイル RESTをどう生かしていくかはまだまだ悩みどころで、みなさん苦労しているんではないでしょうか。 理解促進のために使える? WebアプリとWebサービスは分けないほうがいいんじゃないか? ウェブ戦略としての「ユーザエクスペリエンス」読んだ人いる? いねぇのかよ。 ハイパーメディアシステムの設計にはCool URI重要。 良いフレームワークだとCool URIの設計が楽チン。 データ重要。 アクセスでき
はじめに 今回はいよいよ、アプリケーションを作りながら、OpenIDの実践的な使い方を解説します。サンプルとして作成するアプリケーションは、ミニブログと呼ばれるつぶやきブログです。いわゆるTwitterクローンです。利用者はミニブログにログインして、一言つぶやきます。ブログの一種ですので、当然ユーザ認証が必要になります。普通はパスワードを用いた認証が一般的ですが、今回はOpenIDを用いてユーザを認証するようにアプリケーションを作成していきます。 さて、認証と簡単に言いましたが、認証に必要となる機能をもう少し具体的に列挙してみましょう。 ユーザ登録 サービスを利用するために必要な情報(IDやメールアドレスなど)を利用者に入力してもらい、データベースへ登録する。 ログイン(認証) 利用者が入力した認証情報(パスワードなど)を元に利用者を認証し、ログインの可否を判定する。ログインに成功した利用
Explaining the OAuth Session Fixation Attackという文章が興味深いものだったので翻訳してみた。何か解決策を思いついた人はOAuthのメーリングリストに送ってあげると良いと思う。って僕は参加してもいないのだけど。あと誤訳とかはコメントしてもらえれば対応します。ワタクシ実のところOAuthなんて使ったこともなかったりして。 (原文はリンク先にもある通り、Eran Hammer-Lahav氏からcc-by 3.0 usで提供されている。) 追記: 日本でもニュースになっていた: http://www.atmarkit.co.jp/news/200904/23/oauth.html 追記2: 元記事の画像がアップデートされていたので、追従して更新 以下翻訳: 先週、われわれが発見して対応したOAuthのプロトコルセキュリティ問題には語るべきことが多くある。
前回はテスト工程の最初の段階である単体テストについてご紹介しました。単体テストの次は統合テスト(結合テスト)、システムテストと続いていきます。これらの工程でのテスト内容は、対象とするシステム形態やドメインによって異なってきます。 今回は、皆さんがユーザとして活用しているWebアプリケーションを対象に、統合テストやシステムテストで実施するテスト内容について紹介し、中でもアプリケーションの「機能」に着目したテストの観点について掘り下げて紹介します。 Webアプリケーションのテストの特徴 皆さんは普段の生活の中でもWebアプリケーションを利用する機会が多いと思います。情報ポータルサイト、検索サイト、オンラインショッピング、オンラインバンキング、掲示板、ブログ、SNSなどさまざまなWebアプリケーションを使っていることでしょう。また最近は、パソコンだけでなく携帯電話からも実行できるアプリケーシ
お礼 先のエントリー(初心者プログラマーが簡単なフォームを作るときにやりがちな6つのミス)で、自分でもびっくりするくらいのブックマークを頂いた。この内容が参考になると思ってブックマークしてくれた人より、他の人にも紹介したいとか、よくあるよねといった共感に近い気持ちでブックマークしてくれた方が多かったのは、素直にうれしいしと思ったし、安心もした。 本題 ただ、何人の方から「確認画面でhiddenに入力値を埋め込むこと」に対して疑問を抱かれた。これに対して僕なりの解釈を付け加えておきたいと思う。 以下は、あくまでもフォームの話。 セッション管理されたシステム内におけるなんらかの書き込みシステムでは、話が全く変わってくることにご注意を。 結論から言うと「確認画面でhiddenに入力値を埋め込むこと」はセキュリティ的には問題ない。 (以下、この方法をhidden方式と呼ぶ) そもそも、セキュリティ
zombie.jsとは jsdomというnode製のDOMシミュレータがあります。これを使えば、ブラウザを使わずにDOMイベントを発行することができます。 zombie.jsはセッション管理とブラウザのアクションを管理するjsdomのラッパーです。 個人的には、Ajaxのテストは無理せずJavaScriptでやれとおもってるので、その点zombieは素直に動いてくれます。 利点 AjaxでDOMを書き換えたりするイベントもテストできる (qt-webkitと比較して) 無茶苦茶早い コンパイルが楽(というかQTは定期的に互換崩れてバイナリ壊れてる… 論よりコード サンプルをアップロードしてあります mizchi/zombie-tester-example https://github.com/mizchi/zombie-tester-example インストール等はReadme見てもらうと
早稲田大学で「アルゴリズムとデータ構造」の特別講義を行いました - freee Developers Hub
はじめまして。freee株式会社の浅羽です。普段はSREや情シス等のエンジニアリングマネージャーをしつつ、エンジニアの新卒採用も担当しております。 昨年の話になりますが、機会がありまして早稲田大学の清水先生が担当されている「アルゴリズムとデータ構造」の特別講義を2コマ(12/15, 22)させていただきました。 対象は情報系の大学2年生 C言語でアルゴリズムとデータ構造を学習 データベースの授業はまだ行われていない 一コマは90分 学生さんはマシンを持参して課題をその場で解くことが可能 資料や練習問題等を公開しましたので、せっかくなのでどういう内容の講義だったかを紹介したいと思います。 講義内容をどうするか? 当然ですが大学の先生が知識や教え方のプロです。1エンジニアがアルゴリズムとデータ構造の講義を普通にやっても、普段の講義のクオリティを超えるのは難しいと思いました。 一方でWebサービ
PHPで安全なセッション管理を実現する方法に対する高木さんのコメントへのフォロー - いしなお! (2006-11-20)
_ PHPで安全なセッション管理を実現する方法に対する高木さんのコメントへのフォロー 高木さんのはてなブックマークコメントに、 [セキュリティ][乱数][暗号][PHP][moderate] PHPはセッションID生成にsecureな擬似乱数生成系を使用していないようだ。さすがPHPらしい駄目っぷり。 とあって、そこから人がたくさん来ているらしいんで、ちょっとだけフォロー。PHPのセッションID生成は、 sprintf(buf, "%.15s%ld%ld%0.8f", remote_addr ? remote_addr : "", tv.tv_sec, (long int)tv.tv_usec, php_combined_lcg(TSRMLS_C) * 10); なんて感じで、マイクロ秒単位の現在時刻+ユーザーのリモートアドレス+combined-LCG(線形合同法による乱数2つを組み合
Next.js と Server-side Rendering をプロダクト環境で3年運用してきた知見と率直な所感 | MEDLEY Developer Portal
2024-07-23Next.js と Server-side Rendering をプロダクト環境で3年運用してきた知見と率直な所感こんにちは、医療プラットフォーム本部・プロダクト開発室・第1開発グループ所属の加藤です。 オンライン診療・オンライン服薬指導アプリ「CLINICS」の開発を担当しています。 今回は CLINICS で採用している Next.js と Server-side Rendering (SSR) についてお話ししたいと思います。 Next.js は昨今注目を集めている React ベースの Web フレームワークです。 これから Web フロントエンドの開発を始めるにあたって採用を検討している方も多いのではないでしょうか。 Next.js といえば React コンポーネントをサーバー上で実行して HTML を返す SSR に対応しているのが大きな特徴です。 SSR
GraphQLを最速でマスターするための意識改革3ヶ条 - ベルリンのITスタートアップで働くジャバ・ザ・ハットリの日記
GraphQLをサーバー側とクライアント側とで実装してみて得た意識すべきポイント3つについて。 ひとつのエンドポイント バージョン無し できるだけ薄く この3つを意識して実装するのとそれが無いのとでは実装スピードが何倍か違うと思う。特にREST脳な人の場合。 GraphQLは使い所さえあえばめちゃくちゃに有用で面白い。しかもGraphQLの公式サイトはとてもわかりやすく説明されている。その辺のブログ記事よりもよほど洗練されていて、技術に関してはここ以外に読む必要はほぼ無い。 しかしGraphQLを使いはじめた当初はなんか妙にコーディングが進まなかった所があった。その原因はずっとRESTfulでやってきたREST脳の意識からGraphQLへと変換できていなかったことだった。GraphQLとRESTは設計思想が異なるので、意識を変える必要がある。その意識さえ変えればGraphQLに難しいところ
高木浩光@自宅の日記 - ぜひ買いたいこの一冊(脆弱性コードレビュー練習用その1), JPCERT/CCの判断力も蝕む サニタイズ脳の恐怖
■ ぜひ買いたいこの一冊(脆弱性コードレビュー練習用その1) ジュンク堂本店の「PHP」コーナーで一番目に付く位置に飾られていた本を読 んでみた。 改訂新版 基礎PHP, 山田祥寛監修、 WINGSプロジェクト(本田将輝、山葉寿和、斉藤崇、森山絵美、渕幸雄、青島裕、山田奈美)著, インプレス, 2004年10月1日初版発行 2005年12月11日第1版第5刷発行 帯の宣伝文句はこうだ。 PHP5で作るWebアプリケーション 待望の改訂版登場! 最新機能まで踏み込んだ内容と、必要な環境を収録したCD-ROMで、着実に学ぶ 着実に……ですか。 最初の動くサンプルコードはこうなっている(p.72)。 <html> <head><title>hello_world.php</title></head> <body> <?php $var_str="Hello World"; print ($var
URLにタグを付けるやつ 8月頃からAmazon API Gateway, AWS Lambda, Electronと、徐々にJavaScriptを触る機会が増えてきて結構面白くなってきたので、サーバサイドでの開発も試してみようと思い、一昨日から暇を見つけて簡単なWebアプリをつくってみてる。いまは習作としてURLにタグを付けられるだけのサービスをつくってみてる。コメントとか無くて、タグで情報整理して互いの役に立つことだけでコミュニケーションする。どうしても会話したかったらタグで会話すれば良さそう。公共性のある徳の高いタグをつけた人には何らかの承認をしてあげたいけどまだ特にアイデアが無い。構造的には、ユーザ入力があるし、データは永続化する必要があるし、そこそこ検索も必要だし、キャッシュのしがいもあるし、ログイン機能があるのでセッション管理とかも考えられて、練習に丁度よい。 凝りすぎて進捗ダ
■ 暗黙的に形成する事実標準の話と回避策の話を混同してはいけない 「ぼくはまちちゃん」 ――知られざるCSRF攻撃, 上野宣, @IT, 2005月4月27日初版、2006年11月8日修正版 ●リファラーで発信元をチェック HTTPリクエストを受けたとき、そのリクエストがどこのWebページから発行されたものかを示すリファラー(REFERER)と呼ばれる情報を得ることができる。この情報を活用し、本来意図したWebページ以外からのリクエストを拒否することで、CSRFによる外部からのリクエストを防ぐことができる。 ただし、ユーザーがリファラー情報を出力しないブラウザを使っている場合、このチェックを導入すると正当な操作でも受け付けなくなってしまう。 懸念されるリファラー情報偽装に対する問題だが、以前はリファラー情報を発行するのは攻撃を踏んでしまった自分自身なので、リファラー情報を偽装する動機がなく
Dynamo: Amazonの高可用性Key-value Store.markdown Dynamo: Amazonの高可用性Key-value Store[和訳] 原題:Dynamo: Amazon’s Highly Available Key-value Store 原文: Amazon's Dynamo - All Things Distributed (PDF Version) This article is translated by @ono_matope. Please contact me if any problem. Giuseppe DeCandia, Deniz Hastorun, Madan Jampani, Gunavardhan Kakulapati, Avinash Lakshman, Alex Pilchin, Swaminathan Sivasubram
![Dynamo: Amazonの高可用性Key-value Store[和訳]](https://cdn-ak-scissors.b.st-hatena.com/image/square/1ef26f6cb4349557952890dbe3e567f7f98dc151/height=288;version=1;width=512/https%3A%2F%2Fgithub.githubassets.com%2Fassets%2Fgist-og-image-54fd7dc0713e.png)
DNSラウンドロビン - Wikipedia
DNSラウンドロビン (DNS round robin)とは、一つのドメイン名に複数のIPアドレスを割り当てる負荷分散技術の一つである。 概要[編集] トラフィック負荷を複数のIPアドレスに振り分けることにより、例えばHTTPサーバに対するアクセスをほぼ同量ずつ複数のサーバマシンに分配することができる。これはBIND等DNSサーバのゾーン設定により容易に実現できる負荷分散方式である。 アクセス数に応じた負荷分散のほか、通信量、サーバの負荷(CPUやメモリの使用率)、応答時間で負荷分散をすることができる。 後述するような問題点があることに加え、主にIPv6における宛先アドレス選択アルゴリズムとして定義された「RFC3484」では、DNSが同一サーバ名に対し複数のIPアドレスを持つ場合に「自分のアドレスに近いアドレスを優先的に選択する」ことを定めており[1]、Windows Vistaなどマイ
REST APIの概要 ★REST APIとは RESTful API(REST API)とは、Webシステムを外部から利用するためのプログラムの呼び出し規約(API)の種類の一つで、RESTと呼ばれる設計原則に従って策定されたもの。RESTそのものは適用範囲の広い抽象的なモデルだが、一般的にはRESTの考え方をWeb APIに適用したものをRESTful APIと呼んでいる。 RESTful APIでは、URL/URIですべてのリソースを一意に識別し、セッション管理や状態管理などを行わない(ステートレス)。同じURLに対する呼び出しには常に同じ結果が返されることが期待される。 また、リソースの操作はHTTPメソッドによって指定(取得ならGETメソッド、書き込みならPOSTメソッド)され、結果はXMLやHTML、JSONなどで返される。また、処理結果はHTTPステータスコードで通知するとい
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
はてな認証API - ヘルプ - はてな認証APIの使い方
GenEPUB.com テキストから電子書籍EPUBを生成する変換サービス #GenEPUB
authorization_code_flow
そろそろWAFに関して一言いっとくか~三重苦を乗り越えてWAFが普及するための条件とは~
「40代を過ぎると一気に景色が変わる」 サイボウズの20年選手が語る、“スペシャリスト”で生きるという現実
属性型JPドメインと地域型JPドメインに対するCookie Monster Bug調査
JavaScriptのみ!Meteorで作る簡単リアルタイムWebアプリ
次世代Webカンファレンス「HTTP2」レポート #nextwebconf | DevelopersIO
【初心者向け】現代 (2018年11月時点)のフロントエンド開発について - Qiita
SSL/SPDYを攻撃するCRIMEはBEASTの正統な後継者だ
経路のセキュリティと同時にセキュアなセッション管理を:IPA 独立行政法人 情報処理推進機構
lua-nginx-module を使いこなす - Qiita
SSL で暗号化しても Cookie で secure 属性を指定しないと盗聴される可能性があるかもしれない
高木浩光@自宅の日記 - 攻撃者視点ではなく開発者視点での解説を
学校では教えてくれない、脆弱性発見時の対応のこと
Blue/Green デプロイを使用した、RDS MySQL/PostgreSQLのアップグレード
JavaによるWebアプリケーション入門
Cookie Monster襲来! 戦え、星野君 − @IT
第9回XML開発者の日に行ってきた - Clash Cymbal Concerto
第4回 Railsで作るOpenID対応アプリケーション実践(前編) | gihyo.jp
OAuthのセッション固定攻撃について(翻訳) - ものがたり(旧)
第6回 Webアプリケーションのテスト | gihyo.jp
確認画面でhiddenに入力値を埋め込むのはセキュリティ的にダメか? | ブログが続かないわけ
クライアントのテストはzombie.jsでいいんじゃないか - mizchi log
Node.jsでWebアプリ開発体験してる - ✘╹◡╹✘
高木浩光@自宅の日記 - 暗黙的に形成する事実標準の話と回避策の話を混同してはいけない
Dynamo: Amazonの高可用性Key-value Store[和訳]
0からREST APIについて調べてみた - Qiita