ゴールデンウィークのはじめ(4月29日)に投稿された以下のツイートですが、5月7日20時において、1,938.8万件の表示ということで、非常に注目されていることが分かります。 我が名はアシタカ!スタバのFreeWi-Fiを使いながら会社の機密情報を扱う仕事をしてたら全部抜かれた。どうすればよい! pic.twitter.com/e26L1Bj32Z — スタバでMacを開くエンジニア (@MacopeninSUTABA) April 29, 2023 これに対して、私は以下のようにツイートしましたが、 これ入社試験の問題にしようかな。『スタバのFreeWi-Fiを使いながら会社の機密情報を扱う仕事をしてたら全部抜かれた』と言う事象に至る現実的にありえる脅威を説明せよ。結構難しいと思いますよ。 https://t.co/LH21zphCTV — 徳丸 浩 (@ockeghem) April
はじめに Web技術は日進月歩で新しい技術が増えているが、実務でそれらすべてを触る機会はない。そこで、今回の記事では2023年下半期に赤の他人に勧めたいWeb技術を個人の独断と偏見で解説する。 対象者 これから何をすればいいのかわからないプログラマー 新しい技術に興味があるひと スキルセットを拡大したいひと タイトルでなんとなく気になったひと フレームワーク FastAPI FastAPIはPythonでAPIを開発するために開発された軽量のWebフレームワークだ。FastAPIでは、主に以下の特徴がある。 Node.jsやGo言語に匹敵する高速なアプリケーションを開発できる 構造が簡単(Flaskの影響を受けている) Pythonに型定義を含められる 環境構築がコマンド一つで終了する 非同期処理を簡単に実装できる Pythonで開発されているので、機械学習との相性が抜群 RESTとGra
【バックエンド】駆け出しエンジニアが目指すジュニアレベルのエンジニアとは【2024年版】 - Qiita
はじめに こんにちは。 普段はフロントエンドの開発をメインでやっておりますmamiと申します。 最近バックエンドの方の勉強や、少しずつですがDB設計やAPI作成などの業務もやらせてもらえるようになったので、自分のエンジニアとしてのレベル感や、この先目指すべき道筋を明確にしたいな〜という思いでこの記事を書いております。 これは自分のための記事であると同時に、同じように駆け出し中のエンジニアさんや、ミドル層を目指す手前のエンジニアさんにも刺さる内容になっているかと思います。 今、自分がどのようにキャリアアップしていくべきなのか、どのような道筋でスキルを磨いていけばいいのか。そんなふうに悩んでいる方は是非読んでみてください。 ※内容はバックエンドエンジニアが対象になりますが、フロントエンドの方もなにか通じるものがある…かもしれません。 ちなみにですがフロントエンドの方の記事は下記で執筆しています
安全なウェブサイトの作り方を読んだので、理解した内容を自分なりにまとめておきます。資料 上記は3章構成になっていてそれぞれ長めの内容なので、ここでは3章の『失敗例』について、Ruby on Rails ではどうするかについてをまとめます。 SQL インジェクション OS コマンドインジェクション パス名パラメータの未チェック例(ディレクトリトラバーサル) 不適切なセッション管理例(セッション ID の推測) クロスサイト・スクリプティングの例(エスケープ処理) CSRFの例 HTTP ヘッダ・インジェクションの例 メールヘッダ・インジェクションの例 参考 SQL インジェクション 参考資料内の SQL インジェクション例を見て、Ruby on Rails ではどのように対策できるかを確認しました。 例えば、下記ような $uid, $pass をユーザ入力とし、SQL 文を動的に生成する場合
個人的Rails開発環境構築2024
新規でRailsプロジェクトを始める時の個人的な環境構築についてまとめる。前提とする条件等は下記。 規模: ~中規模 開発者数: 個人 利用シーン: PoC作成・スタートアップ立ち上げ・並の業務アプリ開発等 基本戦略 利用シーン的に「思い立ったらすぐアプリの開発ができる」という感じの運用がしたい。極力セットアップで悩みたくないから必要なミドルウェアなどは全部Dockerでインストールできるようにして立ち上げれば終わり、の環境を作る。その環境の中で色々とコマンドを叩いたり、rails newやrails gなどでRailsアプリを作成していく。 この辺のRailsの初期セットアップの手間を出来るだけ省きたいのでtemplateとなるリポジトリを作成し、そこからcloneしてくるだけでOKにする。 フロントエンドはReactなどを使わずをRails標準のerbとHotwireを軸に開発する。開
【個人開発】最新のNext.js+NextAuth.js+prisma+microCMSでECサイト作ってみた【フルスタックアプリケーション】 - Qiita
【個人開発】最新のNext.js+NextAuth.js+prisma+microCMSでECサイト作ってみた【フルスタックアプリケーション】TypeScriptフロントエンド個人開発Next.jsprisma はじめに 皆さんこんにちは、mamiなのだ! 今回はバックエンドは作らずにNextAuth.jsやprisma、microCMSなどを利用してNext.jsでECサイトを作成してみたので、その方法や手順などを公開しつつ、認証周りや大型開発案件でも採用されるstorybookなどについても解説していこうと思うのだ! フロントを勉強し始めた初学者さんや、フロントがメインではないバックエンドエンジニアの方に向けて、丁寧に解説を挟みながら書いていくので「へ〜フロントってこんな感じのことやってるんだ〜」と思ってくれたら嬉しいのだ! ちなみにこの記事は丁寧に解説しすぎて死ぬほど長くなってしまっ
Cloudflare、ヘッドレスブラウザ「Browser Rendering API」正式リリース。Puppeteerライブラリも提供開始
Cloudflare、ヘッドレスブラウザ「Browser Rendering API」正式リリース。Puppeteerライブラリも提供開始 Cloudflareは、同社のサーバレス基盤であるCloudflare Workersを通じてヘッドレスブラウザを操作できる「Browser Rendering API」の正式サービス化を発表しました。 これまではBrowser Rendering APIはオープンベータとして提供されていました。 Good morning! We'll keep it short: Browser Rendering API is now available to all paid Workers customers with improved session management. https://t.co/TP2W2KtgOx #DeveloperWeek — C
普段使わないけど便利なWeb API 8選
MDNのWeb APIリストから、便利で、しかし普段のサービス開発ではあまり使われていない可能性のあるAPIを8個選びご紹介します。これらのAPIはあまり知られていないかもしれませんが、特定の状況や要件に対して非常に有効であることがあります。 Beacon API Beacon APIは、非同期でブロッキングしないリクエストをWebサーバーに送信するために使用されます。このリクエストはレスポンスを期待しないため、XMLHttpRequestやFetch APIを使ったリクエストとは異なりページがアンロード(ウェブページがユーザーによって閉じられるか、別のページに移動する際)される前にブラウザがビーコンリクエストを開始し、それを完了させることを保証します。 主な使用例としては、クライアント側のイベントやセッションデータをサーバーに送信するために使用されます。このAPIは、navigator.
なんかいけそうな気がしたので Code Interpreter でシュッと Web アプリつくってもろた|bbz
ちゃっす(/・ω・)/ 今日も ChatGPT Code Interpreter さんと戯れていましたの。 で、タイトルの通りなのだけれど、仕様書書いて渡したら Web アプリシュッと作ってくれんじゃね?( ・ω・) という闇の遊戯をした。 という話。 目標実行や指示はすれどもワタクシは一切コードを書かぬ!! 普通にエラー修正とか自分でやった方が早いけどやらぬ!! 全てを ChatGPT への指示で完結する!! で、納品されたもの(/・ω・)/ 納品物 トップページ 登録画面 ログイン画面 Activity 一覧 Activity 修正 レポート画面 すごない?( ・ω・) やったこと~ChatGPT との対話を残すでござる( ・ω・) ※ ChatGPT Code Interpreter Plugin が使えないと同じ事はできないぞ☆ 仕様書を提供しますので、 仕様にそった Flask
ドラえも⚫︎で理解するCSRF はじめに ※コメントにて徳丸浩先生(@ockeghem)に間違いをいくつかご指摘頂き修正中です。 また、@rudorufu1981様よりブラウザの同一オリジンポリシーについての補足を頂いております。 ぜひ記事の下部、コメント欄までご覧頂きますようお願いいたします。 ご指摘や補足、本当に有難うございます。 【追記2023.12.2】 同一オリジンポリシーの補足についても徳丸先生のご見解コメントを頂いております。ぜひそちらもご確認下さい。 【追記2023.12.5】 ご指摘を受けて同一オリジンポリシーはCSRFと直接の関連はない事から、取り消し線にて削除致しました。 対象読者 ・HTTPの特性 ・セッション管理 ・ブラウザの同一オリジンポリシー ・CSRF(Cross-Site Request Forgeries) ⚫︎上記の言葉を聞いてイメージができない人 ⚫
Cookie Set-CookieはHTTPのレスポンスヘッダーで、サーバーからユーザーエージェントへクッキーを送信するために使われる。 また、ユーザーエージェントはサーバーに送り返すことができる。 そのため、HTTP サーバーが HTTP ユーザーエージェントに状態を保存するために使用することができる。 Cookieの利用目的 セッション管理 ログイン状態や買い物時のカートの状態など パーソナライズ トラッキング Set-CookieとCookieヘッダ HTTP の Set-Cookie レスポンスヘッダーは、サーバーがユーザーエージェントへ Cookie を送信するために使用します。 HTTP/2.0 200 OK Content-Type: text/html Set-Cookie: yummy_cookie=choco Set-Cookie: tasty_cookie=straw
TL;DR RDS の メジャーバージョンアップグレード を行なった PostgreSQL 11.6 -> 15.5 MySQL 5.7.44 -> 8.0.36 PostgreSQL は AWS CDK を利用した、自前での手動切り替えをベースにした Blue/Green デプロイによるアップグレードを行なった MySQL は AWS コンソールから AWSが提供している機能である RDS Blue/Green Deployments による MySQL のアップグレードを行なった nginx の ngx_http_proxy_module を活用してサービスのダウンタイムを防止した はじめに 初めまして。株式会社ジーニーの GENIEE CHAT開発チームのマネージャーを担当しています。 今回は、データベースのメジャーアップグレードを行った際の手順やポイントなどを書いていこうと思います
Remix + Cloudflare Workers + D1 + KV + Queue + R2 + DOで簡単なアプリを作る
Remix + Cloudflare Pages/WorkersをベースにD1とKVと組み合わせた構成で作るアプリの解説は巷に結構あるが、それらに加えてQueueやR2なども合わせた参照実装みたいなものが見当たらなかったので作った。 このアプリの機能は下記。 Googleアカウントを用いたOAuthログイン セッション管理にKV,ユーザー管理にD1を使う はてブのようなブックマーク機能(基本的なCRUD) URLとコメントを入力してD1へデータ登録できる URLの先のページからOGPを取得して登録 QueueのProducerとConsumerを使って非同期にタイトルと画像を取得 取得した画像はR2にアップロードする URLごとにブックマーク数を管理する Durable Object(DO)を使う。 Cron Trigger ついでに追加。アプリ的には不要だがせっかくなので設定だけしておく
株式会社MIXI 開発本部 MIXI M事業部の ritou です。 DroidKaigi 2023にてお話しさせていただきました。 資料も公開しました。 今回も発表内容全部書き出してみたをやってみます。 同時通訳ありだったので台本はできていて、この通り話せたら良いだけだったのですが実際はそううまくいかずに普通に時間なくなりました。 それではどうぞ。 これからパスキーに関するユースケースと、それに伴うユーザーエクスペリエンスの課題について発表します。 株式会社MIXIでエンジニアとして働いています。 MIXI MというサービスでID基盤の開発に携わっており、8月にパスキー対応を行いました。 その経験も踏まえて、今日はお話をさせていただきます。 また、OpenIDファウンデーションジャパンでエバンジェリストをしています。 今日はID連携とパスキーの関係についてもお話します。 この発表を通して
Real World HTTP 第3版
本書はHTTPに関する技術的な内容を一冊にまとめることを目的とした書籍です。HTTPが進化する道筋をたどりながら、ブラウザが内部で行っていること、サーバーとのやりとりの内容などについて、プロトコルの実例や実際の使用例などを交えながら紹介しています。さまざまな仕様や実例、またGoやJavaScriptによるコード例を紹介しながら、シンプルなHTTPアクセスやフォームの送信、キャッシュやクッキーのコントロール、SSL/TLS、Server-Sent Eventsなどの動作、また認証やメタデータ、CDNやセキュリティといったウェブ技術に関連する話題を幅広く紹介し、いま使われているHTTPという技術のリアルな姿を学びます。 第3版では、より初学者を意識した導入や、スーパーアプリなどプラットフォーム化するウェブに関する新章を追加。幅広く複雑なHTTPとウェブ技術に関する知識を整理するのに役立ち、また
今回はRustを使って、簡単なHTTPサーバを実装してみましょう。HTTPは単純ですが生活インフラとしても必須となっているWebの根幹となる技術です。Rustに対する理解を深めると同時にWebの根幹となるHTTPについても学びましょう。 RustでHTTPを実装してみよう HTTPプロトコルとは? 「HTTP(Hypertext Transfer Protocol)」とは、WebサーバーとWebブラウザの間でデータをやりとりするための通信規則(プロトコル)です。 1990年末にイギリスの物理学者ティム・バーナーズ=リー氏と、ロバート・カイリュー氏によって設計されました。 HTTPプロトコルは、RFCとして公に発表されています。RFCとは、IETFが発行しているインターネットに関連する技術仕様などを共有するために公開される文書であり誰でも読むことができます。1996年にHTTP/1.0に関す
ritou です。 これについての話です。 この辺りずっとやってると「認証認可について詳しくなりたいです!」「OIDCに興味があります!」みたいなところから「何をやればいいですか!?」みたいなことを聞かれたりします。(やりたいことやればいいじゃんと思いつつ) 昔は 年に一回ぐらいIdPを作りましょう なんて言っていた時期がありますが、まぁそう簡単にできるものでもありません。ふじえさんの記事をdisっているわけではないですが、OIDCのところから始めても他にやることが多すぎて結構つらいのです。 何から始めたら良いか 現状のおすすめとしては、 Webアプリケーションフレームワークを使って単一アプリケーションを動かして、既存コードを追ったり拡張できるならやってみて色々細かい部分を理解するところから始めましょうというところです。 なんと、ひと昔前にQiitaに溢れたようなやり方ですが どのフレーム
こんにちは、LayerX CTOの@y_matsuwitterです。最近はパン作りにハマっています。無心に小麦と酵母の声を聞くことで精神の安寧を求めています。 この記事は LayerXテックアドカレ2023 19日目の記事です。前回は @shota_tech が「Go の linter 雰囲気で使っていたから調べ直した #LayerXテックアドカレ」を書いてくれました。次回はEMオフィスの@serimaより「Engineering Officeの話」がポストされる予定なのでご期待ください。 ISUCON13 昨日開催のISUCONに参加してきました。とても楽しい問題ですし、これだけの人数での開催を支えている運営の皆さんには頭が上がりません。個人でもLayerXとしてもスポンサーさせていただきました。ありがとうございます! 10年近く一緒に出場している.datというチームで、私はプロンプトを
23新卒エンジニアがチーム開発研修で学んだこと - Cybozu Inside Out | サイボウズエンジニアのブログ
こんにちは! 2023年新卒エンジニアの伴野・谷・和渕です。 サイボウズでは、2023年エンジニア新人研修の集大成として、チームに分かれてソフトウェア開発を行う実践演習が行われました。この記事では、各チームがどんな成果物を作成したのかを、チームごとにご紹介したいと思います。 エンジニア新人研修全体については以下の記事で詳しく紹介されています。ぜひそちらもご覧ください。 blog.cybozu.io 概要 実践演習では3チーム(「チーム gogo!」・「明日から」・「TEMBIN」)に分かれ、それぞれ一つのソフトウェアを2週間で開発しました。「サイボウズ流チーム開発を新メンバーだけで実践できた」「未知見の課題に対してどう行動すればよいか考えるきっかけになった」というコンセプトのもと、自由な発想で取り組みました。 チーム gogo! チーム gogo! では、演習開始時に Mastodon や
おはようございます 自称パスキー👮♂です。 様々なサービスでパスキー対応が進む中で、今回は特定機能の保護を目的とした導入とユーザーへの影響について取り上げます。 きっかけ ここ最近、🚔パスキーに関するパトロール🚔をしている中で、メルカリのパスキー導入についてこんなTweetを見つけました。 まずは1つ目です。 機種変更をしたら、メルカリのビットコインで取り引きできなくなってしまった。 ヘルプとかみて、認証情報を追加するとよさげなことが書いてあったので、試して見たけど、パスキーがないといわれて、登録することができない。つんだ。 事務局に問い合わせ中。#メルカリ #ビットコイン #パスキー pic.twitter.com/NoEKo8Hn5l— よっしー🖊 (@GateYossi) 2023年6月26日 新しいパスキーを追加しようと思ったがパスキーがない。 事務局で認証情報をクリアし
論文DynamoDB 2022に関するいくつかのメモ
PingCAPはエンタープライズ向けのソフトウェアサービスプロバイダーとして2015年に設立され、オープンソースでクラウドネイティブなワンストップのデータベースソリューションを提供することにコミットしています。PingCAPの代表的なプロジェクトであるTiDBは、オープンソースの分散型ハイブリッド・トランザクション/分析処理(HTAP)データベースで、水平方向の拡張性、強力な一貫性、MySQLとの互換性を備えた高い可用性を特徴としています。 ※このブログは2022年8月12日に公開された英語ブログ「Some Notes on the DynamoDB 2022 Paper」の拙訳です。 著者: Ed Huang (PingCAP共同創設者兼CTO) 編集者: Fendy Feng, Tom Dewan DynamoDBが論文を発表してから長い時間が経ちました。数日前、私はその新しく出版され
Remixで個人開発をしたので技術スタックを紹介
しおりモ! まずは開発しているサービスの紹介をします。 「しおりモ!」は本に関するメモをいい感じ(当社比)に記録するためのサービスです。元々読書中に気に入ったセリフや後から読み直したい箇所を手帳や他のサービスにメモしていました。しかし、あとで見返すときにどの本のどのページか分かりづらい/検索がしづらかったので、自分が使いやすいサービスを開発することにしました。一応本についてのメモとは謳っているものの、通常のメモ帳サービスとしても使えるはずです。 まだ初期機能(メモの追加、編集、削除と検索)の実装が終わった段階です。これからも細かい機能追加を色々したいとは思っています。ただ、とりあえず自分で使う分には最低限のところは終わったので、あとはのんびりやっていくつもりです。SEO対策とかOGPの設定はしていません。 よかったら使ってみてください。 メモの作成 メモの検索 メモの編集 Remix せっ
★ 224ページ / B5サイズ / 電子版はPDF(フルカラー) ★ 紙の本の販売は、11月12日オフライン開催時のみ(表紙カラー、本文モノクロ) ★ 佐藤祥子( https://twitter.com/satoshoco )・櫛井優介( https://twitter.com/941 )著 技術カンファレンスのマスターガイド:企画から運営までの完全手引き ー 20名の技術イベントから1,000名以上の大型カンファレンスまで対応 ー 本書は、技術カンファレンスを中心としたイベント運営の具体的なステップやヒントを、実体験を交えて詳しく解説しています。 イベント運営の初心者から経験者まで、この書籍を通じて、効果的にイベントを開催する方法を学ぶことができます。 また、カンファレンス運営には「全体をまとめて進める人」の役割が重要であり、その役割のノウハウやコミュニケーション方法も具体的な事例を交
はじめに 今フロントエンド/バックエンドの垣根を超えて巷を賑わせている T3 Stack について調べてみました。要素技術一つ一つが濃密なので、本記事ではあまり深入りはしませんが、「それらがどういう旨みを持ってT3 Stackを成しているのか」、「少し動かしたことがあるよ」と読み終わる頃には人に説明できるようまとめてみました。 キーワードは full-stack typesafety(フルスタックな型安全) です。📝 T3 Stack T3 Stack とは、Theo 氏によって提唱された Web 開発技術スタックで、以下の思想に焦点を当てています。 simplicity(シンプルさ) modularity(モジュール性) full-stack typesafety(フルスタックな型安全) The “T3 Stack” is a web development stack made by
個人情報とプライバシーの保護に役立つセキュリティ対策とAIを悪用するハッカーへの対策 | 初心者向けアドバイス - deve.K's Programming Primer - プログラミング初心者のための入門ブログ
SNS活動とプライバシー保護:写真交換とメタデータの注意点 セキュリティ対策 一般のユーザーに向けた対策 ソフトウェア開発者向けの対策 攻撃手法や脅威について AIはサイバーセキュリティを侵害するのか? AIを使用した新たな攻撃手法 最後に この記事では、セキュリティに関心のある人々にとって重要な情報を提供し、セキュリティやプライバシーの保護に役立つ知識と対策方法を紹介します。 さらに、ハッカーがAIを利用して攻撃を行う方法についても探ってみましょう。 現代のデジタル時代において、セキュリティの重要性はますます高まっています。 個人情報や機密データの保護は切迫した課題であり、特に開発者やプログラマーにとっては重要なテーマです。 個人情報やクライアントのデータは、悪意のある第三者に漏洩する可能性があるため、適切に保護する必要があります。 開発者やプログラマーは、暗号化技術やセキュアな通信プロ
以下のAtermシリーズ製品のすべてのバージョンが本脆弱性の影響を受けます。 CR2500P MR01LN MR02LN W300P W1200EX(-MS) WF300HP WF300HP2 WF800HP WF1200HP WF1200HP2 WG300HP WG600HP WG1200HP WG1200HP2 WG1200HP3 WG1200HS WG1200HS2 WG1200HS3 WG1400HP WG1800HP WG1800HP2 WG1800HP3 WG1800HP4 WG1810HP(JE) WG1810HP(MF) WG1900HP WG1900HP2 WG2200HP WM3400RN WM3450RN WM3500R WM3600R WM3800R WR1200H WR4100N WR4500N WR6600H WR6650S WR6670S WR7800H WR
ritouです。 某イベントのこの辺で出てくる質問に回答してみました。 Q. SAMLとの違い A. OAuthとは目的/用途が異なる。OIDCとの比較では、SAMLをモダンにしたのがOIDCという認識でおk。XML->JSON, XML Signature->JWTみたいな仕様の違いがある。あとはOIDCはSPAやモバイルアプリ、Verifiable Credentialsといった世の中の動向に追従して現在進行形で拡張仕様やプロファイル、ベストプラクティスの策定が進められている。 Q. 言葉の定義 A. 英語では決まっている。日本語に変換するときにおかしくなったり、IDaaSなどでOIDCをそのまま適用していない場合などで用語の混乱が起こりうる。 Q. 人間が介在しない認証フローではImplicit?非推奨? A. おそらくClientCredentialsの方が適している Q. Con
Elastic Load Balancing(ELB) ☘️ はじめに 本ページは、AWS に関する個人の勉強および勉強会で使用することを目的に、AWS ドキュメントなどを参照し作成しておりますが、記載の誤り等が含まれる場合がございます。 最新の情報については、AWS 公式ドキュメントをご参照ください。 👀 Contents Elastic Load Balancing(ELB) ☘️ はじめに 👀 Contents ELB とは ELB の基本 ELB の種類 CLB:Classic Load Balancer ALB:Application Load Balancer NLB:Network Load Balancer GLB:Gateway Load Balancer ELB の料金 ロードバランサーキャパシティーユニット (LCU) とは サブネットに必要な CIDR スティッ
[Amazon Bedrock][LangChain] チャット会話履歴をセッション毎に記憶・保存する方法 | DevelopersIO
また、AWSのリージョンは「バージニア北部 (us-east-1)」を使用します。 (東京リージョンでは利用できるモデルが限られるため) 準備 Lambda関数の作成を始める前に、いくつか準備をします。 Bedrockの「モデル」を利用可能にする Bedrockマネジメントコンソールの「モデルアクセス」から、利用したい「モデル」へのアクセスを有効化しておきます。 Lambdaレイヤーの作成 Lambda関数の標準状態ではLangChainのPythonパッケージが含まれていないため、Lambdaレイヤーを使ってパッケージが利用できるようにします。 Lambdaレイヤーの作成と利用の方法は、下記ブログ記事を参考にしてください。 Lambda関数で使用するPythonと同じバージョンのPythonが使用できる環境で、LangChainのパッケージを含むzipファイルを作成します。 $ mkdi
![[Amazon Bedrock][LangChain] チャット会話履歴をセッション毎に記憶・保存する方法 | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/a80489873e9a00b01923977e61a5ac1f690ceac7/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2024%2F04%2Flangchain-bedrock-1200x630-1.png)
djangoとは? djangoは、pythonプログラミング言語でwebアプリケーションを開発するためのフレームワークです。シンプルで効率的な開発を可能にする機能やツールセットを提供し、高い生産性と堅牢性を実現することができます。djangoは、mtv(model-template-view)アーキテクチャを採用しており、データベースの操作からビジネスロジックの実装まで、モジュール化されたコンポーネントを提供しています。また、セキュリティ対策も充実しており、信頼性の高いwebアプリケーションを開発することができます。 djangoの特徴 djangoの特徴を以下に紹介します。 シンプルな設計: djangoはシンプルで明快な設計が特徴です。フレームワークのコード自体も読みやすく書きやすい設計になっており、開発者にとって生産性の向上に貢献します。 生産性の向上: djangoは再利用可能な
Google Cloud Enterprise SearchとRetrieveReadCompose方式RAGを利用して社内公式情報を全部質問できるようにしてみた | DevelopersIO
取り出したドキュメントから質問に関連する情報を取り出すステップです。通常のRAGではこのステップがありません。今回の方式では、Retrieveで取り出した個々のドキュメントに対して、それぞれ情報を抽出する処理を実行するようにしました。(なので、取り出されたドキュメントの個数分だけ、この処理が繰り返し実行されます) 取り出した情報をもとに、質問に対する回答を生成するステップです。通常のRAGでは、取り出したドキュメントを、そのまますべて含めて回答を生成するためのプロンプトに入れ込んで生成します。今回の方式では、Readで取り出した情報のみをプロンプトに入れ込む点が異なります。 狙い 個々にドキュメントをReadしてからComposeすることで、情報抽出の機能と回答生成の機能を分けることができるため、以下の点がメリットになることを期待してこの方式にしました。 必要な情報が取り出されやすい 回答
個人開発を何度もしてきて、何一つとしてリリースしてない私が考えてみました。 リリースしないというセキュリティ担保では、やはり駄目だろう、と。 駄目なんだろうな、と思い、自分なりに整理してみました。 個人的な結論 結論から話せ、と世の中がいうので結論から言います。 OIDCの処理はバックエンドで行えるならバックエンドで行う ブラウザから利用するWebシステムならCookieを使えば良い せっかくだしcookieにはJWTを入れておけばいい 個人的にはこんな感じでいいんじゃないかと思いました。 理由はここから先に記載します。興味があったら見てください。 セキュリティは難しいし、得意じゃないのでご指導ご鞭撻は優しくしてください。(祈り) OIDCの処理はどこに置くのがいいのか OIDC自体はブラウザで結果を受け取ることも、サーバで受け取ることも可能です。 ということは、まずそもそもどこで完結させ
[速習] ドメイン駆動設計(DDD) 第1回 ソフトウェアのプロフェッショナルへの道 (レイヤードアーキテクチャと依存性の逆転/境界づけられたコンテキスト) - Qiita
[速習] ドメイン駆動設計(DDD) 第1回 ソフトウェアのプロフェッショナルへの道 (レイヤードアーキテクチャと依存性の逆転/境界づけられたコンテキスト)Java初心者DDDドメイン駆動設計レイヤードアーキテクチャ 前回の記事では、GPT-4 32kを用いたドメイン駆動設計(DDD)の新しい設計手法について説明しました。GPT-4 32kの大規模なコンテキストサイズを活用することで、複雑なタスクも無理なく実行でき、設計プロセスの効率化を大いに進めることができました。また、設計と実装の間のギャップを最小限に抑えることができ、開発者はドメインの複雑さを容易に理解し、それを反映した設計を効率的に行うことができました。これにより、新たな開発体験が実現しました。 今回は、前回の記事とは別に、ドメイン駆動設計(DDD)の具体的な概念と実装について掘り下げていきます。 ドメイン駆動設計 ソフトウェア開
![[速習] ドメイン駆動設計(DDD) 第1回 ソフトウェアのプロフェッショナルへの道 (レイヤードアーキテクチャと依存性の逆転/境界づけられたコンテキスト) - Qiita](https://cdn-ak-scissors.b.st-hatena.com/image/square/cc753503f36a4ee188094c5e18cf8e4b7a5fdf7b/height=288;version=1;width=512/https%3A%2F%2Fqiita-user-contents.imgix.net%2Fhttps%253A%252F%252Fcdn.qiita.com%252Fassets%252Fpublic%252Farticle-ogp-background-9f5428127621718a910c8b63951390ad.png%3Fixlib%3Drb-4.0.0%26w%3D1200%26mark64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-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%26mark-x%3D142%26mark-y%3D112%26blend64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZ3PTcxNiZ0eHQ9JTQwU2hpZ2Vtb3JpTWFzYXRvJnR4dC1jb2xvcj0lMjMyMTIxMjEmdHh0LWZvbnQ9SGlyYWdpbm8lMjBTYW5zJTIwVzYmdHh0LXNpemU9MzImdHh0LWFsaWduPWxlZnQlMkN0b3Amcz05Zjk5ZDUyNjY3NGRiZjE0MWQ4MTcyOGExM2RkNTAyZg%26blend-x%3D142%26blend-y%3D491%26blend-mode%3Dnormal%26s%3Dc3f7abe58825757b7c2e463423fca32f)
こんにちは、最近 30 MINUTES SISTERS にはまっている、SRE Gの渡邉です。今回で2回目になります。 昨今、AWSのコスト削減が流行っていたりするみたいですが、弊社も時流に遅れることなく?AWSのコスト削減を行ったので、その話を何回かにわけて書いていきたいと思います。 まずは成果から 絶対値はあれなので、数字はないですが、どん AWSのコストエクスプローラー、償却コスト、サービス別より 5月から12月で、およそ 45% の削減となっております。ってタイトルに既に書いていましたね。 なお、Reserved InstancesやSavings Plansで2、3月に期限が切れるものがあるので、更に削減がされることが想定されています。 はじまり 春の終わり頃に、本部長からコスト削減の話がでてきました。 まぁ暗号資産の相場はわかっているし、公表されている決算の数字だってもちろん理
CSRF攻撃の仕組みと対策
脆弱性が蔓延し、絶えず増え続ける今日、ユーザーのセキュリティとプライバシーの保護は、これまで以上に重要視されています。脆弱性を見過ごせば、評価が失墜したり、高額な制裁金を科されたり、顧客や訪問者からの信頼を失ったりする可能性が高まります。 ウェブサイトやウェブアプリケーションは、常にマルウェアやスパムなどの攻撃の危険に晒されています。今回は、そんな攻撃の1つであるCSRF(クロスサイトリクエストフォージェリ)に焦点を当てます。CSRF攻撃は、気づかない間に発生する可能性があり、特に問題視されています。また悪意のある要求は正しい要求と区別が難しく、開発者やサイト運営者が発見しづらいというのも厄介です。 この記事で、CSRF攻撃の概要と仕組み、そして対策について学びましょう。 CSRF攻撃について動画での解説もご用意しています。 CSRF攻撃とは クロスサイトリクエストフォージェリは、略してC
GaugeとPlaywrightをGitHub Actionsで実行する際に工夫していること - コドモン Product Team Blog
こんにちは!プロダクト開発部の関根です。 飛行機好きの息子のために飛行機が見られるお出かけスポットやいい感じのYouTube動画を探す毎日です。 さて、コドモンではATDDでソフトウェアを開発しており、E2EテストのツールとしてGaugeやPlaywrightを利用しています。 今回は、E2EテストをCI基盤であるGitHub Actions上でも動作させるために工夫していることをいくつか紹介したいと思います。 CI環境におけるE2Eテストの流れ GitHub Actionsを用いたE2Eテストの実行プロセスは以下の通りです。 Workflowが開始されると、最初にk8s環境へのデプロイ用コンテナイメージのビルドが行われます。続いて、Self-hosted Runnerを使用してk8sリソースを構築し、ヘルスチェックが完了するのを待ちます。その後、GaugeによってE2Eテストを実行し、テ
実演動画あり!CORS設定の不備によって起きる問題とは | クラウド型Webセキュリティ診断ツール - Securify
CORSとは? CORSとは、オリジン間リソース共有(Cross-Origin Resource Sharing)の略称で、異なるオリジン間でデータや画像、およびスクリプトファイルなどを共有する仕組みです。なお、CORSはオリジン(Origin)単位でコントロールします。このオリジンはURLやドメイン名と混合しやすいため、間違えて解説などに使われているケースがありますが、正しくは以下の通りとなります。 URL scheme://host:port/path/file Origin scheme://host:port URLはリソースの位置を表すため、該当ファイルのパス名までを含みますが、オリジンは通信ルールおよびホスト名(インターネット上に公開している場合はドメイン名)とポート番号までの組み合わせを単位とします。 また、CORSでは基本的に同一のオリジンか、そうでないかの差異によってコン
こんにちは。 本日はNext.jsでクッキーを使用したセッション管理を実践してみたいと思います。 なお、認証に関連するセッションについては、各認証サービスの公式ドキュメントを参照してください。 まずは、簡単にセッションの概念について説明します。 1.セッションとは?PHPやRubyなどのサーバーサイド言語を扱う場合、セッション管理は当たり前のように行われることです。 セッションは、サーバー側にデータを保存する仕組みです。 簡単に言えば、サーバーがユーザーの情報や状態を記憶しておくためのものです。 しかし、セッションについて理解する前に、ステートについても説明したいと思います。 2.ステートレスとステートフル● ステートレス ステートレスサーバーは、クライアントのセッション状態を保持せず、リクエストに対するレスポンスが一貫して同じです。 ● ステートフル ステートフルサーバーは、クライアント
はじめまして。エキスパート/lite 開発 の倉光と申します。 今回初の記事投稿として、私が日々愛用している tmux の紹介ができればと思います。 自己紹介 本編に入る前に、簡単に自己紹介をさせてください。 私は 2022 年 8 月にビザスクに入社し、気がついたら約 1 年ほど経っていました。 ビザスクに入社する以前は、インフラ系のメーカーで開発職として製品開発に従事していました。また、大学の出身学部も物理系であったため、 ビザスクに入社するまではプログラミングとは無縁のいわゆるエンジニア未経験として異業種異分野からジョインして、今は既存サービスの改善であったり、プロジェクトの開発に日々従事しています。 そして、テックブログって一体どんな内容を書けばいいんだ・・ネタが思い浮かばん・・と先延ばしにしていたら日々の開発に圧倒されているうちに丸 1 年経過していたことに驚き、遅ればせながら今
Nuxt3でセッションを使用したログイン認証機能を作る
はじめに Nuxt3も安定してきたのでクッキーを使ってセッション管理するログイン認証機能を作ってみます。必要最小限ですがDBを使用した本格的な認証機能です。 主な仕様 主な仕様は以下のとおりです。 Nuxt3がベース MongoDBによるユーザ情報(ログイン情報)の管理 Redisによるセッション情報の管理 動作環境 動作させるプラットフォームはWindows10です。WSL2も使用します。 デモでは以下のソフトウェアが必要です。 Node v16.0以上 MongoDB v6.0(WSL2にインストール) Redis v7.0(WSL2にインストール)
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
フリーWi-Fiを使ったら秘密情報を抜かれる経路にはどのようなものがあるか - Qiita
2023年下半期に他人に勧めたいWeb技術まとめ
安全なウェブサイトの作り方~失敗例~ - goruchan’s blog
ドラえも⚫︎で理解するCSRF - Qiita
CookieとWeb Storageの仕様を比較する
Blue/Green デプロイを使用した、RDS MySQL/PostgreSQLのアップグレード
DroidKaigi 2023にてパスキーについて話しました
Rustで有名アルゴリズムに挑戦(17) RustでHTTPサーバを実装してみよう
ID周りをやりたいエンジニアにすすめたい学習ステップ(1) : 単一アプリケーションとID管理
ISUCON13にLLM活用担当で参戦しました - LayerX エンジニアブログ
認証レベルの概念を取り入れたパスキー導入とユーザーへの影響 - r-weblife
技術カンファレンスのマスターガイド:企画から運営までの完全手引き:FUNCTION
【今さら聞けない?!】T3 Stack によるフルスタックWebアプリ開発 - Qiita
JVN#82074338: NEC Atermシリーズにおける複数の脆弱性
"仕様が読めるようになるOAuthとOpenID Connect入門"の質問への回答
【初心者向け】Elastic Load Balancing(ELB) 入門!完全ガイド
【django】pythonでwebアプリケーションを開発するためのフレームワーク - Qiita
OIDCを利用した個人的なWEBシステムで認証情報を何をもって維持するのか考えてみた
AWSのコストを45%削減した話 その1 - coincheck tech blog
Next.jsとUpstashでセッション管理をしてみる【Redis】|ryry_w
tmuxの知られざるパワフルな機能を紹介してみる - VisasQ Dev Blog