ゴールデンウィークのはじめ(4月29日)に投稿された以下のツイートですが、5月7日20時において、1,938.8万件の表示ということで、非常に注目されていることが分かります。 我が名はアシタカ!スタバのFreeWi-Fiを使いながら会社の機密情報を扱う仕事をしてたら全部抜かれた。どうすればよい! pic.twitter.com/e26L1Bj32Z — スタバでMacを開くエンジニア (@MacopeninSUTABA) April 29, 2023 これに対して、私は以下のようにツイートしましたが、 これ入社試験の問題にしようかな。『スタバのFreeWi-Fiを使いながら会社の機密情報を扱う仕事をしてたら全部抜かれた』と言う事象に至る現実的にありえる脅威を説明せよ。結構難しいと思いますよ。 https://t.co/LH21zphCTV — 徳丸 浩 (@ockeghem) April
【バックエンド】駆け出しエンジニアが目指すジュニアレベルのエンジニアとは【2024年版】 - Qiita
はじめに こんにちは。 普段はフロントエンドの開発をメインでやっておりますmamiと申します。 最近バックエンドの方の勉強や、少しずつですがDB設計やAPI作成などの業務もやらせてもらえるようになったので、自分のエンジニアとしてのレベル感や、この先目指すべき道筋を明確にしたいな〜という思いでこの記事を書いております。 これは自分のための記事であると同時に、同じように駆け出し中のエンジニアさんや、ミドル層を目指す手前のエンジニアさんにも刺さる内容になっているかと思います。 今、自分がどのようにキャリアアップしていくべきなのか、どのような道筋でスキルを磨いていけばいいのか。そんなふうに悩んでいる方は是非読んでみてください。 ※内容はバックエンドエンジニアが対象になりますが、フロントエンドの方もなにか通じるものがある…かもしれません。 ちなみにですがフロントエンドの方の記事は下記で執筆しています
安全なウェブサイトの作り方を読んだので、理解した内容を自分なりにまとめておきます。資料 上記は3章構成になっていてそれぞれ長めの内容なので、ここでは3章の『失敗例』について、Ruby on Rails ではどうするかについてをまとめます。 SQL インジェクション OS コマンドインジェクション パス名パラメータの未チェック例(ディレクトリトラバーサル) 不適切なセッション管理例(セッション ID の推測) クロスサイト・スクリプティングの例(エスケープ処理) CSRFの例 HTTP ヘッダ・インジェクションの例 メールヘッダ・インジェクションの例 参考 SQL インジェクション 参考資料内の SQL インジェクション例を見て、Ruby on Rails ではどのように対策できるかを確認しました。 例えば、下記ような $uid, $pass をユーザ入力とし、SQL 文を動的に生成する場合
個人的Rails開発環境構築2024
新規でRailsプロジェクトを始める時の個人的な環境構築についてまとめる。前提とする条件等は下記。 規模: ~中規模 開発者数: 個人 利用シーン: PoC作成・スタートアップ立ち上げ・並の業務アプリ開発等 基本戦略 利用シーン的に「思い立ったらすぐアプリの開発ができる」という感じの運用がしたい。極力セットアップで悩みたくないから必要なミドルウェアなどは全部Dockerでインストールできるようにして立ち上げれば終わり、の環境を作る。その環境の中で色々とコマンドを叩いたり、rails newやrails gなどでRailsアプリを作成していく。 この辺のRailsの初期セットアップの手間を出来るだけ省きたいのでtemplateとなるリポジトリを作成し、そこからcloneしてくるだけでOKにする。 フロントエンドはReactなどを使わずをRails標準のerbとHotwireを軸に開発する。開
【個人開発】最新のNext.js+NextAuth.js+prisma+microCMSでECサイト作ってみた【フルスタックアプリケーション】 - Qiita
【個人開発】最新のNext.js+NextAuth.js+prisma+microCMSでECサイト作ってみた【フルスタックアプリケーション】TypeScriptフロントエンド個人開発Next.jsprisma はじめに 皆さんこんにちは、mamiなのだ! 今回はバックエンドは作らずにNextAuth.jsやprisma、microCMSなどを利用してNext.jsでECサイトを作成してみたので、その方法や手順などを公開しつつ、認証周りや大型開発案件でも採用されるstorybookなどについても解説していこうと思うのだ! フロントを勉強し始めた初学者さんや、フロントがメインではないバックエンドエンジニアの方に向けて、丁寧に解説を挟みながら書いていくので「へ〜フロントってこんな感じのことやってるんだ〜」と思ってくれたら嬉しいのだ! ちなみにこの記事は丁寧に解説しすぎて死ぬほど長くなってしまっ
Cloudflare、ヘッドレスブラウザ「Browser Rendering API」正式リリース。Puppeteerライブラリも提供開始
Cloudflare、ヘッドレスブラウザ「Browser Rendering API」正式リリース。Puppeteerライブラリも提供開始 Cloudflareは、同社のサーバレス基盤であるCloudflare Workersを通じてヘッドレスブラウザを操作できる「Browser Rendering API」の正式サービス化を発表しました。 これまではBrowser Rendering APIはオープンベータとして提供されていました。 Good morning! We'll keep it short: Browser Rendering API is now available to all paid Workers customers with improved session management. https://t.co/TP2W2KtgOx #DeveloperWeek — C
昨夜(6月21日)午後11時より、YouTube Live で「デジタル庁認証アプリ FIRST IMPRESSION」と題して配信を行いました。デジタル庁が同日発表したデジタル認証アプリについて、一緒にドキュメントを読んで、その内容や課題などを洗い出していきましょうという企画です。夕方にゆるい感じでアナウンスして、トークデッキの準備も間に合わず見切りで始めたにも関わらず、デジタル庁の幹部の方なども含めて、最大94名の方が同時アクセスしていただきました。ご参加いただいた方々に深く御礼申し上げます。アーカイブは以下から見ることができます。YouTubeに遷移してみること推奨です。チャットに多くの情報がありますので。以下、AI1によるまとめと、それに書き加えた覚えている限りのメモです。そのうち見返して追記するかも知れません。 しかし、こうして見返してみると、署名の話を飛ばしてしまいましたね。こ
ドラえも⚫︎で理解するCSRF はじめに ※コメントにて徳丸浩先生(@ockeghem)に間違いをいくつかご指摘頂き修正中です。 また、@rudorufu1981様よりブラウザの同一オリジンポリシーについての補足を頂いております。 ぜひ記事の下部、コメント欄までご覧頂きますようお願いいたします。 ご指摘や補足、本当に有難うございます。 【追記2023.12.2】 同一オリジンポリシーの補足についても徳丸先生のご見解コメントを頂いております。ぜひそちらもご確認下さい。 【追記2023.12.5】 ご指摘を受けて同一オリジンポリシーはCSRFと直接の関連はない事から、取り消し線にて削除致しました。 対象読者 ・HTTPの特性 ・セッション管理 ・ブラウザの同一オリジンポリシー ・CSRF(Cross-Site Request Forgeries) ⚫︎上記の言葉を聞いてイメージができない人 ⚫
TL;DR RDS の メジャーバージョンアップグレード を行なった PostgreSQL 11.6 -> 15.5 MySQL 5.7.44 -> 8.0.36 PostgreSQL は AWS CDK を利用した、自前での手動切り替えをベースにした Blue/Green デプロイによるアップグレードを行なった MySQL は AWS コンソールから AWSが提供している機能である RDS Blue/Green Deployments による MySQL のアップグレードを行なった nginx の ngx_http_proxy_module を活用してサービスのダウンタイムを防止した はじめに 初めまして。株式会社ジーニーの GENIEE CHAT開発チームのマネージャーを担当しています。 今回は、データベースのメジャーアップグレードを行った際の手順やポイントなどを書いていこうと思います
Next.js と Server-side Rendering をプロダクト環境で3年運用してきた知見と率直な所感 | MEDLEY Developer Portal
2024-07-23Next.js と Server-side Rendering をプロダクト環境で3年運用してきた知見と率直な所感こんにちは、医療プラットフォーム本部・プロダクト開発室・第1開発グループ所属の加藤です。 オンライン診療・オンライン服薬指導アプリ「CLINICS」の開発を担当しています。 今回は CLINICS で採用している Next.js と Server-side Rendering (SSR) についてお話ししたいと思います。 Next.js は昨今注目を集めている React ベースの Web フレームワークです。 これから Web フロントエンドの開発を始めるにあたって採用を検討している方も多いのではないでしょうか。 Next.js といえば React コンポーネントをサーバー上で実行して HTML を返す SSR に対応しているのが大きな特徴です。 SSR
危険なCookieのキャッシュとRailsの脆弱性CVE-2024-26144 | セキュリティブログ | 脆弱性診断(セキュリティ診断)のGMOサイバーセキュリティ byイエラエ
高度診断部アプリケーションセキュリティ課の山崎です。 弊社エンジニアの名古屋と山崎がRuby on RailsのActive Storageの脆弱性CVE-2024-26144を報告しました。 本脆弱性はRailsの5.2.0から7.1.0のバージョンに影響するもので、お使いのRailsのバージョンが最新でない場合にはアップデートを推奨します。 本記事では本脆弱性の注意点と、関連してCookieのキャッシュに関する調査内容を紹介します。 TL;DR ・ Set-Cookieヘッダがキャッシュされると別人ログイン問題が発生する ・ RailsのActive StorageでSet-Cookieヘッダがキャッシュ可能な設定であった(CVE-2024-26144) ・ Nginx(+ Passenger), Apache(+ mod_cache)等のキャッシュ機構と合わせて利用すると実際に事故が
公開日 2024/09/17更新日 2024/09/17IoTサービスのアーキテクチャ特集 技術選定のポイントと今後の展望 今回のアーキテクチャ特集のテーマは、IoTサービスのインフラアーキテクチャです。IoT分野で革新的な取り組みを続ける日本のIT企業5社にご協力頂き、それぞれの技術的な挑戦と今後の展望についてご寄稿頂きました。 ※ツール名・ご寄稿企業名共にアルファベット順で掲載しております 株式会社ビットキー アーキテクチャ選択の背景や意図ビットキーの各種プロダクトはトビラを制御しています。 普段の我々の生活において、トビラが開いたり閉まったりするのはごく当たり前のことであり、サービス障害など何らかの理由によって、その当たり前が妨げられることがあってはなりません。 その特性上、高い可用性を求めたアーキテクチャを検討する必要がありました。 全体を通して高い可用性を発揮するためにマルチリー
Real World HTTP 第3版
本書はHTTPに関する技術的な内容を一冊にまとめることを目的とした書籍です。HTTPが進化する道筋をたどりながら、ブラウザが内部で行っていること、サーバーとのやりとりの内容などについて、プロトコルの実例や実際の使用例などを交えながら紹介しています。さまざまな仕様や実例、またGoやJavaScriptによるコード例を紹介しながら、シンプルなHTTPアクセスやフォームの送信、キャッシュやクッキーのコントロール、SSL/TLS、Server-Sent Eventsなどの動作、また認証やメタデータ、CDNやセキュリティといったウェブ技術に関連する話題を幅広く紹介し、いま使われているHTTPという技術のリアルな姿を学びます。 第3版では、より初学者を意識した導入や、スーパーアプリなどプラットフォーム化するウェブに関する新章を追加。幅広く複雑なHTTPとウェブ技術に関する知識を整理するのに役立ち、また
ritou です。 これについての話です。 この辺りずっとやってると「認証認可について詳しくなりたいです!」「OIDCに興味があります!」みたいなところから「何をやればいいですか!?」みたいなことを聞かれたりします。(やりたいことやればいいじゃんと思いつつ) 昔は 年に一回ぐらいIdPを作りましょう なんて言っていた時期がありますが、まぁそう簡単にできるものでもありません。ふじえさんの記事をdisっているわけではないですが、OIDCのところから始めても他にやることが多すぎて結構つらいのです。 何から始めたら良いか 現状のおすすめとしては、 Webアプリケーションフレームワークを使って単一アプリケーションを動かして、既存コードを追ったり拡張できるならやってみて色々細かい部分を理解するところから始めましょうというところです。 なんと、ひと昔前にQiitaに溢れたようなやり方ですが どのフレーム
今回はRustを使って、簡単なHTTPサーバを実装してみましょう。HTTPは単純ですが生活インフラとしても必須となっているWebの根幹となる技術です。Rustに対する理解を深めると同時にWebの根幹となるHTTPについても学びましょう。 RustでHTTPを実装してみよう HTTPプロトコルとは? 「HTTP(Hypertext Transfer Protocol)」とは、WebサーバーとWebブラウザの間でデータをやりとりするための通信規則(プロトコル)です。 1990年末にイギリスの物理学者ティム・バーナーズ=リー氏と、ロバート・カイリュー氏によって設計されました。 HTTPプロトコルは、RFCとして公に発表されています。RFCとは、IETFが発行しているインターネットに関連する技術仕様などを共有するために公開される文書であり誰でも読むことができます。1996年にHTTP/1.0に関す
こんにちは、LayerX CTOの@y_matsuwitterです。最近はパン作りにハマっています。無心に小麦と酵母の声を聞くことで精神の安寧を求めています。 この記事は LayerXテックアドカレ2023 19日目の記事です。前回は @shota_tech が「Go の linter 雰囲気で使っていたから調べ直した #LayerXテックアドカレ」を書いてくれました。次回はEMオフィスの@serimaより「Engineering Officeの話」がポストされる予定なのでご期待ください。 ISUCON13 昨日開催のISUCONに参加してきました。とても楽しい問題ですし、これだけの人数での開催を支えている運営の皆さんには頭が上がりません。個人でもLayerXとしてもスポンサーさせていただきました。ありがとうございます! 10年近く一緒に出場している.datというチームで、私はプロンプトを
Remixで個人開発をしたので技術スタックを紹介
しおりモ! まずは開発しているサービスの紹介をします。 「しおりモ!」は本に関するメモをいい感じ(当社比)に記録するためのサービスです。元々読書中に気に入ったセリフや後から読み直したい箇所を手帳や他のサービスにメモしていました。しかし、あとで見返すときにどの本のどのページか分かりづらい/検索がしづらかったので、自分が使いやすいサービスを開発することにしました。一応本についてのメモとは謳っているものの、通常のメモ帳サービスとしても使えるはずです。 まだ初期機能(メモの追加、編集、削除と検索)の実装が終わった段階です。これからも細かい機能追加を色々したいとは思っています。ただ、とりあえず自分で使う分には最低限のところは終わったので、あとはのんびりやっていくつもりです。SEO対策とかOGPの設定はしていません。 よかったら使ってみてください。 メモの作成 メモの検索 メモの編集 Remix せっ
★ 224ページ / B5サイズ / 電子版はPDF(フルカラー) ★ 紙の本の販売は、11月12日オフライン開催時のみ(表紙カラー、本文モノクロ) ★ 佐藤祥子( https://twitter.com/satoshoco )・櫛井優介( https://twitter.com/941 )著 技術カンファレンスのマスターガイド:企画から運営までの完全手引き ー 20名の技術イベントから1,000名以上の大型カンファレンスまで対応 ー 本書は、技術カンファレンスを中心としたイベント運営の具体的なステップやヒントを、実体験を交えて詳しく解説しています。 イベント運営の初心者から経験者まで、この書籍を通じて、効果的にイベントを開催する方法を学ぶことができます。 また、カンファレンス運営には「全体をまとめて進める人」の役割が重要であり、その役割のノウハウやコミュニケーション方法も具体的な事例を交
はじめに 今フロントエンド/バックエンドの垣根を超えて巷を賑わせている T3 Stack について調べてみました。要素技術一つ一つが濃密なので、本記事ではあまり深入りはしませんが、「それらがどういう旨みを持ってT3 Stackを成しているのか」、「少し動かしたことがあるよ」と読み終わる頃には人に説明できるようまとめてみました。 キーワードは full-stack typesafety(フルスタックな型安全) です。📝 T3 Stack T3 Stack とは、Theo 氏によって提唱された Web 開発技術スタックで、以下の思想に焦点を当てています。 simplicity(シンプルさ) modularity(モジュール性) full-stack typesafety(フルスタックな型安全) The “T3 Stack” is a web development stack made by
こんにちは、うしろのこです。直近1年ではVueから離れて、maja と呼ばれる組織管理基盤の新規プロダクトの開発をしていました。 プロダクトの話はこちら(maja)↓ note.st.inc 今回は、0->1における技術選定や開発中の工夫、結果どうだったかなどを書きます。 技術選定 初めに、前提条件は以下のような感じでした。 メンバーはReactの経験が豊富、フロントを触るのは多くて3,4人くらい 常にユーザー認証された状態で操作されるため、FE用のmiddleware的な層があるとうれしい toBアプリケーション せっかくなので使ったことのないものを使ってみよう、ということで、すでにWAFでの導入が進んでいたCloudflareの技術の採用をFEでも検討しました。少し触った感じではdeploy体験がよく、ローカル開発環境であるwranglerの出来も申し分なかったため、Cloudflar
2024.8.29 LINE DC Generative AI Meetup #2の登壇資料です。 (もくじ) 1. Dify連携のメリット 2. アーキテクチャー超ざっくり解説 3. Dify-LINE Bot連携各論 (1)セッション管理 (2)さまざまな要求メッセージへの対…
以下のAtermシリーズ製品のすべてのバージョンが本脆弱性の影響を受けます。 CR2500P MR01LN MR02LN W300P W1200EX(-MS) WF300HP WF300HP2 WF800HP WF1200HP WF1200HP2 WG300HP WG600HP WG1200HP WG1200HP2 WG1200HP3 WG1200HS WG1200HS2 WG1200HS3 WG1400HP WG1800HP WG1800HP2 WG1800HP3 WG1800HP4 WG1810HP(JE) WG1810HP(MF) WG1900HP WG1900HP2 WG2200HP WM3400RN WM3450RN WM3500R WM3600R WM3800R WR1200H WR4100N WR4500N WR6600H WR6650S WR6670S WR7800H WR
ritouです。 某イベントのこの辺で出てくる質問に回答してみました。 Q. SAMLとの違い A. OAuthとは目的/用途が異なる。OIDCとの比較では、SAMLをモダンにしたのがOIDCという認識でおk。XML->JSON, XML Signature->JWTみたいな仕様の違いがある。あとはOIDCはSPAやモバイルアプリ、Verifiable Credentialsといった世の中の動向に追従して現在進行形で拡張仕様やプロファイル、ベストプラクティスの策定が進められている。 Q. 言葉の定義 A. 英語では決まっている。日本語に変換するときにおかしくなったり、IDaaSなどでOIDCをそのまま適用していない場合などで用語の混乱が起こりうる。 Q. 人間が介在しない認証フローではImplicit?非推奨? A. おそらくClientCredentialsの方が適している Q. Con
[Amazon Bedrock][LangChain] チャット会話履歴をセッション毎に記憶・保存する方法 | DevelopersIO
また、AWSのリージョンは「バージニア北部 (us-east-1)」を使用します。 (東京リージョンでは利用できるモデルが限られるため) 準備 Lambda関数の作成を始める前に、いくつか準備をします。 Bedrockの「モデル」を利用可能にする Bedrockマネジメントコンソールの「モデルアクセス」から、利用したい「モデル」へのアクセスを有効化しておきます。 Lambdaレイヤーの作成 Lambda関数の標準状態ではLangChainのPythonパッケージが含まれていないため、Lambdaレイヤーを使ってパッケージが利用できるようにします。 Lambdaレイヤーの作成と利用の方法は、下記ブログ記事を参考にしてください。 Lambda関数で使用するPythonと同じバージョンのPythonが使用できる環境で、LangChainのパッケージを含むzipファイルを作成します。 $ mkdi
![[Amazon Bedrock][LangChain] チャット会話履歴をセッション毎に記憶・保存する方法 | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/a80489873e9a00b01923977e61a5ac1f690ceac7/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2024%2F04%2Flangchain-bedrock-1200x630-1.png)
個人開発を何度もしてきて、何一つとしてリリースしてない私が考えてみました。 リリースしないというセキュリティ担保では、やはり駄目だろう、と。 駄目なんだろうな、と思い、自分なりに整理してみました。 個人的な結論 結論から話せ、と世の中がいうので結論から言います。 OIDCの処理はバックエンドで行えるならバックエンドで行う ブラウザから利用するWebシステムならCookieを使えば良い せっかくだしcookieにはJWTを入れておけばいい 個人的にはこんな感じでいいんじゃないかと思いました。 理由はここから先に記載します。興味があったら見てください。 セキュリティは難しいし、得意じゃないのでご指導ご鞭撻は優しくしてください。(祈り) OIDCの処理はどこに置くのがいいのか OIDC自体はブラウザで結果を受け取ることも、サーバで受け取ることも可能です。 ということは、まずそもそもどこで完結させ
クッキーにメールアドレスを保存することはセキュリティの観点から問題ないと思いますか? (クッキーは暗号化されており、httpOnly、secureを適切に設定し、10分程度の有効期限にする場合) セッション管理をCookieStoreと呼ばれる方式にすると、まさにそういう状況になります。CookieStoreはセッションの中身を暗号化してクッキーそのものに保存する方式であり、たとえばRuby on RailsだとデフォルトのセッションストアがCookieStoreとなります。この状態で、セッション変数にメールアドレスを保存すると、結果としてクッキーにメールアドレスを暗号化して保存したことになります。 CookieStore方式の問題点は、中身が暗号化されていても、クッキーが盗まれたらそれをブラウザに゙セットすることでセッションが再開でき、保存されているメールアドレス等が画面表示されることで
はじめに SREグループ・ヒロチカです。GO株式会社では、サービスのクラウドインフラの設計から構築・運用までを担当しています。 今回、高トラフィックが予想されるアプリケーションに対して負荷試験を実施するにあたり、軽量に負荷をかけられるツールを試してみた中で、Golangベースでかつお手軽に負荷をかけられるツール「vegeta」が便利だったため、こちらの記事で紹介したいと思います。 負荷試験ツール vegeta 今回利用した「vegeta」は、Golangで書かれているCLIで実行可能なシンプルな負荷試験ツールです。 公式リポジトリ: vegeta 説明文を読むとHTTPサービスに対して一定のリクエストレートで負荷リクエストを投げることを目的として開発され、CLIでの利用だけでなくライブラリとしても利用できるとのことでした。 他にも数多ある負荷試験ツールの中で、自分がvegetaを採用したの
こんにちは、最近 30 MINUTES SISTERS にはまっている、SRE Gの渡邉です。今回で2回目になります。 昨今、AWSのコスト削減が流行っていたりするみたいですが、弊社も時流に遅れることなく?AWSのコスト削減を行ったので、その話を何回かにわけて書いていきたいと思います。 まずは成果から 絶対値はあれなので、数字はないですが、どん AWSのコストエクスプローラー、償却コスト、サービス別より 5月から12月で、およそ 45% の削減となっております。ってタイトルに既に書いていましたね。 なお、Reserved InstancesやSavings Plansで2、3月に期限が切れるものがあるので、更に削減がされることが想定されています。 はじまり 春の終わり頃に、本部長からコスト削減の話がでてきました。 まぁ暗号資産の相場はわかっているし、公表されている決算の数字だってもちろん理
開発本部 MIXI M事業部の ritou です。 本投稿はMIXI DEVELOPERS Advent Calendar 2023 2日目の記事です。 先日、MIXI Mはパスキーによる認証をサポートしました。 それに続き、Google/Appleアカウントを利用したソーシャルログインをサポートしましたので紹介します。 経緯 MIXI Mではサービス開始当初から、デフォルトの認証方法であるSMS/Email OTPを超える安全性と利便性、そして費用面のバランスを実現できる認証方法を検討していました。 パスキーによる認証をサポートしたことにより、安全性、利便性とフィッシング耐性を享受できるようになりました。これまでのようなSMSやメール送信を行わないことにより、送信コストの削減という効果もあります。しかし、非対応環境やクロスプラットフォームでの利用、そしてまだまだパスキー自体の認知度が低い
CSRF攻撃の仕組みと対策
脆弱性が蔓延し、絶えず増え続ける今日、ユーザーのセキュリティとプライバシーの保護は、これまで以上に重要視されています。脆弱性を見過ごせば、評価が失墜したり、高額な制裁金を科されたり、顧客や訪問者からの信頼を失ったりする可能性が高まります。 ウェブサイトやウェブアプリケーションは、常にマルウェアやスパムなどの攻撃の危険に晒されています。今回は、そんな攻撃の1つであるCSRF(クロスサイトリクエストフォージェリ)に焦点を当てます。CSRF攻撃は、気づかない間に発生する可能性があり、特に問題視されています。また悪意のある要求は正しい要求と区別が難しく、開発者やサイト運営者が発見しづらいというのも厄介です。 この記事で、CSRF攻撃の概要と仕組み、そして対策について学びましょう。 CSRF攻撃について動画での解説もご用意しています。 CSRF攻撃とは クロスサイトリクエストフォージェリは、略してC
2024年8月21日から23日にかけて、ゲームを中心としたコンピューターエンターテインメント開発者向けのカンファレンス「CEDEC2024」が開催された。本記事では、「『FINAL FANTASY VII EVER CRISIS(以下FF7エバークライシス)』全世界同時リリースを支えた大規模負荷に耐えるハイパフォーマンスなゲームサーバーの仕組み」と題した、セッションの様子をお届けする。 FF7エバークライシスのゲームサーバーに求められた要件は、「“250万DAU(デイリー・アクティブ・ユーザー)”に耐えられる構成」かつ、「全世界同時リリース」の実現だ。開発を担当したのはサイバーエージェントのゲーム・エンターテイメント事業部(SGE)に所属する子会社のひとつ、アプリボットである。 同ゲームにおけるバックエンドのリーダーを担当した永田員広氏から、独自開発のORM(Object Relation
はじめに 就職や転職を考えているWebエンジニアのみなさん、どんなことを勉強していますか。プログラミング言語を勉強した後の悩みといえば、どのフレームワークを使用すれば良いかではないでしょうか。フレームワークの選択はキャリアに影響する大切なポイントです。そこで今回は、フロントエンドとバックエンド開発などで需要が高いフレームワークを4つピックアップしました。それぞれのフレームワークの特徴などを解説していきます。あなたのスキルアップの参考にしてみてください。 フロントエンドで人気なフレームワーク 1. React ReactはFacebookが開発したJavaScriptのライブラリで、ウェブのフロントエンド開発で広く使われています。動的なWebアプリケーションを手軽に作ることができるため、特に人気のあるフレームワークの一つです。Reactは他のライブラリやフレームワークに比べて学習が難しいとさ
GaugeとPlaywrightをGitHub Actionsで実行する際に工夫していること - コドモン Product Team Blog
こんにちは!プロダクト開発部の関根です。 飛行機好きの息子のために飛行機が見られるお出かけスポットやいい感じのYouTube動画を探す毎日です。 さて、コドモンではATDDでソフトウェアを開発しており、E2EテストのツールとしてGaugeやPlaywrightを利用しています。 今回は、E2EテストをCI基盤であるGitHub Actions上でも動作させるために工夫していることをいくつか紹介したいと思います。 CI環境におけるE2Eテストの流れ GitHub Actionsを用いたE2Eテストの実行プロセスは以下の通りです。 Workflowが開始されると、最初にk8s環境へのデプロイ用コンテナイメージのビルドが行われます。続いて、Self-hosted Runnerを使用してk8sリソースを構築し、ヘルスチェックが完了するのを待ちます。その後、GaugeによってE2Eテストを実行し、テ
8月29日、海外の技術メディアLINUXexpertが「時代遅れの Linux コマンドライン ツールの調査: より優れた代替ツールへの移行」という記事を公開した。この記事では、Linux環境における古いコマンドラインツールの現状と、それらを置き換えるべき現代的なツールについて詳しく紹介されている。 以下に、その内容を紹介する。 Linuxの古いコマンドラインツールとその代替品 Linuxは強力なコマンドラインツールを豊富に備えている。しかし、技術の進化とともに、一部のツールは時代遅れとなり、より優れた代替ツールが登場している。この記事では、以前は一般的に使われていた古いツールと、その代替品について解説する。 screen なぜ時代遅れか: screenはかつて、複数のターミナルセッションを管理するための主要なツールであったが、開発が停滞し、現代のツールに比べて機能が劣る。 代替ツール:
さくらインターネットは、2024年8月22日、セキュリティマーケットプレイス「さくらのサイバーセキュリティ」の第一弾として、Web脆弱性診断サービス「WebSite Scouter」を提供開始した。 さくらのサイバーセキュリティは、同社が展開するサイバーセキュリティのサービス群であり、今後提供サービスを拡充予定だ。その第一弾となるWebSite Scouterは、リモートでウェブサイトの脆弱性を診断できるSaaS型サービスとなる。 対象URLを取得してから最短5分でWebサイトの安全性を確認でき、診断したいタイミングも管理画面から自由にスケジュール設定できる。診断項目は、以下の通り。 ・セッション管理(Cookieの取り扱い、セッションIDなど) ・入出力処理(SQLインジェクション、クロスサイトスクリプティングなど) ・ロジック流出(エラー処理、情報公開、コメントなど) ・一般的な脆弱性
PHPカンファレンス関西 2024【参加レポート】 - RAKUS Developers Blog | ラクス エンジニアブログ
はじめに 配配メール開発課moryosukeです。 2024/02/11(日)にPHPカンファレンス関西 2024が開催されました。 ラクスはブロンズスポンサーとして協賛させていただいています。 2024.kphpug.jp ラクスからは5人が登壇した他、多くのメンバーが参加しました。 そこで今回は参加者によるレポート、そしてラクスからの登壇者本人によるレポートを紹介させていただきます。 はじめに 参加レポート はじめてのOSSコントリビュート Laravelでミニマム開発からスタートして個人サービスを利益化するまでの経験談! RDBアンチパターンと戦う - 削除フラグ 完全攻略ガイド 令和最新版 PHP メモリ管理術 「"品質"が高いコード」って何? CodeRevieweeが求められること アプリケーションエンジニアこそ「監視」だよね!と私が考える訳 コードを自在に操るためのPHP文法
イラストで理解するElastiCache
はじめに 今回はAWSのElastiCacheについて学んでいきます。 ElastiCacheはインメモリ型のデータベースです。 ElastiCacheは聞いたことあるけど、インメモリデータベースってなんだっけ?という人はぜひ読んでみて下さい。 それからElastiCacheのElastiCache for MemcachedとElastiCache for Redisの違いについても解説します。 あまり詳しい部分は触れていませんが、よかったら読んでみてください。 前置き クラスターやシャード、ノードといった具体的な仕組みや、Lazy Load, Write Throughといったキャッシュの方法についてもこの記事では解説していません。 クラスターやシャードについてはこちらの記事を参考にして下さい。 ElastiCache まずはElastiCacheがなぜ必要なのかを考えていきましょう。
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
フリーWi-Fiを使ったら秘密情報を抜かれる経路にはどのようなものがあるか - Qiita
安全なウェブサイトの作り方~失敗例~ - goruchan’s blog
デジタル庁認証アプリ FIRST IMPRESSION まとめ
ドラえも⚫︎で理解するCSRF - Qiita
Blue/Green デプロイを使用した、RDS MySQL/PostgreSQLのアップグレード
IoTサービスのアーキテクチャ特集 技術選定のポイントと今後の展望 - Findy Tools
ID周りをやりたいエンジニアにすすめたい学習ステップ(1) : 単一アプリケーションとID管理
Rustで有名アルゴリズムに挑戦(17) RustでHTTPサーバを実装してみよう
ISUCON13にLLM活用担当で参戦しました - LayerX エンジニアブログ
技術カンファレンスのマスターガイド:企画から運営までの完全手引き:FUNCTION
【今さら聞けない?!】T3 Stack によるフルスタックWebアプリ開発 - Qiita
Remix x Cloudflare Workersで0->1 - STORES Product Blog
Dify - LINE Bot連携 考え方と実用テクニック
JVN#82074338: NEC Atermシリーズにおける複数の脆弱性
"仕様が読めるようになるOAuthとOpenID Connect入門"の質問への回答
OIDCを利用した個人的なWEBシステムで認証情報を何をもって維持するのか考えてみた
クッキーにメールアドレスを保存することはセキュリティの観点から問題ないと思いますか? (クッキーは暗号化されており、httpOnly、secureを適切に設定し、10分程度の有効期限にする場合) | mond
負荷試験ツールvegetaを使ってみた - GO Tech Blog
AWSのコストを45%削減した話 その1 - coincheck tech blog
MIXI MがGoogle/Appleアカウントによるソーシャルログインをサポートしました
目指すは“毎秒20万リクエスト”対応、「FF7エバークライシス」におけるパフォーマンス向上策の数々 (1/3)
駆け出しWebエンジニアへ勧める〜人気フレームワーク4選〜 - Qiita
今使っているなら移行を検討しよう!時代遅れのLinuxコマンドと代替ツールまとめ
さくらインターネットに“セキュリティブランド”誕生、第一弾はWeb脆弱性診断