Webサービス公開前のチェックリスト
個人的に「Webサービスの公開前チェックリスト」を作っていたのですが、けっこう育ってきたので公開します。このリストは、過去に自分がミスしたときや、情報収集する中で「明日は我が身…」と思ったときなどに個人的にメモしてきたものをまとめた内容になります。 セキュリティ 認証に関わるCookieの属性 HttpOnly属性が設定されていること XSSの緩和策 SameSite属性がLaxもしくはStrictになっていること 主にCSRF対策のため。Laxの場合、GETリクエストで更新処理を行っているエンドポイントがないか合わせて確認 Secure属性が設定されていること HTTPS通信でのみCookieが送られるように Domain属性が適切に設定されていること サブドメインにもCookieが送られる設定の場合、他のサブドメインのサイトに脆弱性があるとそこからインシデントに繋がるリスクを理解してお
ウクライナの夏休み | 何丘ブログ
妻の郷里であるオデッサ州の某村にひと夏里帰りした。その日記。(※完結済み) 期間:2024年7月14~22日(移動日含まず) 登場人物:私、妻、太郎(4歳児)、義父母、義兄 ※渡航の経緯については「盗む」の記事参照 7月15日 ウクライナは異常な暑気に見舞われている。これ書いてる今は15日の正午だが玄関の水銀柱は38度を指す。オデッサの緯度が北海道・稚内と同じであることを思え。 わたしの当地入りは昨14日昼で、妻と子に遅れること七日。この時間差は、妻としては帰郷するからには二週間くらいはゆっくりしたい、が私は仕事をそんなに休めない、それで妻と子を先に行かせる(帰りは一緒に帰る)という選択をした。 妻と子のウクライナ入りの日の前日にゼレンスキーがオデッサを電撃訪問していて、ゼレの陸上の移動経路と妻らの動線が重なる可能性があり、その日は大変に気を揉んだ。また、私の到着は本当は一昨日の夜のはずだ
1975年宮城県生まれ。元SEでフリーライターというインドア経歴だが、人前でしゃべる場面で緊張しない生態を持つ。主な賞罰はケータイ大喜利レジェンド。路線図が好き。(動画インタビュー) 前の記事:結婚式やお葬式でハトを飛ばす会社 > 個人サイト 右脳TV 忙殺からの「気分転換」で作られたサービス 昔から「どうなってるんだ」と思っていたのだ。 国内最大規模のファイル転送サービスでありながら、ユーザー登録は不要だし、無料で使えちゃう。転送できる容量は無制限(※1ファイルは300GBまで)だし、アップロード後は最大100日間保持してくれる。 至れり尽くせりすぎる。どうなってるんだ。 トップの画像はデカいし(画像提供:株式会社ギガファイル) そんな「ギガファイル便」を運営するのは、株式会社ギガファイル。取材を申し込むと、メールでのインタビューならOKとのこと。 そもそもサービスを始めたきっかけはなん
初めて使ったBIツールはLooker Studioのid:syou6162です。これまでTableau / Looker(≠ Looker Studio) / Metabase / Redash / Connected Sheetsなど色々なBIツールを触ってきましたが、不満は色々ありつつも個人的に一番しっくりきて愛着があるのはLooker Studioです。このエントリでは、その魅力と便利な使い方や注意点について書きます。例によって、社内勉強会向けの内容を外向けに公開しているため、内容の網羅性などは特に担保していないことにご注意ください。 Looker Studioの魅力 利用のハードルが限りなく低い & Google Workspaceとの連携が便利 複雑過ぎることができないので、諦めが付けやすい ちゃんとBIツールになっている Looker Studioの便利な使い方 多様なデータソ
マクドナルド公式アプリのモバイルオーダー経由でクレジットカードが不正利用された話 やられました。一応,全容がわかってきたので記録として残しておきます。 クレジットカードの不正利用されてしまった【マックデリバリーでセゾンアメックスが被害に】|モチのブラックカードが欲しい! かなりの部分は上記の方と類似していましたので,こちらもご参照ください。 セゾンポータルアプリへの通知で気付く 最初に気付いたのは,セゾンポータルアプリへの通知でした。 この時点では「ショッピング利用」としかわからなかったので,身に覚えがなく不審には思いましたが,まだ不正利用を確信できませんでした。 続いてクレディセゾンモニタリング担当からSMSが セゾンポータルアプリへの通知とほぼ同じタイミングで,クレディセゾンからSMSが届きました。 上記,ものすごくフィッシングっぽいですが,「0366883248」からのSMSは本物で
ロードバランサーってなんやねん
はじめに どもども、インフラ案件で奮闘中の井上弥風(いのうえみふう)です。 現在プロジェクトでELB(Elastic Load Balancing)を使用しており、その内部機能を完全に理解したいと思い、この記事を書きました。 この記事について この記事の最終的な目標は、「ELBとは何か?」を深く理解し、それを自信を持って説明できるレベルになることです。 しかし、ELBを完全に理解するためには、まず基本的なロードバランサーの概念を押さえる必要がありました。 そこで、この記事ではELBの根底にあるロードバランサーとは何かという点に焦点を当てていきます。 ELBの詳細については、この記事の後に公開予定の「ELBってなんやねん」という記事で詳しく取り上げます。 ELBに興味のある方は、ぜひそちらもご覧ください。 記事のゴール この記事を通じて、ロードバランサーがどのようにしてトラフィックの負荷分散
大規模言語モデル (LLM) の学習データに含まれない知識(各社の特有の書類など)を踏まえてLLMに回答させる際に最早必須となってきたRAG (Retrieval-Augumented Generation)。 今回はそんなRAGのSurvey論文を元に、RAGの変遷や構成要素、新たに出てきた技術を俯瞰していきます。 Survey論文へのリンクはこちら arxiv.org RAGとは LLMはそれ単体で回答させると、質問によってはハルシネーションや学習時のデータにはなかった情報を生成時に加味できないといった問題から正しくない回答を生成することが多々あります。例えば世間一般に公開されていない自社の就業規則や業務標準についてをChatGPTに質問しても、正しい回答は得られません。 そのような問題への対応としてRAGが使われます。 「LLM単体で適切な回答を生成できないなら、ユーザーの質問を元に
署名付きURLを利用したファイルアップロードWeb API設計の勘所 | フューチャー技術ブログ
はじめに現代のWebアプリケーションにおいて、ユーザが写真や動画などのファイルをアップロードする機能は、しばしば求められます。 本記事では、ファイルアップロードを実現するための一手段として、「署名付きURL」を利用した方式を取り上げ、その設計について詳しく解説します。 今回は、Amazon Web Services(AWS)を利用する前提のもと、このアプローチを探求していきます。 前半部分は署名付きURLをそもそもよく知らない方向けの導入部となっていますので、要点だけ抑えたい方は設計上のポイントから読まれることをお勧めします。 ファイルアップロードの実現方式パターン署名付きURLの話をする前に、ファイルアップロード機能をWeb APIとして実現する方式について、いくつか代表的なものを紹介します。 Pattern 1. multipart/form-datamultipart/form-da
Vectorが1990年代から提供してきたホームページのサービス(hp.vector)を、年末に終了することが分かった。7月17日ごろから利用者宛てにサービス終了の告知が届いているようだ。 告知によると12月20日をもってホームページサービスは終了し、内容はすべて削除される。Vectorは、当該ホームページを連絡先としているソフトウェアの開発者などに対応を求めている。ソフトウェアのダウンロードサービスは継続する。 Vectorは、1990年代のインターネット黎明期からある、フリーソフトなどの配信プラットフォーム。ホームページサービスは、ソフトウェアを自作する人に向け、ソフトの説明や更新告知などのために無料で提供されているもので、現在もhp.vector上には当時の人気ソフトのホームページが多く存在する。 サービス終了を受け、X上では「オンラインソフト作者の長屋みたいな感じで安心感があるドメ
はじめに こんにちは。WEARバックエンド部SREブロックの春日です。普段はWEARというサービスのSREとして開発・運用に携わっています。本記事では、約60%のコスト削減に成功したNATゲートウェイの通信内容の調査方法と通信量の削減方法についてご紹介します。 目次 はじめに 目次 背景 コストの把握 NATゲートウェイの通信内容の把握 CloudWatchメトリクスでの確認 VPCフローログでの確認 リゾルバーでのクエリログでの確認 調査結果をもとにNATゲートウェイ経由での通信量を削減する AWSサービスとの通信 Datadogとの通信 WEARのAPIとの通信 ECRパブリックリポジトリとの通信 結果 まとめ 背景 ZOZOではより効果的な成長を目指してコストの最適化を進めています。コストの増大はサービスの拡大を鈍化させる原因となるため、常に最適な状態に保つことが必要です。WEARで
米Googleは7月18日(現地時間)、2019年3月に生成を停止したURL短縮サービス「goo.gl」を、2025年8月25日に完全停止すると発表した。 goo.glは、2009年に立ち上げたURL短縮サービス。生成停止後も、既に生成された短縮URLは実際のURLにリダイレクトされていた。 8月23日から来年8月24日までは、短縮URLから実際のURLにリダイレクトされる前に終了を告知するページが表示されるようになる。 来年の8月25日以降は、すべてのgoo.glのURLには404エラーが返されるようになる。 短縮URLサービスは2009年前後に、Twitter(現X)の140文字制限にリンクを貼る場合などのニーズを受けてtr.imやbitlyなど、複数の企業が提供していた。 関連記事 Google、ドメイン登録サービスを手放す 約1000万ドメインが他社に 米Googleが、ドメイン登
名古屋国民として名古屋めしを語ってみる。|みくばんP
というお題ですが、「穴場の店はここだ」みたいなガイド的なものは期待しないでください。 生まれて50年以上名古屋国で生活する者が、地元の食生活などについて書き殴るだけのもので、もしかしたら「名古屋国民の食生活のリアル」のタイトルが相応しいかもしれません。 ちなみにここで言う「名古屋国」の国土は、他の地方の人に「名古屋の方から来ました」と言える範囲です。 ご承知おきください。 定義についての詳細はこちらの投稿をご参照ください。 平均点の高い飲食店妻の実家は東京都新宿区の高田馬場にあります。 結婚して20年ですが、帰省した時は、家族と離れて山手線や中央線、都電荒川線に乗って、ふらりと食べ歩きに出かけることがあります。 ところが飲食店に入って、オーダーしたものに箸をつけて「あれ?」と思うことがたまにあります。 つまりその、あまり美味しくないんです。 僕が名古屋の味付けに慣れているから、というわけじ
実務において回帰分析を行うに当たっての注意点を改めて挙げてみる - 渋谷駅前で働くデータサイエンティストのブログ
先日のことですが、以下のニュースが統計的学習モデル界隈で話題になっていました。 肝心の箇所が会員限定コンテンツなので簡潔にまとめると、従来モデルよりも説明変数に入れる海域の数を増やした上で、Lasso(L1正則化)回帰で多重共線性を抑えつつ汎化性能を高めるというアプローチを取った、というお話です*1。これは回帰分析という基本に立ち返った、昨今の「猫も杓子も生成AI」という流れからは一線を画した試みで、いかにも玄人好みという感があるなと僕も感じた次第です。 一方で、僕が身を置く広告・マーケティング業界でもMMM (Media/Marketing Mix Models)を初めとして様々なタイプの回帰分析が広く行われていますが、個人的に見聞する範囲では冗談でなく本当にピンキリで、中には「そんなデタラメな回帰分析で本当に役員会の意思決定に使っているんですか???」みたいなケースも珍しくありません。
データ詰め替え戦略 - kawasima
このSpring Bootを使ったクリーンアーキテクチャの例は、データの詰め替え過剰にみえる。 https://www.baeldung.com/spring-boot-clean-architecture これだけのモデルと詰め替えが必要なのだろうか? 『Get Your Hands Dirty on Clean Architecture 』にこのマッピング戦略(詰め替え戦略)が書かれている No Mapping (レイヤ間でモデルを共有し、詰め替えをしない) 2-way Mapping (各レイヤで独自のモデルを持ち、レイヤを跨ぐ呼び出しは上位レイヤが詰め替えの責務を負う) Full Mapping (各レイヤで独自のモデルを持ち、レイヤを跨ぐ呼び出しには専用のモデルを使う) またこの戦略のどれを選ぶかの基準は『Balancing Coupling in Software Design
やねうら王関連のドキュメントは、やねうら王のGitHubのWikiに整理して公開している。 やねうら王Wiki https://github.com/yaneurao/YaneuraOu/wiki ところが、このGitHubのWikiは、☆500以上獲得するまでGoogleにインデックスされない(Googleの検索結果に出てこない)のだ。 やねうら王のGitHubは8年目であるし、現在、GitHub Sponsors + FANBOXで1ヶ月20万円程度獲得している程度の規模感なのだが、昨日やっと☆500になったばかりである。(めでたい。やっとGoogleの検索結果に出てくる!) そんなわけで、平均的な個人のプロジェクトはGitHubで☆500なんでまず獲得できないので、(Google検索で引っかかって欲しいなら)GitHubのWikiを使うなというのが私からのアドバイスである。 その代わ
ドメイン駆動設計の実践
2024年7月20日に発売された『ドメイン駆動設計をはじめよう』の概要説明と、ソフトウェア開発現場での活用方法。 ①何が書いてあるか? ②事業活動の分析(1章)⇒設計判断 5章、6章、7章、8章、10章 ③業務知識の発見(2章) ④事業活動の複雑さに立ち向かう(3章) ⑤区切られた文脈どう…
2024年7月13日の大吉祥寺.pmで発表した「古典ドメインモデル(パターン)の解脱」のスライドログです。 この2冊で書かれているドメインモデルパターンを「古典」の対象にします。 ドメインモデルパターンは「複雑さに対処するため」と述べています。が、古典では次の2点が課題となっていると考えます。 これら2点について個別に見ていきます。 まずドメインモデルパターンから。 Patterns of Enterprise Application Architecture(以降PofEAA)ではこのように定義されています。 PofEAAのドメインロジックの章で使われている「収益認識」の例を取り上げます。 ContractやProduct, RecognitionStrategyなどといったクラスが作られて、これらのインタラクションでビジネスロジックが実現されると説明されています。 では、これらのドメイ
時系列データのための大規模言語モデル
近年の大規模言語モデル(LLM)の出現は、自然言語処理(NLP)においてパラダイムシフトをもたらし、ChatGPTをはじめとする様々な革新的サービスを生み出している。LLMの急速な進化は、NLPの領域を超えて、より広範なデータモダリティへのLLMの適用可能性を探る研究への発展を促している。その中で今回注目したのが、時系列データへのLLMの適用である。例えば、[Gruver+, 2023] では、GPT-3やLLaMA-2などの既存のLLMが、ダウンストリームタスクで教師あり学習した時系列モデルの性能に匹敵するか上回るレベルで、zero-shotで時系列予測ができることを報告しており、大変興味深い。本ブログでは、2024年に公開されたサーベイ論文「Large Language Models for Time Series: A Survey」を参考にLLM for Time Seriesの全
DDDを実践するための手引き(ドメインイベント編)
ドメインイベントを扱う実装は様々な流派があり、本記事ではなるべく一般的なものを取り上げたいと思っていますが、あくまで一例です。 実装例は Kotlin を使っていますが、他の言語でも同様の実装が可能です。 ドメインイベントとは イベントとは「過去に発生した出来事」であり、ドメインイベントは「ビジネスドメイン上で発生した重要な出来事を表すメッセージ」です。 (例: チケットが割り当てられた、注文がキャンセルされた) ドメインイベントはシステム内の状態の変化(=集約の状態の変化)を表現するものであり、通常は集約がドメインイベントの発生源となります。 用途 ドメインイベントは主に次のような目的で使用されます。 1. イベントの発生を起点に、別の処理をトリガーする ドメインイベントは、システムの異なる部分間を連携させるために使用されます。 ドメイン上の要件として「...したら...する」のようなフ
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ギガファイル便の人に「なんで無料なんですか?どういうことですか?」と聞く
Looker Studioの魅力と便利な使い方を紹介します - yasuhisa's blog
マクドナルド公式アプリのモバイルオーダー経由でクレジットカードが不正利用された話
RAGのSurvey論文からRAG関連技術を俯瞰する - 元生技のデータサイエンティストのメモ帳
「また貴重な資料が……」 Vectorのホームページサービスが年末に終了へ
NATゲートウェイの通信内容を調査して対策し、コストを約60%削減した話 - ZOZO TECH BLOG
Google、URL短縮サービス「goo.gl」を2025年8月に完全終了へ
GitHubのWiki使うのはやめとけという話 | やねうら王 公式サイト
古典ドメインモデリングパターンの解脱 - 大吉祥寺.pm - kawasima