バックエンド視点で振り返るGraphQLを採用したプロダクト開発 - enechain Tech Blog
はじめに 技術スタック eScanチームにおけるGraphQLの使い方 開発フローの工夫 N+1問題の対応と注意点 エラーハンドリングの工夫 モニタリングの工夫 ドキュメンテーションを必須化するための工夫 その他の取り組み 振り返り 良かった点 難しかった点 今後の展望 最後に はじめに こんにちは、enechainでソフトウェアエンジニアをしている小沢です。 私が所属しているチーム(以降、eScanチーム)では、eScanという電力会社向けのリスクマネジメントシステムを開発・運用しており、その中でGraphQLを採用しています。すでにGraphQLを採用するメリット・デメリットについて様々なところで語られていますが、eScanチームでもオーバーフェッチが解消できる点、1リクエストで必要なデータをフェッチできる点などのメリットを享受するために採用しています。 今回は実際にGraphQLを採
Firebase AuthenticationとCloud Runを使ってマイクロサービスっぽく認証機能を作り直してみた (1/2)|yusukeoshiro
Firebase AuthenticationとCloud Runを使ってマイクロサービスっぽく認証機能を作り直してみた (1/2) 大城です。 今日は僕が大好きなFirebaseについて書いて見ようと思います。皆さんFirebaseも使っていますか? 一人のエンジニアとしては本当にお世話になっているサービスです。(しかもほぼタダで。。。) さて、アプリケーションを構築していれば当然認証と認可の機能は必要になってきます。しかし最近のモダンなアプリケーション開発における認証についてはとても複雑になって来たと思います。 古き良き時代もありました。一つのWebサービスがあって、ユーザのIDとPWはハッシュ化してデータベースにいれておけばよかったわけです。しかし今はユーザはログインする際にいろんなオプションを求める様になりました。 • SNSアカウント(Google, Facebookなど)でログ
NTTドコモは8月10日、料金プラン変更などをオンラインで行える「ドコモオンライン手続き」で、dアカウントとパスワードによるログインを廃止した。セキュリティ強化のため。 ドコモショップなどで設定した「ネットワーク暗証番号」を入力してログインするか、生体認証などでログインする「パスワードレス認証」が必要になる。 dアカウントなど大量のユーザーをかかえるサービスは、悪意のある第三者による不正ログインのターゲットになりがちだ。2018年には、dアカウントが不正ログインを受け、「ドコモオンラインショップ」でiPhone Xが大量に不正購入されるという問題が発生。ドコモは2段階認証を推奨するなど、セキュリティを強化してきた。 関連記事 ドコモを名乗るSMSで1億円被害、全額補償へ ドコモオンラインショップでiTunesカードなどの販売を一時停止 NTTドコモは、同社の名乗るフィッシングSMSにより詐
このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」(シームレス)を主宰する山下裕毅氏が執筆。新規性の高いAI分野の科学論文を山下氏がピックアップし、解説する。 X: @shiropen2 北海道科学大学に所属する研究者らが発表した論文「ChatGPTを用いたマルウェア実装」は、コーディング作業を極力せずに、GPT-4を用いてマルウェアが作れるかを実際に検証した研究報告である。 先行研究では、高度なセキュリティ技術を持つ研究者がChatGPTの脱獄(ジェイルブレーク)を行うことでマルウェアを作成できることを示した。今回は、GPT-4に対して、脱獄を行わずにプロンプトによる指示を出すだけで、セキュリティ技術に熟練していない人でも高度なマルウェアを作成できるかを検証する。 具体的には、以下の4種類のマルウェアをPythonで作成する
関連キーワード ネットワーク・セキュリティ | 脆弱性 | Wi-Fi 小規模事業所や家庭にある無線LANルーターの大半が、単純で安価なハッキング装置を使った攻撃で不正侵入可能だということを、研究者が突き止めた。これを明らかにしたのは特権ID管理ベンダーCyberArkのチームだ。同チームがイスラエルのテルアビブで実施した調査の結果、調査実施場所にある無線LANルーターのパスワードの約70%は、無線LANスニッフィングツール(盗聴ツール)やパスワード解析ツールを使って突破できることが分かった。 併せて読みたいお薦め記事 「無線LAN」についてもっと詳しく 「Wi-Fi 6E」が平凡になって「Wi-Fi 7」が超絶 無線LANの行く末は いまさら聞けない「無線LAN」「Wi-Fi」の違いとは? 混同してはいけない理由 いまさら聞けない「無線LANアクセスポイント」「無線LANルーター」の違い
重要度別:2024年1-6月 GA4のアップデート紹介(寄稿:小川卓) - はてなビジネスブログ
株式会社HAPPY ANALYTICSの小川卓(id:ryuka01)です。 Google Analytlcs 4 (以下、「GA4」)は2022年に正式リリースされてからも継続的にアップデートを重ねています。今回の記事では、2024年1月以降に行われたアップデートをまとめて紹介いたします。 アップデートによって何が変わったのか、どう活用できるのか?そして筆者が考える役立ち度(5段階評価)も紹介いたします。対象が非常に限られているものや、影響が無いものはピックアップしません。それでは時系列で早速みていきましょう。 ※リリース日は公式サイトでのアナウンス日を参照していますが、各アカウントへの反映はその前後に行われており一定ではありません 2024年2月8日:手動トラフィックソースのディメンションとレポート追加 2024年2月24日:「広告」メニュー内のレポートと仕様が更新 2024年2月28
xIDのマイナンバーをデジタルID化するサービスがマイナンバー法違反で炎上中(追記あり) : なか2656のblog
このブログ記事の概要 渋谷区などは施設予約システムなどにxID社のxIDを導入を計画しているとのことです。加賀市、兵庫県三田市、町田市などもこのxIDを電子申請システムなどに既に導入しているとのことです。 しかしxID社サイトの説明によると、xIDとは利用者からスマホアプリxIDにマイナンバー(個人番号)を入力させ、同アプリで当該マイナンバーからデジタルIDであるxIDを生成するものであるとのことですが、マイナンバー法を所管する個人情報保護委員会のマイナンバー法のガイドライン(事業者編)Q&A9-2は、「個人番号は、仮に暗号化等により秘匿化されていても、その秘匿化されたものについても個人番号を一定の法則に従って変換したものであることから、番号法第2条第8項に規定する個人番号に該当します。」としており、xID社のxIDはマイナンバー法2条8項かっこ書きによりマイナンバーと法的に同等のもの(「
システムログは悪意のある第三者の攻撃や不正を監査するのに役立ちますが、ログそのものを改ざんされてしまっては意味がありません。Googleが開発する「Trillian」は、そんなログの改ざんをハッシュ木を用いて困難にした、オープンソースのログ基盤です。 An open-source append only ledger | Trillian https://transparency.dev/ Trillianは「ウェブサイト証明書の透明性」の確保を目指すGoogle主導のエコシステム「Certificate Transparency」が支援するプロジェクトのひとつです。Certificate Transparencyには、記事作成時点でApple、Google、Facebookなどが協力しています。 第三者の攻撃や内部不正の監査において重要な役割を持つログは、ただ保存するだけでなく高い改ざん
漏えいした可能性がある情報は、医療従事者の氏名、性別、生年月日、メールアドレス、医療機関の名前と住所、役職、職種、診療科。さらに、サノフィ従業員1390人の氏名も漏えいした可能性がある。クレジットカード情報や銀行口座情報は含まない。 不正アクセスがあったのは7月10日から14日の間。原因はコンサルタントがサノフィのセキュリティポリシーに違反し、個人用PCにデータベースへのアクセスIDなどを保存していたことだ。このPCがマルウェアに感染し、アクセスIDなどが漏えいした結果、データベースへの侵入を許したとしている。 サノフィはコンサルタントが所属する委託先との契約を即刻解除。再発防止策として、アクセスIDなどを変更した他、アカウント管理の見直し、IPフィルタリング、社外ネットワークからのアクセス禁止措置なども講じたという。情報が漏えいした可能性がある医療従事者に対しては、問い合わせ用のコールセ
Signed Query は GraphQL の Trusted Document の新しい実装パターンです - スタディサプリ Product Team Blog
こんにちは。スタディサプリの小中新規開発チームで Web エンジニアをしている @YutaUra です。 去年の4月に新卒で入社をしまして約 1 年が経ちました。インターン生時代にもブログを書いているのでご興味あれば合わせてご覧ください。 GraphQL と Persisted Query スタディサプリ小中講座ではデータ通信に GraphQL を採用しています。 GraphQL を利用することで、クライアントはスキーマに定義された範囲で自由にデータを取得することができます。 query GetUser { user { name age } } また、 GraphQL はデータのグラフ構造に基づいて関連する複数のデータを一度に取得することができます。 query GetUser { user { name age posts { title content } } } GraphQL の
2022年8月にパスワード管理アプリ「LastPass」のソースコードの一部が何者かに盗み出されたことが報じられ、その後、2022年12月になってようやくLastPassはユーザーデータが不正アクセスされたことを認めました。この事件によりユーザーがパスワードを保管している「Vault(保管庫)」のデータが流出したことが報告されており、パスワードの流出が懸念されています。この事件を受け、セキュリティ研究者のナズ・マルクタ氏が「Vaultをクラッキングする方法」を実演し、その危険性に警鐘を鳴らしました。 Cracking encrypted Lastpass vaults | Markuta https://markuta.com/cracking-lastpass-vaults/ LastPass Security Breach UPDATE: What You Need to Know h
LINEヤフーは11月27日、委託先企業への第三者による不正アクセスにより、ユーザー情報、取引先情報、従業員などに関する情報漏えいが判明したと発表した。該当情報は合計で最大約44万件に上る。 漏えいのうち最大30万2569件が「ユーザーに関する利用情報」。そのうちLINE IDとは別に、内部でユーザーを識別する文字列にひも付く、サービス利用履歴などが4万9751件。メッセージなど特定の人とのやり取りに関するような通信の秘密に該当する情報が2万2239件。日本に限ると漏えいしたユーザー利用情報は最大12万9894件で、ユーザー識別子にひも付くサービス利用履歴が1万5454件、通信の秘密に該当する情報が8981件。 なお、口座情報やクレジットカード情報、LINEアプリにおけるトーク内容は含まれないとしている。 取引先に関する個人情報は最大8万6105件が該当。そのうち、取引先などの従業員の氏名
非営利団体Tide Foundationが暗号化のセキュリティメカニズムを発表した。同団体によると、パスワードクラックを14万倍難しくするという。 このメカニズムは「splintering」(分化)と呼ばれている。これは、先例のないレベルの保護実現を目的に、分散技術を用いてユーザー名とパスワードを小さな要素に分解するという、他に例のない暗号化方式だ。 この方式によってsplinteringしたパスワードを完全に復元するのは「途方もなく」困難になるとしている。リバースエンジニアリングやブルートフォース攻撃など、数多くの手口を駆使しても困難なことは言うまでもない。 このメカニズムを正式にリリースする前に、splinteringしたパスワードをクラッキングできるかどうかの戦いをハッカーに挑んだ。成功すれば1ビットコイン(約8500ポンド)の報奨金と、勝ち誇る権利を与えるとした。 3カ月間に650
GoでSMTPを使用したメール二段階認証ページを作ってみた Goでユーザー名/パスワード認証とワンタイムパスワードを使用した二段階認証を作ってみました。イメージをつかむためのテストとして作成したものでそのまま使用できるようなものではありませんが、ご参考になればと思います。 また、駆け出しなのでプログラムのミスや単語の誤用があるかと思いますので、コメントにてご指摘頂けると嬉しいです。 開発環境 OS Microsoft Windows 10 エディタ Visual Studio Code Go SDK go1.20 windows/amd64 SMTPサーバーについて SMTPサーバーは何でもよいのですが、試験的に使うものなのでGmailを利用しました。GmailのSMTPサーバー機能を使用する場合、以前は普段のログインと同じパスワードが使用できたのですが、現在はアプリパスワードを取得する必
IDFA が 2021 年初頭より iOS / iPadOS 14 以降でオプトイン方式に変更されるというニュースが駆け巡りました(※)。IDFA はネイティブアプリで広告などのトラッキングにも使われており、広告出稿という視点からも大きなインパクトがあります。 この仕様変更やITPおよびサードパーティ Cookie の廃止は、オンライン広告におけるユーザのトラッキングを根本的に変えるほどの大きな影響を与え得ること、そして、引き続き集客していくためには、広告配信に必要なピクセルまたはタグを最新のものにアップデートしていくだけではなく、サービスそのものの設計から考え直すべきであることをご紹介したいと思います。 ※2020年9月3日、Appleは、IDFA使用制限の開始時期を2021年以降に延期することを公表しました。 IDFA がどのように使われてきたか そもそもIDFAとは IDFA (ID
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます パスワードが長い方が安全であるのは、常識だと言っていいだろう。パスワードが長くなるほど、あり得る組み合わせが増える。つまり、自動化システムであらゆる組み合わせを試していくことでパスワードを破る「総当たり攻撃」にかかる時間も、それだけ長くなるわけだ。 セキュリティの専門家は、もはや8文字のパスワードでは短すぎ、ゲーミングPCに使われるGPUのような、簡単に入るハードウェアでも簡単に破れると考えている。例えばHive Systemsの計算では、NVIDIAの「GeForce RTX 4090」を使用した場合、8文字のアルファベット(大文字と小文字)、数字、記号のすべての組み合わせを調べたとしても1時間もかからないという。これは2年前に主流だ
Amazon Web Services ブログ マルチテナントソリューションでAmazon SQSを使う AWS SaaS Factoryチームのシニアパートナーソリューションアーキテクト Raju Patel によって書かれた記事です。 モダンアプリケーションは、サービス統合、バッチ処理、またはワークフローオーケストレーションの一部として、キューイングに依存することがよくあります。キューは、システムの環境に拡張性と耐障害性を追加するうえ重要です。 これは、キューイング戦略をマルチテナントソリューションのワークロードにどのように適用するかを考える必要がある、Software-as-a-Service(SaaS)環境では特に当てはまります。SaaS アプリケーションのキューイングモデルを設計する際には、データの分離、パフォーマンス、および運用を考慮する必要があります。 多くの組織がアマゾンウ
サイバー攻撃の脅威が広まる中、Webシステム管理者はパスワードの保存方法をいま一度確認する必要がありそうだ。特に注意すべきなのは、最新のWebアプリケーションフレームワークを使わずに開発した、古いWebシステム。パスワードが漏洩した際に簡単に解読されてしまう可能性があるので注意が必要だ。 2023年8月15日、作品投稿サイト「pictBLand」やオンライン即売会サービス「pictSQUARE」を運営するGMWが不正アクセスを受けたと発表した。pictBLandは作品情報のデータが改ざんされ、pictSQUAREでは会員情報が窃取されていると判明。ユーザーアカウント情報が約80万件流出し、メールアドレスは約61万件、電話番号は約67万件、配送先住所は約22万件、銀行口座情報は883件、X(旧Twitter)のIDは約24万件が流出したという。GMWはユーザーに対して、IDやパスワードを使い
LINEの改正プライバシーポリシーがいろいろとひどいー委託の「混ぜるな危険」の問題・外国にある第三者 : なか2656のblog
1.LINEがプライバシーポリシーを改正 LINE社が3月31日付でLINEのプライバシーポリシーを改正するようです。その内容は、①提携事業者からのメッセージ送信・広告配信などに利用する情報の取得・利用、②統計情報の作成・提供、③越境移転に関する情報の追加、の3点となっています。 このなかで①②はどちらも他社データをLINEの保有する個人データに突合・名寄せをして該当するユーザーに広告やメッセージ等を表示する等となっておりますが、これは委託の「混ぜるな危険の問題」に該当し、本年4月施行の個人情報保護委員会(PPC)の個人情報保護法ガイドラインQA7-41、42、43から違法の可能性があると思われます。また、この改正がLINEのプライバシーポリシー本体に記載されていないこと、昨年3月に炎上した「外国にある第三者」の外国の個人情報保護の制度等の情報の部分が「準備中」となっていることも個人情報保
こんにちは!バクラク事業部の@ysakura_です。普段はバクラクビジネスカードの開発をしています。 先日、Partner APIの開発を担当する事になり、その前段としてバクラクシリーズ全体で利用できる OAuth 2.0 の認可サーバーを開発しました。 OAuth 2.0 により、Partner APIのセキュリティ向上を目的としています。 今回は入門記事として、 OAuth 2.0 の元となる課題感 / OAuth 2.0 での解決方法 / API Key方式との比較 を画像を交えながら説明します。OAuth 2.0 は分かった様で分からない状態になる事も多いと思うので、理解の一助になれば幸いです。 ※ あくまで入門記事ですので、OAuth 2.0 の詳細なフロー図などは出てきません。 前提となるシナリオ 他社のシステム(SaaS等)にデータを連携するシーンを考えます。 例として、バク
ぐるなびのレストラン検索でフロントエンドのパフォーマンスを150%UPさせるために実施した5つのこと - ぐるなびをちょっと良くするエンジニアブログ
こんにちは、フロントエンドエンジニアの秋山です。 主にレストラン検索サービスのフロントエンドのテックリードをしています。 ぐるなびのレストラン検索は2021年10月にフルリニューアルしました。 レスポンシブウェブ対応、地図検索機能の拡充、絞り込みの改善、検索の高速化と盛り沢山のプロジェクトとなりました。これからも随時アップデートをかけて、より早くより使いやすい検索を提供していきますので、これからもよろしくお願いします。 さて、今回はリニューアルに当たってフロントエンドのパフォーマンスを上げるために試行錯誤して、比較的効果の大きかった施策をいくつかピックアップしてお伝えしていきます。 目次 レストラン検索のフロントエンド構成 パフォーマンスの改善 インラインSVGをやめる ファーストビューから非同期コンポーネントをなくす re-export をやめる クライアント JavaScript のロ
正解データがなくても分析コンペは作れる話 - NTT Communications Engineers' Blog
みなさんこんにちは デジタル改革推進部の浅野です。 NTT Comでは社内の分析課題をコンペにしてみんなで解くイベントがあるのですが、今回は正解データが十分用意できなくてもコンペを開催することに成功したので、その妙技をご紹介したいと思います。 (過去の開催はこちらにも投稿しております) 分析コンペとは 分析コンペとは予め用意された課題に対して参加者が予測を行いその精度を競う催しです。コンペサイトではKaggleやAtmacupなどが有名です。 コンペでは参加者に学習用のデータが配られます。学習用データの中には正解データが含まれており、それを頼りに参加者は予測を作ります。さらに参加者に秘密の評価用データも裏にあり、最終的な順位はそちらで決めます。 つまりコンペを開くには、正解データを十分に用意しておく必要があります。 今回のコンペのテーマ 8月に新しいコンペのテーマ案として「社内にかかってく
by Kevin Ku Googleの子会社であるKaggleは、投稿されたデータに対していかに優れた最適モデルを構築するかを、世界中のエンジニアやデータサイエンティストが競うプラットフォームを提供しています。そのKaggleで行われたとあるコンテストで、優勝チームが不正なモデルを構築して賞金を獲得していたことが判明しました。 PetFinder.my Contest: 1st Place Winner Disqualified | Kaggle https://www.kaggle.com/c/petfinder-adoption-prediction/discussion/125436 How a Kaggle Grandmaster cheated in $25,000 AI contest with hidden code – and was fired from dream SV
第521回の「入門システムコンテナマネージャーLXD 3.0」をはじめとして本連載で何度も登場している「LXD」は、システムコンテナの管理ツールです。つまりホストマシン上で動いているLinuxカーネルのコンテナ関連機能を用いて構築された隔離システムを立ち上げることを想定しています。そんなLXDが最近のリリースで、コンテナだけでなく「仮想マシン」もサポートするようになりました。今回はLXDの最新版を使って仮想マシンを起動してみましょう。 QEMUを利用した仮想マシンサポート 繰り返しになりますが、LXDはシステムコンテナの管理ツールです。Dockerのようなプロセスコンテナ(アプリコンテナ)とは異なり、システムコンテナではinitプロセスも含むシステム一式をまるまるコンテナの中で立ち上げます。つまりホストとゲストでカーネルを共有し、コンテナ機能を用いてホストと隔離していること以外は、「軽量
1998年から運営されている児童性的虐待ホットライン「CyberTipline」が十分に機能しておらず、今後、「AI生成の児童ポルノ」が増えると、本物の虐待被害者を見つけることはさらに難しくなっていくと、専門家が指摘しています。 How to Fix the Online Child Exploitation Reporting System | FSI https://cyber.fsi.stanford.edu/io/news/cybertipline-report Report urges fixes to online child exploitation CyberTipline before AI makes it worse | AP News https://apnews.com/article/cybertipline-child-sexual-abuse-stanfor
BigQueryにおけるポリシータグを用いた秘密情報管理とデータ連携の仕組み - ZOZO TECH BLOG
こんにちは、データ基盤の開発・運用をしている谷口(case-k)です。 本記事では、BigQueryで秘密情報を守るためのリソースである、ポリシータグをご紹介します。ポリシータグの概要から採用理由、仕様を考慮したデータ連携の仕組みや運用における注意点まで幅広くお伝えします。 ポリシータグとは ポリシータグを採用した理由 匿名化による機密性の高さ 機密性と利便性の両立 データ基盤を保守運用しやすい 秘密情報をテーブルに新規追加しやすい 秘密情報の権限管理がしやすい ポリシータグを活用したデータ連携の仕組み 利用者が参照するデータ連携後のテーブル 2つのデータ連携基盤 日次データ連携基盤 基幹DBからBigQuery(Private)へのロード BigQuery公開環境への書き込み リアルタイムデータ連携基盤 BigQueryロード前にマスクしたカラムを追加 BigQueryへのストリーミング
LINE株式会社が開催する技術者向けミートアップ「LINE Developer Meetup」。第62回となる今回のテーマは「Android」です。セッション「パスワードのない未来のためのFirebaseで実装するFIDO2」では、LINE株式会社のコキチーズ氏が登壇し、Androidアプリの登録やレジストレーションの実装などFIDO2をFirebeseで実装していくステップについて解説しました。講演資料はこちら セキュリティエンジニアからコードが書ける仕事へ コキチーズ氏:よろしくお願いします。「パスワードのない未来のためのFirebaseで実装するFIDO2」ということで話していきます。 まず簡単に自己紹介をさせてもらいます。インターネットではコキチーズという名前で活動しています。TwitterとGitHubのIDは@k2wankoでやっています。興味のある人はぜひフォローしてもらえる
エムスリーエンジニアリンググループ AI・機械学習チームでソフトウェアエンジニアをしている中村(@po3rin) です。 弊社では毎週水曜日にElasticsearchとLuceneのコードリーディング会が開催されています。最近ではLuceneのFSTやKD-Tree、もうすぐ公開されるNSWの実装周りを読んでいました。 先日、私の発表回でLuceneのメモリ上での転置インデックスのデータ構造について発表したので、その内容を紹介します。Luceneのことが少しでも身近に感じていただければ幸いです。 Luceneとは 転置インデックスに関する事前知識 Luceneの事前知識 Luceneのメモリ上での転置インデックス実装内部 確保したメモリがあふれた場合 まとめ We're hiring !!! Luceneとは github.com Elasticsearchの内部で利用されているオープン
by iphonedigital 開発者やベータテスター向けに配布が開始されているiOS 14.5とiPadOS 14.5では、Safariブラウザの「セーフブラウジング」機能がAppleのサーバーから提供されるようになることが判明しました。これまでGoogleに依存していたセーフブラウジングがAppleの独自サーバーで行われるようになることで、AppleユーザーはGoogleにIPアドレスなどの個人情報を収集されることなく安全にブラウジングをすることができるようになります。 Apple redirects Google Safe Browsing traffic through its own proxy servers to prevent disclosing users' IP addresses to Google in iOS 14.5 https://the8-bit.com
LLM開発のためのデータエンジニアリング MLOps Advent Calendar 2023の24日目です。 Stability AIでデータ系のソフトウェアエンジニアをやっているcvuskです。主な仕事は日本語LLMのためのデータ開発です。Stability AIでは日本語LLMも各種開発しています。LLMの学習というと大量のGPUを用意して巨大なデータでモデルを学習する、というキラキラしたイメージ(?)が強いかもしれませんが、データが重要かつ苦労が耐えない課題であることは他の機械学習やディープラーニングモデルと違いありません。日本語のテキストデータは英語ほど入手しやすいわけではないのと同時に、データエンジニアリングや品質面でもいろいろと大変なことが多々あります。今回はLLMのためのテキストデータの用途やエンジニアリングについて整理します。 LLMの学習 LLMの学習は大きく分けて事前
Black Cat CarnivalというSNSサービスを開発している 昨年10月から開発を進めている。反響があるようであればチーム開発に移行したい、とは考えているが今は一人で開発している。(※開発以外は様々な方に助けていただいています🙇♂️) 理想的には動く物でベータテストを行えると良いのだが、相当な時間がかかってしまうのでクライアントを先に開発して意見を頂戴しブラッシュアップしようと考えた。…というか、これを使ってくれる人はいるのか?を確認しなければ、不安に抵抗できなくなってきた。 しかしApple AppStoreやGoogle Playで公開ベータテストを行うには審査を通過する必要がある。審査は動作するサービスでなければおそらく通らない。 クローズドテストであれば審査は要らないが、メールアドレスを頂戴して招待をお送りする必要がある。敷居が高いと感じた。 クライアントはCompo
GitHub Copilot にいいコードを書いてもらう方法 - GMOインターネットグループ グループ研究開発本部
D.M.です。 AI とともにプログラミングをしてみた体験記です。 モチベーション 2022年11月、 ChatGPT が登場したことにより、今の学生は AI にレポートを書かせるというような話が普通に出るご時世になりました。 ChatGPT は例えばプログラミングのお題を投げると AI がかなり高精度なプログラムを書いてレスポンスしてくれたりします。この技術は将来的に Google 検索を脅かす存在になるのではというほどの注目を集めています。 ペアプログラマー Github Copilot よりプログラミングに特化した AI サービスとして、 GitHub Copilot があります(ギットハブ コパイロットと読む)。 2022年6月に正式リリースされています。 このツールには以下のような特徴があります。 ・ソースの流れやコメントに合わせて次に書くべきコードをサジェストしてくれる。 ・V
AES-256 GCMに渡すkeyに、パスワードそのものではなく、鍵導出関数(PBKDF2など)で生成したハッシュ値を指定する理由は?
以前書いた、「あるデータをパスフレーズで暗号化し、公開ストレージ(URLが判明すれば誰でも読み取り可能)に暗号化ファイルの形式で保存し(期間は無期限)、あとからパスフレーズで復号して読み取るためのコード」を改修するため、「AES-256 GCM、または、ChaCha20-Poly1305を用いて、データを1つのパスフレーズを用いて暗号化するライブラリ」をTypeScriptで書こうと考えています。 この場合の要件は: 暗号化したデータは、第三者が自由に読み取り可能であり、その場合でも安全性を保つ必要がある 暗号化したデータは、無期限で利用される場合がある。したがって、短期間のみ用いるものではない 暗号化したデータには、パスフレーズを除く、復号に必要な情報がすべて含まれる。暗号化と複合に必要な秘密情報はパスフレーズのみ になります。例えるなら、Gitリポジトリ内で特定のファイルを暗号化するよ
Version 7 UNIXとは、DECのPDP-11で動いていたUNIXです。AT&Tベル研究所製の初期のUNIXシリーズの直系のバージョンで、1979年にリリースされました。 V7は現在、フリーソフトウェアとして公開されており、こちらからブートイメージを入手することができます。また、x86への移植活動もあり、VM用のディスクイメージが公開されていたりします。 古いUNIXを触ってみたくなったので、古いハードウェアをシミュレートしてくれるエミュレータ simh を導入して遊んでみることにしました。 下準備 まずは必要なものを揃えます。simh は、dpkg系のパッケージ管理システムを採用しているディストリビューション上で次のようにしてインストールします。 [bash]$ sudo aptitude install simh[/bash] 次に、V7のイメージをダウンロードし、解凍しておき
Gitオブジェクト Gitはバージョン管理に必要なデータを主に「オブジェクト」と呼ばれる概念で表現し、.git/objectsディレクトリで管理しています。 オブジェクトには以下の4種類があります。 blobオブジェクト ファイルの情報が入っているオブジェクト(バックアップ) treeオブジェクト ディレクトリ情報が入っているオブジェクト commitオブジェクト コミットの情報が入っているオブジェクト tagオブジェクト annotated tagの情報が入っているオブジェクト そして、Gitは一種のKey-Value Storeとしてこれらのオブジェクトを管理しています。 Gitでは、Keyはオブジェクトの中身に対するSHA-1ハッシュ値から作られ、Valueはオブジェクトの中身です。一連の流れは以下の通りです。 それぞれのオブジェクト(Value)を作成 オブジェクトの中身をSHA-
ディメンショナルモデリングに入門しよう!Snowflakeとdbt Cloudで「Building a Kimball dimensional model with dbt」をやってみた | DevelopersIO
ディメンショナルモデリングに入門しよう!Snowflakeとdbt Cloudで「Building a Kimball dimensional model with dbt」をやってみた さがらです。 ここ2年ほどの間にdbtが日本でも急速に拡大し、様々な情報が日本語の記事でも見かけられるようになってきました。 dbtを採用してある程度活用を進めていくと、「より効率よくガバナンスを持ってデータを管理するにはどうすればいいんだろうか」といったデータの管理方法に悩む場面が出てくると思います。 そんなときに色々調べていくと、データを効率よく管理する手法として「データモデリング」が必要だとわかり、ディメンショナルモデリングやData Vaultなどの手法に行き着くのではないでしょうか。 そしてこれらのデータモデリングの手法の内、ディメンショナルモデリングについてdbtを用いて実践された記事がありま
慣れてきたらチャレンジしてみよう!BigQueryのパフォーマンス最適化 - ABEJA Tech Blog
自己紹介 I/Oや通信的観点 分割されたクエリを取り除く 過剰なワイルドカード テーブルを避ける テーブルを日付別にシャーディングすることを避ける & テーブルの過度な分割を回避する JOIN を使用する前にデータを削減する コンピューティング的観点 結合パターンを最適化する 結合で INT64 データ型を使用して費用を削減し、比較パフォーマンスを向上させる 同じ共通テーブル式(CTE)を複数回評価するのを避ける クエリのアンチパターン 自己結合 データスキュー 公式にはない項目ですが個人的に気になったので 単一行を更新または挿入する DML ステートメント 非正規化の検討 ネストされて繰り返されているフィールドを使用する 採用情報 自己紹介 こんにちは、真壁(@Takayoshi_ma)です。先日読んだGoogle Cloudの公式ドキュメントが個人的に勉強になったので内容についてまとめ
タクシーアプリ「GO」、法人向けサービス「GO BUSINESS」、タクシーデリバリーアプリ「GO Dine」の分析基盤を開発運用している伊田です。本番DBから分析基盤への連携処理を改善した事例を紹介します。※ 本記事の対象読者はETLツールを利用している方を対象にしています はじめに本記事では、タクシーアプリ「GO」の DB から分析基盤への同期処理を約7時間から約10分に改善した事例を紹介します。まず、既存の処理および改善前の状況を説明し、次に改善にあたり実施した分析、その分析をもとにチーム内で実施した議論を経て、最終的にどのような実装を行ったのか紹介させて頂きます。 同期処理についてGO の DB は Cloud SQL 上で構築されており、分析基盤への同期処理は GKE 上で Embulk を起動し、リードレプリカに対してクエリを投げて一度 GCS に結果を格納します。その後、GC
パスワード管理ツール「LastPass」開発の親会社であるGoToが、顧客データの暗号化済みバックアップを保存したクラウドストレージへの不正アクセスが2022年11月に発生した件について、この不正アクセスでリモートコンピューター管理ソフトのLogMeIn CentralやLogMeIn Proなどの顧客データの一部がやはり盗み出されていたと発表しました。 Our Response to a Recent Security Incident- GoTo https://www.goto.com/blog/our-response-to-a-recent-security-incident GoTo says hackers stole customers' backups and encryption key https://www.bleepingcomputer.com/news/sec
ハッシュ化すれば安全か?
パスワードのファイルは、可逆暗号化するだけでは不足であり、不可逆暗号化であるハッシュ化が必要だ、という見解がある。 可逆暗号化では、暗号化の解読が可能だが、ハッシュ化ならば、暗号の解読はできないからだ、という理屈だ。 → https://b.hatena.ne.jp/entry/s/www.itmedia.co.jp/news/articles/2203/15/news172.html しかし、それは正しくない。たとえハッシュ化しても、ハッシュ化の解読は可能である。 それには、次の方法を取る。 「文字列の組み合わせ(総当たり)のハッシュ化をしたリストを得る」 たとえば、 8桁以下の英字(大小)の組み合わせのすべてに対して、そのハッシュ化をしたリストを得る。 こうした一覧リストを得れば、ハッシュ化されたデータファイルから、元のパスワードを復元することが可能である。 ※ 全員が復元できるわけで
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「ドコモオンライン手続き」dアカウント+パスワードのログイン廃止 セキュリティ強化で
学生が生成AIでマルウェアをつくってみた――ほぼコーディングせず脱獄もなし 北海道科学大が検証
「無線LANルーターの7割は侵入可能」 研究者が明らかにした“驚きの手口”
Googleが開発した「改ざん不可能なログシステム」を構築できる「Trillian」とは?
医療従事者73万人分の情報漏えいか 製薬大手に不正アクセス 委託コンサルが私物PC使用のポリシー違反
データ侵害が発生したパスワード管理アプリ「LastPass」をクラッキングする方法をセキュリティ研究者が実演
LINEヤフーで不正アクセス、約44万件の利用情報などが漏えい 委託先PCがマルウェア感染
クラックするのは14万倍難しい、新パスワード暗号化方式
GoでSMTPを使用したメール二段階認証ページを作ってみた - Qiita
IDFA とCookie の制限がマーケティングに与える影響とその対策
安全なパスワードの長さは?その質問自体が間違っているかも
マルチテナントソリューションでAmazon SQSを使う | Amazon Web Services
GPU進化でパスワード解読が加速、旧システムは保存方法の見直しを
OAuth 2.0 が解決するAPI連携の課題 - LayerX エンジニアブログ
Googleが主催する機械学習のコンテストで勝利したチームが競技の課題をハックしていたことが判明
第609回 LXDからコンテナではなく仮想マシンを起動する | gihyo.jp
AI生成の児童ポルノが爆増しており児童搾取に関する報告システムが機能不全に陥る恐れがあるとインターネット監視団が警告
パスワード認証のリスクを軽減するための「FIDO2」をFirebeseで実装していく
Luceneのメモリ上でのインデックス構造とその仕組み - エムスリーテックブログ
iOS 14.5の「セーフブラウジング」はGoogleではなくAppleの自社サーバー経由で行われるようになる
LLM開発のためのデータエンジニアリング - Qiita
新しいSNSのティザーサイトを公開した|sugitani
1979年のOS『Version 7 UNIX』を使う – dyama's page
Gitの内部構造をよく理解して、うまく使おう【基本の仕組みを解説】
分析基盤へのデータ同期を約40倍早くしてみた | MoT Lab (GO Inc. Engineering Blog)
LastPass親会社が不正アクセスで顧客データの一部を盗み出されていたことを認める