Intro 筆者は、 Web のセマンティクスに対する実装の方針として、大きく Push 型の実装 と Pull 型の実装 があると考えている。 もっと言えば、それは実装方法という具体的な話よりも、開発者のセマンティクスに対する態度を表現することができる。 この話は「Push よりも Pull が良い」などと簡単に切り分けられる話ではない。 「自分は今 Push で実装しているのか、 Pull で実装しているのか」この観点を意識するかしないかによって、セマンティクスに対する視野が広くなり、その応用として、たとえば今自分が行っている実装が、将来の Web においてどのような互換性の問題を生じるかなどを想像できるようになるだろう。最近問題になる Ossification を、こうした視点の欠如の結果とみることもできる。 (本エントリでの Ossification は、一般に言われている Pro
Project Googrename: Google Workspace で 14 年運用されたドメインエイリアスをプライマリドメインに変更 & 全ユーザーを安全にリネームする - クックパッド開発者ブログ
コーポレートエンジニアリング部の id:sora_h です *1。今回は 3 ヵ月ほど前に実施した、Google Workspace テナントのプライマリドメイン変更について、記録を兼ねて説明します。 クックパッドは 2009 年頃 *2 より Google Workspace *3 を利用しています。当社の対外的なメールアドレスは cookpad.com ですが、Google ではプライマリドメインとして cookpad.jp が設定されています。各ユーザーには cookpad.com のアドレスを別名 (エイリアス) として登録されていて、メールアドレスとしては cookpad.com を利用、ただ Google へログインする時だけ cookpad.jp を利用する運用になっていました。想像が出来ると思いますが、これが様々な面で不便・混乱を発生させていました。どうしてこうなった… *
業務で使うツール(iTerm2,SequelPro,Chrome)をShellScriptでハイパーテクニックする - ハイパーマッスルエンジニア
業務で使うツール(iTerm2,SequelPro,Chrome)を ShellScriptでハイパーテクニックする はじめに この記事は今年イチ!お勧めしたいテクニック by ゆめみ feat.やめ太郎 Advent Calendar 2019の20日目の記事です。 今年は「お勧めテクニック」ということで、業務効率化ッ!!を盾に業務時間の30%はShellScript遊びに当てている私にピッタリな企画ですね、ありがとうございます。 今回は業務でよく使うツールを、ShellScriptでハイパーテクニックする方法をいくつかご紹介。 今回紹介するコードは全部Githubにあげているので実際に試したい人はどうぞ。 ハイパーテクニックする対象 GoogleChrome iTerm2 SequelPro GoogleChrome ブラウザに移動せずTerminalで自在にタブ移動する Web開発を
【注意】海外ナレーターからの宅録ナレーション依頼にどうかご注意ください。|石井しおり | ナレーター・MC | コトバテラス
一人でも多くの方にこの記事が届きますようにという思いを込めて、この度投稿することにいたしました。ぜひ周囲の方、特にフリーランスの方にこういった事例があることを周知していただければと思います。 発信することの重要性を前回お伝えしましたが、実はその投稿直後に自身の発信をきっかけに特殊詐欺の被害に遭い、発信することのウラに潜む危険な面を自ら経験しました。これからお伝えする私の経験をもとに、公に発信する内容につきましてはどうか皆さん慎重にご検討いただければと思います。 と言いますのも、私は今年の初めに仕事用のInstagramアカウントを立ち上げたのですが、まさにそれがきっかけとなってしまったのです。Instagramを通してある宅録ナレーションの依頼を受け、データを納品したにもかかわらず、結果的に報酬をいただくどころか多額のお金を奪われてしまいました。そして恐ろしいことに、今もなお追加の振り込み
皆さんは、うっかりブレーカー落とした経験ありませんか? 「ドライヤー使う前に今の電気使用量が分かれば良いのに!」とか思ったことないですか? 最近は、その希望が簡単に叶うって知ってますか!? と言う事で、今回は、「スマートメーターから電力状況を取得して表示する」ことが出来る機械を作ってみたお話です。 もうブレーカー落とさずに済むよん♪ 前説:あなたのお宅は「スマートメーター」ですか!? ここ数年で、全国の家庭用電力メーターがスマートメーターにどんどん置き変わっています。 2019年末時点だと、もう殆どのご家庭がスマートメーターになっているのではないでしょうか? 「日本の世帯毎における普及率が一番高いIoT機器」はスマートメーターと言えるかも? スマートメーターって何?って人は、コチラ↓をどうぞ。 スマートメーター|Smart life|東京電力エナジーパートナー株式会社東京電力エナジーパート
諸事情によりしばらくFlutterでアプリ作って感じたことをいくつか。 良いところ 1. ちゃんと動く みなさんも今までに出ては消えていくiOS, Android両方で動くアプリ作れるよ系ソリューションで色々なお気持ちを発生させてきたかとおもいますが、Flutterの出来の良さはピカイチ感があります。Flutter Engineすごーい! 大抵のアプリが必要とするような機能(当然全てではない。例えばパスワード管理との連携とかは存在しない)であれば、各プラットフォームネイティブに手を入れることなくちゃんと動く。自前レンダリングと聞いて心配していたパフォーマンスも普通に悪くない。なんて素晴らしいんでしょう。 Flutterの良さはそこに尽きるとおもいます。 2. すぐ動く いろいろな意味で。 まずコンパイルがそこそこ早いです。 そしてSDKが用意していくれているWidgetの種類がかなり豊富で
家具大手のニトリは9月20日、スマートフォンアプリ「ニトリアプリ」において不正アクセスが発生したと発表した。約13万2000アカウントが不正ログインを受け、個人情報の一部が流出した可能性があるとしている。 不正ログインは9月15日から20日まで発生。19日に流出が判明したという。対象ユーザーは、ニトリネット/ニトリアプリ/シマホアプリで会員登録したユーザーの他、シマホネットでニトリポイントの利用手続きをしたユーザー。 攻撃手法は、ニトリ以外のサービスから流出したユーザーIDとパスワードを使って不正ログインを仕掛ける「リスト型アカウントハッキング」(リスト型攻撃)と推測。ニトリネットのニトリアプリ認証プログラムに対して仕掛けられたとする。 流出した可能性のある個人情報は、メールアドレス、パスワード、会員番号、氏名、住所、電話番号、性別、生年月日、建物種別(戸建/集合住宅)、エレベーターの有無
パスワードレスなユーザー認証を実現する業界標準である「パスキー」を策定するFIDOアライアンスは、パスキーのユーザー体験を最適化させるためのデザインガイドラインの公開を発表しました。 パスキーは、従来のパスワードによるユーザー認証よりも強力で安全な認証方式とされており、普及が期待されていますが、多くのユーザーが慣れ親しんできたパスワード方式と比べると、サインアップやサインインの方法が分かりにくいという課題が指摘されていました。 FIDOアライアンスによるデザインガイドラインの公開は、こうした状況を改善するものとして期待されます。 パスキーのデザインガイドラインの内容 デザインガイドラインは主に以下の要素から構成されています。 UXの原則(UX princeples) コンテンツの原則(Content principles) デザインパターン(スキーマ、サンプルビデオ、AndroidとiOS
スクープ! 朝日新聞が遂に500万部割れ 実売は「350万部以下」か 号外速報(9月18日 22:10) 2020年10月号 DEEP 新聞離れに歯止めが掛からない中、朝日新聞の販売部数(朝刊)が8月についに500万部を割ったことが分かった。400万部台に落ち込んだのはおよそ55年ぶりのことだ。新聞販売関係者の間では、読者に配達されないまま廃棄される「押し紙」の分を差し引いた実売部数は300万~350万部程度との見方が強い。 10年で300万部失う惨状 日本ABC協会のまとめによると、朝日新聞の8月の販売部数は499万1642部で、前月比2万1千部、前年同月比43万部の減少となった。朝日新聞の販売部数は1980年代末から2009年にかけて800万部台を誇っていたが、14年12月に700万部を割り、18年2月には600万部を下回った。10年ほどで300万部も失った上、減少の速度は増している。
自作キーボードにはまっている話を2万字で説明します #自作キーボード - YAMAGUCHI::weblog
はじめに こんにちは、Google Cloud Operations担当者です。Stackdriverという表記はいまは便宜上のものなので、これからは "Cloud Operations" あるいは "Cloud Ops" といった形でまとめて呼んでください。この記事は pyspa Advent Calendar の8日目の記事です。昨日は@shiumachiのFreeleticsで身長が40cm伸びた話でした。 この写真は本文を書くときに使ったCorne Cherry v3です。今年の6月くらいからキーボードを組み立てまくっていて、知人友人にもキーボードの自作の良さを広めています。実際すでにpyspaアドベントカレンダーも2エントリが自作キーボードの話です。 キーボードを作ってみた話を書きます - @katzchang.context Corne Chocolateを組み立てた #DIY
2020年2月8日夜、日本テレビ系列が放送している「世界一受けたい授業」で「ホワイトハッカー」の仕事紹介を特集したシーンがありました。ここでは放送内容からpiyokangoが気になった点を取り上げます。 番組該当パートの構成 www.ntv.co.jp 番組の該当パートは約23分。以下構成で放送されていた。 イントロ(サイバー犯罪、サイバー攻撃の概要紹介) 該当パート説明担当者の紹介 ホワイトハッカーの仕事紹介 設問①としてFBIのiPhoneロック解除を取り上げ 仮想通貨流出事件のIR支援事例紹介 設問②として逆SEOを取り上げ 無線Wifiのハッキング実験 ランチ合コン探偵の番宣 番組中取り上げられた数字 番組中ではいくつかの数字に触れられていた。 サイバー犯罪の被害予想額は660兆円 Cybersecurity Venturesが2016年に発表している数字より引用された予測値。
CD・レコード販売のディスクユニオンは6月29日、同社ECサイト「diskunion.net」「audiounion.jp」の登録者情報が最大約70万件漏えいした可能性があると明らかにした。 漏えいした可能性があるのは、登録者の氏名、住所、電話・FAX番号、メールアドレス、ログインパスワード、会員番号など最大で約70万1000件。クレジットカード情報は保有していないため漏えいしていないとしている。 24日に第三者から情報提供を受けて社内で調査したところ、個人情報が漏えいしている可能性があることが判明。同日午後11時ごろにECサイトのサービスを停止した。25日には外部調査機関に調査を依頼。27日に個人情報保護委員会、28日には警察に被害を報告したという。 ユーザーに対しては、29日以降、個別にメールで案内する他、他社サイトなどでの不正ログイン被害を防止するため、ディスクユニオンのECサイトで
1-3. リンク先の内容を具体的に表示する ボタンやバナーのマイクロコピーでは、リンク先の内容を具体的に表示することが大切です。 「詳しくはこちら」のような表現でリンク先の内容がわからないと、ユーザーはそこに知りたい情報があるのか判断できないために離脱する可能性が高いからです。 デジタルツールの大手メーカーであるAppleが“M1システムオンチップ”を紹介するページでは、リンクボタンに以下のようなマイクロコピーが設置されています。 出典:Apple これらのマイクロコピーによって、ユーザーはリンクボタンの先にどんな情報があるのかを一目で理解できます。 スマホが普及した近年は特に、サイトを閲覧するユーザーはその内容をじっくりと読んでいるというよりも、流し読みをしているケースが多いものです。 「詳しくはこちら」だとそれが何のことだったか記憶に残っていない可能性があり、理解するためにはページを遡
「1Password」が昨年世界で最も顧客数が増えた業務アプリ。テクノロジースタートアップの人気1位の業務アプリは「Google Workspace」。Oktaの調査結果
Oktaは業務アプリの利用動向に関する年次調査を発表。1社当たりの業務アプリ数、米国は105、日本は35で、昨年最も顧客数が増えたのは「1Password」などの結果が示された。 アイデンティティ管理サービスを提供するOktaは、1万8000社以上が利用する同社のサービスの利用データなどを基にした業務アプリの利用動向に関する年次調査「Businesses at Work 2024」 の結果を発表しました。 1社当たりの業務アプリ数、米国は105、日本は35 調査結果によると、1社当たりの業務アプリ数は平均で米国が105で調査結果中最大、日本は35と調査結果中最少だとされました。 企業規模別に見ると、従業員2,000人以上の大企業は前年比10%増の231、従業員数2000人未満の中堅・中小企業は、前年比4%増の72と、企業規模によって業務アプリの数に大きな違いがあることが示されました。 昨年
ブログ パスワード認証 閲覧するには管理人が設定した パスワードの入力が必要です。 管理人からのメッセージ 閲覧パスワード Copyright © since 1999 FC2 inc. All Rights Reserved.
FIDOアライアンスが仕様を策定した「パスキー」は、パスワードではなく生体情報を用いて認証する「FIDO 2.0」を「Webauthn」標準に基いて利用して得た資格認証情報をデバイス単位で管理運用する技術です。このパスキーが抱える問題点について、Webauthn標準に関わったエンジニアのFirstyearことウィリアム・ブラウン氏が自身のブログで解説しています。 Firstyear's blog-a-log https://fy.blackhats.net.au/blog/2024-04-26-passkeys-a-shattered-dream/ Webauthnがパスワードに代わる認証技術として大きな可能性を秘めていると考えていたブラウン氏は、2019年にオーストラリアからアメリカに渡り、友人と共にWebauthnのRust実装であるwebauthn-rsの開発を始めました。その過程で
文章に関わる全ての人のための Git & GitHub 入門 1-1「Git と GitHub を使うメリット」 - Qiita
この連載はこんな人に向けて書かれています。 小説作家さん 編集者さん 校正さん ライターさん 発注者さん つまり文章を書いたり修正したりする全ての人たちですね! シリーズ記事一覧 1-1「Git と GitHub を使うメリット」 1-2「コミットを積み上げる」 1-3「コミットを理解して活用する」 0. この連載を始めたきっかけ 僕は片倉青一という筆名で小説を書いています。 小説だけではご飯を食べられないので、覆面ライターもやっています。せちがらい。 で、覆面ライターの案件で 「クライアントさん… Git と GitHub 使って仕事したいです…」 って言ったら、使っていいということになりました。やったぜ。 でもクライアントさんは Git と GitHub の使い方をあんまり知らないので、片倉が入門書を書くことになりました。なんてこった。 この連載は、片倉がこれからの仕事で楽をするために
macOSの可能性を引き出す! 知らないと損する生産性アプリ11選【今日のワークハック】 | ライフハッカー・ジャパン
macOS最大の強みのひとつは、優秀なアプリが豊富なことです。 キーの機能を並び替えられたり、外部ディスプレイを簡単にコントロールしたり、あまり知られていなくても、注目に値するアプリがたくさんあります。それらの中から、おすすめしたい11のアプリを紹介します。 今日のワークハック:Macのアプリで生産性を供して、仕事の無駄を省くKarabiner:キーボードのキーを変更するMacのキーボードで、キーに設定された機能を別のキーに変更したいときに使えるのが「Karabiner」です。 このアプリ最大のメリットのひとつが、壊れたキーの機能をほかのキーに割り当てられること。たとえば、「Caps lock」キーが使えなくなってしまったら、その機能をファンクションキーにあてがうことができます。 キーの機能をマウスボタンに割り当てることもできますし、外付けキーボードに接続しているときは、Mac内蔵キーボー
水原容疑者を銀行詐欺の疑いで訴追する訴状には何が書かれているのか。 訴状は4月11日付けで、訴追する側としてアメリカの連邦捜査機関で日本の国税庁にあたるIRS=内国歳入庁の特別捜査官の名前が記されています。 以下、詳しい内容をお伝えします。 ※1ドル153円で計算しています。 目次 携帯電話 ブックメーカーと数百のテキストメッセージ 2021年9月8日ごろ 違法賭博のアカウント番号とパスワードを付与
無料の API 自動生成ツールを使って、Excelファイルから REST API を生成してみる:CData API Server - Morning Girl
今月はじめに CData API Server というAPIの自動生成ツールで無料版・freeのライセンスがリリースされました! 今日はこの CData API Server を使ってExcel ファイルから REST API を生成する方法を解説したいと思います。(ちなみに機能的にはExcel だけでなく、MySQL などのRDBからもAPIの生成が可能です。というかそっちの方がメインです) ちなみに今回作ったAPIは以下の内容で公開しています。 O'Reilly Demo API ID:user Token:7y3E6q4b6V1v9f0D2m9j CData API Server って何? こんな REST API を生成するよ 実施手順 1. Excel データソースの接続設定を追加する 2. ExcelのシートをAPIリソースとして追加する 3. アクセス用のユーザーを追加する
インターネットバンキングの口座から預金を不正送金する2019年の被害が前年比4.4倍の20億3200万円(暫定値)に急増したことが6日、警察庁のまとめで分かった。「ワンタイムパスワード」を破る手口が横行し、被害額は4年ぶりに増加した。金融機関は不正送金を防ぐため、顔や指紋で本人確認する生体認証の普及を急いでいる。ワンタイムパスワードはネットバンキング利用時に、ユーザーが元来設定している固定パス
72ページ / A5サイズ / 電子版はPDF(フルカラー) / 紙の本は表紙カラー、本文モノクロ 技術書典16(2023年5月25日~6月9日)の新刊「読み手につたわる文章 - テクニカルライティング」です。 「PDF版」は名前のとおり、PDFをダウンロードできます。紙の本はついてこないので注意してください。 紙の本が欲しい方は「書籍版+PDF版」を購入してください。技術書典16の会期中は技術書典オンラインマーケット(送料無料)で購入できます。 https://techbookfest.org/product/3t8AGqtB65jsPtPhx6m5fr 「ダウンロードカード用」は、既に紙の書籍をお持ちの方向けのファイルです。紙の書籍を購入された方は、あとがきの後ろにダウンロード用のパスワードが記載されています。ダウンロード後、あとがきに記載されているパスワードでZIPファイルを解凍して
GitLabで1クリックアカウント乗っ取りが可能だった脆弱性から学ぶ、OpenID Connect実装の注意点 - Flatt Security Blog
はじめに こんにちは。株式会社Flatt Securityセキュリティエンジニアの森(@ei01241)です。 最近は認証や認可に際してOpenID Connectを使うWebサービスが増えていると思います。「Googleアカウント/Twitter/Facebookでログイン」などのUIはあらゆるサービスで見かけると思います。しかし、OpenID Connectの仕様をよく理解せずに不適切な実装を行うと脆弱性を埋め込むことがあります。 そこで、突然ですがクイズです。以下のTweetをご覧ください。 ⚡️突然ですがクイズです!⚡️ 以下の画面はOAuth 2.0 Best Practice上は推奨されないような実装になっており、潜在的リスクがあります。https://t.co/bXGWktj5fx どのようなリスクが潜んでいるか、ぜひ考えてみてください。このリスクを用いた攻撃についての解説記
Go Secure Coding Practice の日本語翻訳を公開します - Techtouch Developers Blog
はじめに Go Secure Coding Practice とは コンテンツ一覧 良かったところ 注意すべきところ 最後に はじめに こんにちは。SRE の izzii です。 テックタッチのエンジニア規模もそれなりに拡大し、若手の採用も進んできたため、セキュアコーディングを徹底していきたいという思いがあり、まずは意識改革ということで勉強会を実施しました。セキュアコーディングを目的とした場合には教育だけでなく Static application security testing (SAST) の導入といった方法もあるのですが、まずは自分を含めた開発メンバーにノウハウをインストールすることにしました。セキュアコーディングへの意識が高まれば、いづれ SAST の導入の際に抵抗感も少ないだろうと考えています。いきなり SAST を導入しても、誤検知が煩くて浸透しないリスクもありうると考えてい
サイバーセキュリティ企業のThreatFabricは2月、「Google Authenticator」アプリで生成された2要素認証(2FA)コードを盗み出す機能を備える「Android」マルウェアを初めて発見した。 このマルウェアは以前に発見されていた「Cerberus」の亜種。これまで2FAのワンタイムパスワード(OTP)を窃取する機能は備えていなかった。 Cerberusはバンキング型トロイの木馬とリモートアクセス型トロイの木馬(RAT)のハイブリッドだ。Androidデバイスが感染すると、ハッカーはマルウェアのバンキング型トロイの木馬機能を利用して、モバイルバンキングアプリの認証情報を盗み出す。 Cerberusは、アカウントが2FA(つまりGoogle Authenticatorアプリ)で保護されている場合に、攻撃者がRAT機能を通じてユーザーのデバイスに手動で接続できるよう設計さ
【レポ】毎年iPhone買い替えしなくてもOK。バッテリー交換で延命してきました 2021 12/29 毎年秋に発表・発売される新型iPhoneシリーズ。正直なところ、ここ数年は前機種と比べてわかりやすい大きな変化がなく、端末価格を考えて毎年の買い替えはせずに2年ごと、4年ごと…という方も多いのではないでしょうか。 筆者は昨年秋にiPhone12 Proを購入し、それまで使っていたiPhone11 Pro Maxは家族にお下がりに。ただ、2年利用した端末のためバッテリー持ちが悪くなっていました。今年秋のiPhone13シリーズに買い替えるか検討しましたが、Apple公式修理のバッテリー交換で”延命”することにしました。 バッテリー交換の目安は「バッテリー残量80%未満」 iPhoneのバッテリー持ちが悪くなったと感じたときに、端末買い換えを検討する方が多いと思います。iOS機能でバッテリー
TLS証明書チェッカーcheck-tls-certの公開
こんにちは、技術開発室の滝澤です。 TLS証明書チェッカーcheck-tls-certを開発して公開したので紹介します。 このcheck-tls-certについて簡単に説明すると次の通りです。 check-tls-certは、TLS証明書の有効性と証明書チェインの検証するツール 主な用途は、TLS証明書の設置・更新作業の際の各種確認およびTLS証明書の(有効期限を含む)有効性の監視 様々な検査を実施し、各検査結果を出力することで問題箇所を把握しやすい check-tls-certの概要 TLS証明書チェッカーcheck-tls-certはTLS証明書の有効性と証明書チェインを検証します。 主にTLS証明書の設置・更新作業の際の各種確認およびTLS証明書の(有効期限を含む)有効性の監視のために利用できます。 次のサイトで公開しており、ReleaseページからLinux向けとmacOS向けのバ
","naka5":"<!-- BFF501 PC記事下(中⑤企画)パーツ=1541 -->","naka6":"<!-- BFF486 PC記事下(中⑥デジ編)パーツ=8826 --><!-- /news/esi/ichikiji/c6/default.htm -->","naka6Sp":"<!-- BFF3053 SP記事下(中⑥デジ編)パーツ=8826 -->","adcreative72":"<!-- BFF920 広告枠)ADCREATIVE-72 こんな特集も -->\n<!-- Ad BGN -->\n<!-- dfptag PC誘導枠5行 ★ここから -->\n<div class=\"p_infeed_list_wrapper\" id=\"p_infeed_list1\">\n <div class=\"p_infeed_list\">\n <div class=\"
2021年3月24日、松井証券は業務委託先であるSCSKの元従業員が2017年から2年半にわたり不正取得した認証情報を使い同社顧客資産の売却を行い、その売却金や現金を不正に取得を行ったとして元従業員が逮捕されたことを発表しました。またSCSKも元従業員による不正行為が行われていたことを発表しています。ここでは関連する情報をまとめます。 2年半にわたる不正行為 逮捕された男はSCSK元従業員。SCSKは松井証券の取引システムの開発、保守、運用を担当しており、元従業員は入社年からシステムを専任で担当。 警視庁による逮捕容疑は電子計算機使用詐欺、および不正アクセス禁止法違反等で3月24日付。2019年2月20日頃、自身の業務用PCに松井証券顧客の顧客IDなどを保管。10月から11月に顧客口座から自分が管理する顧客名義の銀行口座に約650万円を送金し、ATMで引き出した疑い。*1 元従業員は拾得し
多数の学術論文を無料で公開しているサイト「Sci-Hub」は、学術雑誌出版社大手のエルゼビアなどから訴訟を起こされています。2020年12月にエルゼビアがインドのデリー高等裁判所に訴訟を起こした件を受け、インドのメディア「The Wire Science」のシッダールト・シン記者が、Sci-Hubの運営者でありカザフスタン出身の神経科学者、アレクサンドラ・エルバキアン氏にインタビューを敢行しています。 An Interview With Sci-Hub's Alexandra Elbakyan on the Delhi HC Case - The Wire Science https://science.thewire.in/the-sciences/interview-alexandra-elbakyan-sci-hub-elsevier-academic-publishing-open
安全なウェブサイトの作り方を読んだので、理解した内容を自分なりにまとめておきます。資料 上記は3章構成になっていてそれぞれ長めの内容なので、ここでは3章の『失敗例』について、Ruby on Rails ではどうするかについてをまとめます。 SQL インジェクション OS コマンドインジェクション パス名パラメータの未チェック例(ディレクトリトラバーサル) 不適切なセッション管理例(セッション ID の推測) クロスサイト・スクリプティングの例(エスケープ処理) CSRFの例 HTTP ヘッダ・インジェクションの例 メールヘッダ・インジェクションの例 参考 SQL インジェクション 参考資料内の SQL インジェクション例を見て、Ruby on Rails ではどのように対策できるかを確認しました。 例えば、下記ような $uid, $pass をユーザ入力とし、SQL 文を動的に生成する場合
はじめに みなさんはじめまして。BASEでエンジニアをしております田村 ( taiyou )です。 先日、BASEではショップオーナー向けのコミュニティサイト「BASE Street」にログインするための機能としてSSOログイン機能をリリースしました。 SSOログインを実現するための認証方式はいくつかあるのですが、弊社ではSAML認証方式を用いて実現しました。 そのため、この記事ではSAML認証機構のIdPとしてOSSを使わずにSAML認証機能を実装する方法を紹介します。 前回のテックブログで、このSSOログイン機能のフロント側を開発したPJメンバーの若菜が「サーバーサイドエンジニアがフロントエンドに挑戦して最高の経験になった話」を執筆したのでこちらも見てみてください! SAML認証機能を提供しているOSSには、Keycloakなどがありますが、BASEでは以下の理由により自前実装すること
TL;DR GitHubのアクセス自体を禁止してもセキュリティリスクは高いまま 仮にやるならGitHubのPushだけを禁止するようなツールを使わないと意味がない GitHubでコード管理したいならアカウント管理や情報分類などの運用を組み立てよう はじめに 先日、大手銀行などのソースコードがGitHubを経由して漏れる、というキーワードが話題になりました。 そもそもGitHubってなによ? って方はこちらの四コマが分かりやすいです。 これだけ聞くと相当問題のようにも聞こえますが、別にGitHubの脆弱性を突かれたたとかではなく派遣業者の社給PCないしはそこを経由した私物のPCからGitHubにPushされたという良くある情報流出ですね。なお、幸いにも重要なコードは含まれていなかったようです。 幸か不幸かこのエンジニアがGitHubに不慣れだったので非公開ではなく公開設定にしていたため、SN
「情シス担当者がいなくなってサーバーやネットワーク機器を管理する人がいないので皆さんで管理しましょう」→斬新すぎる管理方法だった
Shadowhat @shadowhat HAGIWARA Takahiro (仮想化プリセエンジニア) 主にNutanix、最近M365、時々Linux、稀にネットワークな日々 発言は個人の見解であり、所属する企業の見解や意見を代表するものではありません。 Nutanix Technology Champion 2018-2024 infraapp.blogspot.jp Shadowhat @shadowhat 「情シス担当者がいなくなって社内のサーバーやネットワーク機器を管理する人がいないので皆さんで管理しましょう。」 といって、社内全員にAdministrator権限のユーザ名とのパスワードを共有する斬新な管理方法を聞いた。 なお、SIでソフトウェア開発をやっている会社さんだそうで。。。 2024-05-08 09:04:29
GoogleやAirbnbなどの著名企業だけでなく、国内でも1000社以上が使っているというプロジェクト管理サービスが「Wrike」です。圧倒的な使いやすさだけでなく、2021年1月21日にシンクライアント技術大手のCitrixに22億5000万ドル(約2330億円)で買収されたことでも話題になっていたので、実際に使ってみました。 チームの仕事をオンラインでまとめて管理 | Wrike https://www.wrike.com/ja/ まずは公式サイトにアクセスし、メールアドレスを入力して「今すぐ始める」をクリック。 入力したメールアドレスに確認用のメールが送られてくるので、本文中の「あなたのEメールであることをご確認ください」をクリック。 アカウント作成ページに遷移するので、上から氏名・パスワード・電話番号を入力し、会社の規模・部署・居住国を選択したら、「次へ」をクリック。 すると、プ
U.K.-based Seraphim Space is spinning up its 13th accelerator program, with nine participating companies working on a range of tech from propulsion to in-space manufacturing and space situational awareness. The…
セブン-イレブンのスマートフォン決済アプリ「7pay(セブンペイ)」で、不正アクセスへの対応のため7月30日に全アカウントのパスワードリセットが実施されました(関連記事)。 SNS上では「このリセットのせいで、チャージしてあった残高が消えてしまった」といった報告が拡散中です。ねとらぼ編集部が運営元のセブン&アイ・ホールディングスに問い合わせたところ、「今回のリセットに伴い残高が消えてしまうことはありません」と説明がありました。 7月30日にパスワードの一斉リセットを行っていた 同社広報は、SNS上での「残高が消えた」との声は把握していると前置いた上で、「今回のリセットや、システム上の不具合のせいで残高、バッジ、クーポンが消えているということはない」と回答。 利用者から問い合わせがあった場合はヒアリングをした上で個別対応を行っており、「事象はお客様によって異なります。例えば複数IDを使ってい
オーストリアの「ファッキング(Fucking)村」が2021年1月1日よりその名前を「フッギング村」に変更することになりました。 Austrian village of ′Fucking′ decides to change its name | News | DW | 26.11.2020 https://www.dw.com/en/austrian-village-of-fucking-decides-to-change-its-name/a-55740967 「fuck」は英語で「性行為」を表し、公共の場では使う事をためらうFワードの1つですが、オーストリアとドイツの国境付近に位置する村では「ファッキング(Fucking)」という地名が約1000年間使われてきました。 「ファッキング村」という名前は英語ではなく、6世紀のフォッコ (Focko)という人物に由来するといわれており、英語
はじめに 弊社では、最近BEC(ビジネスメール詐欺)のインシデント対応を行いました。この事案に対応する中で、マイクロソフト社(*1)やZscaler社(*2)が22年7月に相次いで報告したBECに繋がる大規模なフィッシングキャンペーンに該当していた可能性に気づきました。マイクロソフトによると標的は10,000 以上の組織であるということから、皆様の組織でもキャンペーンの標的となっている可能性や、タイトルの通りMFA(多要素認証)を実施していたとしても、不正にログインされる可能性もあり、注意喚起の意味を込めてキャンペーンに関する情報、および実際に弊社での調査について公開可能な部分を記載しています。 *1: https://www.microsoft.com/security/blog/2022/07/12/from-cookie-theft-to-bec-attackers-use-aitm
『神様のメモ帳』についてあれこれ|杉井光
『神様のメモ帳』1巻の発売年を藤島鳴海高校一年生の年だとすると、今日は彼の30歳の誕生日ということになる。ついでにアニメ放映からちょうど10年が経ったし、なんとなく節目の年だ。なにか書いておこうかな、と思い立ち、(おそらく最後の)短編一本と、備忘録の意味も込めてそれぞれの巻を書いたときのあれこれを思い出せる限りここに書き記した。 短編の方はカクヨムにアップしてある。 以下、全巻解説。当然だがネタバレの嵐であり、『神様のメモ帳』未読の方は絶対に読んではいけない。 第1巻すべてのはじまり、エンジェル・フィックス事件。 デビューシリーズが3冊で打ち切りとなった後、今後作家としてやっていけるのかどうかもわからず五里霧中で立てまくった企画のうちのひとつに編集さんがGOを出し、手探りで書き始めたのが《ニート探偵》だった。 もともと《ニート探偵》というのは、2chの文芸板に僕が常駐していた頃にネタで書き
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Web のセマンティクスにおける Push と Pull | blog.jxck.io
M5StickCで家庭用スマートメーターをハックする!
Flutter所感 - タオルケット体操
ニトリ、不正アクセスで13万2000件の個人情報流出か リスト型攻撃で
「パスキー」のユーザー体験を最適化させるデザインガイドライン、FIDOアライアンスが公開
スクープ! 朝日新聞が遂に500万部割れ 実売は「350万部以下」か
世界一受けたい授業「ホワイトハッカー」特集を見てみた - piyolog
ディスクユニオン、自社ECで最大約70万件の個人情報漏えいか
ユーザーの反応率を高めるマイクロコピーの優れた事例17選 - 小さな会社のWEBビジネスの方程式
寝太郎ブログ - FC2 BLOG パスワード認証
パスワード不要の認証技術「パスキー」はパスワードよりもエクスペリエンスが悪いという批判
【訴状の内容は】水原一平容疑者 違法賭博にのめり込んだ経緯 | NHK
ネットバンキング被害4倍に 「ワンタイムパス」破る - 日本経済新聞
読み手につたわる文章 - テクニカルライティング - mochikoAsTech - BOOTH
グーグルの認証アプリ「Authenticator」、ワンタイムパスワードが盗まれるおそれ
【レポ】毎年iPhone買い替えしなくてもOK。バッテリー交換で延命してきました - iPhone Mania
NHKがColaboに謝罪 取材メモが批判する人物に流出していた:朝日新聞デジタル
業務委託先元従業員による松井証券の不正送金事案についてまとめてみた - piyolog
学術論文を無料で公開している海賊版サイト「Sci-Hub」の運営者へのインタビュー
安全なウェブサイトの作り方~失敗例~ - goruchan’s blog
IdPとしてSAML認証機能を自前実装した - BASEプロダクトチームブログ
GitHubは禁止するべき? ソースコード流出事件から考える情報資産の守り方
カンバン形式やガントチャートなど複数形式でプロジェクト&タスク管理が可能な「Wrike」を使ってみた
TechCrunch | Startup and Technology News
7payパスワードリセットで残高が消える?→セブン広報「消えません」 SNS上のウワサを否定
「ファッキング村」が1000年の歴史に幕を閉じ改名へ、新しい名前とは?
MFA(多要素認証)を突破するフィッシング攻撃の調査 | セキュリティ研究センターブログ