Webサービス公開前のチェックリスト
個人的に「Webサービスの公開前チェックリスト」を作っていたのですが、けっこう育ってきたので公開します。このリストは、過去に自分がミスしたときや、情報収集する中で「明日は我が身…」と思ったときなどに個人的にメモしてきたものをまとめた内容になります。 セキュリティ 認証に関わるCookieの属性 HttpOnly属性が設定されていること XSSの緩和策 SameSite属性がLaxもしくはStrictになっていること 主にCSRF対策のため。Laxの場合、GETリクエストで更新処理を行っているエンドポイントがないか合わせて確認 Secure属性が設定されていること HTTPS通信でのみCookieが送られるように Domain属性が適切に設定されていること サブドメインにもCookieが送られる設定の場合、他のサブドメインのサイトに脆弱性があるとそこからインシデントに繋がるリスクを理解してお
2024年7月12日追記ー 先日の投稿に反応ありがとうございます。 せっかくなのでもう少し詳しく経験を共有したいと思います。 私の経験私がマンションを購入したのは、コロナ禍が始まった直後でした。当時、未曾有の状況下ですから、多くの物件が安値で売りに出されていました。様々個人的な事情も重なり、このタイミングでの購入を決意しました。投資目的ではない実需でしたが、結果的にコロナ収束後の今回の売却では成約ベースで約1500万円の価格上昇がありました。それはそれとして。 不動産業者の問題点 買い叩き:売りやすい物件は、業者が安く仕入れてリフォーム後に高値で売る「買取再販」の対象になりやすい。 囲い込み:不動産屋としては両手仲介(売主・買主両方から手数料をもらいたい)ので「囲い込み」を画策します。私のケースでは、業者間の不動産DBである「REINS」へ不正確な情報を登録して、物件検索に情報がヒットしな
私はプロではないのでわからないので、間違っているのは当たり前だと思って読んでください。 個々人のエンジニアの能力がとかクレジットカードがとかは基本関係ないという話です。 (関係なくてもパスワードを使い回している場合は、同じパスワードを使っているサービスのパスワードはすぐ変えるの推奨) 三行VPN→プライベートクラウドの管理システムとオンプレ認証→各システムと言う流れで侵入されていると思われるオンプレのディレクトリサービスとクラウドのidMが接続され、オンプレの認証資格でSaaSは一部やられた可能性がある現在クラウドにリフトアップ中で、新システムはモダンな対策された方法で保護されており無事だった。が、それ故にオンプレへの対策が後手だったのでは会社のシステムはどうなってるか私は長年社内システムの奴隷をやって参りました。現在のクラウドになる前のサーバも触って参りましたので、その辺りからお話しをさ
今回は、SSH接続を劇的に高速化する方法をご紹介します。たった3行の設定を追加するだけで、接続時間を10分の1に短縮できます。しかも、2回目以降の接続では認証も自動的に行われるので、パスワードやパスフレーズの入力も不要になります。 要点 .ssh/configファイルのHost *セクションに以下の3行を追加するだけです。 詳しい説明 1. ControlMaster auto この設定で、1つのSSH接続で複数のセッションを共有できるようになります。新しくSSH接続を確立するたびに認証情報を入力し直す手間が省けて、接続がぐっと速くなります。具体的には: 初回の接続時のみ認証が必要 2回目以降は既存の接続を再利用するため、認証プロセスをスキップ パスワードやパスフレーズの入力が不要になり、接続がほぼ瞬時に完了 2. ControlPath ~/.ssh/mux-%r@%h:%p Contr
ページ閲覧 AutoPagerize chromewebstore.google.com ページネーションされたウェブページを自動で読み込み続けます。無かったら違和感あるレベルで日常になっています。 daily.dev chromewebstore.google.com 開発者向けニュースを空タブに表示します。 タブを開くときに自然に視界に入るのに加えて、検索で「過去話題になったもの」から探したりします(はてなブックマークやHacker Newsも似た用途で使います) ホームタブとは別です。ホームはperplexity.aiにしてます。 Google Scholar PDF Reader chromewebstore.google.com 標準のPDFビュワーを科学論文を読みやすく強化します。参考文献の追跡や引用、ジャンプ機能を提供します。ついでに官庁資料やクリプト系のホワイトペーパーなど
こんにちは!イーゴリです。 AWS にとって、クラウドのセキュリティは最優先事項です。(AWS公式ページ) AWS環境のセキュリティ対策としてAWSサービスを解説するよりも、まずはAWS環境の最適な設計について考える必要があります。AWS Well-Architected Frameworkを考慮しながらの設計を推奨します。AWS Well-Architected Frameworkを全部詳しく読むことをおすすめしますが、この記事では個人的に一番重要だと思う点について記載します。 とてもざっくり説明しますと、AWS Well-Architected Frameworkとは、クラウドシステムの最適な設計方法を提供するAWSのガイドラインで、6つの柱があります。この記事では基本的に「セキュリティ」の柱を技術的観点から見てみたいと思います。 AWS Well-Architected Framew
マクドナルド公式アプリのモバイルオーダー経由でクレジットカードが不正利用された話 やられました。一応,全容がわかってきたので記録として残しておきます。 クレジットカードの不正利用されてしまった【マックデリバリーでセゾンアメックスが被害に】|モチのブラックカードが欲しい! かなりの部分は上記の方と類似していましたので,こちらもご参照ください。 セゾンポータルアプリへの通知で気付く 最初に気付いたのは,セゾンポータルアプリへの通知でした。 この時点では「ショッピング利用」としかわからなかったので,身に覚えがなく不審には思いましたが,まだ不正利用を確信できませんでした。 続いてクレディセゾンモニタリング担当からSMSが セゾンポータルアプリへの通知とほぼ同じタイミングで,クレディセゾンからSMSが届きました。 上記,ものすごくフィッシングっぽいですが,「0366883248」からのSMSは本物で
徳丸浩氏に聞く、クレカ情報の非保持化に潜む漏洩リスクとEC事業者の対策 ECサイトやWebサービスからの情報漏洩が相次いでおり、クレジットカード番号やセキュリティコードなど、機微な情報が漏洩する事案も散見されます。特に、クレジットカード情報は、2018年に施行された改正割賦販売法にもとづき、ECサイトやWebサービスの運営事業者では事実上、保持しないこと(非保持化)が義務付けられているなか、なぜ漏洩被害が発生してしまうのでしょうか。 本記事では、ECサイトからの漏洩事案を題材として、Webセキュリティの専門家である徳丸浩氏に「なぜクレジットカード情報の漏洩が起こってしまうのか」「ECサイト事業者はどのような対策をとるべきか」「漏洩が発生した場合、どんな流れで対応すべきか」などを伺いました。 この記事のポイント ECサイトでクレジットカード情報の漏洩事案が発生するのは、ECサイトの利用者がク
「NoLang」は「○○の解説動画を作って」と入力するだけで解説動画を作成できるウェブアプリです。新たに、画面端にキャラクターを2体配置して対話形式で物事を解説する「ゆっくり解説」形式の動画が作成可能になったので、実際に試してみました。 【🔥重大発表】🐬NoLang 2.0をリリースしました!! ついに、「ゆっくり解説」形式の動画生成や縦型ショート動画の作成が可能に! 他にも動画の長さ指定、プロンプトによるスタイル制御、画像生成AIなど新機能が目白押し。 圧倒的進化を遂げたNoLangを是非お試しください!https://t.co/WcRBvKLhP1 pic.twitter.com/JOFN8t45KK— マーベリック|生成AI@NoLang (@sayhi2ai_jp) July 7, 2024 ・目次 ◆1:NoLangのアカウント登録 ◆2:「ゆっくり解説」形式の動画を作る設定
全部同時に飽きた 経緯7月頭に早めの夏休みを取り、夏休みだし何か新しいことをするかと考え、最近流行りのゼンゼロをスタート。 ゼンゼロの進行がプレイヤーレベル依存でストップしたので、気になっていたスタレも開始。 同じくスタレもプレイヤーレベル依存でストップされ、原神、鳴潮と始めていったが流石にしんどくなってくる。 鳴潮開幕の「いやあ、ホントよかった。もうちょっとしたら私の十八番、初級巡尉必須応急スキル――心肺蘇生法!を使うところだったよ(原文ママ)」がキツすぎて思わずストーリーを全部スキップしてしまった所で限界を覚える。 もうちょい根性があったらエーテルゲイザーなんかもやってたと思う(ちなみに崩壊3rdは結構前に第1部だけ全部やって、第1.5部がうわキツで投げたよ)。 何一つ完走出来てない感想とにかく思ったのが、どのゲームも同じすぎるなってこと。 似たようなゲームばっかダウンロードしておいて
まあプロじゃない人たちがわからないのは当たり前なんだけど エンジニアの能力がとかクレジットカードがとかは基本関係ないという話 (関係なくてもアカウント持ってたらパスワードはすぐ変えるの推奨) 会社のシステムはどうなってるかこれはシステムがある会社で働いたことある人はわかるんじゃないかと思うけど 会社のシステムというのはいろんなものがあってそれぞれ全然別 メールを扱ってるサーバーと、売れた商品をバーコードでピッとして管理するシステムは全く別でどちらかがハッキングされたからといってもう一つもされるとは限らないというか多分されない さらにKADOKAWAのようにサービスを外部に展開してる会社の場合、外部向けのシステムと内部向けのもの(バックオフィス)でスキルが全然違うのでやっているチームは普通違うし、物理的にサーバーがある場所も違うことが多い そのうえクレジットカードや最近ではシステムにアクセス
Chromebookを買ったがGoogleにログインしようとする度に落ちる...→試行錯誤の末に見つけた意外な理由に「修理持ち込まれたら異常無しで返却されるやつ」
まぐね @mstrnz chrome bookを買いました。Googleにログインしようとする度に落ちるんですが嫌がらせか何かですか? まぐね @mstrnz メールアドレス入力フォームが出てメアド入力し始めたら@をうつくらいのタイミングで飛ぶ。あんまりタイミングに再現性はなくて、10回に1回くらいはパスワード入力までいけるけどパスワード入力し切る前に落ちる。リカバリーモードもメモリテストも完走するから電源系・メモリの故障ではなさそう
電子の時代の相続
87歳になるそろそろ父が死にそう。 むしろもう半年前からほぼ死んでて入院中で意思の疎通が取れない状態が続いている。 父はそれなりに先進的な人間でフリーランスのSEとして66歳まで仕事を続けており、ウェブ上で様々な決済や仮想通貨取引、投資などを行っていた。 ここで問題になるのが、父が持っている資産の全貌を掴むのが難しいのではないかということだ。 父が持っている端末、iPhone、galaxy、PCにはそれぞれパスワードがかかっており、家族の誰もアクセスすることができない。 こうなると、父がどのサービスにどの程度の資産を持っているのかほとんどわからない状況になる。 昔なら株券や通帳がまとめて資産として金庫なり箪笥なりにしまわれていて、遺品整理の際にそこから死亡後の死亡届の提出や相続手続きに移れたが、 多くがウェブ上に存在し、それを確認できる端末にアクセスできないとなってしまうと総資産の把握がめ
OAuthの仕組みを説明してHonoで実装してみる
はじめに はじめまして!レバテック開発部でレバテックプラットフォーム開発チームに所属している塚原です。 直近に認証・認可周りの改修を予定しているため、チーム内で認証・認可の基礎からOAuth・OpenID Connectの仕組みを学ぶ勉強会を実施しました。今回はそこで学んだことのうち、認証・認可の基礎とOAuthの仕組みをまとめます。また、WebフレームワークとしてHono、JavaScriptランタイムとしてBunを使って、OAuthクライアントを実装してみます。 対象読者 認証と認可の違いってなんだっけ...?という人 Basic認証やDigest認証てなんだっけ...?という人 OAuthはライブラリ使って実装してるから仕組みよくわかっていない...という人 OAuthのクライアントの実装って何をすればいいんだっけ...?という人 認証・認可の基礎 2024/7/18 追記 こちらで
マツコの知らない LINE ログインの世界
Ubie プロダクトプラットフォーム所属の nerocrux です。今回は Ubie において、 LINE ログインを成功させるために工夫したことをいくつか紹介したいと思います。 面白いこともすごいこともやってないし、対象読者もよくわかりませんが、興味があったら読んでみてください。 はじめに 症状検索エンジン「ユビー」について Ubie では、症状検索エンジン「ユビー」(以下、ユビーと呼ぶ)という一般ユーザー向けのサービスを展開しています。ユーザーが簡単な質問を回答することで、関連する病名や、適切な受診先情報を得ることができるサービスとなっています。 ユビーは Web ブラウザ経由で利用されることが多いですが、iOS / Android のネイティブアプリも提供しています。 ユーザーがユビーを利用する際に、ユビーのアカウントを作成することで、一貫性のある問診・受診・受診後のフォローアップ体
最小限で基礎的なセキュリティガイダンスである「AWS Startup Security Baseline (AWS SSB)」を紹介します | DevelopersIO
最小限で基礎的なセキュリティガイダンスである「AWS Startup Security Baseline (AWS SSB)」を紹介します いわさです。 SaaS on AWS では大きく 4 つのフェーズ(設計・構築・ローンチ・最適化)で役立てる事ができるコンテンツが提供されています。 設計フェーズでは技術面からコンプライアンスに準拠したりセキュリティベースラインを考える必要があります。 これらについてベストプラクティスが提案されている動画コンテンツがあります。 その中で初期段階で実施出来ることとして次のステップが紹介されていました。 セキュリティ周りは Well-Architected Framework や Security Hub の適用から始めることも多いと思いますが、様々な制約からすぐの導入が難しい場合もあります。 そんな方に本日は上記の中の AWS Startup Secur
2024年7月4日、ハッキングフォーラム上に約100億件ものパスワード情報を含むファイルが投稿されました。セキュリティメディアのCybernewsは「史上最大のパスワード漏えい」として、今回のデータ漏えいについて報じています。 RockYou2024: 10 billion passwords leaked in the largest compilation of all time | Cybernews https://cybernews.com/security/rockyou2024-largest-password-compilation-leak/ This is likely the biggest password leak ever: nearly 10 billion credentials exposed | Mashable https://mashable.com
KADOKAWAグループがランサムウェアを含む大規模なサイバー攻撃を受け、ドワンゴの全従業員の個人情報や、一部の取引先情報などが漏えいした問題で、犯人グループがダークウェブに公開したとみられる漏えい情報を取得し、ネット上に公開するユーザーが現れている。 ドワンゴは6月28日、「興味本位でこれら(漏えい情報)をダウンロードする行為は、ウイルス感染などの危険があるだけなく、違法である可能性が高い」とニコニコの公式Xで指摘。ダウンロード・拡散を控え、ダウンロードした場合は削除するよう呼び掛けた。 また、「ニコニコアカウント」のパスワードについては、「システム内でハッシュ化されてから保存しているため、仮に流出していたとしてもすぐに悪用される可能性は低い」と説明。念のため、ニコニコアカウントと同じパスワードを他サービスでも利用している場合はあ、パスワードを変えるよう呼び掛けている。 関連記事 ニコニ
これが『沖縄に住む』ということです...商品本体よりも送料の方が高くなってしまうことがある沖縄県「本当に恐ろしいのはちいかわマーケットの送料」
リンク ちいかわマーケット ご利用ガイド 会員登録について 入会費・年会費等はかかりません。 ご注文いただく場合は、会員登録(無料)が必須となります。 ◎会員登録方法 新規会員登録ページよりお手続きに進んでください。 新規会員登録画面にて、お客様の情報をご入力ください。 入力・選択項目はすべて必須項目です。 メールアドレスはお客様がご使用されている有効なアドレスを設定してください。 パスワードは5字以上、半角英数にてご登録ください。 「利用規約および個人情報の取り扱いについて」をご確認いただき、「会員登録する」をクリックしてください。 登録いただ
当社グループ情報システムにおける個人情報の取り扱い不備に関するお詫びとご報告 | FAST RETAILING CO., LTD.
株式会社ファーストリテイリング 株式会社ユニクロ 株式会社ジーユー 株式会社プラステ to English page この度、株式会社ファーストリテイリング(以下、当社)が管理する情報システムにおいて、個人情報の取扱いに不備があり、当社および個人情報の取扱いを委託していない一部の委託先事業者の従業員が、業務上必要な範囲を超えて個人情報を閲覧することが可能な状態にあったことが、当社担当部署の調査により判明しました。 お客様および関係者の皆様には、ご迷惑とご心配をおかけすることを、深くお詫び申し上げます。 なお、この情報システムへのアクセスが可能だったのは、当社および委託先事業者の担当従業員に限られており、これらの者による当該情報システムからの個人情報の持ち出しは確認されておりません。また、当該情報システムへのアクセスはシステム上厳しく制限されており、これらの者以外の第三者によるアクセスについ
2024年7月17日、東京ガスおよびグループ子会社の東京ガスエンジニアリングソリューションズは、不正アクセスにより同社が保有する顧客情報などが流出した可能性があると公表しました。流出の可能性のある情報には委託元より提供を受けている情報も対象となっていることが明らかにされています。これを受け委託元の組織からも相次ぎ関連する公表が行われています。ここでは関連する情報をまとめます。 VPN機器を介して不正アクセス 不正アクセスが確認されたのは東京ガスエンジニアリングソリューションズ(以降TGES社と表記)の社内ネットワーク。TGES社ネットワーク上での不正アクセスを検知し調査を進めていたところ、特定のファイルサーバーへアクセスが可能な複数の従業員のクレデンシャル情報(IDとパスワード)が窃取されていた事実が判明した。(不正アクセスがいつ頃から行われていたのかは調査中ためか2社公表での説明はない。
Acer・Dell・GIGABYTE・Intel・Supermicroの数百以上のデバイスでUEFIセキュアブートのプラットフォームキーが漏えいしていたと発覚、システム侵害のリスクあり
セキュリティ企業・Binarlyの研究チームが、Acer、Dell、GIGABYTE、Intel、Supermicroが販売する200種類以上のデバイスでブート時に任意コード実行が可能になる脆弱(ぜいじゃく)性「PKfail」を報告しました。脆弱性の起因は、セキュアブートの基盤となるプラットフォームキーが2022年に漏えいしたことと指摘されています。 PKfail: Untrusted Platform Keys Undermine Secure Boot on UEFI Ecosystem https://www.binarly.io/blog/pkfail-untrusted-platform-keys-undermine-secure-boot-on-uefi-ecosystem SupplyChainAttacks/PKfail/ImpactedDevices.md at main
動植物が生きていく上で必要不可欠な酸素は、植物や植物プランクトンの光合成によって作られると考えられています。ところが、光が届かず光合成ができないはずの深海で作られる「dark oxygen(暗黒酸素)」の存在が明らかとなり、生物以外も酸素を生み出している可能性が示唆されました。 Evidence of dark oxygen production at the abyssal seafloor | Nature Geoscience https://www.nature.com/articles/s41561-024-01480-8 News - Deep-sea discovery calls into question origins of life — The Scottish Association for Marine Science https://www.sams.ac.uk
アメリカ合衆国の名門校であるパデュー大学でコンピューターサイエンスを学んでいる「Ersei」氏が、GoogleドライブからLinuxを起動することに成功したとブログに投稿しました。 Booting Linux off of Google Drive | Ersei 'n Stuff https://ersei.net/en/blog/fuse-root Ersei氏は競争心が強く、友人がNetwork File System(NFS)からLinuxを起動するのに成功したと聞いた時「もっと難しくて、もっと良くて、もっと速くて、もっと強いものを作れると証明しなければ」と考えたとのこと。さまざまなアイデアを検討した結果、「GoogleドライブからLinuxを起動する」というプロジェクトにチャレンジすることに決めました。 Linuxの起動時には次の処理が行われています。 1:UEFIかBIOSが起
東京ガスの子会社が不正アクセスを受けて個人情報約416万人分が漏洩した可能性がある問題を巡り、侵入経路はVPN(仮想私設網)装置経由であったことが日経クロステックの取材で2024年7月18日までに分かった。現在は外部との接続を遮断するなど対策を講じた上で、被害範囲や原因などについて調査を進めている。2024年7月18日午前10時時点で情報の不正利用は確認されていないという。 不正アクセスを受けたのは、ガスや電力の営業を手掛ける東京ガスエンジニアリングソリューションズ(TGES)。2024年6月26日に、同社ネットワークへの不正アクセスを検知したという。同社は即日、外部との接続を遮断した上で専門機関による協力を受けて調査を進めたところ、特定のファイルサーバーへのアクセスに必要な従業員のIDとパスワードが複数窃取されていたことが、2024年7月9日に判明したという。 窃取されたIDとパスワード
前々回の第820回では「改めてUbuntuに入門したい人向けのUbuntuサーバー講座2024」と題してUbuntu 24.04 LTSのサーバー版のインストール方法を紹介しました。もちろんUbuntuはインストールしただけで終わりではありません。豊富なパッケージ資産の利用や、自分なりの環境のカスタマイズなどを行って初めて、「Ubuntuを使う」状態になるのです。そこで今回は、Ubuntuサーバーを使い始めてまず実施するであろう定番の作業をいくつか紹介しましょう。 UbuntuのCLIを使えるようになると、他のLinuxディストリビューションやWSL、Raspberry Pi OSなど他の環境におけるハードルもぐっと下がります。その人の使い方に合うか合わないかは別にして、一度は経験しておくことをおすすめします。 図1 fastfetchでUbuntuの情報を表示した様子 SSHサーバーの
データ窃盗と恐喝を目的として Snowflake の顧客データベース インスタンスを標的にする UNC5537 | Google Cloud 公式ブログ
※この投稿は米国時間 2024 年 6 月 11 日に、Google Cloud blog に投稿されたものの抄訳です。 はじめに Mandiant は、インシデント対応業務と脅威インテリジェンス収集の過程で、データ窃盗と恐喝を目的として Snowflake の顧客データベース インスタンスを標的とする脅威キャンペーンを特定しました。Snowflake は、大量の構造化データと非構造化データの保存と分析に使用されるマルチクラウド データ ウェアハウス プラットフォームです。Mandiant は、この活動クラスタを UNC5537 として追跡しています。UNC5537 は、Snowflake の顧客環境から大量のレコードを盗んだ疑いのある、金銭目的の脅威アクターです。UNC5537 は、盗んだ顧客の認証情報を利用して Snowflake の顧客インスタンスを体系的に侵害し、サイバー犯罪フォー
「なんでアクセストークンがいるの?パスワードを保存すれば良いのではないの?」というパワーワードを聞いたので説明してみる
ID本の読者の一人から、「なんでアクセストークンがいるの?パスワードを保存すれば良いのではないの?」というパワーワードを聞いた。そうか、そういえば、そういうベーシックなことを説明していなかったな。というわけで、改定の機会があったら加筆するとして、とりあえずブログにしておきます。 OAuthと2つのトークン OAuthの登場者には、 保護対象リソース (Protected Resource):アクセス制御がされるべきリソース リソース管理者 (Resource Owner) :保護対象リソースに対するアクセスを決定することができる人または組織 認可サーバ (Authorization Server):リソース管理者の指示に従って、クライアントにトークン(切符)を発行するソフトウェア クライアント (Client):リソース管理者の許可のもとに保護対象リソースにアクセスして何らかの処理を行うソ
執筆:Nick Biasini、協力:Kendall McKay、Guilherme Venere クラウド データ プラットフォーム Snowflake のログイン情報の流出、盗難に端を発した数々の影響と流出後の攻撃が続々とニュースになっています。 攻撃者は、情報窃取マルウェアを使用して Snowflake アカウントのログイン情報を入手しました。中には多要素認証(MFA)で保護されていないものがあり、それを使用して Snowflake の顧客アカウントに侵入し、機密情報を盗み出しました。しかし、Snowflake の本当の問題はこの点ではありません。このインシデントは、ここしばらく脅威環境で見られているはるかに大きな変化の現れであり、その焦点はアイデンティティにあります。 過去数十年の間に犯罪的脅威を取り巻く環境が崩壊し、ランサムウェアやデータ強奪が広まっている状況を Talos は目
日立製作所は7月29日、AIが生成した文章に多重電子透かしを搭載する技術を開発したと発表した。この技術を使うことで、人間が書いた文章なのか、AIが生成した文章なのかを見分けられるという。この研究を主導した、同社の研究開発グループ先端AIイノベーションセンタの永塚光一企画員は「世界で初めて、AI生成文章に二重、三重と多重に透かしを入れられる技術を開発した」と話す。 文章に電子透かしを入れる仕組みは“単語をグループ分けする”というものだ。例えば、AIが生成できる単語をランダムに2つのグループに分けて、文章を作る際に“できるだけ特定のグループの単語を文章に入れる”ように細工を施す。人間が書いた文章であれば、2つのグループの単語がそれぞれ半分ほどの割合で入るが、AI生成文章では指定したグループの単語の割合が高くなるため“AIが生成した可能性が高い文章”と判断できる。 一見すると普通の文章に見えるた
Webアプリケーションにおけるレートリミット、サーキットブレーカー、リトライの役割を調べて実装してみた - RAKUS Developers Blog | ラクス エンジニアブログ
はじめに Webアプリケーションにおけるレートリミット、サーキットブレーカー、リトライの役割 リトライ サーキットブレーカー レートリミット レートリミット、サーキットブレーカー、リトライの実装 サンプルアプリケーションの実装 リトライ、サーキットブレーカー、レートリミットを追加 まとめ 年に1度の技術イベント「RAKUS Tech Conference」を開催します!! はじめに こんにちは!エンジニア2年目のTKDSです。 今回は、レートリミット・サーキットブレーカー・リトライについて調べた内容を紹介し、ライブラリを使ってGoで実装してみます。 Webアプリケーションにおけるレートリミット、サーキットブレーカー、リトライの役割 リトライ リクエストが失敗した場合に再試行します。 リトライは、一時的な障害に対して効果を発揮します。 ネットワークの瞬断やサービスの一時的な過負荷など、やり直
Googleは「Google Workspace Status Dashboard」において、2024年7月24日22時半過ぎから25日16時半ごろ(協定世界時)までChromeのパスワードマネージャーが正常に動作しなくなったと報じた。影響を受けたユーザーは保存していたパスワードが消え、パスワードを保存できなくなったと報告している。 Google Workspace Status Dashboard パスワードが消えた原因 Googleは今回の件の根本原因を次のように説明している。 予備分析から問題の根本的な原因は、適切な機能保護なしに製品の動作を変更したことにあると判明した。Googleのエンジニアは修正プログラムを展開することで問題を軽減した。今後数日以内に完全修復し、根本原因を明らかにする。 現時点では暫定的な修復ではあるものの、問題は解決したと説明している。また、影響を受けたユーザ
2024年もいつの間にか半分が過ぎました。夏越の祓も終わり、なぜか既に始まっている気もする本格的な夏に向けて心機一転気合を入れる時期です。 今回は、研修期間が終わった途端にもう誰がメンテナンスしているかもわからなくなった古いサーバーのリプレースを依頼された不幸な新社会人に向けて、改めてUbuntuサーバーの初歩的なインストール方法について紹介します。 ちなみにUbuntuデスクトップや基本的な部分については、第811回「ゴールデンウィーク特別企画 新学生・新社会人向けのUbuntuデスクトップ講座2024」を参照してください。 図1 Ubuntuサーバーのインストール画面 Ubuntuサーバーとは まず最初にUbuntuサーバーに関する一般的な話をしましょう。「とりあえずUbuntuのインストール方法がわかれば良い」のであれば、「Ubuntuサーバーのインストール手順」まで読み飛ばして
10年前から金銭的利益を目的にLinuxサーバーを侵害し、今なお進化を続けるEburyマルウェア。ESET社の調査で明らかになったその手口を解説します。 10年前にESET社は「Operation Windigo(ウィンディゴ作戦)」というタイトルのホワイトペーパーを公開し、Linuxを攻撃するEburyマルウェアによって金銭的利益を目的としたキャンペーンが実行されていることを伝えました。ESET社は、Eburyのその後の進化と、Linuxサーバーのボットネットを収益化するためにEburyのオペレーターが使用している新しいマルウェア系統を解説したホワイトペーパーを公開しました。 ウィンディゴ作戦のホワイトペーパーを公開した後、Eburyの実行犯の1人が逮捕され、有罪判決を受けましたが、ボットネットの拡大は止まっていません。2014年と2017年にも報告していますが、OpenSSHバックドア
by Adejumoke Owolabi 生成AIの普及に伴いAIを用いて作成された偽画像(ディープフェイク)を見分ける手法が求められるようになっています。イングランド・ハル大学の研究チームは、銀河の測定に使用するツールを利用してディープフェイクを見分ける手法を開発しました。 Want to spot a deepfake? Look for the stars in their eyes | The Royal Astronomical Society https://ras.ac.uk/news-and-press/news/want-spot-deepfake-look-stars-their-eyes Astronomers discover technique to spot AI fakes using galaxy-measurement tools | Ars Techni
インボイス管理サービス「Bill One」の認証を内製認証基盤に置き換えて認証基盤のコストを削減した話 - Sansan Tech Blog
Bill One Engineering Unit 共通認証基盤チームの樋口です。 Bill Oneでは昨年までAuth0を認証基盤として利用してきましたが、認証基盤を内製化することでコストを大幅に削減しました。 この認証基盤は、昨年12月に無事リリースされ、Bill Oneの認証を支えています。 今回は認証基盤の内製化に至った経緯と設計、移行プロセスについて紹介します。 Bill Oneについて 認証基盤に関する課題 解決方法の検討 IDaaS(Identity as a Service)について 設計とシステム構成について 認証基盤の設計 システム構成 アカウントの移行について メールアドレス・パスワードでのログインを利用しているユーザーの移行 SSO(Single Sign-On)の移行 振り返りと今後 ドメイン変更による問い合わせの増加 内製化によって体験の改善がスムーズに Bil
現代社会の高齢化が進むにつれて、認知症はますます大きな社会問題になっています。ところが、アメリカで認知症と診断された約6万9000人のデータを分析した新たな研究では、認知症と診断された人の約13%が実は認知症ではなく、「治療可能な肝臓の病気」かもしれないという結果が示されました。 A Possible Reversible Cause of Cognitive Impairment: Undiagnosed Cirrhosis and Potential Hepatic Encephalopathy in Patients with Dementia - The American Journal of Medicine https://www.amjmed.com/article/S0002-9343(24)00398-X/abstract 13 percent of patients w
Web会議やチャット、プロジェクト管理、セキュリティツール、チャットbotなどSaaSの利用は日々拡大している。こうした状況でSaaS管理に頭を悩ませる情シスは少なくない。 ネットショップ開設やPOSレジサービスなどを提供するSTORES(東京・恵比寿)もかつては同じ悩みに直面していた。同社では200近くのSaaSが使われているが、管理が上手くいかなかった頃はライセンス費用や運用コスト、セキュリティリスクが増加していたという。 「アカウントの棚卸しが大変なこともあり、同じSaaSを複数の組織で使っていたり、活用できていないのに上位プランのアカウントが存在したりと無駄なコストがかかっている状態でした。退職者のアカウントの削除漏れや、管理者権限を持つユーザーの乱立、年間契約のSaaSを解約し忘れてもう1年余計にライセンス費用を払ったこともありました」とSTORESの中野達也氏(PX部門 IT本
レッドブルとアルコールを混ぜて飲むと脳機能が損なわれるという研究結果
by David Mertl 「エナジードリンクとアルコールを混ぜた飲料を青年期に飲むと脳機能が損なわれる」と題した論文が、科学誌のNeuropharmacologyに掲載されました。論文を発表したのはイギリスの研究チームで、レッドブルを用いた実験によって「エナジードリンクとアルコールを混ぜた飲料」が脳にもたらす影響が確かめられています。 Mixing energy drinks and alcohol during adolescence impairs brain function: A study of rat hippocampal plasticity - ScienceDirect https://www.sciencedirect.com/science/article/pii/S002839082400162X 研究チームは「水」「20%エタノール水溶液」「エナジードリンク
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
クソ不動産業界の闇 マンション売却で500万損しないための警告
KADOKAWAのハッキングの話チョットワカルので書く
SSH接続を10倍速くするたった3行の設定 - Qiita
唐突に使っているChrome拡張を紹介 - laiso
セキュアなAWS環境の設計についての解説【2024年版】 - サーバーワークスエンジニアブログ
マクドナルド公式アプリのモバイルオーダー経由でクレジットカードが不正利用された話
徳丸浩氏に聞く クレカ情報の漏洩が非保持化でも起こるワケ 2つの攻撃手法と対応策
ゆっくり解説動画を一瞬で作れるAIアプリ「NoLang」の使い方まとめ
1ヶ月前にスタレ・ゼンゼロ・原神・鳴潮をはじめた結果
KADOKAWAのハッキングの話が雑すぎるので書く
100億件ものパスワード情報がインターネット上で流出、「史上最大のパスワード漏えい」との指摘も
ニコニコ「ダークウェブの情報をDL・拡散しないで」 ウイルス感染や違法の可能性
東京ガスエンジニアリングソリューションズへの不正アクセスについてまとめてみた - piyolog
光の届かない深海で「暗黒酸素」が生成されていることが判明、酸素を消費する生物の起源についての新たな疑問も
GoogleドライブからLinuxを起動する仕組みを構築したエンジニアが登場
東京ガス子会社への不正アクセスは「VPN装置経由」、個人情報約416万人分漏洩か
第822回 CLIだけでUbuntuを使いたい人向けのUbuntuサーバー講座2024 | gihyo.jp
情報流出に個人が備えられること 「パスワードマネージャー」など活用を【西田宗千佳のイマトミライ】
Snowflake の情報流出騒動は異例の事態ではなく、危険が迫っている前兆
文章に“多重電子透かし”を入れる技術、日立が開発 書き手が「人間」or「AI」か区別可能に その仕組みとは?
Google Chromeのパスワード管理に障害、保存していたパスワードが消える
第820回 改めてUbuntuに入門したい人向けのUbuntuサーバー講座2024 | gihyo.jp
Eburyマルウェア、40万台のLinuxサーバーを侵害
天文学者が銀河測定ツールを使ってAIが作成したディープフェイクを見分ける手法を発明
認知症と診断された人の約13%が実際は「治療可能な肝臓の病気」かもしれないという研究結果
激増するSaaSをどう管理する? 約200のSaaSを利用する企業の情シスが見つけた「理想の姿」