並び順

ブックマーク数

期間指定

  • から
  • まで

121 - 160 件 / 3117件

新着順 人気順

リダイレクトの検索結果121 - 160 件 / 3117件

  • 政府情報システムにおける 脆弱性診断導入ガイドライン

    政府情報システムにおける 脆弱性診断導入ガイドライン 2022(令和 4)年 6 月 30 日 デジタル庁 〔標準ガイドライン群ID〕 DS-221 〔キーワード〕 セキュリティ、脆弱性、脆弱性診断 〔概要〕 政府情報システムの関係者が脆弱性診断を効果的に導入するための基準及 びガイダンスを提供する。 改定履歴 改定年月日 改定箇所 改定内容 2022年6月30日 - 初版決定 1 目次 1 はじめに ......................................................... 2 1.1 目的とスコープ .............................................. 2 1.2 適用対象 .................................................... 3 1.3 位置づけ ...

    • [はてブ]関連ページ・RSS一覧

      はてブについて、情報検索したりクエリを投げたりして調べてまとめてみた。自分用メモとして書いたもので、極少数の人しか興味を持たない内容かと思うが、読んでいただければ幸い。 公式等[1・2(参照したページURLを最後に記載。以下同様)]で詳細を確かめられず素人の憶測で説明した箇所がいくつもあり、簡潔明瞭でも網羅的でもない解説だがご容赦を。 トップページホットエントリと新着エントリの一覧への導線がある。 URL1. https://b.hatena.ne.jp/ 1a. https://b.hatena.ne.jp/hotentry/{1}(引数に"all"を入力した場合、1のエイリアス) 1b. https://b.hatena.ne.jp/ctop/{1}(カテゴリトップ[3]が過去に存在していた場合、1aにリダイレクト) 1c. https://b.hatena.ne.jp/hotentr

        [はてブ]関連ページ・RSS一覧
      • 【待望】PayPayのオンライン決済APIが公開されたので試してみる #paypay #python | DevelopersIO

        こんにちは、クラスメソッドの岡です。 7/30にPayPayが開発者向けツール、PayPay for Developersの提供を開始しました!これは嬉しい! これで自前のサイトやアプリにPayPayの決済を導入できるようになります。 アカウント作成 まずは開発アカウントを作成しましょう。 Sandboxであれば加盟店の情報は登録しなくても利用することができます。 アカウントを作成すると、ブラウザ上でSandboxのAPIを動作確認できるPayPay Labや、API接続時のエラーハンドリングが可能なPayPay Resolveが使えるようになります。 機能 PayPay APIを使った決済フローは以下の4パターンです。 Webペイメント カスタムのモバイルアプリ/WebサイトからPayPayの決済ページ or PayPayアプリにリダイレクトして決済する ネイティブペイメント カスタムの

          【待望】PayPayのオンライン決済APIが公開されたので試してみる #paypay #python | DevelopersIO
        • 無料&音声をリアルタイムで変換できるAIボイスチェンジャー「Koemake RVC Player」レビュー

          オープンソースのAIボイスチェンジャー「Retrieval-based Voice Changer(RVC)」は、あらかじめ用意した音声から学習したモデルを作成し、リアルタイムで声質を変換することが可能です。このRVCで作成した音声変換モデルを手軽に実行できるボイスチェンジャーソフト「Koemake RVC player」を電々メイさんが無償でリリースしたので、実際に使ってみました。 Koemake Project https://koemake.com/ Koemake RVC Playerを動かすための推奨スペックは「VRAM4GB以上、NVIDIA製GPU搭載、Windows 10以上」となっているので注意が必要です。 Koemake RVC Playerをダウンロードするには、上記の配布サイトでユーザー登録をする必要があります。配布サイトにアクセスしたら、右上の「ログイン」をクリッ

            無料&音声をリアルタイムで変換できるAIボイスチェンジャー「Koemake RVC Player」レビュー
          • Goの苦手な領域

            Goの利点を使って実装するコツやノウハウを書くことがコミュニティにとってプラスになると思っているのでそれに専念したいという考えはありますが、Goの苦手な領域にGoを採用してしまってヘイトを溜め込んでしまう事例を見かけたりします。 こういう悲劇の起こる可能性を少しでも減らせたらという思いで、Goの現状の苦手な領域について解説しようと思います。Goを学び始めにこれらの領域に手を出すのは避けましょう。 Cgo is not Go GoはCGO連携でC/C++資産を利用することができますが、メモリアロケータの異なる処理系を繋ぐ関係上、お互いに呼び合う際のパラメータや戻り値はほとんどのケースでコピーが必要になります(Cの型でメモリ確保しCの型のまま受け渡しする場合はOK)。なので高頻度に呼び合うような用途には不向きであるというのはSWIGなどのような複数の処理系を連携させる仕組みと同様です。 また、

              Goの苦手な領域
            • 【React】知らなかったReact Developer Tools、20分で手軽に8つReact コンポーネントのデバッグテクニックをマスターする - Qiita

              前書き React Developer ToolsはReactの公式開発者ツールであり、日常的なコンポーネント開発において、属性やファイルの位置特定、propsのトラブルシューティングなど様々なシーンで重要な役割を果たしています。熟練したReact Developer Toolsの使用は日常の開発をより効率的にすることができます。 この記事では、React Developer Toolsプラグインを体系的に理解することができます。本文では以下のことを学ぶことができます: コンポーネントの一時停止や遅延読み込みシナリオのシミュレーション。 コンポーネントに対応する実際のDOMを早く特定する方法。 props内の特定の関数がどこで作成されているかを早く特定する方法。 コード変更なしで、propsを介したコンポーネント変更をオンラインで検知する方法。 コンポーネントがどのファイルで作成されたかを

                【React】知らなかったReact Developer Tools、20分で手軽に8つReact コンポーネントのデバッグテクニックをマスターする - Qiita
              • エンジニアも見ておきたいGoogle Search Consoleの機能 5選 - Qiita

                はじめに 「株式会社じげん Advent Calendar 2021」17日目を担当します、きあ(Chia)です。 エンジニアとしてプロダクトの開発・運用保守をしつつ、SEO・CROといったマーケティング施策の立案・分析も担当しております。 今回は、エンジニアとマーケティングの両方を担当している私から、「Google Search Console」(以下サーチコンソール)で、エンジニアが見ておくとサイトの改善効率が上がる機能を5つご紹介します。 このような方に向けた記事です 自社でWebサービスを開発・運用しているエンジニアの方 サーチコンソールにどのような機能があるか知らない方 基本的な機能の紹介、見ていく上での簡単なポイントの紹介となります。 普段からサーチコンソールを見る習慣がある方、またWebサービスの運用に関わっていない方にはあまり役立てないかもしれません。 用語について 記事中

                  エンジニアも見ておきたいGoogle Search Consoleの機能 5選 - Qiita
                • yarn と npm の栄枯盛衰

                  yarn と npm の栄枯盛衰2021 年 8 月に yarn の v3 がリリースされました。2020 年の同月あたりに yarn v2 がリリースされたので、約 1 年ぶりのメジャーバージョンアップになります。 v1 → v2 のパラダイムシフトは強烈でしたが、 v2 → v3 は berry というパッケージ名は相変わらずで、 v2 の正統なバージョンアップでありちょっとだけ物足りなさを感じてます。 Get Started なにはともあれ、とりあえずは触ってみましょうか。 Node.js ≥ 16.10 であれば、 Corepack を使って以下のコマンドで yarn v3 をインストールできます。 $ corepack enable $ corepack prepare yarn@3.0.0 --activate # yarn.lock や README.md が生成される $

                    yarn と npm の栄枯盛衰
                  • CloudFrontとS3で作成する静的サイト構成の私的まとめ | DevelopersIO

                    しばたです。 以前の記事でも触れた様にCloudFrontとS3を使って静的サイトを作る構成に対する理解にあいまいな部分があったので改めてまとめてみました。 特に目新しい話も無く知っている人には当たり前の内容かもしれませんが、まあ、自分自身の理解を整理するために記事にしていきます。 1. S3静的ウェブサイトを使うパターン はじめの構成は「S3静的ウェブサイト」を使ったパターンです。 S3にはバケットの内容を静的ウェブサイトとしてホストできる静的ウェブサイトホスティングの機能があります。 この機能ではHTTPのみ利用可能なためHTTPSを使う場合はCloudFrontと組み合わせる必要があります。 S3静的ウェブサイトを使うにはバケット内のコンテンツを公開する必要があり、S3バケットはパブリックアクセス可能にする必要があります。 また、必ずHTTPのWEBサイトが公開されることになるためユ

                      CloudFrontとS3で作成する静的サイト構成の私的まとめ | DevelopersIO
                    • コンテナログ処理の技術的なベストプラクティス:Dockerのケーススタディ - Qiita

                      この記事では、Dockerを例に、コンテナログ処理の一般的な方法やベストプラクティスをいくつか紹介しています。 背景 Docker, Inc. 旧社名:dotCloud, Inc)は、2013年にDockerをオープンソースプロジェクトとしてリリースしました。その後、Dockerに代表されるコンテナ製品は、分離性能の良さ、移植性の高さ、リソース消費の少なさ、起動の早さなど複数の特徴から、瞬く間に世界中で人気を博しました。下図は2013年からのDockerとOpenStackの検索傾向を示しています。 コンテナ技術は、アプリケーションの展開や配信など、多くの便利さをもたらします。また、以下のようなログ処理のための多くの課題ももたらします。 1、コンテナの中にログを保存した場合、コンテナが取り外されるとログは消えてしまいます。コンテナは頻繁に作成・削除されるため、コンテナのライフサイクルは仮想

                        コンテナログ処理の技術的なベストプラクティス:Dockerのケーススタディ - Qiita
                      • Wikipediaに対する佐藤由美子の主張が馬鹿馬鹿しい件について - 今日も得る物なしZ

                        日本語版ウィキペディアで「歴史修正主義」が広がる理由と解決策 | 佐藤由美子の音楽療法日記 何言ってんだこいつみたいな記事なんだが、こんな記事にも賛同する人間が多くて馬鹿なんじゃねえのと思っている。 歴史修正主義だの編集差し戻されただの保護されてるページ多すぎだの適当なことだらけなのにコロッと騙されてる馬鹿。 編集が差し戻されたのなら「この部分が差し戻されました」って出典出さなければ意味ないのに「差し戻された! 問題!」って多分Wikipediaでも同じことやって差し戻されてるんだろうな。 俺もたまに差し戻ししたりするが、ほとんどの場合誹謗中傷とかデタラメとか問題ある記述なんだよな。 その場合でも「差し戻された!」って騒ぐことは可能だし、それがどこなのか言えないのならこの主張自体差し戻されるレベルだよ。 差し戻された部分を提示して初めてその差し戻しが適切なのかどうかを判断できるんだからさっ

                          Wikipediaに対する佐藤由美子の主張が馬鹿馬鹿しい件について - 今日も得る物なしZ
                        • Google、URL短縮サービス「goo.gl」を2025年8月に完全終了へ

                          米Googleは7月18日(現地時間)、2019年3月に生成を停止したURL短縮サービス「goo.gl」を、2025年8月25日に完全停止すると発表した。 goo.glは、2009年に立ち上げたURL短縮サービス。生成停止後も、既に生成された短縮URLは実際のURLにリダイレクトされていた。 8月23日から来年8月24日までは、短縮URLから実際のURLにリダイレクトされる前に終了を告知するページが表示されるようになる。 来年の8月25日以降は、すべてのgoo.glのURLには404エラーが返されるようになる。 短縮URLサービスは2009年前後に、Twitter(現X)の140文字制限にリンクを貼る場合などのニーズを受けてtr.imやbitlyなど、複数の企業が提供していた。 関連記事 Google、ドメイン登録サービスを手放す 約1000万ドメインが他社に 米Googleが、ドメイン登

                            Google、URL短縮サービス「goo.gl」を2025年8月に完全終了へ
                          • eBPFに3日で入門した話 - CADDi Tech Blog

                            はじめに eBPF とはなにか ざっくり概要 「Packet Filter」なのに「Virtual Machine」? eBPFでなにができるか? カーネルイベントのフック ユーザーランドアプリケーションとのやりとり eBPFの主な用途 eBPFが注目される背景 eBPFの仕組み アーキテクチャと処理フロー カーネルモジュールとeBPFの違い eBPFプログラムの作り方 eBPFプログラムを作ってみる 環境の準備 Hello world もう少し複雑なサンプル その他のサンプル HTTPリクエストのダンプ TCP接続先の調査 tcplife dirtop filetop oomkill まとめ eBPFはなにに使えるか 参考サイト はじめに こんにちは、Platformチームの小森です。 eBPF (extended Berkley Packet Filter) について、2022年8月2

                              eBPFに3日で入門した話 - CADDi Tech Blog
                            • フロントエンド開発のためのセキュリティ入門 知らなかったでは済まされない脆弱性対策の必須知識 | 翔泳社

                              Webアプリケーションの堅牢化に欠かせない知識を凝縮! セキュリティ学習のスタートに最適の一冊! 本書は、安全なWebアプリケーションを開発するための基本知識を、フロントエンドエンジニア向けに解説したセキュリティの入門書です。 これまでWebアプリケーションの開発で、セキュリティは「バックエンドの仕事」というイメージの強い領域でした。しかし、アプリケーションの安全性を高めるためには、フロントエンドエンジニアにも、セキュリティの基礎知識や具体的な対策の実践が求められます。 本書では、Webセキュリティの必須知識である「HTTP」「オリジン」などの基礎トピックや、「XSS」「CSRF」といったフロントエンドを狙ったサイバー攻撃の仕組みを、サンプルアプリケーションを舞台にしたハンズオンで学びます。 もちろん、攻撃からユーザーを守る防御の手法もしっかりおさえます。個々の攻撃手法に応じた対策のほか、

                                フロントエンド開発のためのセキュリティ入門 知らなかったでは済まされない脆弱性対策の必須知識 | 翔泳社
                              • Software Design連載 2022年2月号 大規模Webアプリケーションの開発環境をモダナイズする - MonotaRO Tech Blog

                                こんにちは。モノタロウの八木(t_yagi)です。 モノタロウのECシステムは創業から20年以上ずっと動き続けており、絶え間なくビジネスを支え続けています。 その間、周囲のIT技術も大きく進歩してきました。 そんな中、開発者が増えたり機能も拡張され続けた結果、当初はさほど問題にならなかった開発に関する課題が浮き彫りになってきました。 今回はそんなレガシーな開発環境にモダンなIT技術を取り入れることで「当時は出来なかったことを現代の技術で実現する」を書きました。 流行りのモダンな技術がイケイケだから乗り変えるといったような輝かしいものではなく、長年積まれ続けてきた課題が現代の技術だから解決できたという時代の恩恵にうまく乗れるかを率直に記事にしています。 どうするとデメリットを抑えながらメリットを得ることができるか読んでいただける人に少しでも感じ取っていただければ嬉しいです。 サーバアプリの開

                                  Software Design連載 2022年2月号 大規模Webアプリケーションの開発環境をモダナイズする - MonotaRO Tech Blog
                                • 実名入りで届く象印を騙ったQUOカード当選詐欺について調べてみた - piyolog

                                  2019年12月15日未明よりQUOカード当選と称して象印を騙った詐欺メールが届いたという報告がTwitter上に複数あがっています。件名や本文に実名が入っていることから、2019年12月5日に象印マホービンが発表した「象印でショッピング」への不正アクセスによる個人情報流出の情報が悪用されている可能性があります。ここでは関連する情報をまとめます。 「おめでとうございます!」実名入り件名で届く当選詐欺メール 12月15日頃にTwitterへ報告が上がっている当選詐欺メールは以下のもの。 差出人アドレス shopmaster@zojirushi.co.jp 件名 ****様 おめでとうございます!オリジナルQUOカード 年末大感謝祭キャンペーン! 本文 毎度、ZOJIRUSHI製品をご愛用いただき、誠にありがとうございます。 ****様 3000円分のオリジナルQUOカードを当選されました。

                                    実名入りで届く象印を騙ったQUOカード当選詐欺について調べてみた - piyolog
                                  • あらためて学ぶOSの役割 - 「OSの気持ち」を知り、コンピュータをよりよく理解しよう |ハイクラス転職・求人情報サイト AMBI(アンビ)

                                    あらためて学ぶOSの役割 - 「OSの気持ち」を知り、コンピュータをよりよく理解しよう パソコンを操作するうえで、欠かすことができないOS(オペレーティングシステム)ですが、あまりにも「あたりまえ」の存在ゆえ、その実像をイメージすることは多くはないでしょう。OSは「なにを」「どのように」処理しているのかを学ぶと、自身が使用するパソコンがもっとよく理解できるようなるかもしれません。内田公太さんが、OSの役割と働きの基本、そして「OSの気持ち」を理解するための方法を解説してくれました。 こんにちは、内田公太(@uchan_nos)です。 普段皆さんはパソコンを使っていろいろな処理をしていると思います。ネットサーフィンに文書作成、音楽を聴いたり絵を描いたり。この記事をお読みの方はプログラミングもしている方が多いと思います。 C言語の入門書で学ぶ最初のプログラムはだいたい printf("Hell

                                      あらためて学ぶOSの役割 - 「OSの気持ち」を知り、コンピュータをよりよく理解しよう |ハイクラス転職・求人情報サイト AMBI(アンビ)
                                    • Efficient Linuxコマンドライン

                                      Linuxスキルをレベルアップする実用的な実践書。本書では、コマンドを組み合わせて複雑なコマンドを作成することで、手動で行われているタスクを自動化するための方法を学びます。具体的には、パスワードの管理、大量のテストファイルの生成、テキストファイルを変換してデータベースのように扱う方法など、現実的なビジネスの問題を解決する方法を明らかにします。単なるテクニックではなく、背後で何が行われているかについても学べるので、Linuxのシェルに対する理解が深まります。それと同時に、Linuxコマンドに関するさらに上級レベルの知識とテクニックが身につきます。 賞賛の声 監訳者まえがき まえがき 第I部 主要な概念 1章 コマンドの組み合わせ 1.1 入力、出力、パイプ 1.2 コマンドラインに取り掛かるための6個のコマンド 1.2.1 コマンド① wc 1.2.2 コマンド② head 1.2.3 コマ

                                        Efficient Linuxコマンドライン
                                      • Admin.jsを使って面倒な管理画面をサクッと作ろう | DevelopersIO

                                        こんにちは、CX事業本部Delivery部サーバーサイドチームのmorimorkochanです。 突然ですが「あぁ〜管理画面作るのめんどくせ〜」って思うことはないですか? 例えばRDBと接続されたRESTfulなAPIサーバーを作っていて、一部の管理者向けに管理画面を作りたいが管理画面にこだわりがない場合などなど。 そんな時に便利なのが、Admin.jsです。Admin.jsは管理画面を簡単に作成できるフレームワークです。オープンソースとして公開されており、クラウドにデプロイされているサービスを利用する場合は月額料金がかかりますが手動でサーバーに組み込んでデプロイする場合は無料です。 Admin.jsを使うと、RDBで管理される各テーブルごとにCRUD画面を簡単に作成することができます。これによってRDBと同じプロパティを何度も定義したり同じようなCRUDコードを何度も記述する必要はありま

                                          Admin.jsを使って面倒な管理画面をサクッと作ろう | DevelopersIO
                                        • IPAのサイトリニューアルに総ツッコミ 多くの旧ページが「404」、リダイレクトせず 「なぜこんな雑に」

                                          情報処理推進機構(IPA)の公式Webサイトリニューアルについて、Twitter上で批判の声が上がっている。新URLへのリダイレクト設定がなく既存のリンクを開いても「404 Not Found」になっているとの報告が相次いでいる他、RSSがなくなって困るというユーザーもいる。 IPAが新サイトを公開したのは3月31日。「ユーザーがコンテンツを探しやすいよう導線を改善した」「スマートフォンやタブレットでの閲覧を想定してマルチデバイス対応をした」としている。 リニューアルによりURLの変更もあったが、新ページへのリダイレクト設定がなく、既存のリンクを開いてもコンテンツが表示されないケースが多発している。 例えばGoogle検索で「情報セキュリティ白書2021」を検索すると、検索結果トップに該当ページが表示されるが、リンクを開いても「お探しのページ・ファイルが見つかりませんでした」とのみ表示され

                                            IPAのサイトリニューアルに総ツッコミ 多くの旧ページが「404」、リダイレクトせず 「なぜこんな雑に」
                                          • 【競プロ】新人SEがAtCoderを始めて水色になった【色変記事】 - Qiita

                                            AtCoderで水色になりました。いわゆる色変記事です。 本記事では以下の4点について書きます。 競プロをしていて良かったこと・できるようになったこと 勉強したこと・改善案 レート推移や目標ラインの話 環境やマクロの紹介 最初に自己紹介すると、自分は情報系出身のSEで、現在は2年目です。 今年の頭に競プロをはじめ、先日水色になりました。 「プログラミング未経験から~」「50歳を超えて~」みたいな少数派ではないですし、「たったN回で達成!」「M年の苦闘の末に」みたいなドラマもありません。 普通に勉強しているエンジニアが競プロを半年間そこそこ頑張ったみたいな記事です。 バッググラウンドや参加回数については③で詳しく書きます。 なお、競技プログラミングについてザックリ知っている前提で書きます。 「競プロってなに?」「水色ってどのあたりなの?」という場合は が良くまとまっています。 ① 競プロをし

                                              【競プロ】新人SEがAtCoderを始めて水色になった【色変記事】 - Qiita
                                            • フルスタックのチャットアプリケーションをAWSとNext.jsで構築する | Amazon Web Services

                                              Amazon Web Services ブログ フルスタックのチャットアプリケーションをAWSとNext.jsで構築する モダンなチャットアプリはリッチな機能を必要とします。これらの機能はファイルストレージ・リアルタイムの更新、そしてクライアントとサーバーの両方からデータを取得する能力が必要です。 従来、これは多くのサードパーティサービスをつなぎ合わせるか、カスタムソリューションの作成に開発時間を費やすことを意味していました。そして、この方法では市場投入までの時間が遅くなり、複数の障害点が発生します。 チャットアプリに必要な機能と、AWS が従来の問題点をどのように解決しているかを紹介するために、我々はリアルタイムチャットアプリケーションのサンプルを更新しました。このバージョンは、ローカルと AWS の両方でアプリケーションを完全に管理・制御することがいかに簡単かを強調するために再設計され

                                                フルスタックのチャットアプリケーションをAWSとNext.jsで構築する | Amazon Web Services
                                              • ゼロからのOS自作入門をRustで実装した

                                                概要 OSを座学・書籍で学ぶだけでなく実際に作ってみたくて、またRustでなにかを作りたくて、 ゼロからのOS自作入門(以下みかん本)で作るMikanOSをRustで実装しました[1]。 先駆者はいくつか見かけましたが、最後まで実装されている方は見つけられず、 もしRustで実装しようとしてハマっている人や途中で諦めてしまった方がいれば参考になるかと思い、記事を書きました。 実装者のレベル 一応、私のレベル感を書いておきます。 OSの開発経験はなく、低レイヤーっぽい開発経験もひとつだけ Nand2tetris Rustは以下のように多少の経験はあるが業務で利用したことはなし the book はほぼ読んで写経した Rustで始めるTCP自作入門 はやった Programming Rust, 2nd Edition は気になるところを読んだ というような感じで、OS開発もRustも経験が浅い

                                                  ゼロからのOS自作入門をRustで実装した
                                                • 社内サービスを一括・即座・セキュアにリモートワーク開放した話 - エムスリーテックブログ

                                                  はじめまして。 エムスリーエンジニアリンググループSREチームの山本です。 先日来のリモートワーク促進の中、弊社でも多くの社員がオフィス外から接続するようになりました。 もちろん、VPNを利用すれば社内のサービスも利用できますが、VPNの使用量が一気に増えるとそちらの制限にかかります。 今回「VPNを可能な限り利用せず、なおかつセキュアに社内のサービスを利用してもらう」という課題に取り組みましたので、ここでその紹介をさせてください。 前提 方針 クライアント証明書の問題点 一括でのSSL化・証明書検証 ドメイン変換 実際の設定 Squidの設定(抜粋) unboundの設定 nginxの設定(クライアント証明書検証) nginxの設定(HTTPサーバに対するproxy) nginxの設定(個別対応) ブラウザのProxy設定 その後発生した問題 ポート問題 Hostヘッダ問題 戻りヘッダ問

                                                    社内サービスを一括・即座・セキュアにリモートワーク開放した話 - エムスリーテックブログ
                                                  • GitLabで1クリックアカウント乗っ取りが可能だった脆弱性から学ぶ、OpenID Connect実装の注意点 - Flatt Security Blog

                                                    はじめに こんにちは。株式会社Flatt Securityセキュリティエンジニアの森(@ei01241)です。 最近は認証や認可に際してOpenID Connectを使うWebサービスが増えていると思います。「Googleアカウント/Twitter/Facebookでログイン」などのUIはあらゆるサービスで見かけると思います。しかし、OpenID Connectの仕様をよく理解せずに不適切な実装を行うと脆弱性を埋め込むことがあります。 そこで、突然ですがクイズです。以下のTweetをご覧ください。 ⚡️突然ですがクイズです!⚡️ 以下の画面はOAuth 2.0 Best Practice上は推奨されないような実装になっており、潜在的リスクがあります。https://t.co/bXGWktj5fx どのようなリスクが潜んでいるか、ぜひ考えてみてください。このリスクを用いた攻撃についての解説記

                                                      GitLabで1クリックアカウント乗っ取りが可能だった脆弱性から学ぶ、OpenID Connect実装の注意点 - Flatt Security Blog
                                                    • 3万本以上の記事が消える? 「cakes」運営会社に聞いてみた(山口健太) - エキスパート - Yahoo!ニュース

                                                      コンテンツ配信サイト「cakes」がサービス終了を発表したことで、多くの記事が失われる恐れがあることが注目を集めています。これまでの記事はどうなるのか、運営会社であるnoteに確認しつつ、問題点を整理しました。 記事データの問い合わせには順次対応2012年に始まったcakesは、3万本以上の記事を配信しているとのこと。しかしサービス終了のお知らせによれば、8月31日を最後にこれらの記事は閲覧できなくなるといいます。 その後、記事はどうなってしまうのでしょうか。運営会社であるnoteの広報によれば、記事データは社内に当面保持し、書き手(クリエイター)からの問い合わせに応じて渡していくなど、順次対応するとのことです。 同様の問い合わせが他にもあったとのことから、noteは発表後にお知らせページを更新し、これらの情報が追記されています。 直近の事例では、「Engadget」と「TechCrunc

                                                        3万本以上の記事が消える? 「cakes」運営会社に聞いてみた(山口健太) - エキスパート - Yahoo!ニュース
                                                      • 安全なウェブサイトの作り方~失敗例~ - goruchan’s blog

                                                        安全なウェブサイトの作り方を読んだので、理解した内容を自分なりにまとめておきます。資料 上記は3章構成になっていてそれぞれ長めの内容なので、ここでは3章の『失敗例』について、Ruby on Rails ではどうするかについてをまとめます。 SQL インジェクション OS コマンドインジェクション パス名パラメータの未チェック例(ディレクトリトラバーサル) 不適切なセッション管理例(セッション ID の推測) クロスサイト・スクリプティングの例(エスケープ処理) CSRFの例 HTTP ヘッダ・インジェクションの例 メールヘッダ・インジェクションの例 参考 SQL インジェクション 参考資料内の SQL インジェクション例を見て、Ruby on Rails ではどのように対策できるかを確認しました。 例えば、下記ような $uid, $pass をユーザ入力とし、SQL 文を動的に生成する場合

                                                          安全なウェブサイトの作り方~失敗例~ - goruchan’s blog
                                                        • IdPとしてSAML認証機能を自前実装した - BASEプロダクトチームブログ

                                                          はじめに みなさんはじめまして。BASEでエンジニアをしております田村 ( taiyou )です。 先日、BASEではショップオーナー向けのコミュニティサイト「BASE Street」にログインするための機能としてSSOログイン機能をリリースしました。 SSOログインを実現するための認証方式はいくつかあるのですが、弊社ではSAML認証方式を用いて実現しました。 そのため、この記事ではSAML認証機構のIdPとしてOSSを使わずにSAML認証機能を実装する方法を紹介します。 前回のテックブログで、このSSOログイン機能のフロント側を開発したPJメンバーの若菜が「サーバーサイドエンジニアがフロントエンドに挑戦して最高の経験になった話」を執筆したのでこちらも見てみてください! SAML認証機能を提供しているOSSには、Keycloakなどがありますが、BASEでは以下の理由により自前実装すること

                                                            IdPとしてSAML認証機能を自前実装した - BASEプロダクトチームブログ
                                                          • Twitter に投稿したツイートを Mastodon に転送するようにした - mizdra's blog

                                                            去年の 11 月から続く一連の騒動を受けて、id:mizdra のフォロワーの中でも Twitter から Fediverse に移行してきている人が増えてきた。僕自身は移行するつもりはないけれど、移行したフォロワーが僕のツイートを Fediverse から見れるように、ツイートを Mastodon へと転送するようにしてみた。せっかくなので、そのやり方について書き残しておく。 作戦 IFTTT という「〇〇したらXXする」みたいなピタゴラスイッチをボタンポチポチで作れるサービスがある。これを使い、当該 Twitter アカウントでツイートがされたら、それを契機に Mastodon にトゥートを投稿する、というピタゴラスイッチを組むことにする *1。 転送する上での注意点 (2023/4/10 追記) (トラバで情報を頂いたので追記) 今回紹介する方法では、普段は自動投稿のみをする BOT

                                                              Twitter に投稿したツイートを Mastodon に転送するようにした - mizdra's blog
                                                            • RFC の URL はどのドメインで貼るのが良いか | blog.jxck.io

                                                              Intro IETF の RFC は、いくつかの場所で同じものが公開されている。 どの URL が最適なのか、という話。 結論は www.rfc-editor.org だ。 RFC Hosting Site 例えば RFC 9110 - HTTP Semantics で言うと、以下の 4 つがある。 https://tools.ietf.org/html/rfc9110 https://datatracker.ietf.org/doc/html/rfc9110 https://www.rfc-editor.org/rfc/rfc9110.html https://httpwg.org/specs/rfc9110.html まずは、これらの違いを簡単に解説する。 tools.ietf.org IETF がホストする RFC は、 tools.ietf.org だった。 RFC 2616: H

                                                                RFC の URL はどのドメインで貼るのが良いか | blog.jxck.io
                                                              • マイクロサービス間通信における認証認可およびアクセス制御

                                                                はじめに 2023年4月に基盤エンジニアとして Ubie に入社しました nerocrux です。主に Ubie の ID 基盤の開発と保守運用を担当しています。 この記事は、2023 Ubie Engineers アドベントカレンダー 5 日目の記事となります。 Ubie では、モジュラモノリスを採用しつつ、マイクロサービスアーキテクチャも採用しており、領域によってサービスを分けて、それぞれの担当チームが開発と保守運用をしています。 クライアントから一つのリクエストを受け取ったあとに、Ubie のバックエンドではリクエストを受け取ったサービスだけがそのリクエストを処理することもあれば、別のサービスにディスパッチし、複数のサービスがひとつのリクエストを処理して結果を返すこともあります。 マイクロサービス間の通信が Ubie の内部で発生したとしても、必ずしも無制限で自由に行われていいわけで

                                                                  マイクロサービス間通信における認証認可およびアクセス制御
                                                                • 新規WebサイトのSEOで見落としがちな問題に対処する5つのポイント(#6~#10) | Moz - SEOとインバウンドマーケティングの実践情報

                                                                  新規ウェブサイトのSEO戦略を構築するのに必要な10のステップ#6~#10ステップ6戦略的なコンテンツカレンダーを作成する(そしてコンテンツを継続的に投入する)戦略的なコンテンツカレンダーは、一貫性を持って意図的に利用すれば、必然的に顧客を引き付け、キーワードに対して上位に表示されるようにするのに役立つ。そうしたコンテンツ計画の方法を紹介しよう: キーワードマップのセクションに優先順位をつける: キーワードマップが100ページ以上に及ぶこともあるかもしれない。これはむしろ良いことだ。なぜなら、オーガニック検索トラフィックを蓄積できる余地が十分にあることを意味するからだ(HubSpotのように月間トラフィックが数百万に上るウェブサイトでさえ、最初はゼロだったことを忘れてはいけない)。 まずは、製品やサービスのページなど、ウェブサイトに今すぐ必要なページを優先すべきだろう。こういったページはコ

                                                                    新規WebサイトのSEOで見落としがちな問題に対処する5つのポイント(#6~#10) | Moz - SEOとインバウンドマーケティングの実践情報
                                                                  • マツコの知らない LINE ログインの世界

                                                                    Ubie プロダクトプラットフォーム所属の nerocrux です。今回は Ubie において、 LINE ログインを成功させるために工夫したことをいくつか紹介したいと思います。 面白いこともすごいこともやってないし、対象読者もよくわかりませんが、興味があったら読んでみてください。 はじめに 症状検索エンジン「ユビー」について Ubie では、症状検索エンジン「ユビー」(以下、ユビーと呼ぶ)という一般ユーザー向けのサービスを展開しています。ユーザーが簡単な質問を回答することで、関連する病名や、適切な受診先情報を得ることができるサービスとなっています。 ユビーは Web ブラウザ経由で利用されることが多いですが、iOS / Android のネイティブアプリも提供しています。 ユーザーがユビーを利用する際に、ユビーのアカウントを作成することで、一貫性のある問診・受診・受診後のフォローアップ体

                                                                      マツコの知らない LINE ログインの世界
                                                                    • 空のS3バケットでAWSの請求額が爆発的に増加するとの指摘、Amazonはさっそく問題に対処すると発表

                                                                      AmazonのクラウドコンピューティングサービスであるAWSが提供するストレージサービス・Amazon S3では、写真や動画などのデータをアップロードするためにバケットを作成する必要があります。このS3バケットを空の状態にしていると、AWSの請求額が爆発的に増加してしまうという問題を、ソフトウェアエンジニアのMaciej Pocwierz氏が報告しました。 How an empty S3 bucket can make your AWS bill explode | by Maciej Pocwierz | Apr, 2024 | Medium https://medium.com/@maciej.pocwierz/how-an-empty-s3-bucket-can-make-your-aws-bill-explode-934a383cb8b1 Pocwierz氏はクライアント向けに作成

                                                                        空のS3バケットでAWSの請求額が爆発的に増加するとの指摘、Amazonはさっそく問題に対処すると発表
                                                                      • SSRF対策としてAmazonから発表されたIMDSv2の効果と限界

                                                                        サマリ Capital OneからのSSRF攻撃による大規模な情報漏えい等をうけて、Amazonはインスタンスメタデータに対する保護策としてInstance Metadata Service (IMDSv2) を発表した。本稿では、IMDSv2が生まれた背景、使い方、効果、限界を説明した上で、SSRF対策におけるIMDSv2の位置づけについて説明する。 SSRFとは SSRFは、下図のように「外部から直接アクセスできないエンドポイント」に対して、公開サーバーなどを踏み台としてアクセスする攻撃方法です。SSRF(Server Side Request Forgery)の詳細については過去記事「SSRF(Server Side Request Forgery)徹底入門」を参照ください。 最終的な攻撃目標は多様ですが、近年問題になっているのが、クラウドサービスのインスタンス・メタデータを取得する

                                                                          SSRF対策としてAmazonから発表されたIMDSv2の効果と限界
                                                                        • ドメイン管理を AWS Route 53 から Cloudflare に移管した - 酢ろぐ!

                                                                          2022年11月に AWS Route 53 のドメイン更新料が値上げされた。一時期と比較してマシになったとは言えるものの円安傾向にある今日日 $1 の値上げでもドメイン数があると結構厳しいなと思っていた。 先日「Route 53 から Cloudflare にドメイン移管したい」という投稿をみて、「そういえば Cloudflare ってCDNだけじゃなくてドメインも売り出したんだっけ……」と調べてみたところ、本記事の執筆時点のレートで Route 53 を契約し続けるよりも約 700円の差があることがわかった。 Route 53 では comドメインが $13 / year (執筆当時:1,729円/年) Cloudflare では comドメインが $8 / year (執筆当時:1,064円/年) さらに Route 53 ではホストゾーンごとに年600円の管理費と S3 の転送料が

                                                                            ドメイン管理を AWS Route 53 から Cloudflare に移管した - 酢ろぐ!
                                                                          • Publickeyが受けたDoS攻撃、これまでの経緯と対策まとめ

                                                                            Publickeyのサーバは3月12日から14日にかけて何度もDoS攻撃を受けてダウンしていました。 その間、読者や広告を掲載いただいているお客様や代理店様にご不便やご心配をおかけし申し訳ありませんでした。 ひとまず現在までの状況と対応について報告したいと思います。 先に現状のみを報告すると、CloudflareのDDoS対策サービスを導入していまのところ平穏な状況を保っているため、このまま様子をみているところです。 関連記事 最終的にDDoS攻撃に効果を発揮した設定を下記記事で紹介しています。 続々、Publickeyが受けたDDoS攻撃。DDoS対策に効果を発揮した設定紹介編 DoS攻撃の発生時間帯 DoS攻撃とは、大量のトラフィックをWebサーバなどに浴びせることでサーバを応答不能にしてしまう攻撃のことです。 下図が3月12日から14日にかけてPublickeyのサーバに対して行われ

                                                                              Publickeyが受けたDoS攻撃、これまでの経緯と対策まとめ
                                                                            • Terraformを使って学ぶーAWSにインフラを構築するIaCの基本と、SREが実務で役立つ機能とエコシステムを徹底解説|ハイクラス転職・求人情報サイト AMBI(アンビ)

                                                                              ハイクラス求人TOPIT記事一覧Terraformを使って学ぶーAWSにインフラを構築するIaCの基本と、SREが実務で役立つ機能とエコシステムを徹底解説 Terraformを使って学ぶーAWSにインフラを構築するIaCの基本と、SREが実務で役立つ機能とエコシステムを徹底解説 Terraformは、パブリッククラウドのインフラ構築と自動化のツールとして、IaCのデファクトスタンダードとなっています。この記事では、AWS(Amazon Web Services)を活用するハンズオンを通してTerraformの動作を理解し、実務にもとづいて役立つ機能や便利なエコシステム、さらにSRE視点の事例を紹介します。アソビュー株式会社でSREユニットリーダーを務める鈴木剛志さんを中心に6名のメンバーによる共同執筆です。 アイキャッチ画像 アソビューでは、インフラストラクチャーの変更管理にTerrafo

                                                                                Terraformを使って学ぶーAWSにインフラを構築するIaCの基本と、SREが実務で役立つ機能とエコシステムを徹底解説|ハイクラス転職・求人情報サイト AMBI(アンビ)
                                                                              • Togetter広告枠に“大量のG”が表示される 「悪質クリエイティブは見つけ次第ブロック」

                                                                                ツイートまとめサイト「Togetter」を運営するトゥギャッターは7月18日、同サイトに「大量のG(ゴキブリ)が写った画像」が広告として表示されたため、該当の広告をブロックしたと報告した。 同様の広告は他のWebサイトにも表示されることがあるという。トゥギャッターは「悪質なクリエイティブは引き続き見つけ次第ブロック&報告する」としている。Togetterでは2017年にも、Googleを装って不審なアプリをダウンロードさせようとする悪質な広告が確認されたことがある。 関連記事 Twitterの広告収入は50%減──イーロン・マスク氏がツイート Twitterの広告収入は50%減少し、キャッシュフローは依然としてマイナスだとイーロン・マスク氏がツイートした。 電ファミ、悪質リダイレクト広告に注意喚起 閲覧中に偽アンケート ニュースサイト「電ファミニコゲーマー」を運営するマレが、同サイト閲覧中

                                                                                  Togetter広告枠に“大量のG”が表示される 「悪質クリエイティブは見つけ次第ブロック」
                                                                                • ビデオ会議でカメラの映像の代わりに絵文字を配信するためのツールを作った

                                                                                  ビデオ会議で顔出しNGな人でも感情を表現できるように、絵文字やテキストをカメラ映像代わりに表示するためのサービスを作りました。 自分のカメラ映像の代わりにこういうやつを表示 👆 こんな感じでZoomやGoogle Meetでのビデオ会議で、自分の顔の代わりに絵文字を表示できるサービスです。絵文字に動きをつけたり、自由に文字入力することもできます。 👆 画面共有ではなく、本来自分の映像が表示されるスペースに、絵文字を表示させるような形で使います。 ユーザー登録なしで使えますが、ZoomやGoogle Meetにブラウザの画面を表示するためにOBSをインストールする必要があります。初回の設定手順は使い方ページで詳しく説明してあります。 作った理由 Zoomのイベントでパネルディスカッションに参加することになったからです(DevIO 2021)。顔は出したくないものの、自分だけ静止画のアイコ

                                                                                    ビデオ会議でカメラの映像の代わりに絵文字を配信するためのツールを作った