ビデオ会議で顔出しNGな人でも感情を表現できるように、絵文字やテキストをカメラ映像代わりに表示するためのサービスを作りました。 自分のカメラ映像の代わりにこういうやつを表示 👆 こんな感じでZoomやGoogle Meetでのビデオ会議で、自分の顔の代わりに絵文字を表示できるサービスです。絵文字に動きをつけたり、自由に文字入力することもできます。 👆 画面共有ではなく、本来自分の映像が表示されるスペースに、絵文字を表示させるような形で使います。 ユーザー登録なしで使えますが、ZoomやGoogle Meetにブラウザの画面を表示するためにOBSをインストールする必要があります。初回の設定手順は使い方ページで詳しく説明してあります。 作った理由 Zoomのイベントでパネルディスカッションに参加することになったからです(DevIO 2021)。顔は出したくないものの、自分だけ静止画のアイコ
CPUの珍命令 - Qiita
EDIT: はてなブックマークのエントリ だと ABCD (BCD加算) や DJNZ (ループ命令) が人気なようだ(Wikipediaしばりなもんで...) 。6502によくある JSR / RET が対応しないコーディングや、Z80で PUSH を目的外利用するような例は入れても良かったのかも。 DOOMの例を追加。 Wikipediaに個別ページができちゃうくらい有名な命令のメモ。 きっかけ このソースコードは現在の倫理上一般的でない表現が使われている箇所については当時の内容を尊重して掲載しています — ほうめい マイコンで遊んでばっかりで (@houmei) July 14, 2020 を受けて、 6809の命令のことですね。わかります >RT — Miura Hideki (@miura1729) July 14, 2020 1つのCPU命令が独立したWikipediaのページ
会社でScrapboxを使っている。チームごとやプロジェクトごと、話題や趣味ごとにプロジェクトを作っていて、うちのチームは1年3ヶ月くらい使って3000ページほどに達している。 どんどん書いていたのだけど、最近、どこに何があるかわからなくなってきていた。同僚に、ここの仕様はどうでしたっけ、って何度も聞いてしまうことがあったので、これはまずいと思ってちょっと整理していた。 表記揺れを直す One Fact in One Placeということで、どんどんページをマージしていった。ページを同名にリネームするとマージボタンが出現して押すだけなので楽。 よくみるとスペースの有無によって同じ話題のページが2ページに分かれていたり、略称と正式名称と、「(正式名称)まとめ」の3つにわかれたりしていた。情報を探しているときにはどんどんマージしたりしないので、今回マージするぞと見返せてよかった。 サポート担当
AWS CDKを始めるハンズオン ─ IaCの第一歩をAWS LambdaとDynamoDBのシンプルな仕組みで学ぶ|ハイクラス転職・求人情報サイト AMBI(アンビ)
AWS CDKを始めるハンズオン ─ IaCの第一歩をAWS LambdaとDynamoDBのシンプルな仕組みで学ぶ アマゾン ウェブ サービスが提供するIaC(Infrastructure as Code)の開発キットがAWS CDK(AWS Cloud Development Kit)です。本記事はAWS CDK入門者向けのチュートリアルとして、AWSでソリューションアーキテクトを務める吉川幸弘(@WinterYukky)さんによる、AWS Lambda関数でDynamoDBテーブルをスキャンするシンプルなハンズオンです。 みなさん、こんにちは。アマゾン ウェブ サービス ジャパン合同会社でソリューションアーキテクトを務めている吉川幸弘と申します。私は普段、西日本のお客様を中心に技術的なご支援や課題解決などをしています。 さっそくですが、みなさんはInfrastructure as C
近年、技術系の情報をググると検索結果にStack Overflowの機械翻訳サイトが表示されることが多くなってきました。1 ひどいときには、オリジナルのページよりも上位に表示されていることさえあります。 Googleの検索結果の精度は年々悪化の一途をたどっているように思いますが、そういった状況の中で僕が取っている自衛手段をご紹介します。 uBlacklistで検索結果から除外 uBlacklistは、正規表現やマッチパターンで指定した任意のウェブサイトをGoogleの検索結果から除外するためのChrome拡張です。 自分でフィルタを書くこともできますが、ありがたいことにStack Overflowの機械翻訳サイトの除外用フィルタを公開している人がいるので、そちらを購読しています。 2020年7月31日現在のフィルタのURLは、以下の通りです。 https://raw.githubuserc
のようなイメージです。 ※192.0.2.0/24、198.51.100.0/24、203.0.113.0/24 は例示に利用できる IP アドレスブロックです。 実在する IP アドレスではありません。 以上のように、CDN では オリジンサーバーのドメインと CDN 用ドメインの紐づけ CDN 用ドメインに対応する IP アドレスの動的な名前解決 を用いて、オリジンサーバーへのリクエストを地理的に近いエッジロケーションへのリクエストに振り替るのが一般的です。 CDN サービスの例ここでは、CDN サービスの例を各クラウドベンダーごとに簡単に紹介します。 AWS - Amazon CloudFrontAWS の提供する CDN サービスは Amazon CloudFront です。 Amazon CloudFront では、CDN のオリジンサーバーとして EC2 や S3、ELB など
IETFのOAuth WGでは、今あるOAuth2.0関連の仕様を整理し、一つの仕様としてまとめなおし OAuth2.1 として標準化するとりくみが進められています。 今回は、簡単にOAuth2.1について紹介します。 OAuth 2.0 OAuth 2.0は2012年10月に「RFC6749 The OAuth 2.0 Authorization Framework」として標準化されています。その後、OAuth2.0の改善は続けられ、セキュリティ向上のために利用すべき機能(PKCE)などが追加されているほか、逆に非推奨になっている機能(Implicit Grant)などがあります。 IETFのOAuth WGではOAuth2.0を安全に利用するためのベストカレントプラクティスを「OAuth 2.0 Security Best Current Practice」としてまとめています。 この
シェルスクリプトをJavaScript/TypeScriptで記述、どのOSでも実行できる「Bun Shell」、JavaScriptランタイムのBunが発表
JavaScriptランタイムのBunは、新機能としてシェルスクリプトをJavaScriptもしくはTypeScriptで記述し、特定のOSに依存せずに実行できる「Bun Shell」を発表しました。 シェルスクリプトは特定のシェルに依存するもの LinuxやmacOS、WindowsなどのOSは一般に、「シェル」(Shell)と呼ばれる機能を備えています。 シェルはコマンドラインインターフェイスなどのユーザーとの対話機能を備えており、例えばLinuxのコマンドラインで「ls」コマンドを打ち込むとファイルの一覧が返ってくるという動作はシェルが提供しています。 そしてシェルでは一般に、こうしたコマンドを複数つなげた一連の動作をスクリプトとして定義し実行できる「シェルスクリプト」が利用可能です。例えば、次のシェルスクリプトは、「ls」コマンドによるファイルの一覧をファイル「list.txt」に
DXって何じゃらほい?或いは2025年の崖っ淵に向かって熊とワルツを踊る刹那について|楠 正憲(デジタル庁統括官)
何週間か前のこと、急にエンプラっぽくないAIベンチャーの社長さんからメッセで飲みに誘われ、秋葉原の焼き鳥屋さんでDXとやらについて聞かれて、とりあえずこのレポート読んどけと返しつつも考えちゃった訳です。Direct Xとか、よくテレビに出てるマツコの方じゃなくて「2025年の崖って実際どうなんだ?」とか何とかオッサンたちから相談される話あるじゃないですか。あれって何なんですかね?オンプレをクラウドにリフトしたらDXなのか。華麗にk8sやらコンテナ使いこなしてCIパイプライン組み立ててテスト自動化したらDXなのか、だいたいDigital Transformationなのに、どうしてDXなのか。SAP R/3とCOBOL PL/Iを捨てて、どこぞのSaaS入れてSparkぶん回してPythonとか書いたらDXなのか。おいおい、そんな話だっけ?って心配になっちゃう訳です。 内製内製って簡単に言う
Webブラウザ「Firefox」の利用者から「突然重くなりネットにつながらなくなった」という声がSNS上で上がっている。これらの報告は、13日午後4時50分ごろから世界中で投稿されており、日本国内でも同様の投稿が相次いだ。 一部の利用者からは「PCを再起動したら復活した」などの声も見られるが「再起動しても直らない」や「Mac版は起動したが、Windows版が起動しない」「そもそも普通につながるけど」などの意見もあり、午後5時45分時点でTwitterでは「Firefox」がトレンド入りした。 関連記事 Apple、Google、Microsoft、MozillaがWebブラウザ拡張機能改善グループ結成 Apple(Safari)、Google(Chrome)、Microsoft(Edge)、Mozilla(Firefox)が拡張機能改善のためのコミュニティグループを結成した。WECGは「拡
MBSDでWebアプリケーションスキャナの開発をしている寺田です。 前記事では正規表現でのURLのチェックについて書きました。今回はその続きでマルチバイト文字を使った攻撃について書きたいと思います。 前提条件 本記事で想定するのは、ブラウザからパラメータとして渡されて来るURLを、リダイレクトやリンク等のURLとして使うケースです。その中でも、以下のようにサブドメイン部分(★の部分)を可変にする状況を主に想定します。 https://★.example.jp/… 攻撃の目標は、異なるドメイン(evil)のURLを与えてチェックをすり抜けることです。前回の記事にも書きましたが、この状況は(半角英数等のサブドメインしか受け入れないような場合を除き)「/」「?」「#」「\」のいずれかをサブドメインに入れることで攻略できることが大半です。 今回はこれらの記号が全て使用できないように対策されているこ
はてなブログをGoogle AdSenseで収益化!審査から広告設置まで詳しく解説【公式!はてなブログでアフィリエイトのすすめ第3回】 - 週刊はてなブログ
はてなブログでは、2019年10月から個人営利利用が解禁*1になり、ブログでアフィリエイトができるようになりました。 そこで、はてなブログ編集部では、「公式!はてなブログでアフィリエイトのすすめ」と題し、はてなブログでのアフィリエイトに必要な前準備やルールを解説しています。 多種多様なアフィリエイト広告サービスがありますが、その中でもお問い合わせが多いのが「Google AdSense(Googleアドセンス)」についてです。 第3回となる今回は、はてなブログにおけるGoogle AdSenseの申請・設置方法について解説します! そもそもGoogle AdSenseとは? Google AdSense申請の前にはてなブログでの前準備 Google AdSenseに申請に必須の項目 プライバシーポリシーの設置 固定ページでプライバシーポリシーを作成する(はてなブログPro) サイドバーにプ
組織内でクラウドアプリケーションの導入が増え、 Azure AD で SSO することが増えました。感覚的には2021年比で数倍です。初めて設定した時は緊張しながら実施したものですが、数を積んでだいぶ慣れてきました。 依頼をもらって設定するのは、SAMLばかりです。そのSAMLをほかのメンバーでも対応できるようにしたいので、自分が説明するために流れをまとめてみました。アレコレ、端折ってますがご容赦を。 覚えておく サービスプロバイダ(SP):クラウドアプリケーション、SaaSのこと。IDプロバイダ(IdP):認証機能側。AzureADとか。 SP-Initiated:クラウドアプリケーションでログインしようとすると、IdPに飛んで、認可されたらクラウドアプリを開ける方法。入口はSP側にある。IdP-Initiated:IdPでログインしている状態で、指定のURLを開くと、クラウドアプリケー
自分のウェブサイト( http://www.3qe.us/ )をCloudFront+S3構成からCloudflareを使った構成に乗り換えたので、ひっかかった点やつまづいた点などをメモしておく。 結論としては普通に移行できたが、メールとの兼ね合いでDNSまわりでちょっと配慮が必要な部分があるかも、といった具合。試したいときは全部読んでからチャレンジしよう。 ウェブサイトの静的配信にCloudFrontとS3を使っていた モチベーション: ALBのコストが高い Cloudflare 構成 Cloudflare Pages Cloudflare+ Denoflare + R2 修正 R2のstatic hosting機能を直接使う 手順 Webサイト追加 R2バケット作成 APIトークン作成 Denoflareでworkerをデプロイする 完了 まとめ オチ 参考文献 ウェブサイトの静的配信
BASE の Service Dev にて主に決済周りのバックエンド開発をしている翠川(@midori44)です。 昨年は PayPal決済の導入 のプロジェクトでメインエンジニアとして携わらせていただきました。 今回は決済周りの開発をしていく中で、社内の開発環境を整えた話をします。 ローカル開発環境での課題 BASEでは現在、BASEかんたん決済 として6つの決済方法を提供しています。 日々の機能開発をしていく中で、すべての決済方法において各機能が正しく動作するかを確認するために、ステージング環境や社内検証用のQA環境だけでなく開発者のローカル環境でも決済をテストできるようになっています。 新機能のリリース時にはもちろん本番環境で実際の決済を通して動作確認するわけですが、開発中のテストの度に本番相当の決済をするわけにはいかないので、各決済代行会社様のほうで用意していただいている検証用サー
WordPressの“古いプラグインやテーマ”から侵入するサイバー攻撃、ロシアの企業が発表 標的のアドオンリストあり
Innovative Tech: このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 ロシアのアンチウイルス製品を開発するDoctor Webは、WordPress CMSをベースとしたWebサイトをハッキングする悪意のあるLinuxプログラムを発見したと発表した。 Linuxマルウェアが複数の古いWordPressプラグインやテーマに存在する30の脆弱性を悪用して、悪意のあるJavaScriptを注入していた。その結果、ユーザーが感染ページの任意の領域をクリックすると、他のサイトにリダイレクトされる被害が起きていたという。 このマルウェア(トロイの木馬)は32ビットと64ビットの両方のLinuxシステムをターゲットにしており、そのオペレーターにリモートコマンド機能を与える
総当たりする所要時間を考えると、9桁以下や10桁でも文字の組み合わせに記号がないと、危険ですね。 尚、同ガイド「インターネットの安全・安心ハンドブック」には、第6章でパスワードに関することのみにフォーカスした章があり気になる方にはおススメです。 パスワードの使い回し禁止の人力は現実的? パスワード長く記号も使おうはわかったよと、そして次の節が「使い回しはだめよ」です。使い回しがだめなら単に最後の文字だけ変える、これもだめです。 それが、だめなのはわかるのですが、わかりますが長くて複雑かつ使い回さないものは覚えられないですよね、私は電話番号という数値のみの10~11桁をよく使うものなら覚えられ、それ以上は厳しいです。 覚えられないパスワードは保管して、適時利用することが推奨されます。次の節でその方法について説明します。 「ノートに書く」? 必要に応じてノートを開く、そこに複雑な文字列がある.
Webブラウザ上でNode.js環境を実現する「WebContainer」、iOS/iPadOS版Safariに対応。iPhone/iPadでWeb開発環境が起動
Webブラウザ上でNode.js環境を実現する「WebContainer」、iOS/iPadOS版Safariに対応。iPhone/iPadでWeb開発環境が起動 WebAssemblyを用いてWebブラウザ上でNode.js環境を実現する「WebContainer」などを提供するStackBlitzは、WebContainerがiOS/iPadOS 16.4以降のSafariに対応したことを明らかにしました。 iPhoneやiPad上のSafari上で、Node.jsをベースとしたWeb開発環境が起動することになります。 Big news: WebContainers are now supported on Safari, iOS and iPadOS!https://t.co/6SfOUDn4z2 pic.twitter.com/9PykipdNxJ — StackBlitz (@s
【アップデート】AWS Security Hub の『基礎セキュリティのベストプラクティス』に新たに25個のチェック項目が追加されました | DevelopersIO
【アップデート】AWS Security Hub の『基礎セキュリティのベストプラクティス』に新たに25個のチェック項目が追加されました はじめに みなさん、セキュリティチェックしていますか?(挨拶 AWS Security Hub の『AWS 基礎セキュリティのベストプラクティス v1.0.0』に新たに 25個のチェック項目(コントロール)が 追加されました。AWS公式も以下のようにアナウンスしています。 この新しいチェック項目は Security Hub の [設定 > 一般 > 新しいコントロールの自動有効化] を ON に していると自動的に追加されます。 いつのまにか CRITICAL/HIGH の項目で失敗していて、大量に通知が飛んできた方もいらっしゃるかもしれません。 本ブログで新規追加されたコントロールを簡単なコメント付きで紹介していきます。 (コントロールの題目はまだ日本
IFTTTやZapierのように複数アプリを連携して自動化できる「n8n」で「RSSで取得したウェブサイトのタイトル&URLをGoogle スプレッドシートに出力する」というワークフローを組んでみた
無料&オープンソースで使える自動化サービス「n8n」を利用して、「GIGAZINEのRSSフィードから1日1回タイトルとURLを取得し、既存のGoogle スプレッドシートに出力する」という基本的なワークフローを構築してみました。 n8n.io - a powerful workflow automation tool https://n8n.io/ GIGAZINEは以前にn8nを自サーバー上に構築しており、そのときの手順を記事化しています。n8nの導入方法を知りたい人はまず以下の記事をチェックしてください。 無料でIFTTTやZapierっぽく全自動連携できる「n8n」を自サーバー上に構築してみた - GIGAZINE まずはn8nにアクセスして「Add Workflow」をクリックします。 次に中央の+アイコンをクリック。 「On a schedule」をクリックします。 トリガーの
ジャンプTOON Next.js App Router の活用〜得られた恩恵と課題〜 | CyberAgent Developers Blog
目次 はじめに Colocation を意識した設計方針 Parallel Routes と Intercepting Routes を用いた設計パターン サーバー側に処理を寄せたことによる恩恵と課題 Next.js が抱える課題 おわりに 参考文献 はじめに ジャンプTOON のWeb版(以降、ジャンプTOON Web)の開発を担当している浅原昌大(@assa1605)です。 5 月にサービスを開始した「ジャンプTOON」は、オリジナル縦読みマンガ作品や人気作品のタテカラー版を連載する、ジャンプグループ発の新サービスです。 ジャンプTOON のフロントエンドには、Next.js を採用し開発をしています。 本記事では、Next.js の最新機能や設計パターン、Next.js を採用した恩恵と現在の課題について紹介します。 Colocation を意識した設計方針 Parallel Rou
ゆっくりしていってね!!!! 応用化学専攻で修士課程を卒業して、いまも化学系のお仕事を延々やっているケミカル・クラスタのゆっくりよ! でも、今回扱うテーマは別に化学じゃないわ。 今回は、Vtuberの戸定梨香さんをイメージキャラクターとした松戸警察署の交通安全啓発動画に対し、全国フェミニスト議員連盟(以下、全フェ連)が抗議状を送付した件について話したいと思ってるわ。 戸定梨香さんの問題の動画(YouTube) 「え? じゃあ何のために化学アピールしたの?」 当然の疑問よね! まず、大事なのは、私が理工系ゆっくりであるという点よ。 戸定梨香さんの件については、人文系ゆっくりの皆さんが人権や歴史の観点から既に様々な意見を述べていらっしゃるわ。とても勉強になるわね! テーマ的にそれは自然なことなのだけれど、私のように観点の異なるゆっくりが参加することで、問題の新しい側面を照らせないかと考えたの。
ChromeがHTTPSに優先アクセスする307リダイレクトをHSTS関係なくやるようになった - Code Day's Night
2023年11月1日の時点の情報です。 先にまとめを書きます。興味があれば詳細もどうぞ。 まとめ 10月16日のChrome 118からHTTPS ファーストモードがデフォルトでオンに 条件によってHTTPS Upgradeが働いてhttpのサイトにアクセスするとhttpsに優先的にアクセスさせる挙動(Chromeが内部で擬似的に307リダイレクトを返してhttpsに誘導) HSTSサイトではないhttpサイトでもこの挙動となるケースがある httpsにアクセスできない場合やレスポンスに3秒以上かかる場合はフォールバックでhttpに誘導(Chromeが内部で擬似的に307リダイレクトを返して元のhttpに誘導) 詳細 条件 307で擬似的にリダイレクトする条件は、いくつかあるようです。把握しているものを列挙します。 HSTSサイト(HSTSヘッダ指定、Preloadリストのサイト) HST
HDDやSSDの健康状態やS.M.A.R.T.情報が一目でわかる老舗フリーソフト「CrystalDiskInfo」の見方はこんな感じ
HDDやSSDなどのストレージに重要なデータを保存していたのに、突然HDDやSSDが壊れてしまい、データが吹き飛んでしまったという経験をしたことがある人は多いはず。もちろん日頃からバックアップをしておくことが大事ですが、メインで使っているストレージの健康状態をチェックすることも重要です。hiyohiyoさんが開発する「CrystalDiskInfo」は、使っているHDDやSSDの健康状態やS.M.A.R.T.情報を簡単にチェックできる老舗フリーソフトです。 CrystalDiskInfo - Crystal Dew World [ja] https://crystalmark.info/ja/software/crystaldiskinfo/ CrystalDiskInfoの公式ページにアクセスし、「ダウンロード」をクリック。 各エディションのダウンロードリンクが表示されるので、今回は通常
[レベル: 中級] この記事では、Wordpress 5.5 に標準実装されたサイトマップ生成機能を無効化する方法を紹介します。 WordPress のコア XML サイトマップ機能 リリースされたばかりの WordPress 5.5(この記事を公開している時点での最新バージョン)は、検索エンジン向けの XML サイトマップを作成する機能をコア機能として標準実装しました。 これまでサイトマップ生成にはプラグインを利用していました。 コア サイトマップは WordPress をインストールしたディレクトリの直下に作られます。 ファイル名は wp-sitemap.xml です。 example.com に WordPress をインストールしていたらサイトマップの場所は example.com/wp-sitemap.xml になります。 アクセスしたサイトマップはこんな感じです(正確には、サイ
Jason Cipriani (Special to ZDNET.com) 翻訳校正: 川村インターナショナル 2023-01-18 07:30 筆者は約15年にわたってTwitterを毎日使ってきた。計り知れないほど有益なツールであり、仕事で重宝したが、もっと重要なのは、人脈作りのツールとして新しいフリーランスの仕事を得るのに役立った点だ。筆者のフリーランスの仕事の約80%は、Twitterでやりとりした人や出会った人からもらったものだと思う。 しかし、多くの人がお気づきのはずだが、Twitterはこのところ少し混乱している。筆者はそんなことに労力や時間を費やしたくない。だが、他のTwitter中毒の友人たちと同じように、筆者も簡単にTwitterをやめることはできない。 Twitterに代わるものが必要だ。現在のところ、それは「Mastodon」のように思える。 厳密に言うと、筆者はM
ニコニ立体を直した話 - Qiita
ステージング化 本番のVMについてはここでAMIを取って完了としましたが、ステージングは設定を変更しなければなりませんでした。本番へのアクセスが起こらないよう設定の洗い出しを行い、地道に一つ一つ変更していき、ステージングとして動作するように調整を行いました。地味な作業でしたが、システム間のつながりを把握するという点でとても効率的だったので思ったほど無意味な作業ではありませんでした。 データ移行(BLOB to S3) データ移行はリプレイスプロジェクトでも難易度が高い部分でした。 ニコニ立体は3Dモデルホスティングサービスですが、この3Dモデルのファイル容量が大きく、移行に非常に時間がかかりました。試算では移行に24時間かかると出たため、日々増えるデータをどのようにスムーズに移行するかについて悩みました。 立体の負債解消を手伝ってくれていたまさらっき氏が偶然ALBのRuby on Lamb
Bleeping Computerは10月30日(米国時間)、「Google Chrome now auto-upgrades to secure connections for all users」において、GoogleがすべてのChromeユーザーに対し、HTTPリクエストを自動的にHTTPSリクエストに変更する「HTTPSアップグレード」を開始したと報じた。Googleはこれまでにも同機能を限定的に展開していたが、2023年10月16日に安定版のすべてのユーザーが対象になったという。 Google Chrome now auto-upgrades to secure connections for all users 歴史的に、ブラウザはHTTPSをサポートするサイトにおいて安全ではないHTTPリクエストを行うことがある。Google Chromeでは、次のような条件でHTTPリソー
サーバーメンテナス時に503を返す
自身のサイトがメンテナンス時に、どのようなページを表示しているか、把握してますでしょうか。 特に複数サイトを担当している方や、ドメイン内に複数システムが組み込まれているサイト、いつも深夜にメンテナンスしている場合などに、メンテナンス時に表示されるページの状態を把握できていないことがあると思います。 Google検索セントラルブログでは、メンテナンス時には503のhttp headerステータスを返すように推奨しています。 HTTP ステータス コードとして 503 (Service Unavailable) を返すように設定した方が、検索エンジンのクローラに対してダウン タイムが一時的であることを伝えることができます。 https://developers.google.com/search/blog/2011/01/how-to-deal-with-planned-site-downti
Google Cloud の IDaaS「Identity Platform」で作る、さまざまな認証パターン
Identity Platform を使うと、さまざまな認証パターンが構築できる! この記事は2023年10月6日に行われたナレッジワークさん主催のイベント「Encraft #7 AppDev with Google Cloud」で発表したセッションの解説記事です。現地でご参加いただいた皆さん、オンラインでご視聴いただいた皆さん、ありがとうございました! 私のセッションでは Identity Platform を使ったさまざまな認証パターンについてご紹介しました。セッション後、いくつかのご質問や「こんなパターンもあるよ!」というコメントもいただきました(ありがとうございます!)。この記事では、セッション内でご紹介した内容に加え、別解、または発展系とも言えるいくつかのパターンについてもご紹介します。 Identity Platform とは まずはこの記事でメインで扱う Identity P
OAuthの言葉周りを整理する
OAuthの仕組みとToken認証周りの言葉はいつまで経ってもはっきり理解できないものの一つでした。 しかし最近ようやく理解できるようになってきたのでとりあえずそれぞれの言葉の指すものや定義をここで整理してみようと思います。 リフレッシュトークン リフレッシュトークンとは アクセストークンの有効期限が切れたときに、認可サーバーにアクセストークンの更新リクエスト認証をするためのトークン。 OAuth自体はリフレッシュトークンがなくとも実装できるが、リフレッシュトークンはOAuthをより便利にするためのもの。 一般的に有効期限は長い。 ないとどうなるのか アクセストークンの期限が切れたらその度にSNS認証のあのログイン画面に飛ばされてメアドとパスワードの入力が必要になる。 セキュリティに関すること 有効期限が長くても安全性に問題がないと考えられる理由としては、アクセストークンの期限切れ時にしか
仕事でsedのコードをパパッと書いて使ったら、コードレビューで動かんと言われてしまった。そういえば、同僚はMacで、おれはLinuxだったな。 まぁsedならよくある話なので、しょうがないと思ってawkで同じことをした。awkは比較的もうちょっと互換性がある気がしているからだ(どっこいどっこいな気もする)。 しかしまだ動かないと言う。もう、大絶叫だ。アー。おしまいだ。カスがよ〜〜〜と思いつつ(社会人なので絶叫はしない)、よく調べてみるとmakeの互換性だった。というのも、試しにbrew install makeしてGNU Makeで試してみてくれ、と言ったら、あっさり動いたからである。実はsedもawkも悪くなくて、そいつを呼び出してるmakeに互換性がなかった。ごめんな、お前たち悪くなかったよ。でもそれはそうと互換性はない。 define foobarstring ... endef #
JPCERT/CCでは、国内のWebサイトが改ざん被害を受け、不正なページが設置される事例を継続して観測しています。これらの事例では、不正に設置されたPHPスクリプト(以下、PHPマルウェア)により、ページにアクセスした訪問者が詐欺サイトや不審な商品販売サイトなどに誘導されることがわかっています。 今回は、複数の調査事例から得られた知見をもとに、国内のWebサイト改ざんで頻繁に見られているPHPマルウェアの詳細について紹介します。 被害事例 PHPマルウェアが設置されたWebサイトでは、アクセスした訪問者を詐欺サイトや不審な商品販売サイトなどに転送する不正なWebページが多数サーバー上に作成されます。図1は、ページにアクセスした際に表示されるラッキービジター詐欺サイトの例です。 図1:転送先の詐欺サイトの例 攻撃者は、コンテンツマネジメントシステム(以下、CMS)の脆弱性を悪用して、PHP
こういうのを作りました。 ジョブに紐付いたPull Requestへのリンクが表示される 行ったこと: リンクを生成するジョブを1つ生やした 綺麗な表示はStep Summary機能 (後述) の力を借りている ジョブ実行画面からPull-Reqに戻りたい GitHub Actionsのジョブ実行画面には、その実行元となったPull Requestへのリンクが存在しないため、困っていた。 よくあるシチュエーション: Pull Requestを見るとジョブがコケていた 様子を見に行くうちに履歴がどんどん深くなる -- ジョブ画面内での遷移はどんどんヒストリが積まれる Pull Requestに戻れなくなってしまう この話を同僚にしたところ共感の嵐だった。したがって隠れた需要がありそうだということが判明し、うまくやる方法を考えることにした。 結果、GitHub Action上でPull-Req
フルスクラッチして理解するOpenID Connect (1) 認可エンドポイント編 - エムスリーテックブログ
こんにちは。デジカルチームの末永(asmsuechan)です。 この記事では、OpenID Connect の ID Provider を標準ライブラリ縛りでフルスクラッチすることで OpenID Connect の仕様を理解することを目指します。実装言語は TypeScript です。 記事のボリュームを減らすため、OpenID Connect の全ての仕様を網羅した実装はせず、よく使われる一部の仕様のみをピックアップして実装します。この記事は全4回中の第1回となります。 なお、ここで実装する ID Provider は弊社内で使われているものではなく、筆者が趣味として作ったものです。ですので本番環境で使用されることを想定したものではありません。なんなら私は ID Provider を運用する仕事もしておりません。 1 OAuth 2.0 と OpenID Connect 1.1 用語の
「クーデレ」はいかにして素直クールをやめて普通にデレるようになったか - WINDBIRD::ライトノベルブログ
「クーデレ」とは何か? 「クーデレ」というオタク用語がある。 Wikipedia・ピクシブ百科事典・ニコニコ大百科では、それぞれ以下のように説明されている。 クーデレは、「クール」に「デレデレ」の略から作られた造語で、初見ではクールで近寄りがたいものの、打ち解けていくうちに好意的な態度、いわゆる「デレデレした態度」をとるタイプのことを指す言葉である。 クーデレ - Wikipedia 普段はクールだが、口数が少なく感情を表に出さなかったり、感情表現が苦手だったりするため、その分好意を抱く特定の人に対して親しくなるとデレデレ甘えたり、可愛らしい面を見せる、内心の愛情が人一倍熱い人物のこと。 クーデレ (くーでれ)とは【ピクシブ百科事典】 ツンデレがパターンこそいくつかあれどツンとデレのギャップに萌えるという概念があるのと同じように、基本的にクール時のそっけなさとデレのギャップに萌える属性であ
気がついたら数年ぶりのBlog投稿でした。お手柔らかにお願いします。 さて、今回取り上げるのは、ドメインやサブドメイン、保有ネットワークを調査する手法(相手方に影響を与えない縛りです)を思いつくままに紹介していきます。ドキュメントとして纏まっているものもあまり見かけなかったので、重い腰を上げて書いてみました。この他にもこんな方法がある!などフィードバックを頂ければとても喜びますので、是非よろしくお願いします。 目次 <後編> ・サブドメインを調査する方法 ・IPアドレスを起点にサブドメインを探す ・公開ポートへのアクセス(Webポート) ・<通常コンテンツの返却> ・<エラーページの返却> ・<リダイレクト> ・公開ポートへのアクセス(Webポート以外) ・証明書の確認 ・<Webサーバの場合> ・<SSL/TLSで保護されたプロトコルの場合> ・<プロトコル内で暗号化(STARTTLS)
なぜ Server Actions を使うのか
Next.js 14 の Server Actions の stable リリースに発表は大きな反響を呼びました。 特に <button> の formAction 属性内で直接 SQL クエリを実行するコードは多くの人に衝撃を与えていました。"use server;" の部分を PHP やバイナリに置き換えると行った多くのミームも生まれました。 function Bookmark({ slug }) { return ( <button formAction={async () => { "use server"; await sql`INSERT INTO Bookmarks (slug) VALUES (${slug})`; }} > <BookmarkIcon> </button> ) } X 上での反応を見ると、このクライントから直接 SQL クエリを実行するコードは見た目の印象
Twitterを運営する米Xは7月4日(現地時間)、広告主向けのブログで、数日前に予告なしに閲覧制限を実施したことについて説明した。 閲覧制限の目的は「プラットフォームに害を及ぼすボットやその他の悪人を検出して排除」するためで、予告しなかったのは「事前通知があれば、悪意のある行為者が検出を回避するために動作を変更することが可能になってしまう」からだとしている。 “悪意のある行為者”は、「AIモデル構築のためにTwitterデータをスクレイピング」したり「Twitter上の会話を操作」したりしているという。 Xは、この制限の「広告への影響は最小限に抑えられている」としている。 また、「作業が完了したら更新情報を提供する予定」という。 関連記事 TweetDeck 2.0リリース 30日以内にTwitter Blue加入が必須に? Twitterの公式クライアント「TweetDeck」でも混乱
Next.js 12について本気出して和訳してみた Next.js 12がリリースされました!!!🎉 公式ページは英語となっておりますので、Next.js 12の内容を和訳していきます。 公式ページは以下となっております。 英語が苦手な方はこの記事を参考にしてください!!! ※本記事で使用している画像は公式ページのものです。 Next.js 12 2021年10月27日(水) Next.js Confで発表したように、Next.js 12は過去最大のリリースとなります。 Rustコンパイラー: Fast Refreshが3倍、そしてビルドが5倍速くなりました。 ミドルウェア(beta): Next.jsの柔軟性を高めるために、設定よりもコードを優先します。 React 18のサポート: ネイティブのNext.jsのAPIがサポートされ、サスペンスもサポートされています。 <Image /
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ビデオ会議でカメラの映像の代わりに絵文字を配信するためのツールを作った
チームのScrapbox3000ページくらいを見返して整理した - hitode909の日記
技術系の情報をググるときにStack Overflowの機械翻訳サイトを回避する技術 - ムニエルブログ
CDN 入門とエッジでのアプリケーション実行 | フューチャー技術ブログ
OAuth 2.1 の標準化が進められています - Qiita
Firefoxの利用者から「突然ネットにつながらなくなった」報告が殺到 影響範囲は世界中か
マルチバイト文字とURL | 技術者ブログ | 三井物産セキュアディレクション株式会社
SaaSをAzure ADでシングルサインオンを構成する流れをわかりやすくまとめてみた
CloudFront+S3構成だった自分のサイトをCloudflare+R2に移行した - Lambdaカクテル
ローカル開発環境のために外部サービスをモック化する - BASEプロダクトチームブログ
パスワードマネージャーは必要か? そしてなぜKeeperか? - Qiita
全国フェミニスト議員連盟による抗議状の超批判的検討|手嶋海嶺
WordPress 5.5に実装されたネイティブ サイトマップ機能を無効化する方法
「Raspberry Pi 4」を使った「Mastodon」サーバー--立ち上げに必要なものと手順
Google Chrome、全ユーザーに対しHTTPからHTTPSへ自動変更
sed awk make 互換性 つらい うんざりザリガニ - Lambdaカクテル
ラッキービジター詐欺で使用されるPHPマルウェア - JPCERT/CC Eyes
GitHub Actionのジョブ実行画面からPull Requestを辿れるようにした - Lambdaカクテル
ドメインやサブドメインを調査する話(前編) | 技術者ブログ | 三井物産セキュアディレクション株式会社
Twitter、閲覧制限について予告しなかったのは「スクレイピング対策を回避させないため」
Next.js 12について本気出して和訳してみた