TypeScript未経験でもスムーズに業務に取り組める、最強の学習用コンテンツを作った話 - NTT Communications Engineers' Blog
この記事は、 NTT Communications Advent Calendar 2023 19日目の記事です。 この記事では、TypeScript未経験のインターン生にすぐにSkyWayの開発に取り組んでもらうために、TypeScriptの学習用コンテンツを作成した話を紹介します。 学習用コンテンツでどのようなスキルを身に着けてもらったのか、効果的に学ぶためにどのような点を工夫したのかについても説明します。 はじめに 学習用コンテンツの目的 TypeScript学習用コンテンツの紹介 取り組んでもらった結果 より高度な内容について おわりに はじめに 皆さまこんにちは。イノベーションセンター SkyWay DevOps プロジェクト所属の@sublimerです。 SkyWayのチームでは、今年の8〜9月に現場受け入れ型のインターンシップを実施しました。 インターン生を受け入れるにあたっ
テクノロジー部門CTO室の笹田(ko1)と遠藤(mame)です。今年の 9 月から STORES 株式会社で Ruby (MRI: Matz Ruby Implementation、いわゆる ruby コマンド) の開発をしています(Rubyのこれからを STORES で作る。Rubyコミッター笹田さん、遠藤さんにCTOがきく「Fun」|STORES People )。お金をもらって Ruby を開発しているのでプロの Ruby コミッタです。 本日 12/25 に、恒例のクリスマスリリースとして、Ruby 3.3.0 がリリースされました(Ruby 3.3.0 リリース)。クックパッド開発者ブログで連載していたように、今年も STORES Product Blog にて Ruby 3.3 の NEWS.md ファイルの解説をします(ちなみに、STORES Advent Calendar
iPhone全モデルと2020年以降のMacからパスワードやメールを盗み出す「iLeakage」が報告される、実際に動作するデモ映像もあり
すべてのiPhoneおよびiPadや2020年以降に登場したApple Silicon搭載Macが対象となる攻撃手法「iLeakage」がジョージア工科大学の研究チームによって発見されました。iLeakageを悪用するウェブサイトにアクセスした場合、ウェブサービスのパスワードやメールなどの情報を盗み出されてしまいます。 iLeakage https://ileakage.com/ iLeakageは必要になる可能性のある処理を事前に行うことでCPU性能の向上を図る技術「投機的実行」を悪用するタイプの攻撃で、iPhoneやiPadに搭載されているAシリーズチップおよびMacや一部のiPadに搭載されてるMシリーズチップに対して有効です。このため、すべてのiPhoneおよびiPadと2020年以降に登場したMacはiLeakageによる攻撃の対象となり得ます。 iLeakageは「ウェブサイト
Google の最新スマートフォンPixel 8シリーズは7年間のOS アップデート、セキュリティパッチ提供を保証するという「長く使えるスマートフォン」のお手本のような構成となった。 その一方、ネット上では長く使えることを歓迎する声だけでなく、これを否定的に捉える意見も見かけた。今回はスマートフォンの長期のアップデートというものが本当に必要なのかといったところを考えてみよう。 Google Pixel 8が7年間のOSアップデートを提供したことが大きな話題に 7年のOSアップデートは必ずしも歓迎されない。理由は「ハードウェア寿命」「性能の陳腐化」「長期サポートによる値上げ」 スマートフォンへ7年間のOSアップデート。これからは社会的に求められる時代か Google Pixel 8が7年間のOSアップデートを提供したことが大きな話題に スマートフォンのOSアップデートについてはかねてから消費
エレコム、過去発売のWi-Fiルーターに脆弱性 更新期間終了済み、“買い替え”推奨 「力及ばず謝罪しかできない」
関連記事 Wi-Fiルーターの設定確認ってどこを見ればいいの? 警視庁の注意喚起で困惑の声 バッファローに聞いた 警視庁は家庭用Wi-Fiルーターの不正利用について、「見覚えのない設定変更がなされていないか定期確認」を推奨。しかし、Twitter上では「設定なんていちいち覚えてられない」など困惑する声も。バッファローに具体的な対策を聞いた 帰省先のWi-Fiルーター、セキュリティは大丈夫? GW中に確認しよう 警視庁も注意喚起 サイバー攻撃への対策を呼び掛けるサイバーセキュリティ連盟は、Wi-Fiルーターへの不正アクセスを防ぐためゴールデンウィーク中に確認すべきポイントを紹介した。 ハンディファン、猛暑日は逆効果とメーカーが注意喚起 「濡れタオルとの併用を」 手軽に外でも使える「ハンディファン」(携帯型扇風機)は気温35℃以上になると逆効果になるとエレコムが注意喚起した。 エレコムが“スマ
【書評】「コンテナセキュリティ コンテナ化されたアプリケーションを保護する要素技術」 | DevelopersIO
セキュリティに限定せず、「コンテナとは何か」から詳細に説明しています。コンテナやセキュリティの深淵に触れてみたい方にお勧めの、遅効性の良書という印象です。 コーヒーが好きな emi です。 コンテナを使ったアーキテクチャは引き合いも多く、私も常々しっかり学ばねばならないと思っていました。そんな折、以下のイベントでコンテナセキュリティに関する内容で登壇をすることになりました。 コンテナセキュリティについて学ぶため「コンテナセキュリティ コンテナ化されたアプリケーションを保護する要素技術」を読みましたので、本記事では本書の概要と感想を記載します。 書籍情報 書籍タイトル : コンテナセキュリティ コンテナ化されたアプリケーションを保護する要素技術 著者 : Liz Rice(著)、株式会社スリーシェイク(監修)、水元 恭平、生賀 一輝、戸澤 涼、元内 柊也(訳) 出版社 : インプレス 出版日
セキュリティインシデント疑似体験調査ワークショップに参加すべき3つの理由 - Techtouch Developers Blog
はじめに こんにちは。最近はテックタッチの同僚とボルダリング同好会のようなものを作ってワイワイしてます!SRE の izzii です。 7月27日、社内の有志を集めて AWS ジャパン主催のセキュリティインシデント疑似体験 調査ワークショップに参加しました。このイベントは、AWS 環境上の典型的なセキュリティインシデントを再現したログを用いて、CTF (Capture The Flag、旗取りゲーム) 形式で AWS のセキュリティで気をつけるべきことを学べるイベントです。 テックタッチからは、izzii (SRE), roki (SRE), canalun (フロントエンド), kacchan (コーポレートセキュリティ) が参加し、その4名で構成されたチーム 「gokigen」 は約40チーム中で3位に入賞することができました!(記事のトップ画像はその時のキャプチャです ※AWS 様に
AMD Ryzen(Zen3/Zen4)に重大な脆弱性、RSA暗号を6.5秒で窃取できる不具合、修正まで利用停止を – ITエンジニアのまとめ
ホーム PC, ハードウェア AMD Ryzen(Zen3/Zen4)に重大な脆弱性、RSA暗号を6.5秒で窃取できる不具合、修正まで利用停止を 2023.08.13 PC, ハードウェア AMD Ryzen(Zen3/Zen4)に重大な脆弱性、RSA暗号を6.5秒で窃取できる不具合、修正まで利用停止を AMD Ryzen(Zen3/Zen4)に重大な脆弱性、RSA暗号を6.5秒で解読窃取できる不具合、修正時期は未定、今すぐ利用中止を AMDのCPUに新たな脆弱性が見つかりました。 見つかった脆弱性のCVE-IDはCVE-2023-20569。AMDによると、この脆弱性を悪用した『Inception』と呼ばれる新たなサイドチャネル攻撃により、情報漏えいの恐れがあるとのこと。 この脆弱性はチューリッヒ工科大学の研究者らにより発見されました。『Inception』によるデータ窃取の速度は毎秒3
こんにちは!DevBrandingのellyです。 いよいよ今週末は技術書典15ですね! この度、freeeの有志の開発メンバーで初めて技術同人誌「freee 技術の本」を制作しました。 すでに技術書典 マーケットにて公開されており、オンラインでは11月11日(土)より入手可能です。 11月12日(日)池袋・サンシャインシティのオフライン会場では、執筆者たちでブースを出しておりますのでぜひ立ち寄っていただけると嬉しいです! techbookfest.org freee 技術の本とは? freeeの有志の開発メンバーで執筆した技術同人誌です。 今回は、これ一冊を読むことで、freeeの技術はもちろん、開発組織やカルチャーなど、なんとなく会社の全体的な雰囲気が伝わるような内容にすることを心がけました。 数年前からDevBrandingチームで技術本の制作をしてみたいという話はあがっていたものの
1. 始めに こんにちは、morioka12 です。 本稿では、バグバウンティの入門として、主に Web アプリケーションを対象にした脆弱性の発見・報告・報酬金の取得について紹介します。 1. 始めに 免責事項 想定読者 筆者のバックグラウンド Start Bug Bounty Bug Bounty JP Podcast 2. バグバウンティとは バグバウンティプラットフォーム Program Type Private Programs VDP (Vulnerability Disclosure Program) Asset Type 3. プログラムの選び方 Scope OoS (Out of Scope) 4. 脆弱性の探し方 (初期調査編) Subdomain Google Dorks Wayback Machine Wappalyzer JS Analyze [Blog] Java
Linuxを再起動することなくカーネルにパッチを当てる「ライブパッチ」の技術的な仕組みと、その種類とは[PR]
Linuxを再起動することなくカーネルにパッチを当てる「ライブパッチ」の技術的な仕組みと、その種類とは[PR] Linuxのアップデートパッチは脆弱性の大小にかかわらず、ほぼ毎月のように登場しているのが現状です。 パッチの適用を放置することは脆弱性を放置することにつながるため、脆弱性対策のパッチが公開されたならば、迅速なパッチの適用が望まれます。特に最近ではセキュリティの脆弱性を突かれたことで深刻な被害を被る企業などの事例が社会的な注目を集めるようになっており、迅速なパッチ適用の重要性は高まってきています。 一方で、ビジネス上の要請としては計画停止であってもサーバの停止は最低限で済ませることが望ましいとされています。計画停止であっても、数分から長いときには数十分かかるLinuxサーバの再起動を伴うアップデート作業を可能な限り回避したいという要望は変わらないでしょう。 ITの現場はこの、セキ
![Linuxを再起動することなくカーネルにパッチを当てる「ライブパッチ」の技術的な仕組みと、その種類とは[PR]](https://cdn-ak-scissors.b.st-hatena.com/image/square/329e6949ad1dea46d1a4a37afe2f339f8b46378c/height=288;version=1;width=512/https%3A%2F%2Fwww.publickey1.jp%2F2023%2Flivepatching01.png)
自治体システムへの不正アクセスとベンダの責任 前橋地判令5.2.17(令2ワ145) - IT・システム判例メモ
ファイアウォール設定の誤りの脆弱性により不正アクセスが行われ、自治体のシステムから個人情報の漏えいした疑いがある件について、ベンダの重過失が認められた事例。 事案の概要 前橋市(X)は、MENETと呼ばれる情報教育ネットワークを有しており、そのデータセンタの移管設計・構築業務を、NTT東日本(Y)に委託し(本件委託契約)、その後の保守業務も委託していた(月額100万円。本件保守契約)。 平成29年8月ころからMENETの公開用サーバへの不正アクセスがあり、平成30年3月には調査の結果、児童・生徒・保護者に関する多数の個人情報が流出した可能性が高いことが明らかとなった(本件不正アクセス)*1。本件不正アクセスは、サーバにバックドアが仕掛けられ、ファイアウォールの設定とが相まって発生したものだとされた。 Xは、(1)本件委託契約に基づいて、ファイアウォールを適切に設定しなかったことが債務不履行
高度なセキュリティ対策を実施していると思われる組織であっても、遠く海外の攻撃者からインターネットを通じたサイバー攻撃により組織内部のネットワークに深く侵入され、重要な情報が搾取されたり、システムが止められたりすることが連日、報道されています。このような報道を目にして、いつ自分の組織がこのような事態になるかもしれないと考えている経営者は少なくないのではないでしょうか。経営のテクノロジーやサイバー空間への依存度がますます高まっている現在においては、それが適切な感覚と言えるでしょう。 サイバーセキュリティへの対応は、いつ、何が起こるかわからないという不確実性に対するマネジメントの一要素と言えます。毎年の初めに世界経済フォーラム(World Economic Forum)から発表される「グローバルリスク報告書」においても、サイバー攻撃は発生可能性が高いリスクとして常に注目されています。 サイバーセ
CVSSバージョン4.0の変更点と活用可能性
CVSS(Common Vulnerability Scoring System)は、脆弱性管理における基本的な仕組みとして広く利用されており、業界全体のデファクトスタンダードになっています。CVSSはFIRST(Forum of Incident Respones and Security Teams)内に設置されたCVSS-SIG(Special Interest Group)1によって策定され、2023年7月現在の最新バージョンは3.1となっています。2023年6月に次バージョンである4.0のパブリックプレビュー版2が公開されており、寄せられたコメントをレビュー・反映した後、2023年10月を目途にバージョン4.0の公開が予定されています。本稿ではパブリックプレビュー版に基づいて、現行のバージョン3.1との変更点を解説します。また、SSVC(Stakeholder-Specific
デル・テクノロジーズは5月9日、顧客情報が漏えいした可能性があるとユーザーに告知した。同社がユーザーに送ったメールで分かった。氏名、住所、製品の注文情報について、外部からアクセスされた可能性があるという。デルがユーザーに送ったメールは以下の通り。 海外メディアは、今回の漏えいが大規模なものである可能性も報じている。セキュリティ情報を発信するWebサイト米Daily Dark Webによれば4月28日、何者かがハッキングフォーラムで「2017年から24年にかけてデルから製品を購入した顧客の情報4900万件を盗んだ」旨を主張していたという。 Daily Dark Webは、データのうち約700万行が個人、約1100万行がコンシューマー事業者、残りはパートナー企業や学校、詳細が不明な団体なものだったとしている。データには米国、中国、インドなどの情報が含まれ、顧客の氏名や住所、郵便番号、製品・サー
ご来店ありがとうございます。 原書の改題改訂への対応を進めていた『プロフェッショナルSSL/TLS』につきまして、きたる12月4日(月)に新刊『プロフェッショナルTLS&PKI 改題第2版』として当直販サイトから順次発売を開始いたします。長らく当サイトにて「2023年秋予定」とご案内させていただいていましたが、発売開始までもう少しだけお待ちいただければ幸いです。 本書は、Ivan Ristić氏が自著 “Bulletproof SSL/TLS” を2022年に改題改訂して新規発行した “Bulletproof TLS/PKI Second Edition” の日本語全訳版です。旧版である “Bulletproof SSL/TLS” とその翻訳版である『プロフェッショナルSSL/TLS』は、発売以来、大きな構成変更を伴わない追記や修正を施したアップデートを何回か実施しており、電子版については
『Apex Legends』公式大会決勝にて「勝手にチート付与される」ハッキング騒動が発生し試合延期。前代未聞の状況で猛烈に慌てるプロ選手ら - AUTOMATON
『Apex Legends』の公式世界大会「Apex Legends Global Series」(以下、ALGS)運営は3月18日、「ALGS Split 1 Pro League」北米リージョンファイナルの延期を発表した。この決定の裏には、出場選手たちが相次いで「チートを勝手に付与される」ハッキング被害を報告したことがあるようだ。 Due to the competitive integrity of this series being compromised, we have made the decision to postpone the NA finals at this time. We will share more information soon. — Apex Legends Esports (@PlayApexEsports) March 18, 2024 今回延期
B+木入門:PHPで理解する データベースインデックスの仕組み/b-plus-tree-101
PHPerKaigi 2024 の登壇資料です
はじめに エンジニアとして就職する前に読んだ「なれる!SE 2週間でわかる?SE入門」の内容があまりにも厳しく、業界に就職するのが怖くなったことを覚えています。本の中に登場する中学生の少女にしか見えない凄腕のSE、室見立華さんのような人物は現実には存在しないでしょうが、実際の業界には彼女のような凄腕エンジニアや年齢不相応な技術力を持つ人間も確かに存在します。 なれる!SE 2週間でわかる?SE入門 (電撃文庫) 作者:夏海 公司,IxyKADOKAWAAmazon SREの探求『Becoming SRE』の内容紹介 私は「なれる!SE」が好きすぎるあまり、「なれる!SRE」というタイトルのクソみたいな文章を吐き出したこともありましたが、そのクオリティがあまりにも低かったため、外には公開せずに留めておきました。そんな中、SREの探求の原著者であるDavid Blank-Edelman(ott
テックタッチという会社・サービス テックタッチの SRE チーム 何をやっているの インフラエンジニアというよりもソフトウェアエンジニア 課題感 SREチームの活動 - 大きなサイクル・小さなサイクル コミュニケーション 技術スタック・ツール 終わりに こんにちは。SRE の roki です。暑い日はまだあるものの、朝はすっかり秋を感じるようになり子どもたちが登校しやすくなってホッとしている今日このごろです。 この記事では、テックタッチという会社・サービスに触れつつ、SRE チームの働く環境や課題感を共有しながらチームの紹介をしていきます。興味を持っていただけたらぜひお声がけください。カジュアルに話し合う場を設けさせてもらっており、採用情報ページにて受け付けています。 テックタッチという会社・サービス テックタッチでは、社名と同じ「テックタッチ」という名前のサービスを運営しています。どのよ
OpenAIが開発する大規模言語モデル(LLM)の「GPT-4」は、道徳テストで人間の大学生より優れたスコアをたたき出したり、セキュリティ勧告を読むことで実際の脆弱性を悪用できたりと、すでに一部の分野で人間の能力を超えることが示されています。そんなGPT-4が、プロのアナリストに匹敵する精度の財務諸表分析を行えることが実証されました。 Financial Statement Analysis with Large Language Models by Alex Kim, Maximilian Muhn, Valeri V. Nikolaev :: SSRN https://papers.ssrn.com/sol3/papers.cfm?abstract_id=4835311 The future of financial analysis: How GPT-4 is disrupting
「スマート歯ブラシ300万本を乗っ取ってDDoS攻撃」海外メディアで誤報相次ぐ “IoTテロ”は現実に起こるのか?
スマート電動歯ブラシ300万本がマルウェアに感染してDDoS攻撃の踏み台にされ、企業のWebサイトをダウンさせた──メディア各社がこんな事件があったと報じたが、実は仮定の話にすぎなかったことが、後になって判明した。 報道によると「歯ブラシの攻撃」という見出しがついた元記事は、スイスのドイツ語ニュースサイト「Aargauer Zeitung」に掲載された。 「女性は自宅の浴室にいた。だが彼女は大規模サイバー攻撃に関与していた。電動歯ブラシはJavaでプログラミングされていて、知らないうちにマルウェアをインストールされていた――他の300万本の歯ブラシと同様に。たった1つのコマンドで、遠隔操作された歯ブラシが、スイス企業のWebサイトに同時アクセスした。サイトはダウンして4時間にわたってまひ状態となった」 これを見た英語メディアが次々に記事の内容を英訳して転載し、ネットでうわさが広がった。 A
ドラえも⚫︎で理解するCSRF はじめに ※コメントにて徳丸浩先生(@ockeghem)に間違いをいくつかご指摘頂き修正中です。 また、@rudorufu1981様よりブラウザの同一オリジンポリシーについての補足を頂いております。 ぜひ記事の下部、コメント欄までご覧頂きますようお願いいたします。 ご指摘や補足、本当に有難うございます。 【追記2023.12.2】 同一オリジンポリシーの補足についても徳丸先生のご見解コメントを頂いております。ぜひそちらもご確認下さい。 【追記2023.12.5】 ご指摘を受けて同一オリジンポリシーはCSRFと直接の関連はない事から、取り消し線にて削除致しました。 対象読者 ・HTTPの特性 ・セッション管理 ・ブラウザの同一オリジンポリシー ・CSRF(Cross-Site Request Forgeries) ⚫︎上記の言葉を聞いてイメージができない人 ⚫
「できる人」と「できない人」の分岐点:4M4E分析で手に入れる仕事の質 - STUDY HACKER(スタディーハッカー)|社会人の勉強法&英語学習
どんな人間だって、大なり小なりミスはするものですよね。しかし、同じミスを繰り返す人と、繰り返さない人には決定的な違いがあるようです。その違いとは、ミスをしたあとに真因究明ができているかどうか。今回は、ミスの再発で悩むビジネスパーソンに向け、再発防止のカギを握る分析方法を紹介しましょう。 【ライタープロフィール】 STUDY HACKER 編集部 「STUDY HACKER」は、これからの学びを考える、勉強法のハッキングメディアです。「STUDY SMART」をコンセプトに、2014年のサイトオープン以後、効率的な勉強法 / 記憶に残るノート術 / 脳科学に基づく学習テクニック / 身になる読書術 / 文章術 / 思考法など、勉強・仕事に必要な知識やスキルをより合理的に身につけるためのヒントを、多数紹介しています。運営は、英語パーソナルジム「StudyHacker ENGLISH COMPA
","naka5":"<!-- BFF501 PC記事下(中⑤企画)パーツ=1541 --><!--株価検索 中⑤企画-->","naka6":"<!-- BFF486 PC記事下(中⑥デジ編)パーツ=8826 --><!-- /news/esi/ichikiji/c6/default.htm -->","naka6Sp":"<!-- BFF3053 SP記事下(中⑥デジ編)パーツ=8826 -->","adcreative72":"<!-- BFF920 広告枠)ADCREATIVE-72 こんな特集も -->\n<!-- Ad BGN -->\n<!-- dfptag PC誘導枠5行 ★ここから -->\n<div class=\"p_infeed_list_wrapper\" id=\"p_infeed_list1\">\n <div class=\"p_infeed_list\">
あなたの端末は大丈夫?無料で出来る Nessus Essentials でセキュリティパッチスキャンをかけてみた! - ラック・セキュリティごった煮ブログ
デジタルペンテスト部の吉原です。 4 月から「セキュリティ診断」の部署が「ペネトレーションテスト(ペンテスト)」の部署に吸収合併され、ごった煮ブログに執筆する機会を頂き、いいネタを思いついたので、記事を書かせていただきました! 私事ですが、4 月から今まで担当してきた「Web アプリケーション診断担当」から「プラットフォーム診断担当」(現 DiaForcePSR グループ)に異動させて頂き、プラットフォーム診断を楽しみながら、お仕事させていただいております、、! そんな私ですが、先日「クライアント端末設定診断」の案件を担当させていただき、お客様の診断対象端末に対してセキュリティパッチスキャンをかける機会がありました。 そこで診断作業中にふと、「自分の私用デバイスは普段から WindowsUpdate を適用するように心がけてはいるけど、大丈夫かな、、?」と思い、診断作業の練習を兼ねて無償利
「DNSに対する最悪の攻撃」 迅速なパッチ適用を推奨 ATHENEによると、KeyTrapを悪用した場合、単一のDNSパケットが結果的にCPUの使い果たしを誘導し、「Google Public DNS」やCloudflareのDNSなど広く使われているDNS実装やパブリックDNSプロバイダーを全て停止させることが可能だ。発表によると「BIND 9」を16時間ダウンさせたとされている。なお、この欠陥は「CVE-2023-50387」として特定されている。 この攻撃はインターネットの基本的な機能に深刻な影響を与え、世界中のWebクライアントの大部分が利用不能になる可能性がある。主要なDNSベンダーはこの攻撃を「これまでに発見されたDNSに対する最悪の攻撃」と呼んでおり、状況の重大さが指摘されている。 KeyTrapを悪用するサイバー攻撃者は、DNSSECを検証するDNSリゾルバを利用する全ての
PowerShellを開くとこのメッセージが…… PowerShellを開くと、「最新のPowerShellをインストールしてください」と表示される。新しいPowerShellのインストールは必要なのだろうか、インストールする場合はどうすればいいのだろうか。このメッセージの対処方法を紹介しよう。 Windowsターミナルなどで「PowerShell」を開くと、「新機能と改善のために最新のPowerShellをインストールしてください!」と表示され、最新版をインストールしなければならないのか、どうすれば最新にできるのか、迷っていないだろうか。 本Tech TIPSでは、この「最新のPowerShellをインストールしてください」の対処方法を紹介しよう。 「最新のPowerShell」とは? 前述の通り「PowerShell」を開くと、「新機能と改善のために最新のPowerShellをインスト
はじめに - 作って学ぶ正規表現エンジン
はじめに 正規表現は様々なプログラミング言語で利用されている、テキスト処理のためのパターン言語です。 正規表現はテキストエディタでの検索や置換、入力文字列のバリデーションなどプログラミングの様々な分野で実用されています。 ある程度の規模のプログラムにおいて、正規表現を全く利用しない (利用していない) ということはほとんど無く、正規表現は今日のプログラミングにおいて非常に重要なパーツだと言えます。 JavaScriptやRubyといったプログラミング言語では正規表現はファーストクラスのリテラルとして実装されているため、とても簡単に利用できます。 例えば次のRubyプログラミングでは変数fooに入った文字列の部分にfizzかbuzzが含まれるかどうかを、正規表現/fizz|buzz/を使ってチェックしています。 foo =~ /fizz|buzz/ さらに、計算機科学 (コンピューターサイエ
はじめに こんにちは。サーバーサイドエンジニアの mokuo です。 最近、ミニマムな React アプリを実装する機会がありました。 社内のメンバーにアドバイスをもらいながら、今(2024年前半) React アプリをミニマムに作るならこんな感じかな、という構成になった気がするので、ご紹介したいと思います。 実例の1つとして参考にしていただけますと、幸いです。 はじめに 本文 📝 機能要件 ⚒️ 採用したツール (npm モジュール) 📁 ディレクトリ構成 👨💻 プロトタイピングの実施 🍩 おまけ コンポーネント設計について フロントエンドに DDD のエッセンスを取り入れてみたい おわりに 本文 📝 機能要件 社内の限られた CS メンバーのみが利用する、管理画面を開発しました。 バックエンドは Golang で実装される API サーバーで、認証機能以外だと、2つの機能
アメリカ合衆国サイバーセキュリティ・社会基盤安全保障庁が、先日2023/08/04に2022 Top Routinely Exploited Vulnerabilitiesというレポートを公開していました。 2022年に最も悪用された脆弱性トップ12がリストアップされているようです。 以下では該当の脆弱性をそれぞれ紹介してみます。 理論上危険とか原理上危険とかではなく、実際に使われた脆弱性ということなので、対策する必要性は極めて高いといえるでしょう。 心当たりのある人はすぐに対処しましょう。 2022 Top Routinely Exploited Vulnerabilities CVE-2018-13379 Fortinet社のVPN機器FortiGateに存在する脆弱性で、VPNのログイン情報を抜かれます。 VPNでなりすまし放題ということなわけで、極めて重大な脆弱性と言えるでしょう。
ブラウザのテキスト入力フィールドに関する脆弱(ぜいじゃく)性の分析により、大手企業や官公庁のサイトのHTMLソースコードに平文でパスワードが保存されていることが判明しました。問題を発見した専門家らは、試しに機密データを抜き取れるテスト用の拡張機能を作成したところ、いとも簡単にChromeウェブストアにアップロードできたと報告しています。 [2308.16321] Exposing and Addressing Security Vulnerabilities in Browser Text Input Fields https://arxiv.org/abs/2308.16321 Chrome extensions can steal plaintext passwords from websites https://www.bleepingcomputer.com/news/securi
パスワードがハッシュ値で保存されているサイトのSQLインジェクションによる認証回避の練習問題解答 - Qiita
この記事は、以下の問題の想定正解です。まだ問題を読んでいない方は、先に問題を読んでください。 まず、多くの方に記事を読んで頂きありがとうございます。解答もいくつかいただきましたが、その中で、以下のhm323232さんの解答は非常に優れたもので、これに付け加えることはほとんどありません。 しかし、気を取り直して、解答を書きたいと思います。 まず、ログイン処理の中核部分は以下に引用した箇所です。 $sql = "SELECT * FROM users WHERE userid = '$userid'"; $stmt = $pdo->query($sql); $user = $stmt->fetch(); if ($user && password_verify($password, $user['password'])) { echo "ログイン成功:" . htmlspecialchars(
米国国立標準技術研究所(以下、NIST)は2023年8月8日(現地時間、以下同)、待望の「サイバーセキュリティフレームワーク」(以下、CSF)2.0のドラフト版を発表した(注1)。これは同機関のリスクガイダンスに関する2014年以来の大規模な改訂である。 大幅改定されるサイバーセキュリティフレームワーク 何が変わるのか? CSFはもともと重要インフラに重点を置いたリスクガイダンスだったが、改訂されたバージョンでは中小企業や地域の学校、その他の事業体を含む幅広い組織を対象としたものになっている他、コーポレートガバナンスの役割や、第三者との関係に基づくデジタルネットワークのリスクの増大にも言及している。 同フレームワークの開発責任者であるチェリリン・パスコー氏は「NISTは脅威や技術、規格の変化を含むサイバーセキュリティの状況の変化を考慮してフレームワークを改訂した。サイバーセキュリティガバナ
6月8日未明に発生したニコニコの障害は、KADOKAWAグループへのサイバー攻撃の影響だったようだ。KADOKAWAは9日午前中、グループ内の複数Webサイトで障害が発生していると報告した。 KADOKAWAによると、6月8日の未明、グループの複数のサーバにアクセスできない障害が発生。データ保全のため、関連するサーバを緊急シャットダウンした。ニコニコも同時に障害が発生し、8日午前6時から緊急メンテナンスに移行していた。 KADOKAWAは社内で分析調査を行い、8日中に「サイバー攻撃を受けた可能性が高い」と判断。9日午前の時点で「ニコニコサービス」全般、「KADOKAWAオフィシャルサイト」「エビテン(ebten)」などに影響があったという。また、N高等学校を運営する角川ドワンゴ学園も10日、学習アプリ「N予備校」が利用できないと明らかにした。 現在は外部専門家や警察などの協力を得て調査を進
GitHubは、脆弱性のあるコードをAIボットが自動的に発見、修正したコードとその解説をプルリクエストしてくれる「code scanning autofix」(コードスキャン自動修正機能)を発表しました。 Meet code scanning autofix, the new AI security expertise now built into GitHub Advanced Security! https://t.co/cTDuKZCWMv — GitHub (@github) March 20, 2024 下記がそのコードスキャン自動修正機能の説明です。「Found means fixed: Introducing code scanning autofix, powered by GitHub Copilot and CodeQL」から引用します。 Powered by GitH
Amazon EC2 におけるセキュリティ(脆弱性)事例 - blog of morioka12
1. 始めに こんにちは、morioka12 です。 本稿では、Amazon EC2 上で動く Web アプリケーションの脆弱性によって脆弱性攻撃が可能だった実際の事例について紹介します。 1. 始めに 2. Amazon EC2 におけるセキュリティリスク Amazon EBS 被害があった公開事例 3. Amazon EC2 で起こりうる脆弱性攻撃 SSRF が可能な脆弱性 SSRF における回避方法 4. Amazon EC2 の脆弱な報告事例 画像読み込み機能に潜む SSRF を悪用した EC2 のクレデンシャルの不正入手が可能 SAML アプリケーションに潜む SSRF を悪用した EC2 のクレデンシャルの不正入手が可能 Webhook 機能に潜む SSRF を悪用した EC2 のクレデンシャルの不正入手が可能 Webhook 機能に潜む SSRF を悪用した EC2 のクレデ
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
プロと読み解くRuby 3.3 NEWS - STORES Product Blog
【コラム】スマートフォンに7年間ものOSアップデートは本当に必要なのか? - はやぽんログ!
老舗の解凍ツール「解凍レンジ」に任意コード実行の脆弱性 ~JVNが利用中止を呼びかけ/開発者とは連絡がとれず
技術書典15で「freee 技術の本」 を出します! - freee Developers Hub
バグバウンティ入門(始め方) - blog of morioka12
今だから再認識したいセキュリティの原則 情報セキュリティ対応はリスクマネジメントの一要素
デルで情報漏えいか 海外では4900万件流出との報道も 【ユーザーに届いたメール全文掲載】
12月4日に新刊『プロフェッショナルTLS&PKI 改題第2版』発売予定
なれる!SRE - Becoming SREで学んだこと - じゃあ、おうちで学べる
テックタッチにおけるSREの役割・課題感を紹介します - Techtouch Developers Blog
GPT-4は財務諸表から将来の収益の伸びを予測する点で人間のアナリストよりも優れていることが研究により明らかに
黙っていればわからないのに……「Vivaldi」が正直に告白したセキュリティ問題/利便性やデザインも大事だけど、アプリを選ぶときにもっておきたい評価軸【やじうまの杜】
ドラえも⚫︎で理解するCSRF - Qiita
米メタは「なめている」 堀江氏と前沢氏、なりすまし広告減らず怒り:朝日新聞デジタル
「DNSに対する最悪の攻撃」 DNSSEC設計の根幹に関わる脆弱性「KeyTrap」が見つかる
「最新版をインストールせよ」とPowerShell起動時に叱られたときの対処法
ミニマムな React Web アプリケーションの技術スタックを大公開! - inSmartBank
2022年に最も悪用された脆弱性12選 - Qiita
GmailやAmazonでは「HTMLにプレーンテキストでパスワードが保存されている」とセキュリティ研究者が警告
NISTのサイバーセキュリティフレームワークが大幅改訂 何が追加されるのか?
多くのプログラミング言語に危険な脆弱性 ~Windows環境の引数エスケープ処理に不備「Rust」「PHP」「Node.js」「Haskell」などに影響/
ニコニコ、N高なども影響 KADOKAWAグループに大規模なサイバー攻撃の可能性
GitHub、脆弱性のあるコードの自動修正機能発表。AIボットが修正済みコードと解説をプルリクエスト