半導体企業・Armが開発したArmアーキテクチャは、携帯電話や自動車、マイクロコントローラー、Amazon Web Services(AWS)のサーバーなどで使われる何十億ものチップで採用されています。Armはイギリスの企業でしたが、2016年にソフトバンクに買収されました。その後、NVIDIAへ売却されることが発表されたものの、中国国内でのライセンス権を持っていた中国合弁企業が一方的に独立を宣言し、知的財産権(IP)のライセンス権を横取りしたまま暴走を続けていると、半導体関連ブロガーのディラン・パテル氏が解説しています。 The Semiconductor Heist Of The Century | Arm China Has Gone Completely Rogue, Operating As An Independent Company With Inhouse IP/R&D -
フロント学習の最高の教材集 - Qiita
はじめに 今回はフロント学習で重宝できる教材をまとめました。 軽く自己紹介として、自分は新卒でフロントエンジニアとして入社し2022年で2年目になります。 実際に実務を通す中で「この教材のおかげで実装がスムーズにできた」「この教材をやってたおかげで理解ができた」といったような場面が2年の間で多々ありました。 今回紹介する教材は自分自身が実際に使ってよかったものかつ、そのほとんどが無料で学べるor低価格の教材になっています。 「フロントエンドを網羅的に学べかつ実務の基礎作り」という目的で教材を紹介します。 この記事の主な対象者 フロントエンドの学習をこれからしていきたい人 何を学べばよいのかがわからない人 HTMLとCSSはある程度かける人 この記事の目標 フロント学習の指針が立てられる 実務現場でも活用できるスキルを学べる教材を知れる JavaScript ドットインストールのJavaSc
TCPとQUICの比較
ジェフ・ヒューストンのブログより。 QUICトランスポート・プロトコル(RFC 9000)は、オリジナルのTCPトランスポート・プロトコルを改良したものに過ぎないという一般的な見解があります[1][2]。私は、この意見に同意し難く、私にとってQUICは、通信のプライバシー、セッション制御の完全性、柔軟性の面で、アプリケーションが利用できるトランスポート機能における重要な変化を象徴しています。QUICは、より多くの形式のアプリケーションの動作に本質的に役立つ、異なる通信モデルを体現しています。そうです。TCPよりも高速です。私の意見では、公衆インターネットは、いずれQUICがTCPに取って代わると思っています。ですから、私にとってQUICは、TCPに少し手を加えただけのものではありません。ここでは、TCPとQUICの両方について説明し、QUICがトランスポート・テーブルに加えた変更について見
Node.jsのMySQLパッケージにおけるエスケープ処理だけでは防げない「隠れた」SQLインジェクション - Flatt Security Blog
※本記事は筆者styprが英語で執筆した記事を株式会社Flatt Security社内で日本語に翻訳したものになります。 TL;DR Node.jsのエコシステムで最も人気のあるMySQLパッケージの一つである mysqljs/mysql (https://github.com/mysqljs/mysql)において、クエリのエスケープ関数の予期せぬ動作がSQLインジェクションを引き起こす可能性があることが判明しました。 通常、クエリのエスケープ関数やプレースホルダはSQLインジェクションを防ぐことが知られています。しかし、mysqljs/mysql は、値の種類によってエスケープ方法が異なることが知られており、攻撃者が異なる値の種類でパラメータを渡すと、最終的に予期せぬ動作を引き起こす可能性があります。予期せぬ動作とは、バグのような動作やSQLインジェクションなどです。 ほぼすべてのオンラ
男性器をBluetooth経由でロックできるスマート貞操帯に「攻撃者によってリモートから完全にロックされる脆弱性」が判明
Bluetoothを介してスマートフォンと接続してリモート操作が可能な男性向けのスマート貞操帯に「セキュリティ上の欠陥」が発見され、悪意ある攻撃者がリモートで制御すると、着用したら二度と外れないようにできてしまうことが判明しました。 Smart male chastity lock cock-up | Pen Test Partners https://www.pentestpartners.com/security-blog/smart-male-chastity-lock-cock-up/ Locked In An Insecure Cage https://internetofdon.gs/qiui-chastity-cage/ Internet-enabled male chastity cage can be remotely locked by hackers - The Ve
開発者向けのセットアップ 新しく購入したWindows 10パソコンには、開発者向けのアプリケーションやツールが用意されていない。そこで、開発者は自身で環境をセットアップしていく必要がある。 必要になるツールをインストールしてカスタマイズを加えていくことで、デフォルトの状態のWindows 10から遠ざかっていくのは開発者にはよくあることだ。しかし、Wingetが公開されるなど、Windows 10でもLinuxのようなパッケージ管理が現実的になってきた。これまで散らかし気味になりがちだったWindows 10も、これからはもうちょっとましな管理ができるようになるかもしれない。 本稿では開発者向けに、新しいWindows 10パソコンに必要となる基本的なツールやアプリケーションをインストールしてセットアップする方法を取り上げる。今回取り上げるのはOpenSSH、Winget、Windows
JAWS-UG 初心者支部 #22 ハンズオン用の資料です。 目的 AWSアカウントを不正利用されないために、アカウントを作成したらまずやるべきセキュリティ周りの設定を行います。 前提 AWSアカウントを作成済みであること AWSアカウントにログインしていること リージョンは東京リージョンを利用します ハンズオン手順 アカウント周りの設定 ルートアクセスキーの削除 ※ルートアカウントのアクセスキーは、デフォルトでは作成されておりません。アクセスキーを作成済みの方を対象とします。 ルートアカウントは全てのサービスへのアクセスが出来てしまうため、ルートアカウントは使用せず、IAMユーザーを使用しましょう。 CLI等のプログラムアクセスも不要なため、アクセスキーを削除します。 https://console.aws.amazon.com/iam/home#/security_credential
はじめに 10 年前の今日、2012/02/03 に Just Quick Search という iOS アプリをリリースした。 個人で開発を行い、100% すべての要素を自分で考え作り上げてきた。 今日はこのアプリに関する 10 年間の思い出と技術的な部分についてをアツく語りたいと思う。 アプリ紹介 Just Quick Search は検索補助アプリである。 このアプリを使うと普段 iPhone で行っている 検索 というアクションをほんの少しだけ 速く 実行できるようになる。 以下がキーワード iphone を検索している時の挙動だ。 ip と入力したところで候補に出てきた iphone をタップし、キーボード右下の search をタップすると Safari が立ち上がり Google での検索結果が表示されるというものである。 メインの機能はこれだけだ。 一見ただ検索をしているだ
AWSは、AWSのサービスを活用した実践的なハンズオンコンテンツを多数公開しており、 日本語化もされています。 アマゾン ウェブ サービス (AWS) の実践的チュートリアル https://aws.amazon.com/jp/getting-started/hands-on/ 社内向けにコンテナやAPI Gateway初学者向けのハンズオン教材を探していたところ、 ちょうどいいチュートリアルをみつけました。 現代的なウェブアプリケーションの構築 https://aws.amazon.com/jp/getting-started/hands-on/build-modern-app-fargate-lambda-dynamodb-python/ このチュートリアル、 ECS/Fargateを活用したコンテナアプリケーションの公開 Codeサービスを活用したCI/CDパイプラインの構築 Ama
エージェンシー事業でリードアプリケーションエンジニアを行なっている大窄 直樹 (おおさこ)です. AWSのログ, サーバーのログってたくさん種類があって難しいですよね... 同じようなログがたくさんあるので, 何を取れば良いのかとか どのくらいの期間保持すれば良いのかとか またその後の, ログの実装や, 分析方法する方法も難しいですよね... 今回AWSに構築した商用アプリケーションのログを整備する機会があったので, このことについて書こうかなと思います. 概要 本題に入る前の準備 今回ログ実装するアーキテクチャ ログに関する法令 ログの取得箇所 設計 保管するログの決定 インフラのログ OSのログ アプリケーションのログ ログの保管 保管場所について 保管期間について バケット構造 アプリケーション, OSのログの転送 実装 アプリケーション, OSのログをfluentbitを用いてS3
はじめに この記事では、OAuth 2.0 の『クライアント認証』について説明します。 RFC 6749 に記述されているクライアント認証方式のほか、クライアントアサーションやクライアント証明書を用いるクライアント認証方式についても説明します。 1. クライアント認証方式 1.1. トークンエンドポイント 認可サーバーがあります。 認可サーバーからアクセストークンの発行を受けたいクライアントアプリケーションがあります。 アクセストークンは、幾つかの例外を除き、認可サーバーのトークンエンドポイントから発行されます。そのため、認可サーバーはトークンエンドポイントを用意します。 クライアントアプリケーションは、アクセストークンの発行を受けるために、トークンエンドポイントにトークンリクエストを投げます。 認可サーバーは、トークンレスポンスを返します。この応答の中に、アクセストークンが含まれます。
レシピサービスのフロントエンドを Next.js と GraphQL のシステムに置き換えている話 - クックパッド開発者ブログ
技術部の外村(@hokaccha)です。今回はクックパッドのウェブサイトのフロントエンドを Next.js などを使って作り直している話を書きます。 この記事で紹介する新システムは、スマートフォン向けのレシピページで確認することができます。もし興味があるかたはレシピページをスマートフォンのユーザーエージェントで開いて DevTools などで確認してみてください。 Next.js と GraphQL で動いているのがわかると思います。 ご存じの方も多いかもしれませんが、クックパッドのウェブサイトはモノリシックな Rails で作られていて、10年以上 Rails で開発を続けてきました。10 年以上同じシステムで開発を重ねれば当然レガシーな部分が大量に生まれてきますが、特にフロントエンドはその影響が顕著でした。 どこから使われているかわからない CSS が大量にある、JS のコードは昔なが
ベンダが提供していない決済モジュールの不具合による情報漏洩事故 東京地判令2.10.13(平28ワ10775) - IT・システム判例メモ
ECサイトにおけるクレジットカード情報漏洩事故が、決済代行業者から提供されたモジュールの不具合があったという場合において、開発ベンダの責任がモジュールの仕様・不具合の確認まで及ぶか否かが問われた事例。 事案の概要 Xが運営するECサイト(本件サイト)において、顧客のクレジットカード情報が漏洩した可能性があるとの指摘を受けて、Xは、本件サイトにおけるクレジットカード決済機能を停止した(本件情報漏洩)。その後、Xはフォレンジック調査を依頼し、不正アクセスによってクレジットカード会員情報が漏洩したこと、クレジットカード情報はサーバ内のログに暗号化されて含まれていたが、復号することが可能だったこと、漏えいした情報は最大で約6500件だったこと等が明らかとなった。 Xは、本件サイトを、Yとの間で締結した請負契約(本件請負契約)に基づいて開発したものであって、本件サイトの保守管理についても本件保守管理
Firefox / Safari MozillaはMozilla Specification Positionsというリストを公開しています。 IETFやW3C、TC39などが提唱しているWeb技術に対して、Mozillaはどのように評価しているかという立ち位置を表明したものです。 あくまで現時点での評価であり、もちろん今後の仕様変更などに伴い評価は変わる可能性があります。 Mozilla's Positions Mozillaはどのように評価しているかの分類。 under consideration 評価の検討中。 important 優れた概念であり、Mozillaにとっても重要である。 worth prototyping 優れた概念であるが、プロトタイプを作成し、フィードバックを得て磨きをかける必要がある。 non-harmful 有害ではないが、良いアプローチではなく、取り組む価値
Tesla is reportedly getting 'absolutely hard core' about more layoffs, according to Elon Musk
2021年9月14日、文部科学相はGIGAスクール構想の先進事例として町田市立の児童に配布されたタブレットがいじめに使われたことを明らかにし、*1 同日に文科省は東京都教委、町田市教育委に事実関係の確認を行った上で個人情報の管理状況が不適切であったと指摘しました。*2ここでは関連する情報をまとめます。 児童全員が同じパスワード 不適切な管理が行われていたのは町田市内の市立小学校で2019年5月に配布されたChromebook。具体的には次の問題があったことが週刊誌、新聞で報じられている。*3 *4 *5 *6 なお、町田市教委はPRESIDENT Onlineが報じた一連の記事に対して同社より取材を受けていないとして内容確認中とするコメントを行っている。*7 児童が端末起動時に使用する認証情報はIDは「所属学級+出席番号」、パスワードは全員「123456789」固定と第三者から容易に類推で
はじめに 今回は無料で公開されているエンジニア向け修資料をまとめました。 資料の作り方も勉強になるので「勉強会で登壇している人」「企業の研修担当の人」にも参考にしてほしい内容になっています。 記事の主な対象者 研修資料を網羅的に見たい人 エンジニア初心者から中級者 研修資料の作成をしていきたい人 MIXI23卒新人研修 毎年更新をしているMIXIさんの資料は量と質が凄いです。各資料において、動画による解説もついているので、初心者でも理解しやすい構成になっています。 2023年版のMIXIさんの研修資料は下記の内容が学べます Git研修 データベース研修 設計・テスト研修 コンテナ研修 iOSアプリ開発研修 Androidアプリ開発研修 フロントエンド研修 ゲーム開発研修 Flutter研修 AI研修 セキュリティー研修 インシデントハンドリング研修 チーム開発研修 GMOペパボ GMOペパ
プログラマの抱いている名前についての誤謬
パトリック・ミッケンジー(Patrick McKenzie)さんのブログ・エントリ、 “Falsehoods Programmers Believe About Names” の日本語訳です。翻訳の公開を快諾してくださったミッケンジーさんに感謝します。 公開: 2012-02-22 Posted on June 17, 2010 by Patrick きょう、ジョン・グレアム゠カミング(John Graham-Cumming)が、正しくない文字が含まれているといって彼のラスト・ネームを受け付けないコンピュータ・システムへの不満の記事を書いていた。もちろん彼の名前に「正しくない」ところなどない。当人の申し出たものが当人を識別するものとしては相応しいのであって、定義からして名前とはそういうものである。このことにジョンは当然ながらいらだったし、そうなるのもきわめて正当なことだ。定義からすれば事実
ドコモ謝罪会見が(技術的な見地からみて)酷かった件について - Windows 2000 Blog
3rdに引っ越しました。 2010/12/31 以前&2023/1/1 以降の記事を開くと5秒後にリダイレクトされます。 普段の日記は あっち[http://thyrving.livedoor.biz/] こちらには技術関係のちょっとマニアックな記事やニュースを載せます。 Windows2000ネタ中心に毎日更新。 ドコモ謝罪 本人確認が不十分 - Yahoo!ニュース 【ドコモ口座 不正引き出し問題】NTTドコモ記者会見 生中継 - 2020/09/10(木) 16:30開始 - ニコニコ生放送 記者会見の概要 ・被害総額1800万円、11行が被害。 ・口座番号・氏名・暗証番号の3つと+銀行によっては生年月日という情報が合致すれば口座を乗っ取れるというもの。 ・今後は本人確認にSMS認証と、eKYC を導入する。 という説明でした 酷かったのが、被害にあわないための防衛手段についての説明
JWTセキュリティ入門
SECCON Beginners Live 2023「JWTセキュリティ入門」の発表資料です。
セブン&アイ・ホールディングスが決済サービス「7pay(セブンペイ)」の不正利用を受けて外部のIDからアプリへのログインを一時停止した措置について、原因となった脆弱性の一端が明らかになった。日経 xTECHの取材で2019年7月12日までに分かった。外部IDとの認証連携機能の実装に不備があり、パスワードなしで他人のアカウントにログインできる脆弱性があったという。 同社は2019年7月11日午後5時、FacebookやTwitter、LINEなど5つの外部サービスのIDを使ったログインを一時停止した。「各アプリ共通で利用しているオープンIDとの接続部分にセキュリティー上のリスクがある恐れがあるため」(広報)としている。 この脆弱性は、不正利用が判明した後に外部からの指摘で明らかになったもので、セブン&アイのグループ共通ID「7iD」の認証システムに存在した。外部ID連携機能を使っている人のI
![[独自記事]7pay不正利用問題、「7iD」に潜んでいた脆弱性の一端が判明](https://cdn-ak-scissors.b.st-hatena.com/image/square/50af62bf10b2327e63a67030d0f38884caebfa3d/height=288;version=1;width=512/https%3A%2F%2Fxtech.nikkei.com%2Fatcl%2Fnxt%2Fnews%2F18%2F05498%2Ftopm.jpg%3F20220512)
OSS 観光名所を貼るスレ - ぽ靴な缶
これは はてなエンジニアアドベントカレンダー2023 2日目の記事です。 はてなエンジニア Advent Calendar 2023 - Hatena Developer Blog はてなエンジニアのカレンダー | Advent Calendar 2023 - Qiita トップバッターは緊張するけど、順番が回ってくるまで長い間ソワソワするのも嫌、という理由で例年2日目を狙うようにしている id:pokutuna です。今年も成功しました。 観光名所とは 目を閉じれば思い出す、あのコード... あの Issue... あなたが Web 系のエンジニアであれ、趣味で開発している方であれ、必要に応じてライブラリやフレームワークのコードを読むのはよくあることでしょう。公開の場で開発されているソフトウェアは、ソースコードだけでなく、開発コミュニティでの議論やバグ報告なども見ることができます。 リポ
DeNA 本社移転でネットワーク構築・移行作業を実施しました | BLOG - DeNA Engineering
はじめに こんにちは、IT 基盤部ネットワークグループの片桐です。 DeNA グループ全体のネットワークの管理、運用等を行っています。 今年8月、DeNAは本社拠点を渋谷ヒカリエから、WeWork渋谷スクランブルスクエアに移転しました。 この移転は我々としても、大きなプロジェクトでした。せっかくなので、オフィスネットワークにおける移転の裏側を紹介致します。 DeNAオフィス移転におけるネットワーク WeWorkへの移転であれば、ネットワークもWeWorkの設備を使うのでは、と考えられた読者もおられるのではないかと思います。 最初に移転プロジェクトメンバーと新オフィスのネットワークについて議論しましたが、 渋谷ヒカリエで運用していたネットワークと同じレベルの帯域・ネットワークの安定性・クラウドとの内部通信・ネットワークセキュリティ・ネットワーク運用体制の維持、 これら全てが必須要件でした。
JP Contents Hub
AWS 日本語ハンズオン Amazon Web Services(AWS) の 日本語ハンズオンやワークショップを、カテゴリごとにまとめています。 右側の目次や、ヘッダー部分の検索ボックスから、各コンテンツにたどり着けます。 また、Ctrl + F や command + F を使ったページ内検索もご活用いただけます。 料金について ハンズオンで作成した AWS リソースは通常の料金が発生します。作成したリソースの削除を忘れずにお願いします。 もし忘れてしまうと、想定外の料金が発生する可能性があります。 画面の差異について ハンズオンで紹介されている手順と、実際の操作方法に差異がある場合があります。 AWS は随時アップデートされており、タイミングによってはハンズオンコンテンツが追いついていない事もあります。 差異がある場合、AWS Document などを活用しながら進めて頂けますと幸い
2019年7月29日、米金融大手 Capital Oneは不正アクセスにより1億人を超える個人情報が流出したと発表しました。WAFの設定ミスに起因して、Server Side Request Forgery(SSRF)攻撃を許したことにより情報を盗まれたと見られています。ここでは関連する情報をまとめます。 Capital Oneによる公式発表 Information on the Capital One Cyber Incident(米国向け) Information on the Capital One Cyber Incident(カナダ向け) Frequently Asked Questions (1)影響範囲 影響が及んだ人数の内訳は以下の通り。 米国 約1億人 カナダ 約600万人 発表時点でCapital Oneは流出した情報が外部へ出回ることや、詐欺への使用は確認していない。
こんにちは、たかとーです。 今日は8 Projects with modern designs to become a Full-stack Master 2020の日本語訳記事です! *当記事は、Thuさんの許可を得て翻訳しています。 ブログでも読めます! 8 Projects with modern designs to become a Full-stack Master 自分のスキルを磨くためのプロジェクトを探していますか?新しいアイデアを思いつくのに行き詰っていませんか? 開発者として、私たちはコードを書くのが大好きですが、デザインやアイデアを見つけるのが難しいことがあります。 こんにちは、Thuです。ここ数ヶ月、私はデザインや要件を含む8つの実在するプロジェクトの作成に取り組んできました。 私は、あなたがスーパースターなフルスタックデベロッパーになるために必要な全てのスキルを鍛
はじめに こんにちは!yamakazu (@yamarkz) です。 近所の行きつけスーパーがサミットストアになったのですが、品揃えがとても良く、お店の雰囲気も明るくて、仕事終わりの買い物が最近の楽しみになってます 🥳 🛒🥗 さて今回は、開発方面のナレッジとして外部API連携の話を紹介します。非常にニッチな領域の話題ですが、わかる人にはわかるような内容です。 興味のある方はぜひ最後まで読んでみてください。 動機 新しく外部API連携の開発に着手するメンバーの助けになりたい、より良い外部API連携を実現したいという思いから、これまで開発を経験してきた中で理解した勘所を紹介します。 元々は社内向けに書き溜めておいたナレッジメモの内容ですが、特別社内に留めておく必要性もないので、せっかくならブログにしてしまおうと思い、ここで筆を取りました。 これは社内の同僚に向けた内容でありながら、似た境
「TweetDeck」がついにTwitter Blueへの加入が必須に − 新デザインも正式提供開始 | 気になる、記になる…
Twitterが、公式クライアントサービス「TweetDeck」の新バージョンの提供を正式に開始しました。 「TweetDeck」の新バージョンは以前よりプレビュー提供されていたので、既に使用しているユーザーも多いと思いますが、カラムの設定を「デッキ」として複数保存でき、デッキを切り替えることで様々なカラム設定を利用することが可能なのが特徴となっています。 昨日に「TweetDeck」の旧バージョンでツイートが読み込めなくなったことが報告されましたが、これはツイート閲覧数の制限が原因ではなく、Twitterがデータスクレイピング(データ収集)を防ぐためにレガシーAPIを削除したことが原因で、この問題は新バージョンに切り替えることで解決し、全てのユーザーが今週中に新バージョンに強制的に切り替えられるそうです。 ただ、新バージョンの正式提供開始と同時に「TweetDeck」の利用には有料サービ
「Windows 11 Home(22H2)」で「ネットワークに接続しましょう」をスキップしてローカルアカウントを作成する方法
「Windows 11 Home」の初回セットアップ時に「Microsoft アカウント」を作成せず、これまで通りのローカルアカウントを設定する簡単な方法をまとめてみました。タスクマネージャーを起動してプロセスを殺すよりも確実にローカルアカウントを作成することができます。記事執筆時点で最新の「22H2」対応バージョンです。 「ネットワークに接続しましょう」の画面が表示されたら「Shift+F10」キーを押すとコマンドプロンプトが開くので「cd oobe」と入力してEnterキーを押します 次に「BypassNRO.cmd」と入力してEnterキーを押します セットアッププロセスが中断され、再起動されるので、再び「ネットワークに接続しましょう」の画面まで進みます すると新たに「インターネットに接続していません」というボタンが出現するのでクリック 「制限された設定で続行」をクリック あとは順に
デジタル庁の河野太郎大臣は10月3日、同日に公募結果を公開した日本政府の共通クラウド基盤「ガバメントクラウド」(政府クラウド)について、国産サービスの応札がなかったと発表した。 今回の公募にはパブリッククラウド「Microsoft Azure」を提供する米Microsoft、「Oracle Cloud Infrastructure」を手掛ける米Oracle、「Amazon Web Services」を手掛ける米AWS、「Google Cloud Platform」を手掛ける米Google Cloudの4社が応札。デジタル庁はこれら全てを採択した。 ガバメントクラウドは政府やデジタル庁が主導するデジタル改革の一つ。同庁は今後、採用したサービスで構成するマルチクラウド基盤を、スマートフォンで本人確認ができる公的個人認証サービス(JPKI)の提供や、同庁による調査研究などに活用する。同庁のWeb
■ 競争政策が消費者の安全・詐欺被害耐性を破壊しに来た 内閣デジタル市場競争本部の「デジタル市場競争会議ワーキンググループ」が、「モバイル・エコシステムに関する 競争評価中間報告」 に対するパブリックコメントを募集している(今月10日23時59分まで)。これについては先月、ITmediaニュース「小寺信良のIT大作戦」で、「「iPhoneにサイドローディングさせろ」を国が言うのは妥当か」との記事が出ていて話題になっていた(はてブの反応、スラドの反応)。 中間報告の内容は多岐にわたっており、全部を把握していないが、ざっと見ると、技術的に誤った理解を前提にし、ろくに調査することなく技術面を蔑ろにしている箇所が、チラホラある。会合の記録を見ると、会議は非公開で行われ、パブコメ開始までに議事録も出して来ない*1。委員に技術者はいないし、技術者からの意見聴取もしていないようだ。そのくせ、技術的な問題
https://anond.hatelabo.jp/20210517201151 あれさ、少なくとも東京会場側のサイトは、最初のボタンに「認証」って書いてあんだよね。 端的に言って、認証も何もしてないんだから嘘なんだよね。 んで、取れる手立てはいくつもあると思うんだけどさ、 ドメインについて(なんでmrso.jpのドメインなのよ、厚労省のドメインじゃだめなんか)市区町村コードについて(6桁だけど、これは既知の情報で無効な番号は弾ける)誕生日について(なんで1歳でも予約できんだよ、これは後述するが弾いてるものもある)一番下のコピーライトについて(自衛隊東京 予約システムというタイトルなら、一番下にも入れとけよ)最初に書いとくと、できるチェックはしてるんだよ。 例えば、「現在の入力桁数:4桁」みたいなチェックはしてんだよ。これはわかりやすい。頑張ってる。 んでな、2月31日みたいな存在しない日
[2020年版]最強のAWS環境セキュリティチェック方法を考えてみた[初心者から上級者まで活用できる] | DevelopersIO
「AWS環境のセキュリティが不安だ…」そんな方にはセキュリティチェック!AWSでは定量的にチェックすることができる機能があります。いくつかあるので長短などを説明しつつ私が思う最強のセキュリティチェックを伝授します! こんにちは、臼田です。 みなさん、AWS環境のセキュリティチェックしてますか?(挨拶 全国のAWSのセキュリティについて悩んでいるみなさまのために、今回は僕の考える最強のAWS環境セキュリティチェックについて情報をまとめ・伝授します。 初心者向けに、比較的AWSの経験が浅くても始めやすいように、かつ上級者が応用するために活用できる情報もぜんぶまとめていきます。 この記事は2020年の決定版となるでしょう!(それ いいすぎ。 ながーくなってしまったので最初は適宜飛ばして読むといいかもしれません。 AWS環境のセキュリティチェックの意義 AWS環境でセキュリティチェックをすることは
![[2020年版]最強のAWS環境セキュリティチェック方法を考えてみた[初心者から上級者まで活用できる] | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/46eee47df02797b1711e39b4cf67a6a7b8f87e53/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2020%2F10%2Fsuper_security_check_1200_630.png)
【図解】コレ1枚でわかるゼロ・トラスト・ネットワーク・セキュリティ:ITソリューション塾:オルタナティブ・ブログ
「いつでも、どこでも働ける」環境を整えることは、いまや働き方改革の要件となっています。そうなると、社外に持ち出したデバイスで、社内システムやクラウドを活用して仕事をするのは当たり前となり、ネットワークにおける社内と社外の境界は意味を持たなくなります。また、ウイルスに感染したパソコンから社内ネットワークを介して感染を広げ被害をもたらす事故や、内部の悪意あるユーザーが機密情報を漏洩してしまうといった事件も後を絶ちません。 「社内は"善"、社外は"悪"」という前提に立ち、ファイヤーウォールで「社内外の境界を守る」従来の「境界防衛セキュリティ」は、もはや役に立たなくなってしまいました。 また、クラウドの利用拡大により、インターネットを介した外部へのアクセスは益々増大します。これらアクセスの全てを、ファイヤーウォールで守ろうとすれば、処理能力が追いつかずスループットの低下は避けられません。高速・大容
こんにちは。 マネーフォワードの新卒Railsエンジニア、きなこ と申します。 マネーフォワードX という組織で、日々プロダクトの開発に勤しんでおります😊 突然ですが皆さんは JWT という技術をご存知でしょうか? 私は趣味でCTFというセキュリティコンテストに出場するのですが、最近ホットだと感じるのがJWTに関連する攻撃です。 今年の1月に初めてJWTを題材にした問題に遭遇し、その後JWTの出題頻度が強まっていると感じ、社内に向けてJWTにまつわる攻撃を通して学ぶための記事を書いたところ、たくさんの反応をいただきました。 今回の記事はその内容を社外向けにアレンジし、ハンズオンを通して実際にJWTを改竄し、受け取るAPIを攻撃することでJWT自体を学べるようにしたものです。 本記事はJWTに興味があるWeb開発者を想定していますが、そうでない方も楽しんでいただけるようにハンズオンを用意し
大手自動車メーカーのホンダは、「レベル3」と呼ばれる高度な自動運転の機能を搭載した乗用車を、今年度中に販売することになりました。高速道路など一定の条件のもとですべての操作をシステムに任せるレベル3の実用化は、世界で初めてです。 自動運転は機能によってレベル1からレベル5まで5段階に分かれ、最近多くの車に搭載されている自動ブレーキや車線をはみ出さずに走る機能はレベル1や2とされています。 さらに1段階高度なレベル3は、一定の条件のもとであればハンドルやブレーキなどすべての運転操作をシステムに任せることが可能になる機能ですが、車の販売は実現していません。 こうした中、ホンダはレベル3のシステムを搭載した乗用車の「レジェンド」が安全基準を満たしているとして、国土交通省から「型式認証」を取得しました。 高速道路が渋滞しているか渋滞に近い状態で、速度50キロ以下で走行している場合などが条件となってい
面倒な出張中に、関係先のシンクタンク所属研究者や霞ヶ関現役の皆さんから「またデジタル庁がやらかして萎える」とのグループ投稿があり、何事が起きたのか、銃乱射でもされたのかと期待して見物に行ったら、唐澤俊輔さんのツイートのことでした。 デジタル庁でSlackを導入したんですが、役所は長らくメールが中心だったので、慣れるまで大変かなと思ってた。 ところが、2ヶ月前までガラケーでLINEもしてなかったっていう60代の職員の方が「Slack最高だよ、超便利!メールもうしたくない!」って言ってて最高。 年齢関係ないね。僕らは変われる。 — 唐澤 俊輔 Almoha COO / デジタル庁 人事・組織開発 (@karacchi_) October 15, 2022 デジタル庁で60代で職員でガラケー使っててSlackで連絡を取り合わなければいけない職責のある人って、ほぼ名指しですよね、これ。 うーん、こ
川内 博史 on Twitter: "看護師さんの日雇派遣を政府が解禁するが、本日、党の厚労部会で重大な事実が明らかになった。規制改革要望提出日が平成30年5月。要望主体であるNPO法人日本派遣看護師協会の認証日が平成30年7月。即ち存在しない団体から要望が出された後… https://t.co/AbJhZ4ef9Q"
看護師さんの日雇派遣を政府が解禁するが、本日、党の厚労部会で重大な事実が明らかになった。規制改革要望提出日が平成30年5月。要望主体であるNPO法人日本派遣看護師協会の認証日が平成30年7月。即ち存在しない団体から要望が出された後… https://t.co/AbJhZ4ef9Q
「20 年の IT の遅れを取り戻せる手応えを感じる」 文部科学省の Slack 導入「パソコンとスマホさえあれば、いつでもどこでも業務にあたれる環境に。Slack は働く時間と空間のハードルをぐっと下げてくれました」 法令・制度をつくる政策提言をはじめ、省内外との調整など幅広い業務を行う文部科学省。特に国会会期中は、議員の質問への答弁をつくる「国会対応」に忙しく、帰宅が深夜に及ぶことも珍しくない状況でした。 2022 年 1 月、同省は省内コミュニケーションシステムを刷新。新システムのプラットフォームとして Slack の活用がスタートすると、職員間の連携がスムーズになり、あらゆるシーンで業務効率化が加速したといいます。 省改革推進・コンプライアンス室の中田欣成さん、業務改善推進員の川口真史さん、サイバーセキュリティ・情報化推進室の福井孝典さんに、中央省庁で初となるフルクラウド化の足がか
新型コロナウイルス感染症については、必ず1次情報として 厚生労働省 や 首相官邸 のウェブサイトなど公的機関で発表されている発生状況やQ&A、相談窓口の情報もご確認ください。※非常時のため、すべての関連記事に本注意書きを一時的に出しています。 はじめにエンジニア5年目くらいでフリーランス3年目でスマホアプリ以外はなんとか作れるような感じのエンジニアです。 普段僕は開発にGCPを使っています。本番にもデモの公開にも、気軽に使っていました。 無料枠もあるし、適当に使っても毎月少ししか請求がない程度しか僕の使い方では課金されないし。GCPを舐めきっていました。 事件の発覚した時Googleから今月のGCPの使用料のメールがきていました。ですが、普段数百円なのであまり気にせずスルーしていました。 ちらっとメールを見ると、雰囲気がいつもと違うメールでした。請求が正常に完了していないので、請求先のカー
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Armの中国合弁企業がArmからの独立を宣言、一部ライセンスや中国市場の顧客をそのまま横取り
Windows 10搭載PCを買ったら最初にやっておきたいこと【開発者編】
AWSアカウントを作成したら最初にやるべきこと -セキュリティ編- - Qiita
10 年間 1 人で 1 つの iOS アプリを保守してきた話 | DevelopersIO
AWS公式『現代的なウェブアプリケーションの構築』ハンズオンのハマリどころ - Qiita
AWSでの法令に則ったログ設計及び実装/分析 - Adwaysエンジニアブログ
OAuth 2.0 クライアント認証 - Qiita
Firefoxは危険なJavaScriptに対応しない - Qiita
Engadget | Technology News & Reviews
児童全員同じパスワードで配布されたタブレットで起きた問題についてまとめてみた - piyolog
【2023年版】エンジニア向け読むべき資料まとめ - Qiita
[独自記事]7pay不正利用問題、「7iD」に潜んでいた脆弱性の一端が判明
SSRF攻撃によるCapital Oneの個人情報流出についてまとめてみた - piyolog
フルスタックエンジニアになるためのモダンな8つのプロジェクト - Qiita
外部パートナーとのAPI連携時に気をつけるポイント - 10X Product Blog
政府共通のクラウド基盤、国産サービスの応札は「なかった」 河野大臣がコメント
高木浩光@自宅の日記 - 競争政策が消費者の安全・詐欺被害耐性を破壊しに来た
ワクチン予約のシステム、納期ありきのクソプロジェクトあるあるすぎ
攻撃して学ぶJWT【ハンズオンあり】 - Money Forward Developers Blog
ホンダ 世界初 自動運転「レベル3」機能搭載車 実用化へ | NHKニュース
デジタル庁がまた微妙なやらかしをしていた件で|山本一郎(やまもといちろう)
「20 年の IT の遅れを取り戻せる手応えを感じる」 文部科学省の Slack 導入
GCPで約800万円の請求がきた話|mun|note