はじめに こんにちは。株式会社Flatt Securityのセキュリティエンジニアの冨士です。 本稿では、XSS(クロスサイトスクリプティング)が攻撃に用いられた時のリスクの大きさを紹介していきます。以降はクロスサイトスクリプティングをXSSと記載していきます。 XSSはセキュリティエンジニアならもちろん、開発を行っているエンジニアの多くの方が知っている脆弱性です。ですが、私はWebアプリケーションの脆弱性診断を行ってきた経験の中で多くのXSSを目にしてきましたし、依然として検出率の多い脆弱性の一つだと感じています。 その認知度や、一般的な対策方法のハードルの低さ(設計や仕様によっては対策工数が大きい場合もありますが)にも関わらずXSSの検出率が多いのは、直感的にリスクがわかりづらく、アラートをあげるだけの紹介が多いことが一つの要因ではないかと考えています。 すなわち、興味範囲が「どのよう
社内のノウハウ蓄積やソフトウェアの説明書としてWikiを導入する場合、Confluenceなどの有料サービスが第一候補としてあげられますが、決して安くはないライセンス料金を支払う必要があります。無料で利用できるオープンソースソフトウェア「Wiki.js」は、Dockerで手軽に構築でき、権限管理や外部サービスの連携も可能な、無料とは思えないほど多機能なWikiシステムです。 Wiki.js https://wiki.js.org/ Wiki.jsはDockerイメージが公開されているので、今回はLinux上のDockerでWiki.jsを構築してみます。まずは下記コマンドを実行してDockerとDocker Composeを導入。 curl -fsSL get.docker.com -o get-docker.sh sudo sh get-docker.sh sudo curl -L "h
Reactを取り巻く状態管理の潮流を学ぼう。HooksやServer Componentsなどの登場で何が変わるか|ハイクラス転職・求人情報サイト AMBI(アンビ)
Reactを取り巻く状態管理の潮流を学ぼう。HooksやServer Componentsなどの登場で何が変わるか Reactを取り巻く状態管理のアプローチは変化を続けていますが、いま知っておくべき手法とはどのようなものでしょうか。小林 徹(@koba04)さんに、現在、そしてこの先の状態管理について執筆いただきました。 こんにちは、小林(@koba04)です。 2019年5月に『SPAにおける状態管理:関数型のアプローチも取り入れるフロントエンド系アーキテクチャの変遷』という記事を書きましたが、そこから2年以上が経過し、Reactを用いた状態管理は大きく変わりました。本記事ではReactを取り巻く状態管理の変遷について解説します。 広がるReduxの採用 Hooksの登場 コンポーネントツリーから独立した状態管理 Concurrent Featuresによる新しいユーザー体験 状態とキャ
「Wi-Fi」と聞いて、何を思い浮かべますか? IT機器に詳しくない人と話す際、認識の違いに驚かされる言葉がいくつかある。 特に最近、SNSなどでも話題になることが多いのが、「Wi-Fi(ワイファイ)」という言葉を聞いて思い浮かべるものの違いだ。 どう違うのかについては、あえてのちほど述べることにするが、この「Wi-Fi」の捉え方の違いは、単に技術を理解している/していないの話にとどまらず、生活のなかで通信がどのようなかたちで存在し、浸透してきたか、という流れと課題が見えてくる。 もはや耳にしない日がないくらい日常に浸透したWi-Fiについて、今回はあらためて深掘りしてみることにしよう。 「Wi-Fi」の正しい意味、知っていますか? まず、質問から。——「Wi-Fi」とはなんだろう? あなたなら、どう答えますか? ちなみに、正確な定義は次のようなものになる。 〈無線を使って機器間の通信をお
by U.S. Pacific Fleet 艦内で新型コロナウイルス感染者が続出したと報じられているアメリカの原子力空母セオドア・ルーズベルトで、検査により新型コロナウイルスに感染していると診断された乗組員の半数以上が新型コロナウイルス感染症の症状を呈していないことが判明しました。 Coronavirus clue? Most cases aboard U.S. aircraft carrier are symptom-free - Reuters https://www.reuters.com/article/idUSKCN21Y2GB 原子力空母セオドア・ルーズベルトでは、2020年3月31日の時点で100人を超える新型コロナウイルスの感染者が発生してしまい、危機感を訴えたブレット・クロージャー艦長が解任される事態も起きています。 空母で新型コロナウイルス感染者が発生していると上層部に
昨年7月8日の安倍晋三元首相銃撃事件を契機として、世界平和統一家庭連合(旧統一教会)を巡るさまざまな問題が明らかになりました。教団の持つ顕著な反社会性や被害の凄惨(せいさん)さが広く世間に知られるようになり、同時に政治家との癒着の実態も次々と明るみに出て、旧統一教会問題は大きく社会問題化しました。 政界では昨年夏以降、各政党が旧統一教会との従前の関係性を問うアンケートを実施したり、議員が個別に関係を絶つという表明をしたりしたほか、自民党の行動指針に教団との関係断絶を明記すると岸田文雄首相が国会で表明するなど、教団との関係を見直す動きは一定程度進められました。 このような情勢の中で、旧統一教会の宗教法人解散を求める声が飛躍的に高まりましたが、所轄庁である文化庁は長年にわたり、宗教法人法上の解散命令請求の要件を非常に狭く解釈し、刑罰法規の違反に限るとしており、法人や代表者自体が刑事責任に問われ
安く早く開発するための個人開発アーキテクチャ
はじめに 最近趣味で個人開発をしながらアーキテクチャの検討を行なっていたのですが、自分なりにいい感じの結論に辿り着いたので今回はそのアーキテクチャの紹介しようと思います! インフラ、バックエンド、フロントエンドの各セクションに自分が使用しているテンプレートのリポジトリのリンクを載せてあるので興味のある方は参考にしてください。 また今回紹介するアーキテクチャはあくまで一例なので、間違いや不備などがあればご指摘いただければ幸いです。 前提条件 個人開発で使用するアーキテクチャを考える上で、自分の中でいくつか前提条件があります。 ランニングコストを抑える いくつか前提条件がある中で、個人的に一番重要な要素になります。 バズるサービスを作りたいという気持ちはありますが、そのためにいくらでもコストをかけられるかと言われるとそうではありません。むしろ個人開発となると、抑えられるコストはできる限り抑えた
卒業しました 2021年3月で自然と環境コースを卒業しました。6年間在学しました。 どなたかのお役に立てばと思い、記録を残します。 動機の部分はただの長い自分語りなので、情報だけ得たい方は適当に飛ばして先に進んでください。 卒業しました 高卒からのスタート ドラマ視聴時間とWikipediaサーフ時間の置き換え 自然科学の勉強ができる通信制は少ない 単位取得の流れ 勉強の進め方 勉強した科目 使える学割 学生の交流 放送大学エキスパート(科目群履修認証制度) 卒業式 卒業して 高卒からのスタート まず私について簡単にお話しします。 現在アラフォーで、放送大学には30代半ばで入学しました。 高校は普通科ではなかったので進路は推薦枠の大学か専門学校に進学する気でいたのですが、興味の方向が複数あり選びきれないでいるうちに、学費の桁と待ち受ける更なる貧乏生活に怖気づいて、進学をやめ目の前のお賃金に
「権限要求多すぎ」──セブン-イレブンのTwitterキャンペーンに批判相次ぐ→中止に なぜこうなったかは「確認中」
セブン-イレブン・ジャパンが7月11日に始めたTwitterキャンペーンが波紋を呼んでいる。社名にちなんだ「セブン-イレブンの日」として無料クーポンをプレゼントする企画だったが、応募のためには個人のTwitterアカウントと外部アプリを連携させる必要があった。その際に要求される権限が不適切ではないかという声が上がり、同社は12日午後11時にキャンペーンの新規応募を中止した。 要求の中には「他のアカウントをフォロー、フォロー解除する」「他のアカウントをミュート、ブロック、報告する」「このアカウントでダイレクトメッセージを送信、確認、管理、削除する」など、アカウント情報を閲覧する以上の権限が含まれていた。 この要求を許可すると、セブン-イレブンが管理するサードパーティーアプリからツイートやフォロー、いいね、RT、プロフィール変更などの操作が可能となってしまう。これに対し、立命館大学の上原哲太郎
Kubernetes-nativeなアーキテクチャ導入の手引き 先進的なクラウド環境を最強テストベッドで体験|ハイクラス転職・求人情報サイト AMBI(アンビ)
Kubernetes-nativeなアーキテクチャ導入の手引き 先進的なクラウド環境を最強テストベッドで体験 Kubernetes-nativeなエコシステムを実現する最強テストベッド環境です。さまざまなミドルウェアを運用したマイクロサービスをフルgRPCなサービス間通信で実現するだけでなく、CI/CDと開発環境も用意しています。 こんにちは。株式会社サイバーエージェントのAI事業本部でインフラエンジニアをしている青山真也(@amsy810)と漆田瑞樹(@zuiurs)です。今回は、Kubernetesが好きな2人が考える最強のKubernetes-nativeなお試し環境を構築してみました。記事公開時点で、総コミット数が900に迫るリポジトリになっています。 現在、Kubernetesとそれを取り巻くエコシステムは急速に発達しており、便利なツールやミドルウェアが日々生まれています。これは
ハイエンドなグラフィックボードだけでなく、1万円以下のローエンドグラフィックボード「Radeon RX 550」も4K出力をサポートするなど、高解像度なディスプレイ環境はますます構築しやすくなっています。プログラマーのNikita Prokopov氏は、「今こそモニターをアップグレードする時だ」と、低解像度なモニターを使っている人に対し、高解像度モニターへの買い替えをすすめています。 Time to upgrade your monitor @ tonsky.me https://tonsky.me/blog/monitors/ Prokopov氏はプログラマーであるため、「きれいに文字を表示する」ことに特化したモニター環境の最適化を行っており、正確な色表現や色域はあまり気にしていないとのこと。Prokopov氏がTwitterでアンケートを行ったところ、およそ43%の回答者が150dpi
IAM ロールの PassRole と AssumeRole をもう二度と忘れないために絵を描いてみた | DevelopersIO
コンバンハ、千葉(幸)です。 皆さんは、 PassRole と AssumeRole についてきちんと理解ができていますか?どちらも IAM ロールに関するものですね。 私はカラダ(ボディ)の調子がいい時は思い出せるのですが、雨が降っている日や、ちょっと疲れて気を抜いた時にはすぐ分からなくなってしまいます。 ということで、イメージとして脳に刻み付けることによって忘れられなくしてやろうと思いました。 そこで出来上がったのが以下です。 間違えました。以下です。 あ、でもやっぱり忘れづらいのはこちらかもしれませんね。 どうですか?もう忘れられなくなりましたね? 先にまとめ IAM ロールには以下ポリシーを設定できる アイデンティティベースポリシー Permissions boundary 信頼ポリシー AWS リソースに IAM ロールを引き渡す際には PassRole の権限が必要 PassR
パスワードがハッシュ値で保存されているサイトのSQLインジェクションによる認証回避の練習問題 - Qiita
SQLインジェクションによる認証回避 SQLインジェクションによる影響として、情報が漏洩するとか、データが勝手に更新されてしまうなどとともに、認証回避の例がよく紹介されます(私の本でも取り上げています)。 典型的な例は下記のとおりです。 // $id と $password は外部からの入力 $sql = "SELECT * FROM users WHERE id='$id' AND password='$password'";
2021年9月18日に開催されたXP祭り2021で「マイクロサービスに至る歴史とこれから」という講演をしました。資料は次の通りです。本来は75分ぐらいかかるのを45分で話そうとして、余裕で時間オーバーしてすみませんでした。 テクノロジーとテクニックによる進化の流れ テクノロジーやテクニックは、ITの改善サイクルを向上させるために進化を続けています。「技術そのもの」であるところのテクノロジーに対して、テクニックというのは「人による技術の活かし方」を示します。なので、基本的にはテクノロジーが生まれ、それを使いこなしたテクニックが登場することになります。 テクノロジーとテクニックの進化の歴史現在、進化中のテクノロジーであるCloud NativeやServerlessを前提としたテクニックを示す用語、つまり、マイクロサービスに次に来るかもしれない言葉というのは、時間軸からすると再来年ぐらいに出て
ソースコードを書くのは単純作業? GitHub日本法人の記事が物議 発言元のヤマト運輸「誤解を与えてしまった」
「ソースコードを書くのは単純作業」──そんな内容の記事がITエンジニアなどを中心にTwitter上などで話題になっている。記事を掲載したのは、GitHubの日本法人ギットハブ・ジャパン。ヤマト運輸のGitHub活用事例を紹介する記事の中で、ヤマト運輸のDX推進を担当する中林紀彦執行役員がこのように発言したとしていた。 話題となった記事では、ヤマト運輸のデータ・ドリブン経営について、中林執行役員などが解説。開発環境の内製化のためGitHubを採用したことや、2年で約100人のITエンジニアを採用したことなどを記載している。その中で、今後の展望としてGitHubを活用した内製化の新たな形を探りたいという旨で、中林執行役員の発言として以下の記載があった。 「これまでの内製化はアウトソーシングからの見直しが主体でした。これからは、アーキテクチャのデザインや、GitHubを活用したソースコードのガバ
パソコンの無線接続などに使う機器「ルーター」についてセキュリティー会社が調査したところ、国内にあるおよそ19万の機器がインターネットを通じて外部からアクセスできる状態になっていて、このうち14万台近くがすでにサポートが終了していたり最新のソフトウエアに更新されていないことが分かりました。セキュリティー会社はサイバー攻撃を受けるリスクが高い状態にあるとして注意を呼びかけています。 東京のセキュリティー会社「ゼロゼロワン」が今月中旬、国内の家庭用のルーターを対象に調査したところ、およそ19万台が外部からアクセスできる状態になっていました。 アクセスを試みたときの通信の反応から機器の種類やソフトウエアのバージョンを判別し分析したところ、メーカーがサポートを終了している、またはソフトウエアの提供が1年以上行われていない機器が6万6757台、ソフトウエアが最新の状態にアップデートされていない機器が9
はじめに このブログに書かれていること 自己紹介 注意 Part3 現代の暗号 共通鍵暗号方式と鍵配送問題 鍵配送問題とは? 共通鍵暗号方式と公開鍵暗号方式の違いとメリット・デメリット RSA暗号 RSAで使われる鍵 処理手順 暗号化の手順 復号の手順 RSA暗号の数学的背景 一次不定式が自然数解を持つ理由 eとLの関係性 そもそもなぜこの式で元の平文に戻るのか?の数学的根拠 証明パート1 フェルマーの小定理 中国剰余定理 RSA暗号をPythonで 楕円曲線暗号 楕円曲線とは? 楕円曲線の式 楕円曲線における足し算の定義 楕円曲線における引き算の定義 無限遠点 楕円曲線における分配法則と交換法則 楕円曲線の加法を式で表現 点Pと点Qが異なる場合 点Pと点P 同じ点を足し合わせる場合 有限体 有限体とは? 有限体上の楕円曲線 楕円曲線暗号における鍵 ECDH鍵共有 数式ベースでの手順説明
learning-webrtc_2023-05.md 時雨堂 WebRTC 入門 (講師資料) v2023-05 これは時雨堂が開催しているオンラインイベントである WebRTC 入門の 講師用 の資料であり、 参加者用の資料ではありません。 時雨堂 WebRTC 入門 オンラインイベント 概要 ChatGPT がある今、学ぼうと思えば好きなだけ学べる時代がきています。 ただ「正しい情報」をなんとなく知っている事はとても重要だと考えています。 進め方 今回の WebRTC 入門はまず最後まで大まかに話をしていきます。 その後、残り時間を利用して、細かく話をしていきます。 資料表示用の画面と iPad を画面共有してホワイトボード的な使い方をしていきます。 お願い 是非 Discord にメモを残していってください。 後から振り返るとき、参加者の皆に有用だと思います。 ライセンス Creat
ホンダの内部ネットワーク情報を格納したElasticsearchが公開されていた件についてまとめてみた - piyolog
2019年7月31日、本田技研工業の従業員のメールアドレスや内部ネットワーク、PCに関連するElasticsearchデータベースが露出していたとして、対応の顛末が発見者により公開されました。この問題は本田のセキュリティチームに伝えられ、問題は解消されているとのことです。ここでは関連する情報をまとめます。 問題の発見者 Justin氏の報告 Honda Motor Company leaks database with 134 million rows of employee computer data https://t.co/IN9IESN0Ae— Justin (@xxdesmus) 2019年7月31日 Justin氏はクラウドフレア社 Trust & Safety担当のディレクター。 何が問題であったか 本田技研工業の従業員の名前やメールアドレス、連絡先の情報、同社内部の端末やネ
Twitter API 有料化|うるし
こんにちは。うるし (@uakihir0) です。 昨日 (2023/3/30) に Twitter API の新しい Tier の発表・公開がありました。私は十年以上、TheWorld 等の Twitter クライアントなどの Twitter を用いたアプリを作ってきたので、これはある種の一区切りだと考えて、ここで Twitter API の有料化について詳しく見ていきます。 Twitter API の新料金体系Twitter API プラン一覧Free プラン 内容が発表されたのは、無料の Free プランと、$100 /月の Basic プランです。Free プランでは、認証・投稿のみが可能で、アプリ全体として(そのアプリを利用するユーザー全体で)1500 回/月の投稿が可能です。料金自体はかからないので、投稿数の少ない bot などはこの Free プランを引き続き利用することで、
どうしてこうなった。 何の話? WindowsでのSSH-AGENTとSSHの話です。 この記事での用語: SSHとssh, SSH-AGENTとssh-agent この記事では、SSH-AGENTと書いたときにはカテゴリとしてのSSHエージェントを意味します。 ssh-agentと書いたときには、実行プログラムとしてのssh-agentコマンドを意味します。 同様に、SSHと書いたときにはカテゴリとしてのSSHクライアントを意味します。 sshと書いたときには、実行プログラムとしてのsshコマンドを意味します。 SSH-AGENTって? SSH-AGENTは、秘密鍵での署名を代行1してくれるツールです。 SSH-AGENT に秘密鍵をロードしてしまえば、あとはパスワード(パスフレーズ)入力なしでSSH認証できる agent forward機能を使うことで、SSHした先でさらにSSHすると
オリンピック・パラリンピック関係システムの調達に関する私の発言につきまして “English as follow.” | 平井卓也[ひらいたくや] デジタル改革担当大臣 自民党 衆議院議員
オリンピック・パラリンピック関係システムの調達に関する私の発言につきまして “English as follow.” 一部の報道で政府のシステム調達に関する私の発言が問題だと指摘がありました。 私は、かねてより政府のシステム調達に関して大きな問題意識を持っており、国民の血税をお預かりする立場として、国民に説明ができる調達しかしないという強い気持ちと覚悟を持っております。 私自身は、直接事業者との交渉に臨む立場ではありませんが、今回の契約の見直しに際しても、必要な機能に見合った契約金額の圧縮となるよう、担当責任者には詳細に検討を行うよう強く指示してきました。 報道されている音声データにつきましては、契約見直しに当たっての自分の考えを、10年来一緒に仕事をして来て自分の真意が分かる幹部職員へ対面で檄を飛ばしたものであり、事業者への脅しでは決してありません。しかし、幹部職員に対する発言だったとし
![オリンピック・パラリンピック関係システムの調達に関する私の発言につきまして “English as follow.” | 平井卓也[ひらいたくや] デジタル改革担当大臣 自民党 衆議院議員](https://cdn-ak-scissors.b.st-hatena.com/image/square/7f3daecb1bc64b4ea743a1222b1ff163742cc1cd/height=288;version=1;width=512/https%3A%2F%2Fwww.hirataku.com%2Fwp-content%2Fuploads%2F2014%2F10%2Fht_mark.png)
【レポート】AWS における安全な Web アプリケーションの作り方 #AWS-55 #AWSSummit | DevelopersIO
この記事では、5月12日に行われた AWS Summit Online 2021 のオンラインセッション『AWS における安全な Web アプリケーションの作り方(AWS-55)』の模様をレポートします。 セッション概要 情報処理推進機構(IPA) の公開している「安全なウェブサイトの作り方」をはじめとしたセキュリティを考慮した安全なウェブアプリケーションの設計ガイドラインがいくつか知られています。本セッションでは、アプリケーション開発者向けにガイドラインに則ったアプリケーションを AWS 上でどのように実装するのかを AWS プラットフォームレイヤーとアプリケーションレイヤーのそれぞれの観点から項目ごとに解説し、アプリケーション導入前、または導入後のセキュリティ対策の指標となることを目指します。 登壇者 アマゾン ウェブ サービス ジャパン株式会社 技術統括本部 ソリューションアーキテク
サイバーセキュリティ研究者のサム・ジャダリ氏は2019年7月20日、「ブラウザの拡張機能を介した壊滅的なデータ漏えい」として「DataSpii(データスパイ)」というセキュリティ問題を報告しました。ジャダリ氏によると、Google ChromeやMozilla Firefoxの拡張機能の一部が個人情報を含む閲覧履歴を収集し、入手した情報をインターネット上で販売していたとのことです。 DataSpii - A global catastrophic data leak via browser extensions https://securitywithsam.com/2019/07/dataspii-leak-via-browser-extensions/ My browser, the spy: How extensions slurped up browsing histories f
デジタル庁は、現行のマイナンバーカードの後継にあたる「次期個人番号カード」のデザインイメージを公開した。券面から性別の記載を省いたほか、色や柄、レイアウトを調整し「日本の国民カードにふさわしい、誰もが持ちたくなる魅力的なデザイン」を実現するという。導入目標時期は2026年。 デザインは次期カードを議論するタスクフォースが取りまとめた。新カードでは生年月日の記載を和暦から西暦に変更するほか、氏名についてもローマ字を表面に併記できるようにする。また、発行主体を明確化するために「日本国 JAPAN」の記載も検討する。性別については「実務上問題ない」との判断からICチップ内での記載に留める。 このほか、現行カードでは4つ存在する暗証番号を2つに集約。将来的にはスマートフォンの生体認証などを活用することで、暗証番号を不要にする。 新旧カード切り替えに伴う、窓口などでのハードウェア交換は不要と見込まれ
オペレーション部 江口です。 以前から気になっていた「ゼロトラストネットワーク」の翻訳版がオライリーから発売されました。 https://www.oreilly.co.jp/books/9784873118888/ 早速読んでみたのでレビューしてみたいと思います。 書籍の概要 最近新しいセキュリティの考え方として注目されている「ゼロトラストネットワーク」について取りあげた書籍です。 ゼロトラストネットワークの概念、どのように構成するか、認証をどうするべきかなどを解説し、またGoogleやPagerDutyでの実際のシステムの事例などを紹介しています。 目次 1章 ゼロトラストの基礎 2章 信頼と信用の管理 3章 ネットワークエージェント 4章 認可の判断 5章 デバイスの信頼と信用 6章 ユーザーの信頼と信用 7章 アプリケーションの信頼と信用 8章 トラフィックの信頼と信用 9章 ゼロト
この記事のまとめ: OpenAirInterface と Open5GS を使って一般家庭で LTE 網を構築するレシピを紹介します。 背景: 最近、テレコム周りでも OSS 界隈が面白くなってきたのと、RF デバイスは基本的に高価なイメージがあったんですが、LimeSDR mini などの安価な Software Defined Radio (SDR) ボードが手に入るようになったり、Alibaba から安い RF デバイスが入手できるようになったりしてきていて、家で十分遊べるだけのものが揃うようになってきました。そんなわけで勉強を兼ねつつ、OSS を使った LTE の構築をしてみます。 なお、RF を扱いますが電波法に触れないようにすべて有線系かつ RF デバイスはシールド対策をして構築しています。 もくじ 全体概要 材料 下準備 SIM カードの書き込み RF デバイスのシールド O
CORSの仕組みをGIFアニメで分かりやすく解説
クロスオリジンのリクエストを安全にするための同一生成元ポリシーとオリジン間のリソース共有(CORS)の仕組みをGIFアニメで解説した記事を紹介します。 ✋🏼🔥 CS Visualized: CORS by Lydia Hallie 下記は各ポイントを意訳したものです。 ※当ブログでの翻訳記事は、元サイト様にライセンスを得て翻訳しています。 はじめに ✋🏼同一生成元ポリシー(Same-Origin Policy)とは 🔥クライアントサイドのCORS 💻サーバーサイドのCORS 🚀プリフライト リクエスト(Preflighted Requests) 🍪認証 はじめに 「Access to fetched to fetched has been blocked by CORS policy error」と赤い文字がコンソールに表示されると、デベロッパーなら誰でもフラストレーションが
アホルダーと自嘲しながらもしばらく持ってたTwitter株が無事イーロンマスクさんに召し上げられ、マスクさんがTwitterを買収した後で「毎日400万ドルが失われている」と怒涛のリストラが始まって、我らがTwitter日本法人(TwitterJP)も広報部門を中心にかなりの解雇が申し渡されたようです。 もっとも、アメリカでもこんな強引な解雇は問題だとか、日本では整理解雇のためには4要件があるのですんなりとは解雇できないと言われながらも、300人に満たない日本法人で100人解雇で年額分年俸保証してもせいぜい20億円程度であって、不採算企業における不適切な企業風土の是正を考えるとこの程度の金額の支払いはリストラ費用と見れば問題ないとマスクさんは考えているのでありましょうか。 で、メディア界隈で物議をかもしたのはTwitterJPが手がけていたニューストレンドの配信であります。多くのユーザーが
名著「UNIXという考え方 - UNIX哲学」は本当に名著なのか? 〜 著者のガンカーズは何者なのかとことん調べてみた - Qiita
補足 1975: トンプソンはベル研を一時休職し、母校のカリフォルニア大学バークレー校に Version 6 Unix をインストールする作業を手伝う。これは後に BSD Unix として配布される。 1984-1998: ガンカーズが DEC でプリンシパル・ソフトウェア・エンジニアを務めた時期 ガンカーズは DEC の Unix Engineering Group (UEG) に所属 いつから DEC に勤めていたのかは不明 P63 より「小さな会社で Version 7 Unix を使っていた」ので 1979 年よりも後 V7M の開発には関わってなさそう おそらく 1980-1984 の間に DEC に入社したと思われる ガンカーズが「UNIX の考え方」についての本はないだろうか?と考えたのは 1991 年 1988: POSIX.1 標準化(POSIX.2 は 1992 年)
自民党の下村博文元政調会長(68)は14日、党本部で会見を開き、明日発売「週刊文春」で世界平和統一家庭連合(旧統一教会)と自身の関係が報じられた内容を全面否定した。 この日、文春オンラインは、下村氏が政調会長時代、旧統一教会の関連団体幹部から陳情を受け、党の公約に反映させるよう指示を出していた疑いがある動画を入手したと伝えた。 下村氏と旧統一教会をめぐっては、これまで世界日報社の月刊誌インタビューに応じていたことや旧統一教会から現在の世界平和統一家庭連合への名称変更に認証されたことなども物議を醸していた。 同誌が入手した動画は、昨年10月9日、東京・板橋区の区立グリーンホールで行われた統一教会の関連団体「国際勝共連合」幹部・青津和代氏の講演会の様子を収めたものだ。 講演会の直前まで、同じ場所で下村氏の国政報告会が行われ、青津氏も参加していたという。当時は岸田政権が発足した直後で、下村氏は政
クロネコメンバーズの二段階認証、実は無意味な飾りだった
辻 伸弘 (nobuhiro tsuji) @ntsuji ANAはWebパスワードを導入 JALは生年月日による認証(?)の追加 ヤマトはメールの二段階認証導入 SAGAWAはパスワードによる認証 こういう取り組みの結果、ユーザの利用選定基準になると取り組み側にもいい影響があるんじゃないかなって思っていますよ。 2015-04-03 15:09:50
LINEが発展途上国向けに提供している軽量版「LINE Lite」(Android)のサービスが2月28日に終わる。本来、日本では使えない同アプリだが、「正直困る」と嘆く日本のユーザーもいる。LINE Liteを使うと、複数のスマートフォンで1個のアカウントを同時に利用できたからだ。そもそも、LINEはなぜ複数スマホでアカウントを共有できないのか。LINE社に聞いてみた。 LINEにはスマホ版以外にiPad版やWindows版などがある。これらには「QRコードログイン」という機能があり、これを使えば複数端末間でアカウントを共有できる。しかし、スマホ版には同機能が無いため、スマホ同士でのアカウント共有はできない仕様だ。 この仕様が不便だという声はずっとある。例えば、TwitterやFacebook Messenger、Slack、Discordなどは、iOSとAndroidの垣根もなく、複数
元記事はこれです https://note.com/yoshiaono/n/n4cd37820faf0 ・そもそもマイナンバーカードの目的がよくわからない。身分証明のためなら運転免許証や健康保険証でよくね?そもそも何が問題なの? 身分証明だけなら運転免許証で良いが(健康保険証は顔写真が無い)、誰でも取得出来る顔写真付き身分証明書は必要(追記) マイナンバーカードのICチップによる身分証明と正しいマイナンバーの検証が同時に確認できるのが肝 ・カードに書かれたマイナンバーが漏れるとまずいらしい。漏れるとまずいのに印刷するの?みんなで便利に使うための番号じゃないの? ここは政府の雑な説明がほぼ悪いのだが、青野社長レベルで「漏れるとまずいらしい」という認識なのか… 「みんなで便利に使うための番号じゃないの?」その議論もあったがマイナンバー法で目的外利用が厳しく制限された。アメリカでのSocial
sudoの脆弱性情報(Important: CVE-2021-3156 : Baron Samedit) - SIOS SECURITY BLOG
OSSに関するセキュリティ・ツールの使い方・脆弱性等を紹介しています。 SELinux/Capability/AntiVirus/SCAP/SIEM/Threat Intelligence等。 OSS脆弱性ブログ01/27/2021にsudoの脆弱性情報(Important: CVE-2021-3156 : Baron Samedit)が公開されています。どのローカルユーザでもパスワード認証を経ずに特権昇格が出来るため、一度ローカルユーザのターミナルを開くことが出来れば権限昇格できてしまうという強烈なものです。今回はこちらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。 【01/27/2021 10:30更新】Amazon Linuxのリンク(ALSA-2021-1478)も加えました。また、詳細情報を追記しました。 【01/27/2021 14:30更新】O
婚活マッチングアプリ「Omiai」で、171万件もの会員情報流出が判明した。流出したデータには運転免許証やパスポート画像などが含まれる。氏名や住所に加えユーザーの顔写真情報まで流出したのは深刻な問題だ。運営するネットマーケティングは再発防止策を講じたものの、流出したデータによる二次被害を防ぐ手立ては見つかっていない。 婚活マッチングアプリ「Omiai」を運営するネットマーケティングは2021年5月21日、不正アクセスによるデータ流出に関するおわびを公表した。Omiaiは2020年10月時点で累計会員数が600万人を超える大手のサービスだ。 この事件はすぐさま新聞各紙やテレビ、インターネットのニュースサイトなどで報じられ、大きな話題になった。その理由の一つは、流出したデータが氏名や住所、生年月日などアカウント数で171万1756件と大規模だったこと、さらには恋人探しや婚活など、利用者にとって
SAML入門
【累計3500部突破(商業版含む)🎉】 SAMLaiの道は果てしなく険しい。 本書では、SAML2.0で一般的に多く使用されるフローであるWeb Browser SSOのSP-initiatedとIdP-initiatedと呼ばれるものを中心に、SP側の目線でなるべく簡潔に解説します。 SAML認証に対応してほしいと言われても、もう頭を抱える必要はありません。 筆者自身も何もわからない状態からもがき苦しみながらSAML SPを実装し、数年間サービスを運用してきました。 そのつらい経験を踏まえて、SPを実装する上で今まで触れられることのなかった ・どういう設計が必要か? ・何を気をつけなければならないか? のエッセンスを詰め込みました。 SAMLはエンタープライズ用途では求められることが非常に多く、歴史もそれなりに長いものですが、実装する上で必要な体系的な情報はなぜかほとんどありません。
","naka5":"<!-- BFF501 PC記事下(中⑤企画)パーツ=1541 -->","naka6":"<!-- BFF486 PC記事下(中⑥デジ編)パーツ=8826 --><!-- /news/esi/ichikiji/c6/default.htm -->","naka6Sp":"<!-- BFF3053 SP記事下(中⑥デジ編)パーツ=8826 -->","adcreative72":"<!-- BFF920 広告枠)ADCREATIVE-72 こんな特集も -->\n<!-- Ad BGN -->\n<!-- dfptag PC誘導枠5行 ★ここから -->\n<div class=\"p_infeed_list_wrapper\" id=\"p_infeed_list1\">\n <div class=\"p_infeed_list\">\n <div class=\"
◆2019年9月最新運用術 トレード業界に昔から存在する、トライアングルアービトラージは「負けない鞘取り手法」として有名です。 この手法の最新版の利回りを活用すれば、月利10%を安定して得ることができるとのことでヤフーニュースやSNSなどで話題になりました。 再注目されてトレード有識者の中でたくさんの議論が行われました。 さらに洗練されたこの手法を、どこよりも詳しく纏めていきます。 月利10%という高利回りで、為替変動やスプレッドの影響をほぼ受けず、放置で稼げるという三拍子が揃っています。本当に初心者から上級者まで自信をもってオススメできます。 それでは見ていきましょう。 ◆スワップ鞘取りとは? という方も少なくはないでしょう。 両建てにより値動きを相殺して、スワップポイントだけで利鞘を得ていく手法です。 もっと簡単に言えば、最初に簡単な設定をして放置しておくだけで金利収入が出る。 という
こんにちは!イーゴリです。 AWS にとって、クラウドのセキュリティは最優先事項です。(AWS公式ページ) AWS環境のセキュリティ対策としてAWSサービスを解説するよりも、まずはAWS環境の最適な設計について考える必要があります。AWS Well-Architected Frameworkを考慮しながらの設計を推奨します。AWS Well-Architected Frameworkを全部詳しく読むことをおすすめしますが、この記事では個人的に一番重要だと思う点について記載します。 とてもざっくり説明しますと、AWS Well-Architected Frameworkとは、クラウドシステムの最適な設計方法を提供するAWSのガイドラインで、6つの柱があります。この記事では基本的に「セキュリティ」の柱を技術的観点から見てみたいと思います。 AWS Well-Architected Framew
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
開発者が知っておきたい「XSSの発生原理以外」の話 - Flatt Security Blog
無料とは思えない多機能っぷりなWikiインフラ「Wiki.js」レビュー、自前でホスト&外部サービスと連携可能
「Wi-Fiってなに?」日本人の大多数が、意外と理解していない問題(西田 宗千佳)
新型コロナウイルス感染者が大量発生した空母の乗組員の「大半が無症状」という謎、国防長官も困惑
「特集」 旧統一教会問題を止めるな 安倍元首相銃撃事件から1年
スタートレックのオタクが放送大学で理数系の基礎教養を学んだ話 -
今すぐやるべき「ディスプレイの設定」と「4K以上の高解像度ディスプレイ」に買い替えたほうがいい理由
マイクロサービスに次に来るかもしれない言葉について - arclamp
自宅の「ルーター」大丈夫?サイバー攻撃のリスク高く注意を | NHK
暗号の歴史と現代暗号の基礎理論(RSA, 楕円曲線)-後半- - ABEJA Tech Blog
時雨堂 WebRTC 入門 (講師資料) v2023-05
混沌を極めるWindowsのssh-agent事情 - Qiita
400万人以上の個人情報がChromeとFirefoxの拡張機能から流出してネット上で販売されていたことが判明
次期マイナンバーカードのデザイン公開--「マイナカード」の名称廃止も検討
【書評】ゼロトラストネットワーク | DevelopersIO
おうち LTE ネットワーク構築レシピ
TwitterJP社「大量解雇」の因果応報とニューストレンドの不正操作に関して|山本一郎(やまもといちろう)
文春砲を食らった自民・下村博文氏が緊急会見「即刻撤回するよう明日強く抗議します」 | 東スポWEB
なぜLINEは複数スマホで使えないのか Lite版終了を前にLINE社に聞いてみた
サイボウズ青野社長のマイナンバーカード批判に指摘する
婚活アプリ「Omiai」、運転免許証やパスポートの画像が171万件も流出した経緯
首相「有給休暇取りやすい対応お願いする」 休校対策で:朝日新聞デジタル
【2019年9月最新版】負けないトレード手法 - NishinoShogo@FX革命
セキュアなAWS環境の設計についての解説【2024年版】 - サーバーワークスエンジニアブログ