Webサービス公開前のチェックリスト
個人的に「Webサービスの公開前チェックリスト」を作っていたのですが、けっこう育ってきたので公開します。このリストは、過去に自分がミスしたときや、情報収集する中で「明日は我が身…」と思ったときなどに個人的にメモしてきたものをまとめた内容になります。 セキュリティ 認証に関わるCookieの属性 HttpOnly属性が設定されていること XSSの緩和策 SameSite属性がLaxもしくはStrictになっていること 主にCSRF対策のため。Laxの場合、GETリクエストで更新処理を行っているエンドポイントがないか合わせて確認 Secure属性が設定されていること HTTPS通信でのみCookieが送られるように Domain属性が適切に設定されていること サブドメインにもCookieが送られる設定の場合、他のサブドメインのサイトに脆弱性があるとそこからインシデントに繋がるリスクを理解してお
私はプロではないのでわからないので、間違っているのは当たり前だと思って読んでください。 個々人のエンジニアの能力がとかクレジットカードがとかは基本関係ないという話です。 (関係なくてもパスワードを使い回している場合は、同じパスワードを使っているサービスのパスワードはすぐ変えるの推奨) 三行VPN→プライベートクラウドの管理システムとオンプレ認証→各システムと言う流れで侵入されていると思われるオンプレのディレクトリサービスとクラウドのidMが接続され、オンプレの認証資格でSaaSは一部やられた可能性がある現在クラウドにリフトアップ中で、新システムはモダンな対策された方法で保護されており無事だった。が、それ故にオンプレへの対策が後手だったのでは会社のシステムはどうなってるか私は長年社内システムの奴隷をやって参りました。現在のクラウドになる前のサーバも触って参りましたので、その辺りからお話しをさ
トヨタ自動車の本社(「Wikipedia」より) トヨタ自動車の豊田章男会長は18日、報道陣を前に「(自動車業界が)日本から出ていけば、大変になる。ただ、今の日本はがんばろうという気になれない」「“ジャパンラブ”の私が日本脱出を考えているのは本当に危ない」「日本のサイレントマジョリティーは、自動車産業が世界で競争していることに、ものすごく感謝していると思う」と発言(「朝日新聞」記事より)。これを受け、トヨタが本社をはじめとする主要拠点を日本から海外へ移転させることを検討しているのではないかと注目されている。豊田会長の発言の真意は何か。また、もしトヨタが主要拠点を海外に移転させた場合、日本経済にどのような影響をおよぼすのか。専門家の見解を交えて追ってみたい。 型式指定の認証不正問題が発覚したトヨタ自動車。不正があった3車種は、国土交通省による型式認証の基準適合調査が行われている関係で8月末ま
2024年7月1日、OpenSSHの開発チームは深刻な脆弱性 CVE-2024-6387 が確認されたとしてセキュリティ情報を発出し、脆弱性を修正したバージョンを公開しました。この脆弱性を発見したQualysによれば、既定設定で構成されたsshdが影響を受けるとされ、影響を受けるとみられるインターネット接続可能なホストが多数稼動している状況にあると報告しています。ここでは関連する情報をまとめます。 概要 深刻な脆弱性が確認されたのはOpenSSHサーバー(sshd)コンポーネント。脆弱性を悪用された場合、特権でリモートから認証なしの任意コード実行をされる恐れがある。 悪用にかかる報告などは公表時点でされていないが、glibcベースのLinuxにおいて攻撃が成功することが既に実証がされている。発見者のQualysはこの脆弱性の実証コードを公開しない方針としているが、インターネット上ではPoC
骨伝導イヤホンを常時着用は便利である。 しかし、勧めるには語るべきことが多い。 だからここに俺の知識をまとめることにした。 これを読めばいい 骨伝導イヤホンの基本 常時着用で運用 骨伝導が向かない状況 外がうるさい 音漏れ禁止 音質にこだわる 痛みがする 選び方とおすすめ Shokz OpenRun Pro Shokz OpenMove Shokz OpenComm 2 何でShokz製品しか紹介しないの?手先なの? 骨伝導以外の選択肢 ブコメで人気なFreeClip 終わりに これを読めばいい 骨伝導イヤホンを使い始めて4年が経とうとしている。使い始めた当時はまだ珍しかったが、今ではかなり普及してきたと思う。実際、弊社でも着けている人をよく見るようになった。とはいえ、普通のワイヤレスイヤホンと比べると、使ったことのある人は少ない。 それゆえか、骨伝導イヤホンがどんなものかと質問されること
はじめに はじめまして、セキュリティエンジニアのSatoki (@satoki00) です。今回はブラウザの開発者ツールのネットワークタブから隠れて、Webサイト内の情報を送信する手法をまとめます。所謂Exfiltrationというやつです。中にはCSPの制限をBypassするために用いられるテクニックもあります。CTFなどで安全に使ってください。 前提 発端はWeb上でテキストの文字数をカウントできるサイトが閉鎖する際の話です。カウント対象のテキストデータがサイト運営 (やサイトを改竄した攻撃者) に盗み取られていないかという議論が巻き起こっていました。「盗み取られていない」側の主張は、ブラウザの開発者ツールのネットワークタブにリクエストを送信した形跡がないというものでした。ここで ブラウザの開発者ツールのネットワークタブに表示がなければ外部へデータを送信していないのか? といった疑問が
今回は、SSH接続を劇的に高速化する方法をご紹介します。たった3行の設定を追加するだけで、接続時間を10分の1に短縮できます。しかも、2回目以降の接続では認証も自動的に行われるので、パスワードやパスフレーズの入力も不要になります。 要点 .ssh/configファイルのHost *セクションに以下の3行を追加するだけです。 詳しい説明 1. ControlMaster auto この設定で、1つのSSH接続で複数のセッションを共有できるようになります。新しくSSH接続を確立するたびに認証情報を入力し直す手間が省けて、接続がぐっと速くなります。具体的には: 初回の接続時のみ認証が必要 2回目以降は既存の接続を再利用するため、認証プロセスをスキップ パスワードやパスフレーズの入力が不要になり、接続がほぼ瞬時に完了 2. ControlPath ~/.ssh/mux-%r@%h:%p Contr
初めて使ったBIツールはLooker Studioのid:syou6162です。これまでTableau / Looker(≠ Looker Studio) / Metabase / Redash / Connected Sheetsなど色々なBIツールを触ってきましたが、不満は色々ありつつも個人的に一番しっくりきて愛着があるのはLooker Studioです。このエントリでは、その魅力と便利な使い方や注意点について書きます。例によって、社内勉強会向けの内容を外向けに公開しているため、内容の網羅性などは特に担保していないことにご注意ください。 Looker Studioの魅力 利用のハードルが限りなく低い & Google Workspaceとの連携が便利 複雑過ぎることができないので、諦めが付けやすい ちゃんとBIツールになっている Looker Studioの便利な使い方 多様なデータソ
こんにちは!イーゴリです。 AWS にとって、クラウドのセキュリティは最優先事項です。(AWS公式ページ) AWS環境のセキュリティ対策としてAWSサービスを解説するよりも、まずはAWS環境の最適な設計について考える必要があります。AWS Well-Architected Frameworkを考慮しながらの設計を推奨します。AWS Well-Architected Frameworkを全部詳しく読むことをおすすめしますが、この記事では個人的に一番重要だと思う点について記載します。 とてもざっくり説明しますと、AWS Well-Architected Frameworkとは、クラウドシステムの最適な設計方法を提供するAWSのガイドラインで、6つの柱があります。この記事では基本的に「セキュリティ」の柱を技術的観点から見てみたいと思います。 AWS Well-Architected Framew
マクドナルド公式アプリのモバイルオーダー経由でクレジットカードが不正利用された話 やられました。一応,全容がわかってきたので記録として残しておきます。 クレジットカードの不正利用されてしまった【マックデリバリーでセゾンアメックスが被害に】|モチのブラックカードが欲しい! かなりの部分は上記の方と類似していましたので,こちらもご参照ください。 セゾンポータルアプリへの通知で気付く 最初に気付いたのは,セゾンポータルアプリへの通知でした。 この時点では「ショッピング利用」としかわからなかったので,身に覚えがなく不審には思いましたが,まだ不正利用を確信できませんでした。 続いてクレディセゾンモニタリング担当からSMSが セゾンポータルアプリへの通知とほぼ同じタイミングで,クレディセゾンからSMSが届きました。 上記,ものすごくフィッシングっぽいですが,「0366883248」からのSMSは本物で
トヨタ自動車豊田章男会長の「今の日本は頑張ろうという気になれない」という発言が話題になっている。メディアの囲み取材で語った発言が切り取られ、拡散したことで、SNSや一部メディアで議論が広がった。そのうちいくつかで「国交省批判、日本批判ではないか」という論調にまで発展しているが、しかし、豊田会長の発言とその文脈を読むと、「メディア」へ向けた言葉であることが分かる(そのメディアが曲解して拡散の一部を担っているのだから目も当てられない…)。トヨタを中心とした自動車産業が日本経済の大黒柱であることは大前提として、この発言はどういう文脈で出てきたものか、真意はどんなところにあるのか、以下、状況の整理と、自動車情報専門メディアとしての見解を記します。 文、写真/ベストカーWeb編集部 ■「強いもの」を叩くよりも、「その力をどう使うか」を考えてほしい まず簡単に、今回の発言の状況を整理する。 今回話題と
今さらながらGoogleの「NotebookLM」を触ったら、インターネットサーフィンが普通にそのまま"仕事"になった話
今さらながらGoogleの「NotebookLM」を触ったら、インターネットサーフィンが普通にそのまま"仕事"になった話 6月頭くらい? にGoogleがリリースして話題になっていた、自分専用のRAGが簡単に組めるLLMツール「NotebookLM」ですが、そのうち触ろうと思いつつも、「またRAGか」「どうせRAGでしょ? 知ってます」みたいな気持ちでいたら腰が重くなってしまい、いつのまにか一ヶ月くらい経ってしまっていました。 そして今日、たまたまちょっと時間が空いたので触ってみたんですが、想像していたよりもずっと楽しくてすごかったので書き残したく思った次第です。ちなみにこれ↓ NotebookLMってファイルとかURLとかかなりの量放り込めて、放り込まれただけ参照できる(しかもかなり精度高い)っていうツールなんですが、これの何がすごいというと、インターネットサーフィンをしながらおもしろい
まあプロじゃない人たちがわからないのは当たり前なんだけど エンジニアの能力がとかクレジットカードがとかは基本関係ないという話 (関係なくてもアカウント持ってたらパスワードはすぐ変えるの推奨) 会社のシステムはどうなってるかこれはシステムがある会社で働いたことある人はわかるんじゃないかと思うけど 会社のシステムというのはいろんなものがあってそれぞれ全然別 メールを扱ってるサーバーと、売れた商品をバーコードでピッとして管理するシステムは全く別でどちらかがハッキングされたからといってもう一つもされるとは限らないというか多分されない さらにKADOKAWAのようにサービスを外部に展開してる会社の場合、外部向けのシステムと内部向けのもの(バックオフィス)でスキルが全然違うのでやっているチームは普通違うし、物理的にサーバーがある場所も違うことが多い そのうえクレジットカードや最近ではシステムにアクセス
2000円以下のPCスピーカーの新定番「FUNLOGY Speaker」 FUNLOGY Speaker(スピーカー/PCスピーカー)【VGP2024受賞 / 総合14W / ステレオスピーカー/パソコン/USB給電/重低音/AUX / 3.5mmピン入力 / 日本ブランド 】 (ホワイト) FUNLOGYAmazonイヤホンの前に一押ししたいオーディオ製品があるので、最初に紹介したい。FUNLOGYが出したPC用スピーカーは1,980円と非常に安いのだが、音の空間が広がり、しっかりした低音が出る。ほぼ同価格のCreative Pebbleと同様にパッシブラジエーターを採用しており、構造はそっくり。違いは形ぐらいで、音はかなり似ている。どちらを選ぶかなら形で選んでいいのだが、FUNLOGY Speakerは現在セール中で1,490円となり、完全にライバルがいない製品となっている。PC用のア
OAuthの仕組みを説明してHonoで実装してみる
はじめに はじめまして!レバテック開発部でレバテックプラットフォーム開発チームに所属している塚原です。 直近に認証・認可周りの改修を予定しているため、チーム内で認証・認可の基礎からOAuth・OpenID Connectの仕組みを学ぶ勉強会を実施しました。今回はそこで学んだことのうち、認証・認可の基礎とOAuthの仕組みをまとめます。また、WebフレームワークとしてHono、JavaScriptランタイムとしてBunを使って、OAuthクライアントを実装してみます。 対象読者 認証と認可の違いってなんだっけ...?という人 Basic認証やDigest認証てなんだっけ...?という人 OAuthはライブラリ使って実装してるから仕組みよくわかっていない...という人 OAuthのクライアントの実装って何をすればいいんだっけ...?という人 認証・認可の基礎 2024/7/18 追記 こちらで
最小限で基礎的なセキュリティガイダンスである「AWS Startup Security Baseline (AWS SSB)」を紹介します | DevelopersIO
最小限で基礎的なセキュリティガイダンスである「AWS Startup Security Baseline (AWS SSB)」を紹介します いわさです。 SaaS on AWS では大きく 4 つのフェーズ(設計・構築・ローンチ・最適化)で役立てる事ができるコンテンツが提供されています。 設計フェーズでは技術面からコンプライアンスに準拠したりセキュリティベースラインを考える必要があります。 これらについてベストプラクティスが提案されている動画コンテンツがあります。 その中で初期段階で実施出来ることとして次のステップが紹介されていました。 セキュリティ周りは Well-Architected Framework や Security Hub の適用から始めることも多いと思いますが、様々な制約からすぐの導入が難しい場合もあります。 そんな方に本日は上記の中の AWS Startup Secur
「ゼロトラスト」提唱者、ジョン・キンダーバーグ氏が語る誤解と本質――「ゼロトラストの第一歩は『何を守るべきか』を明確にすること」
【2024年7月16日追記】記事公開時、タイトルや本文にてジョン・キンダーバグ氏と掲載していましたが、正しくはジョン・キンダーバーグ氏でした。読者ならびに関係者の方々にご迷惑をおかけしたことを深くお詫び申し上げるとともに、以下のように訂正いたします。 【誤】ジョン・キンダーバグ氏 【正】ジョン・キンダーバーグ氏 昨今、サイバーセキュリティの取り組みを議論する際に必ずといってよいほど言及されるキーワードが「ゼロトラスト」だろう。IT系の展示会に足を運んでも、あちこちのブースで「ゼロトラストソリューションを紹介」といった宣伝文句が並ぶ。IT業界、セキュリティ業界ではよくあることだが、一度何かのキーワードが注目を浴びると、ベンダーそれぞれ都合の良いように使われてしまいがちだ。ゼロトラストも例外ではない。 確かにゼロトラストの実現には、さまざまな技術や製品が必要だが、それは決して本質ではない。ゼロ
TRACERYプロダクトマネージャーのharuです。 「要件定義とは何を目的としたプロセスなのか?なにが出来たら完了なのか?」 はじめて要件定義する人は、ここで詰まってしまうことが多いようです。 要件定義は、設計や実装に比べて、具体的な作業がイメージしにくいプロセスです。 そのような背景もあってか、2023年4月のBPStudy#188〜要件定義を学ぼう。ChatGPTを添えてに私が登壇した時の以下のスライドには、945個のはてなブックマークをいただきました*1。 speakerdeck.com 945というブックマーク数は、要件定義というものを具体的にイメージしにくいと感じている人が世の中に多いことの現れかもしれません。 そこで「要件定義とはそもそも何か」について、何回かの記事に渡って説明します。 この記事では要件定義の目的とゴールについて説明します。 プロジェクトの数だけ存在する開発プ
2024年7月4日、ハッキングフォーラム上に約100億件ものパスワード情報を含むファイルが投稿されました。セキュリティメディアのCybernewsは「史上最大のパスワード漏えい」として、今回のデータ漏えいについて報じています。 RockYou2024: 10 billion passwords leaked in the largest compilation of all time | Cybernews https://cybernews.com/security/rockyou2024-largest-password-compilation-leak/ This is likely the biggest password leak ever: nearly 10 billion credentials exposed | Mashable https://mashable.com
チュートリアル: Yjs, valtio, React で実現する共同編集アプリケーション - ROUTE06 Tech Blog
Yjsは、リアルタイム共同編集を実現するためのアルゴリズムとデータ構造を提供するフレームワークです。Notion や Figma のように、1 つのコンテンツを複数人で同時に更新する体験を提供することができます。 Y.Map, Y.Array, Y.Text といった共有データ型を提供し、それらは JavaScript の Map や Array のように利用できます。さらにそのデータに対する変更は他のクライアントに自動的に配布・同期されます。 Yjs は Conflict-free Replicated Data Types (CRDT) と呼ばれるアルゴリズムの実装であり、複数人が同時にデータを操作してもコンフリクトが発生せず、最終的に全てのクライアントが同じ状態に到達するように設計されています。 クイックスタート Y.Map がクライアント間で自動的に同期されるコード例を見てみましょ
[登壇資料] DDoS攻撃をAWSサービスだけで緩和する方法をまとめてみた #cm_odyssey | DevelopersIO
2024年7月11日に実施された「Classmethod Odyssey 情シスとセキュリティ編」の登壇資料です。 こんにちは、AWS事業本部@福岡オフィスのべこみん(@beco_minn)です。 本日開催された「Classmethod Odyssey ONLINE 情シスとセキュリティ編」で登壇する機会を頂きました。 本記事はその登壇資料紹介となります。 資料 セッション概要 近年被害が拡大しているDDoS攻撃。そんなDDoS攻撃を緩和する対策はWAFの活用や攻撃対象領域の縮小など様々ありますが、その中でも特にAWSサービスを用いた方法について分かりやすく網羅的にご紹介します。 DDoS対策の参考になりそうなブログ セッション内で紹介したAWSのサービス、機能について参考になりそうなブログをいくつかご紹介します。(後日追記あるかも) CloudFront+S3による静的サイトにCogni
![[登壇資料] DDoS攻撃をAWSサービスだけで緩和する方法をまとめてみた #cm_odyssey | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/b880d63e4f4863872bb92012bbe392f8f0e8003f/height=288;version=1;width=512/https%3A%2F%2Fdevio2024-media.developers.io%2Fimage%2Fupload%2Fv1720688346%2Fuser-gen-eyecatch%2Fk5z8tfwgyaergujkam0p.png)
AWSがMySQLのODBCドライバを開発、オープンソースで公開。純正ドライバ互換、Amazon Auroraでの高速なフェイルオーバー、AWSのシークレットやIAMのサポートなど
AWSがMySQLのODBCドライバを開発、オープンソースで公開。純正ドライバ互換、Amazon Auroraでの高速なフェイルオーバー、AWSのシークレットやIAMのサポートなど AWS ODBC Driver for MySQLは、MySQLコミュニティが配布している純正のMySQL用ODBCドライバと置き換えて使える互換性を備えつつ、AWSでMySQLを利用する際により優れた機能と性能を実現できるように実装されています。 具体的には、Amazon Auroraにおけるフェイルオーバー時の再接続の高速化です。AWS ODBC Driver for MySQLはクラスタのトポロジーと各 データベースインスタンスがプライマリなのかレプリカなのかの役割のキャッシュを保持することで、接続先のデータベースインスタンスに障害が発生し、別のデータベースインスタンスへのフェイルオーバーが発生したときに
ムーザルちゃんねるのムーです。今回は zaru さんと、Next.js のセキュリティについて話しました。 セキュリティについては様々あると思いますが、今回は以下の3点をピックアップして話しました。 Client Components の Props から露出する Server Actions の引数に注意 認証チェックをやってはいけない場所、やって良い場所 これらは、Next.js 入門者がうっかりとやってしまうリスクがあるものです。 このような罠は、アプリケーション自体は正常に動くので、知らないうちにはまってしまいますし、自力で気づくのも難しいものです。もしも知らないものがあれば、ぜひご確認ください。 楽しくて、安全な Next.js 生活をお送りください! Client Components の Props から露出する これは、シンプルで当たり前といえば当たり前ですが、Client
9月の立憲民主党代表選に枝野幸男前代表(60)が立候補する意向を関係者に伝えていたことが分かった。9日、党内最大グループ「サンクチュアリ」の赤松広隆・元衆院副議長らと会談し、立候補の考えを伝えた。複数の関係者が明らかにした。正式表明の時期は今後検討する。 赤松氏は同グループの会長を長年務め、議員引退後のいまも一定の影響力がある。枝野氏は立候補に必要な推薦人20人を集める上で、同グループの支援を求めたとみられる。 9月の代表選で選ばれる野党第1党の党首は、早ければ年内にある衆院選での「次の首相」候補に位置づけられる。泉健太代表も再選への意欲を見せるなか、枝野氏が立候補すれば有力候補となる可能性がある。 枝野氏は衆院埼玉5区選出の当選10回。2017年の衆院選で、小池百合子東京都知事が率いる希望の党から「排除」され、旧立憲を設立、野党第1党に導いた。一方、21年衆院選で敗北の責任を取り、代表を
ソースコード管理を中心にDevOpsを実現するためのサービスを提供しているGitLabが、身売り先を探しているとのニュースが海外で報道されています。 米ソフトウエア開発ツールのギットラボが身売りを検討=関係筋 | ロイター Exclusive: Google-backed software developer GitLab explores sale, sources say | Reuters Report: GitHub rival GitLab could be acquired by Datadog - SiliconANGLE GitLabは2011年にウクライナで創業し、2021年に米NASDAQ市場に上場しました。上場時の時価総額は110億ドル。記事執筆時点(2024年7月18日)の時価総額は88億ドル(1ドル155円換算で1兆3640億円)です。 参考:全社員がリモートワー
証明書認証局(CA)のLet's Encryptが、公開鍵の証明書の失効状態を取得する通信プロトコルであるオンライン証明書状態プロトコル(OCSP)のサポートを終了することを明らかにしました。 Intent to End OCSP Service - Let's Encrypt https://letsencrypt.org/2024/07/23/replacing-ocsp-with-crls.html Let's Encryptのエグゼクティブディレクター兼共同創設者であるジョッシュ・アース氏は2024年7月23日に、「私たちは本日、OCSPのサポートを終了し、証明書失効リスト(CRL)をできるだけ早く導入する意向を発表します」と述べました。 Let's Encryptは記事作成時点で約10年間にわたってOCSPのレスポンダーを提供してきましたが、2022年からはCRLのサポートも行っ
鈴木たかのり(@takanory)です。今月の「Python Monthly Topics」では、Python製の静的サイトジェネレーターSphinxを使用してWebサイトを構築し、テーマを適用、外部へ公開する流れについて紹介します。後半ではSphinxの便利な拡張機能を紹介し、Webサイトをより便利にしていきます。 Markdownでドキュメントを書くだけで、きれいなWebサイトが簡単に公開できるので、ライブラリのドキュメントなどでもよく使われています。 Sphinxとは SphinxはPython製の静的サイトジェネレーターです。静的サイトジェネレーターとは、Markdown等の軽量マークアップのテキストファイルから、静的なWebサイトを生成するアプリケーションのことを言います。Python製の静的サイトジェネレーターにはSphinxを含め以下のツールなどがあります。 Sphinx:h
クラウド電話APIを手掛ける米Twilioは7月1日(現地時間)、セキュリティ保護されていないAPIのエンドポイントにより、“脅威アクター”(攻撃者)が同社の多要素認証ツール「Authy」のユーザーの多数の電話番号を入手したことを確認したと発表した。「このエンドポイントを保護する措置を講じ、認証されていないリクエストを許可しないようにした」という。 Twilioはユーザーに対し、Authyのアプリをすぐに最新版(Androidはv25.1.0、iOSはv26.1.0)にアップデートするよう呼び掛けている。 この件については6月27日、ShinyHuntersとして知られる攻撃者がダークウェブ上で、Twilioをハッキングして入手したという約3300万人のユーザーの電話番号を含むCSVファイルを公開した。米BleepingComputerは、このファイルにAuthyのアカウントIDや電話番号
AWS 上で大規模な GitHub Actions のセルフホステッドランナーを使用する際のベストプラクティス | Amazon Web Services
Amazon Web Services ブログ AWS 上で大規模な GitHub Actions のセルフホステッドランナーを使用する際のベストプラクティス 注記: お客様は自身の GitHub ランナーを管理する必要がなくなりました。AWS CodeBuild を使用すると、管理された GitHub Actions セルフホストランナーを利用できるようになり、強力なセキュリティ境界と低い起動レイテンシーを備えた一時的でスケーラブルなランナー環境を提供します。CodeBuild を使えば、独自のインフラストラクチャを維持したり、スケーリングロジックを構築する必要がありません。すべてが CodeBuild によって完全に管理されます。開始するには、単に Webhook を作成して、CodeBuild で GitHub Actions ジョブを自動的にトリガーするだけです。 概要 GitHu
あなたの端末は大丈夫?無料で出来る Nessus Essentials でセキュリティパッチスキャンをかけてみた! - ラック・セキュリティごった煮ブログ
デジタルペンテスト部の吉原です。 4 月から「セキュリティ診断」の部署が「ペネトレーションテスト(ペンテスト)」の部署に吸収合併され、ごった煮ブログに執筆する機会を頂き、いいネタを思いついたので、記事を書かせていただきました! 私事ですが、4 月から今まで担当してきた「Web アプリケーション診断担当」から「プラットフォーム診断担当」(現 DiaForcePSR グループ)に異動させて頂き、プラットフォーム診断を楽しみながら、お仕事させていただいております、、! そんな私ですが、先日「クライアント端末設定診断」の案件を担当させていただき、お客様の診断対象端末に対してセキュリティパッチスキャンをかける機会がありました。 そこで診断作業中にふと、「自分の私用デバイスは普段から WindowsUpdate を適用するように心がけてはいるけど、大丈夫かな、、?」と思い、診断作業の練習を兼ねて無償利
はじめに こんにちは。サーバーサイドエンジニアの mokuo です。 最近、ミニマムな React アプリを実装する機会がありました。 社内のメンバーにアドバイスをもらいながら、今(2024年前半) React アプリをミニマムに作るならこんな感じかな、という構成になった気がするので、ご紹介したいと思います。 実例の1つとして参考にしていただけますと、幸いです。 はじめに 本文 📝 機能要件 ⚒️ 採用したツール (npm モジュール) 📁 ディレクトリ構成 👨💻 プロトタイピングの実施 🍩 おまけ コンポーネント設計について フロントエンドに DDD のエッセンスを取り入れてみたい おわりに 本文 📝 機能要件 社内の限られた CS メンバーのみが利用する、管理画面を開発しました。 バックエンドは Golang で実装される API サーバーで、認証機能以外だと、2つの機能
アメリカ合衆国の名門校であるパデュー大学でコンピューターサイエンスを学んでいる「Ersei」氏が、GoogleドライブからLinuxを起動することに成功したとブログに投稿しました。 Booting Linux off of Google Drive | Ersei 'n Stuff https://ersei.net/en/blog/fuse-root Ersei氏は競争心が強く、友人がNetwork File System(NFS)からLinuxを起動するのに成功したと聞いた時「もっと難しくて、もっと良くて、もっと速くて、もっと強いものを作れると証明しなければ」と考えたとのこと。さまざまなアイデアを検討した結果、「GoogleドライブからLinuxを起動する」というプロジェクトにチャレンジすることに決めました。 Linuxの起動時には次の処理が行われています。 1:UEFIかBIOSが起
デジタル署名文脈での公開鍵暗号方式の誤解を避けるため、署名鍵/検証鍵という表現を使うというお話 - r-weblife
ritouです。 タイトルに全部書きましたが、Xでharuyamaさんが書かれていたものです。 (広義の公開鍵暗号の)電子署名の文脈においては公開鍵/秘密鍵と言わないで署名鍵/検証鍵などと言ったほうがいいのではないかな— HARUYAMA Seigo (@haruyama) 2024年5月19日 よくある誤解 最近、公開鍵暗号方式がデジタル署名文脈で使われているユースケースに触れる機会が増えてきました。 自分の守備範囲でいうと OpenID ConnectのIDToken パスキーのAttestation/Assertion 雰囲気で使われているJWT認証() あたりでしょうか。 もちろん暗号化/復号のユースケースもあるにはあるのですが、自分の観測範囲ではデジタル署名文脈の方が圧倒的に多く使われています。 このあたりを解説しようとする記事において、誤解というか誤った認識をされがちなのが、
動植物が生きていく上で必要不可欠な酸素は、植物や植物プランクトンの光合成によって作られると考えられています。ところが、光が届かず光合成ができないはずの深海で作られる「dark oxygen(暗黒酸素)」の存在が明らかとなり、生物以外も酸素を生み出している可能性が示唆されました。 Evidence of dark oxygen production at the abyssal seafloor | Nature Geoscience https://www.nature.com/articles/s41561-024-01480-8 News - Deep-sea discovery calls into question origins of life — The Scottish Association for Marine Science https://www.sams.ac.uk
夏の思い出に、オーシャンビューの1ページを。“年間300泊”のホテル評論家が厳選する、わざわざ車で行きたい海沿いホテル7選 - くるまも|三井住友海上
こんにちは。ホテル評論家の瀧澤信秋です。 私は1年のうちの多くをホテルで過ごし、宿泊日数は年間300日以上を数えます。そんな数多くのホテルに泊まってきた私でもとりわけテンションが上がるのは、海を一望できるロケーションのホテルです。海を見ながらドライブして、そのまま海が見えるホテルに泊まるなんて最高じゃないですか? 普段車移動をすることも多い私ですが、そんなシチュエーションに出くわすと毎度心躍ります。 そして基本的に、ホテルはゲストにワクワクしてほしいという思いを持っているものですが、海が見える場所にあるホテルは、ゲストのテンションを上げたいという強い思いが特に詰まっているような気がしてなりません。 夏と海とホテル。さらに、海水浴やマリンレジャーも楽しみつつホテルステイができれば、きっと忘れられない夏になることでしょう。 今回はそんな「オーシャンビューホテル」の数々を、これから始まる夏に向け
911につながらない──米国で起きた緊急通報のシステム障害 窮地を救ったのは“170年前のテクノロジー”:この頃、セキュリティ界隈で 米マサチューセッツ州で警察や消防を呼ぶための緊急通報ダイヤル911のシステムに障害が発生し、一時的に通報電話がつながらなくなった。障害を発生させた原因はファイアウォールだったことが判明。この騒ぎの中で脚光を浴びたのは、昔ながらの赤い電信ボックスだった。 マサチューセッツ州の発表によると、現地時間の6月18日午後1時15分ごろ、州全域で911システムに障害が発生。911システムベンダーの米Comtechと州当局が調べた結果、障害の原因はファイアウォールだったことが分かった。サイバー攻撃やハッキング被害に遭ったわけではなく、そうした攻撃からシステムを守るはずのファイアウォールに外からの電話が阻まれて、指令センターにつながらなくなっていた。 ただ、かかってきた電話
徳島県は7月3日、納税通知書などの印刷業務を委託していたイセトーがランサムウェア攻撃に遭った影響で、個人情報約20万件が漏えいした可能性があると発表した。徳島県は、イセトーから納税者情報を削除したとの報告書を受け取っていたが、実際には削除されておらず、さらに通常とは異なるネットワークで扱われていたという。 漏えいした可能性がある情報は、氏名、住所、税額、車のナンバーが記載された2023年度自動車税の印刷データ19万5819件。このうち14万9797件が個人(13万2503人分)のもので、4万6022件が法人(7691組織分)のものだった。さらに、氏名、住所、車のナンバーが書かれた22年度減免自動車の現況報告書4260件(同人数分、いずれも個人の情報)と、氏名、住所、還付額の書かれた22年度還付充当通知書1件(同)も漏えいした可能性がある。 徳島県は、イセトーの事務処理には不適切な点があった
「今の日本は頑張ろうという気になれない」「ジャパンラブの私が日本脱出を考えているのは本当に危ない」――。 トヨタ自動車(以下、トヨタ)の豊田章男会長が報道陣に向けて発したこれらの心情を巡って、ネットやSNSではバチバチのバトルが過熱している。 発言に好意的な皆さんは、自動車メーカーが日本政府から嫌がらせのような規制をされていることなどを挙げて、理不尽な「トヨタイジメ」をやめるべきだと訴える。 『ITmedia ビジネスオンライン』で自動車ジャーナリスト・池田直渡氏が2023年の年初に寄稿した「トヨタは日本を諦めつつある 豊田章男社長のメッセージ」という記事もあらためて注目され、日本政府が表明した「2035年までに電動車100%(純ガソリン車販売禁止)」が、トヨタの戦略と大きく食い違うことを理由とする人もいる。また、豊田会長がこの発言の際に報道陣に対して「もうちょっと正しい事実を見て、評価し
OpenSSH の脆弱性について
こんにちは、クラウドエースの SRE チームに所属している妹尾です。 今回は OpenSSH の脆弱性についての記事です。 (この記事は 7/4 に速報版から正式版へ更新しました) 2024/07/02 に、CVE-2024-6387が発表されました。 これは放置しておくと SSH を受け付ける全てのサーバーを乗っ取る事ができてしまう脆弱性です。 厄介なことにデフォルト設定の SSH-Server と、ある程度の時間があればサーバーを乗っ取れてしまうので、緊急度もかなり高めになっております。 そして Compute Engine もこの影響を受ける ので、多くの環境で対策が必要となります。 結局どうすればいいの Google が公表している、 GCP-2024-040 の手順に従いましょう。 (日本語訳ページだとまだ公表されてないようですので、英語版を見てください) 具体的には、以下のよう
前々回の第820回では「改めてUbuntuに入門したい人向けのUbuntuサーバー講座2024」と題してUbuntu 24.04 LTSのサーバー版のインストール方法を紹介しました。もちろんUbuntuはインストールしただけで終わりではありません。豊富なパッケージ資産の利用や、自分なりの環境のカスタマイズなどを行って初めて、「Ubuntuを使う」状態になるのです。そこで今回は、Ubuntuサーバーを使い始めてまず実施するであろう定番の作業をいくつか紹介しましょう。 UbuntuのCLIを使えるようになると、他のLinuxディストリビューションやWSL、Raspberry Pi OSなど他の環境におけるハードルもぐっと下がります。その人の使い方に合うか合わないかは別にして、一度は経験しておくことをおすすめします。 図1 fastfetchでUbuntuの情報を表示した様子 SSHサーバーの
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
KADOKAWAのハッキングの話チョットワカルので書く
トヨタ会長、海外移転→日本脱出を示唆…国交省からのイジメ的行為に失望
OpenSSHの脆弱性 CVE-2024-6387についてまとめてみた - piyolog
俺に骨伝導イヤホンの質問するならこれ読んで - 本しゃぶり
ブラウザ開発者ツールのネットワークタブに表示されない情報送信手法 - Qiita
SSH接続を10倍速くするたった3行の設定 - Qiita
Looker Studioの魅力と便利な使い方を紹介します - yasuhisa's blog
セキュアなAWS環境の設計についての解説【2024年版】 - サーバーワークスエンジニアブログ
マクドナルド公式アプリのモバイルオーダー経由でクレジットカードが不正利用された話
豊田章男会長「今の日本は頑張ろうという気になれない」の本当の宛先は…メディアだった - 自動車情報誌「ベストカー」
KADOKAWAのハッキングの話が雑すぎるので書く
Amazonプライムデーのお勧めイヤホン - ARTIFACT@はてブロ
要件定義の目的とゴールとは - TRACERY Lab.(トレラボ)
100億件ものパスワード情報がインターネット上で流出、「史上最大のパスワード漏えい」との指摘も
知らないとあぶない、Next.js セキュリティばなし
枝野幸男前代表、立憲民主党代表選に立候補の意向 関係者に伝える:朝日新聞デジタル
GitLabが身売り先を探しているとの報道、Datadogが買収に興味と。CEOは骨肉腫の再治療へ
世界最大の認証局のLet’s Encryptが「オンライン証明書状態プロトコル(OCSP)」のサポートを打ち切ると発表
Python製静的サイトジェネレーターSphinxでWebサイトを構築して公開 | gihyo.jp
Twilio、「Authy」の多数の顧客電話番号流出を認めアプリ更新を呼び掛け
ミニマムな React Web アプリケーションの技術スタックを大公開! - inSmartBank
GoogleドライブからLinuxを起動する仕組みを構築したエンジニアが登場
光の届かない深海で「暗黒酸素」が生成されていることが判明、酸素を消費する生物の起源についての新たな疑問も
911につながらない──米国で起きた緊急通報のシステム障害 窮地を救ったのは“170年前のテクノロジー”
徳島県、個人情報20万件漏えいの可能性 委託先・イセトーのランサムウェア被害で すでに削除済みのはずが……
「トヨタが日本を見捨てたら、日本人はもっと貧しくなる」説は本当か
第822回 CLIだけでUbuntuを使いたい人向けのUbuntuサーバー講座2024 | gihyo.jp