Webサービス公開前のチェックリスト
個人的に「Webサービスの公開前チェックリスト」を作っていたのですが、けっこう育ってきたので公開します。このリストは、過去に自分がミスしたときや、情報収集する中で「明日は我が身…」と思ったときなどに個人的にメモしてきたものをまとめた内容になります。 なお、この記事では各項目の解説はあまり入れていません。2024年7月10日のClassmethod Odysseyで少し詳しく話そうと思っているので、よかったら聞きにきてください。オンラインなので無料です。 セキュリティ 認証に関わるCookieの属性 HttpOnly属性が設定されていること XSSの緩和策 Secure属性が設定されていること HTTPS通信でのみCookieが送られるように SameSite属性がLaxもしくはStrictになっていること 主にCSRF対策のため。Laxの場合、GETリクエストで更新処理を行っているエンドポ
私はプロではないのでわからないので、間違っているのは当たり前だと思って読んでください。 個々人のエンジニアの能力がとかクレジットカードがとかは基本関係ないという話です。 (関係なくてもパスワードを使い回している場合は、同じパスワードを使っているサービスのパスワードはすぐ変えるの推奨) 三行VPN→プライベートクラウドの管理システムとオンプレ認証→各システムと言う流れで侵入されていると思われるオンプレのディレクトリサービスとクラウドのidMが接続され、オンプレの認証資格でSaaSは一部やられた可能性がある現在クラウドにリフトアップ中で、新システムはモダンな対策された方法で保護されており無事だった。が、それ故にオンプレへの対策が後手だったのでは会社のシステムはどうなってるか私は長年社内システムの奴隷をやって参りました。現在のクラウドになる前のサーバも触って参りましたので、その辺りからお話しをさ
2024年7月1日、OpenSSHの開発チームは深刻な脆弱性 CVE-2024-6387 が確認されたとしてセキュリティ情報を発出し、脆弱性を修正したバージョンを公開しました。この脆弱性を発見したQualysによれば、既定設定で構成されたsshdが影響を受けるとされ、影響を受けるとみられるインターネット接続可能なホストが多数稼動している状況にあると報告しています。ここでは関連する情報をまとめます。 概要 深刻な脆弱性が確認されたのはOpenSSHサーバー(sshd)コンポーネント。脆弱性を悪用された場合、特権でリモートから認証なしの任意コード実行をされる恐れがある。 悪用にかかる報告などは公表時点でされていないが、glibcベースのLinuxにおいて攻撃が成功することが既に実証がされている。発見者のQualysはこの脆弱性の実証コードを公開しない方針としているが、インターネット上ではPoC
まあプロじゃない人たちがわからないのは当たり前なんだけど エンジニアの能力がとかクレジットカードがとかは基本関係ないという話 (関係なくてもアカウント持ってたらパスワードはすぐ変えるの推奨) 会社のシステムはどうなってるかこれはシステムがある会社で働いたことある人はわかるんじゃないかと思うけど 会社のシステムというのはいろんなものがあってそれぞれ全然別 メールを扱ってるサーバーと、売れた商品をバーコードでピッとして管理するシステムは全く別でどちらかがハッキングされたからといってもう一つもされるとは限らないというか多分されない さらにKADOKAWAのようにサービスを外部に展開してる会社の場合、外部向けのシステムと内部向けのもの(バックオフィス)でスキルが全然違うのでやっているチームは普通違うし、物理的にサーバーがある場所も違うことが多い そのうえクレジットカードや最近ではシステムにアクセス
TRACERYプロダクトマネージャーのharuです。 「要件定義とは何を目的としたプロセスなのか?なにが出来たら完了なのか?」 はじめて要件定義する人は、ここで詰まってしまうことが多いようです。 要件定義は、設計や実装に比べて、具体的な作業がイメージしにくいプロセスです。 そのような背景もあってか、2023年4月のBPStudy#188〜要件定義を学ぼう。ChatGPTを添えてに私が登壇した時の以下のスライドには、945個のはてなブックマークをいただきました*1。 speakerdeck.com 945というブックマーク数は、要件定義というものを具体的にイメージしにくいと感じている人が世の中に多いことの現れかもしれません。 そこで「要件定義とはそもそも何か」について、何回かの記事に渡って説明します。 この記事では要件定義の目的とゴールについて説明します。 プロジェクトの数だけ存在する開発プ
チュートリアル: Yjs, valtio, React で実現する共同編集アプリケーション - ROUTE06 Tech Blog
Yjsは、リアルタイム共同編集を実現するためのアルゴリズムとデータ構造を提供するフレームワークです。Notion や Figma のように、1 つのコンテンツを複数人で同時に更新する体験を提供することができます。 Y.Map, Y.Array, Y.Text といった共有データ型を提供し、それらは JavaScript の Map や Array のように利用できます。さらにそのデータに対する変更は他のクライアントに自動的に配布・同期されます。 Yjs は Conflict-free Replicated Data Types (CRDT) と呼ばれるアルゴリズムの実装であり、複数人が同時にデータを操作してもコンフリクトが発生せず、最終的に全てのクライアントが同じ状態に到達するように設計されています。 クイックスタート Y.Map がクライアント間で自動的に同期されるコード例を見てみましょ
ムーザルちゃんねるのムーです。今回は zaru さんと、Next.js のセキュリティについて話しました。 セキュリティについては様々あると思いますが、今回は以下の3点をピックアップして話しました。 Client Components の Props から露出する Server Actions の引数に注意 認証チェックをやってはいけない場所、やって良い場所 これらは、Next.js 入門者がうっかりとやってしまうリスクがあるものです。 このような罠は、アプリケーション自体は正常に動くので、知らないうちにはまってしまいますし、自力で気づくのも難しいものです。もしも知らないものがあれば、ぜひご確認ください。 楽しくて、安全な Next.js 生活をお送りください! Client Components の Props から露出する これは、シンプルで当たり前といえば当たり前ですが、Client
クラウド電話APIを手掛ける米Twilioは7月1日(現地時間)、セキュリティ保護されていないAPIのエンドポイントにより、“脅威アクター”(攻撃者)が同社の多要素認証ツール「Authy」のユーザーの多数の電話番号を入手したことを確認したと発表した。「このエンドポイントを保護する措置を講じ、認証されていないリクエストを許可しないようにした」という。 Twilioはユーザーに対し、Authyのアプリをすぐに最新版(Androidはv25.1.0、iOSはv26.1.0)にアップデートするよう呼び掛けている。 この件については6月27日、ShinyHuntersとして知られる攻撃者がダークウェブ上で、Twilioをハッキングして入手したという約3300万人のユーザーの電話番号を含むCSVファイルを公開した。米BleepingComputerは、このファイルにAuthyのアカウントIDや電話番号
アメリカ合衆国の名門校であるパデュー大学でコンピューターサイエンスを学んでいる「Ersei」氏が、GoogleドライブからLinuxを起動することに成功したとブログに投稿しました。 Booting Linux off of Google Drive | Ersei 'n Stuff https://ersei.net/en/blog/fuse-root Ersei氏は競争心が強く、友人がNetwork File System(NFS)からLinuxを起動するのに成功したと聞いた時「もっと難しくて、もっと良くて、もっと速くて、もっと強いものを作れると証明しなければ」と考えたとのこと。さまざまなアイデアを検討した結果、「GoogleドライブからLinuxを起動する」というプロジェクトにチャレンジすることに決めました。 Linuxの起動時には次の処理が行われています。 1:UEFIかBIOSが起
徳島県は7月3日、納税通知書などの印刷業務を委託していたイセトーがランサムウェア攻撃に遭った影響で、個人情報約20万件が漏えいした可能性があると発表した。徳島県は、イセトーから納税者情報を削除したとの報告書を受け取っていたが、実際には削除されておらず、さらに通常とは異なるネットワークで扱われていたという。 漏えいした可能性がある情報は、氏名、住所、税額、車のナンバーが記載された2023年度自動車税の印刷データ19万5819件。このうち14万9797件が個人(13万2503人分)のもので、4万6022件が法人(7691組織分)のものだった。さらに、氏名、住所、車のナンバーが書かれた22年度減免自動車の現況報告書4260件(同人数分、いずれも個人の情報)と、氏名、住所、還付額の書かれた22年度還付充当通知書1件(同)も漏えいした可能性がある。 徳島県は、イセトーの事務処理には不適切な点があった
OpenSSH の脆弱性について
こんにちは、クラウドエースの SRE チームに所属している妹尾です。 今回は OpenSSH の脆弱性についての記事です。 (この記事は 7/4 に速報版から正式版へ更新しました) 2024/07/02 に、CVE-2024-6387が発表されました。 これは放置しておくと SSH を受け付ける全てのサーバーを乗っ取る事ができてしまう脆弱性です。 厄介なことにデフォルト設定の SSH-Server と、ある程度の時間があればサーバーを乗っ取れてしまうので、緊急度もかなり高めになっております。 そして Compute Engine もこの影響を受ける ので、多くの環境で対策が必要となります。 結局どうすればいいの Google が公表している、 GCP-2024-040 の手順に従いましょう。 (日本語訳ページだとまだ公表されてないようですので、英語版を見てください) 具体的には、以下のよう
エッジは誰のもの? - ゆーすけべー日記
CDNの文脈でいうエッジコンピューティングはフロントエンドのものとされることが多い気がするけど、そうじゃない。フロントエンドの技術を使ったバックエンドである。 フロントエンド? ユーザーに近いところで実行されるという意味ではフロントエンドかもしれない。あと、VercelのNext.jsのように、フロントエンドフレームワークのファンクションがエッジで動くからフロントエンドでしょというのはある。そしてエッジのファンクションはたいていフロントエンドで使われているJavaScriptもしくはTypeScriptで書く。そうするとツールチェーンも、例えば「Vite」と聞いてそれが何であるか?を答えられる人はフロントエンドやってる人の方が多いだろう。 2つのユースケース エッジには2つのユースケースがある。 CDNの機能を拡張する。オリジンありき。 サーバーレスコンピュート。オリジンそのものになる。
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
KADOKAWAのハッキングの話チョットワカルので書く
OpenSSHの脆弱性 CVE-2024-6387についてまとめてみた - piyolog
KADOKAWAのハッキングの話が雑すぎるので書く
要件定義の目的とゴールとは - TRACERY Lab.(トレラボ)
知らないとあぶない、Next.js セキュリティばなし
Twilio、「Authy」の多数の顧客電話番号流出を認めアプリ更新を呼び掛け
GoogleドライブからLinuxを起動する仕組みを構築したエンジニアが登場
徳島県、個人情報20万件漏えいの可能性 委託先・イセトーのランサムウェア被害で すでに削除済みのはずが……