この本がスゴい!2023
「あとで読む」と思った本が、後で読まれた試しがない。 今度の週末・連休にと、積まれた本は崩されない。次の盆休み・年末年始に繰り越され、山脈を成し床が消える。 読書を食事になぞらえて、「血肉化」と表現するならば、私がやっていることは、メニューを眺めて片っ端から注文しているくせに、いんすた映えを気にしながら撮るくせに、まともに咀嚼して嚥下して消化してない状態だ。 そのくせ、「積読も読書のうち」と開き直ったり、溜まった本こそ私の証などと屁理屈こね回す。読まない本に「負債」のような後ろめたさを感じつつ、新刊本を探しだす。新しい本はそれだけで価値があると盲信し、かくして積読リストは延びてゆく。 もう一つ、恐ろしい予感がある。感受性の劣化だ。 あれほど楽しみに「取っておいた」本が、まるで面白くなくなっている。いや、その本の「面白さ」が何であるかは理解できる。だが、それを面白いと感じなくなっているのだ。
Webサービス公開前のチェックリスト
個人的に「Webサービスの公開前チェックリスト」を作っていたのですが、けっこう育ってきたので公開します。このリストは、過去に自分がミスしたときや、情報収集する中で「明日は我が身…」と思ったときなどに個人的にメモしてきたものをまとめた内容になります。 セキュリティ 認証に関わるCookieの属性 HttpOnly属性が設定されていること XSSの緩和策 SameSite属性がLaxもしくはStrictになっていること 主にCSRF対策のため。Laxの場合、GETリクエストで更新処理を行っているエンドポイントがないか合わせて確認 Secure属性が設定されていること HTTPS通信でのみCookieが送られるように Domain属性が適切に設定されていること サブドメインにもCookieが送られる設定の場合、他のサブドメインのサイトに脆弱性があるとそこからインシデントに繋がるリスクを理解してお
冷凍ケーキの件
この文は似たような業種の会社に勤めていた時の事情を元に たぶんそうじゃないかなあ、程度の俺のあくまで勝手な妄想です。 -- 冷凍ケーキの件だけど、ブランド先製造ってこの手の大規模な製造問題を起こさない、 または起きても責任の所在をはっきりさせるために、 定期的に工場監査して問題発生時のトレース能力の確認を求めてくる。 分かりやすく言えば金と工数だけかかるクソ面倒なISO認証(食品だとFSSC)とかも求めてくるし、 力量怪しければ信頼できる業界大手を元請けに入れたりコンサル投入してくる。 なんでクリティカルポイントの管理や記録確認程度ではなく、 受託製造の人間による記録外の原因究明力とか改善力とかそこまで見ている。 そんな状態で製造ラインに乗せて出ていった冷凍ケーキの多数が崩れていましたなんて 明らかに製造・搬送ラインまたは付帯設備のコントロールポイント管理を極めて重篤に怠ってないと出てこな
前回は、「UIデザインってそもそも何なの?」という概論的な説明と、UIデザイン未導入の組織の中でみんなでデザインを始めてみるための施策(プロトタイピングとユーザビリティ評価)を話しました。 今回はサービス、プロダクト開発において、デザイナーではない人でも知っていて損はないUIデザインの重要ポイントについて説明します。主に以下の3つのテーマについて順番に議論をしていきます。 デバイスやソフトによるUIの違い ユーザーにかかる身体的・認知的負荷を理解する UIの重要概念(ナビゲーション、インタラクションなど)を知る 「ちょっと」と銘打っておきながらめちゃくちゃ長いnoteになってしまったので、気になる項目だけ読むか、何回かに分けて読んでいただくことをおすすめします、。 ※どこか内容に間違ってる部分やご意見ありましたらコメントいただけたら嬉しいです。 デバイスやソフトによるUIの違い皆さんがお使
Gmailが「メール送信者のガイドライン」を改訂し、なりすましメールへの対策を強化する旨を発表しています。今までは原則、なりすましメール対策の有無にかかわらず、メールはいちおうは届いていました。しかし今後は、なりすましとみなされたメールは届かなくなる方向に向かいつつあります。 なりすましメールとみなされないようにするために、メール送信者には、「メール送信ドメイン認証」への対応が求められます。メール送信ドメイン認証の技術には、主に以下の3つがあります。 SPF: Sender Policy Framework (RFC 7208) DKIM: DomainKeys Identified Mail (RFC 6376) DMARC: Domain-based Message Authentication, Reporting, and Conformance (RFC 7489) SPFは従来
軽率に会社を設立してみた
Tue, Feb 6, 2024 2-minute readひとり合同会社を設立してみました。 なんで?「ソースコードの一行一行は、経営判断そのものだ。」という好きなフレーズがあります。とあるブログ記事の書き出して、ざっくり要約すると、プログラミングの過程においては常になんでこう書いたのか?読みやすさとかパフォーマンスとかトレードオフすべき都合があって、なにを優先すべきか?の判断がなされているはずで、それはつまり経営判断だよね、という内容です。 昨年執筆した「メタエンジニアリング 理論と実践、そして未来」という同人誌でも、このフレーズを引用させてもらいました。文中には「経営とメタエンジニアリング」という章を設け、メタエンジニアリング(つまりエンジニアとエンジニアリング組織への投資)と経営の関係について考察しています。 過去、エンジニアリングと経営の板挟みになった経験は(程度の大小こそあれ)
社内ドキュメントはなぜ更新されないのか?情報の鮮度を最小限の運用負荷で維持する「イミュータブルドキュメントモデル」のススメ - KAKEHASHI Tech Blog
はじめに こんにちは。カケハシの各プロダクトを支えるプラットフォームシステムの開発チームでテックリードを担当しているkosui(@kosui_me)です。 プロダクト開発の世界では、明瞭な社内向けドキュメントを書くための方法が数多く提案されてきました。読者の中には、製品要求を明瞭にするためにPRD (Product Requirements Document、製品要求仕様書) を書き、プロジェクトの背景から全体の設計やその代案について明瞭にするためにDesign Docsを書き、アーキテクチャに関する意思決定の記録を明瞭にするためにADR(Architecture Decision Record) を書いてきた方も数多くいらっしゃると思います。 しかし、どんな素晴らしいドキュメントも、何故か更新されなくなります。新メンバーへのオンボーディングのためにインフラ構成図を検索したあなたが見つけた
Google、PDF論文を劇的に読みやすくするChrome拡張「Google Scholar PDF Reader」
Google、PDF論文を劇的に読みやすくするChrome拡張「Google Scholar PDF Reader」 米Googleが「Google Scholar PDF Reader」というPDF形式の論文を読みやすくするChromeブラウザ拡張機能の提供を開始した。 プラットフォームやOSに依存せず、クリーンで、文章の構造が一貫しているPDFは、学術文書の標準的なフォーマットとして広く利用されている。しかし、一方で、引用されている他の文献にジャンプするのが難しかったり、あるいは特定のセクションを閲覧したくても、PDFの構造上、簡単に移動できないなど、閲覧性に関して不便と感じる面もある。Googleは「Google Scholar」という学術論文の検索エンジンを提供している。シンプルで分かりやすい画面構成で、良質な学術文書を効率的に見つけられるサービスである。Scholar PDF R
こんにちは。エムスリー・QLife(エムスリーのグループ会社)・エムスリーヘルスデザイン(エムスリーのグループ会社)でエンジニアとして各種作業に関わっている山本です! 以前もメール送信の話を書かせていただいたことがありますが、今回もまたメールネタとなります。今回のお題はメールセキュリティです。 大量メール送信のための予備知識 - エムスリーテックブログ すでにご覧になった方もいるかと思いますが、次のようなニュースが流れています。 www.proofpoint.com この「GoogleとYahooの新Eメール認証要件」ってつまりどういうことよ? というところを具体的にどのように進めているかについて書かせていただきたいと思います。 2023/12/18追記 : Googleからメール送信にTLSを使うことが追加要件として示されました。 TL;DR とりあえず何から始める? 何はともあれ実際に
江崎グリコの公式サイトより システム障害が原因で、ほぼすべてのチルド食品(冷蔵食品)が2カ月以上にわたり出荷停止になるという異例の事態に見舞われている江崎グリコ。その同社が現在、ある転職サイトに掲載している社内SEの人材募集ページが話題を呼んでいる。業務内容は「グローバル展開を見据えた次期統合認証基盤の企画、設計、構築」、歓迎条件は「SAP ERP(S/4 HANA含む)」などと高度なスキルを求める一方で、予定年収が「500万円~」となっている点について「低すぎる」として疑問の声が続出している。同社経営陣のシステム投資への理解度と今回のシステム障害を結びつける指摘もみられるが、同社がITエンジニアに提示している年収は適切なレベルといえるのか。業界関係者の声を交えて追ってみたい。 グリコは業務システムについて、独SAPのクラウド型ERP「SAP S/4HANA」を使って構築した新システムへ切
趣味にはさまざまなものがある。 私はゲーム好きが高じて株主総会のレポートを毎年書いたり、映画館でペンライトを振って歓声をあげる応援上映にのめりこんで同じ映画を何十回も観たりしている。 最近、新たにTwitter(Xともいう)におけるスパム報告が趣味に加わった。 [2024年2月20日現在 31000件ほど凍結確認済み] こちらは、記録に残している凍結済みアカウントのリストだ。2023年9月下旬から記録をあつめて、半年ほどで3万アカウントに達した。 他に、未凍結のスパムリストが5000件ほどある。 Twitter(現在はXと呼ばれる)のスパムといえば、バズったツイートに他のツイートをコピーしたり、自動生成したような文章でリプライを投げる青バッジ付きの「インプレゾンビ」が大活躍中だが、検索で拾いにくい上に凍結が容易ではないという理由で対象にしていない。 対象のスパム 現在は以下の4つを対象とし
Twitterの共同創業者、ジャック・ドーシー氏によるSNS「Bluesky」が、誰でも登録できるようになりました。 Blueskyは、イーロン・マスク氏による買収に伴いTwitter(現X)で混乱が起きる中、移行先として注目されていたSNSの1つ。これまでは招待制でしたが、日本時間2月6日からオープンになりました。 アカウントを作成するには電話番号を登録してSMS認証を行う必要があります。興味のあるトピックなどを選択して登録完了です。ユーザーインタフェースはXと似ています。 SMS認証が必要 Xと似たインタフェース Blueskyは公開SNSで、非公開アカウント(鍵アカ)にはできません。投稿やいいねのほか、ブロックも公開されますが、ミュートは非公開です。 画像をもっと見る advertisement 関連記事 X(Twitter)に音声・ビデオ通話機能 初期設定では「有効」、望まない人は
滅びてほしい認証系の実装の話
こんにちは、富士榮です。 ちょっと前に某所でダメダメな認証系の技術実装ってなんだろうねぇ、、という話をしていたことをXで呟いたところ、色々とご意見を頂けましたのでまとめて書いておきます。
今日からはじめるDiscord。基礎の基礎からサーバー運用まで,Discordの基本的な使い方をこの記事で覚えよう
今日からはじめるDiscord。基礎の基礎からサーバー運用まで,Discordの基本的な使い方をこの記事で覚えよう ライター:ワニウエイブ インターネットを介して対戦/協力するゲームはすっかり当たり前のことになり,スポーツ観戦や映画鑑賞のような「趣味」の一つとして嗜まれている。音声通話を用いてゲーム中の意思疎通や雑談を行うような文化も広く一般的なものとなり,日々さまざまな場所で行われている。 主にPCでゲームを遊ぶプレイヤーにとって,今もっとも使われているボイスチャット(音声通話)用のツールはおそらく「Discord」であろう。元々ゲーマーのためのソフトウェアとして開発されていたDiscordだが,今ではゲーマーだけではなく,さまざまなユーザーに広く親しまれている。 というのも,Discordはボイスチャット以外にも便利な機能と扱いやすさを携えており,誰にとっても重宝するツールだからだ。筆
2024年6月9日、KADOKAWAやニコニコ動画などを運営するドワンゴは、同グループの複数のWebサイトが6月8日未明より利用できない事象が発生と公表しました。システム障害の原因はランサムウエアによるもので、ニコニコ動画は復旧まで約2か月を要しました。またリークサイトから盗まれたとみられる情報を取得してSNSへ公開するなど悪質な情報拡散が確認されました。ここでは関連する情報をまとめます。 1.KADOKAWAグループのデータセンターでランサムウエア被害 公式及び報道より、データ暗号化の被害にあったのはKADOKAWAグループ企業 KADOKAWA Connectedのデータセンター(DC6)で運用されていたプライベートクラウドやそのクラウド上で稼働していたドワンゴ専用サーバー。またドワンゴの認証基盤であったActive Direcotryサーバーも攻撃者の制御下に置かれた。 侵害活動の拡
表が示すようにBlueskyにはDM(ダイレクトメッセージ)もなく、非公開アカウント設定もなく、投稿範囲の指定もできない。ハッシュタグすらもない。 見かけがXに似ているといっても、その中身は運営陣の風変わりな設計思想に基づいている点に留意しなければならない。 なんなら以前はブロック機能もなかった。単に見たくないだけならミュート機能で十分というのが運営陣の認識だったのだが、ユーザからの粘り強い要望を受けてようやく実装された経緯がある。この一件を見ても電子決済やマッチングにまで幅広く手を出そうとしているXとは対極の理念を持っていることが分かるかと思う。 モデレーションの程度も今時のSNSにしては珍しく明快な方だと言える。というのも、初期状態では暴力・性的な投稿が非表示化されているが、これらは単純な設定変更ですべて可視化できる。つまり、運営陣は過激な表現が流通しうる実態を予め認めており、投稿その
私はプロではないのでわからないので、間違っているのは当たり前だと思って読んでください。 個々人のエンジニアの能力がとかクレジットカードがとかは基本関係ないという話です。 (関係なくてもパスワードを使い回している場合は、同じパスワードを使っているサービスのパスワードはすぐ変えるの推奨) 三行VPN→プライベートクラウドの管理システムとオンプレ認証→各システムと言う流れで侵入されていると思われるオンプレのディレクトリサービスとクラウドのidMが接続され、オンプレの認証資格でSaaSは一部やられた可能性がある現在クラウドにリフトアップ中で、新システムはモダンな対策された方法で保護されており無事だった。が、それ故にオンプレへの対策が後手だったのでは会社のシステムはどうなってるか私は長年社内システムの奴隷をやって参りました。現在のクラウドになる前のサーバも触って参りましたので、その辺りからお話しをさ
これはなに ども、レバテック開発部のもりたです。最近めっちゃ元気!! 今回は『データベースについて勉強したいあなたに送る技術書17冊(+11冊1講義7link)』として、もりたがここ半年くらいでわーっと集めたデータベース周りの書籍(とか)を紹介していきます。アプリケーションって結局はデータベースみたいなところがあると思うんですが、おれは長いことデータベースをどう学んだら良いのか分かりませんでした。同じような気持ちを抱えているITエンジニアの人もいると思うので、学習ロードマップと合わせて紹介していきます。 なお具体的な対象読者は業務でなんとなくSQL書いてるけど、ウィンドウ関数とか言われると分からんな……くらいの人です。 扱う領域と扱わない領域 扱う領域としてはだいたい以下 再入門本 SQL 内部構造 論理設計 周辺知識 データベース理論 その他高度なもの モデリング、NoSQL、分散データ
しばたです。 昨年10月にGoogle(Gmail)および米国Yahoo!においてスパム対策の強化がアナウンスされました。 この件に関してつい先日まで他人事でいたのですが、実は全然他人事では済まないことが発覚し突貫で知識を仕入れています。 アナウンスに対する具体的な対応策についてはこちらのZennの記事を見れば全部わかる感じです。 最高ですね。 また、メール送信にAmazon SESを使っている場合はAWSのブログを確認すると良いでしょう。 「これらの記事を読み解けば万事解決!」という感じではあるのですが、私自身が学んだなかで予め知っておくと良さそうに思えた点がいくつかありました。 本記事ではその辺を共有するのと、実際にAmazon SESの環境を作って動作確認をしたのでその結果も合わせて共有します。 はじめに覚えておくと良い基礎知識 Zennの記事でも詳細な解説がありますが、個人的に「最
■ 「削除依頼はDMまで」とあるものの、要請に応じず 投稿を見てみると、完全に無断転載しているものと、Xの動画引用方法(URLの末尾に「video/1」を付ける方法)を使用した、“仕様の範囲内”で引用しているものの2パターンがあります。 しかしながら後者の“仕様”を使った場合でも、投稿者(動画や写真の権利者)が嫌だといえばそれまで。投稿者には著作権および著作者人格権があり、Xにポストしたからといって権利を手放したわけではありません。 これは利用規約の概要にも「ユーザーは、ポストまたは共有する自身のコンテンツに対する所有権と権利を留保する」とハッキリ記されており、元の投稿者の権利をXも認めています。 ちなみに「留保」は「保留」というニュアンスも含まれることから、留保だから「権利を保留する(行使しない)」じゃないの?と思うかもしれませんが、留保には「保持する」という意味もあります。現に英語版の
個人情報の取り扱い体制について評価・認証する「プライバシーマーク制度」(Pマーク制度)を運営する日本情報経済社会推進協会(JIPDEC)は11月13日、8月に発表したPマークの審査関連書類が漏えいした事案について、調査結果を発表した。 8月8日、Pマークを取得した事業者1社から「ネット上でPマークの審査関連資料と思われるファイルが閲覧可能となっている」と連絡を受け、事態が発覚した。調査を行ったところ、Pマーク審査員1人が個人所有のPCに廃棄すべき審査関連書類を保存して持ち帰っていたことが明らかに。資料を保管していたNAS(Network-Attached Storage)に適切なセキュリティ対策がなされておらず、ネット上で閲覧できる状態になっていた。 その後の調査では、この1件以外にも最大888社の審査関連情報と審査員名簿が漏えいした可能性があることも判明。さらに、この審査員が2005年1
脳に収まるコードの書き方
ソフトウェアは複雑さを増すばかりですが、人間の脳は限られた複雑さしか扱えません。ソフトウェアが思い通りに動くようするには、脳に収まり、人間が理解できるコードを書く必要があります。 本書は、拡張を続けても行き詰ることなくコードを書き、複雑さを回避するための実践的な方法を解説します。最初のコードを書き始めるところから機能を追加していくところまでを解説し、効率的で持続可能なペースを保ちながら、横断的な問題への対処やトラブルシューティング、最適化を行なう方法を説明します。自分のチェックリストからチームワーク、カプセル化から分解、API設計から単体テストまで、ソフトウエア開発の重要な課題に対する考え方やテクニックを紹介します。サンプルプロジェクトで使うコードは、Gitリポジトリの形で入手でき、試しながら学べます。 有効に機能するプロセスを選び、効果のない方法論から脱却する方法。チェックリストを使うこ
記事の概要 私(芝浦工業大学学部4年生)が大学3年時に1人で制作した、大学のポータルアプリ(ポータルサイトからスクレイピングして時間割などを表示する)が、大学に正式採用され、公式アプリ"ScombApp"としてリリースされるに至った経緯を時系列順に説明します。 ホーム画面 時間割画面 制作の動機 大学のポータルサイト使いにくいがち。 ポータルサイトのスマホアプリ版があれば便利そう。 他にやってる人いなさそうだし、最初に作ったらみんな使ってくれそう。 ポータルサイトの問題点 大学ポータルサイトで使いにくかった点を挙げていく。 とりあえずこれを克服することを目標にした。 ログインの時に自動補完が使えない 制作当時はBASIC認証で、スマホからだとログインの自動補完ができなかった。 毎回手打ちでパスワードを入力している人がほとんど ←!? 次の授業や教室を確認するだけでも、毎回手打ちログインが必
全国の市区町村の名前とコードをデータベーステーブル化したもの、すなわち市区町村マスタはITシステムを作っていれば何かしらの場面で必要になるものです。 ではその市区町村マスタを作るための元データはどこから手に入れたらいいものか。 そして「作る」というのもありますが、市区町村は再編されるものですから最新の変更にどう追従するか、しかもそれを自動化できるかというのも大いに気になるところですね。 エムスリーエンジニアリンググループ三浦(@yuba@reax.work) [記事一覧 ]です。 Unit1(製薬プロモーション)およびUnit9(治験臨床研究支援)のエンジニアです。 今回は私も皆様とまったく同じように市区町村マスタのデータ源に悩んでいろいろ調べましたので、それで得た知見を共有させていただこうと思います。今回は代表的な3つのデータソースをご紹介し比較していきます。 ほしいのはこんな感じのデ
すまほん!! » ニュース » 社会 » ローチケが炎上。機種変更やアプリ再インストール、SIM差替で「チケット消滅」「復元不能」仕様がアップデートで突如実装のため ローチケ(ローソンチケット)がSNSで炎上しています。 これはローチケが突如アップデートにて、機種変更やアプリ再インストール、異なるスマートフォンへのSIMカード/eSIM入替を行うとチケットが消失・復元不可能という仕様を実装したため。 転売防止を意識した仕様とみられますが、かなり過酷な制約であり、端末の故障や紛失、不具合によるOS初期化を想定しておらず、現実的に履行困難と思われ、消費者保護の観点からも重大な問題があるように見えます。 なお最近のモバイルOSは利用頻度の低いアプリの一時ファイル削除やアプリのアンイストールを行う機能があるため、どうしてもローチケを利用せざるを得ない人は、そうした機能が発動されないよう念の為オフに
新築住宅に住み始めてから1年経過しました。この1年を振り返ってよかったポイントや後悔ポイント、おすすめ設備を紹介します。 よかったポイント 後悔ポイント トイレの照明スイッチの位置がドアに向かって左右逆だった 問題 有効そうな予防策 対応策 トイレの照明を人感センサーにし忘れた 問題 有効そうな予防策 次善の対応策 追記(2024/01/09) トイレのタンクを断水時用に貯水タンク付きにしたつもりが付いてないかもしれない 問題 有効そうな予防策 次善の対応策 予定外に常設のテレビを設置することになり準備ができていなかった 問題 有効そうな予防策 次善の対応策 リビング階段にカーテンレールつける準備ができていなかった 問題 有効そうな予防策 次善の対応策 蓄電池の容量が少なかった 問題 有効そうな予防策 次善の対応策 エコキュートが昼間に沸き上げしてくれない 問題 有効そうな予防策 次善の対
トヨタ自動車の本社(「Wikipedia」より) トヨタ自動車の豊田章男会長は18日、報道陣を前に「(自動車業界が)日本から出ていけば、大変になる。ただ、今の日本はがんばろうという気になれない」「“ジャパンラブ”の私が日本脱出を考えているのは本当に危ない」「日本のサイレントマジョリティーは、自動車産業が世界で競争していることに、ものすごく感謝していると思う」と発言(「朝日新聞」記事より)。これを受け、トヨタが本社をはじめとする主要拠点を日本から海外へ移転させることを検討しているのではないかと注目されている。豊田会長の発言の真意は何か。また、もしトヨタが主要拠点を海外に移転させた場合、日本経済にどのような影響をおよぼすのか。専門家の見解を交えて追ってみたい。 型式指定の認証不正問題が発覚したトヨタ自動車。不正があった3車種は、国土交通省による型式認証の基準適合調査が行われている関係で8月末ま
しずかなインターネットの技術構成
こんなWebサービスをリリースしたので、技術的な話をまとめておこうと思います。 元々このサービスは、趣味の延長線のような感じで開発を始めました。競合にあたるnoteやはてなブログなどのサービスが確固たる地位を築いているということもあり、「お金にはならないだろうけど、自分の趣味を詰め込んだものにしよう」というゆるい気持ちで開発を続けています(楽しい)。 選定の方針 趣味と言っても文章投稿サービスなので、ユーザーが少数であったとしても長期間運営しなければなりません。そのため、ユーザー数が少なければランニングコストが数千円/月以下、ユーザー数が増えたときは段階的にコストが上がるように選定を行いました。 アプリケーション フルスタックNext.jsアプリケーションをCloud Runにデプロイしています。各APIエンドポイントはNext.jsのAPI Routesで生やしています。 Next.js
パスワードレスな認証方式である「パスキー」が急速に普及しています。OS、ブラウザ、パスワード管理ツール、サービス提供者のどれもが整いつつあり、ついに本当にパスワードが必要ない世界がやってきたことを感じます。この記事では、本腰を入れてパスキーを使い始めて快適になるまでの様子をまとめます。技術的な厳密さ・網羅性には踏み込まず、いちユーザーとしての入門記事という位置付けです。 パスキーとは パスキー - Wikipedia 認証、セキュリティに関しては門外漢なので、Wikipediaのリンクを置いておきます。私よりはWikipediaのほうが信用に足るでしょう。 そこから辿れるホワイトペーパー:マルチデバイス対応FIDO認証資格情報を読むと、多少ストーリーもわかります。FIDO2というデバイスに格納された秘密鍵に依存したパスワードレス認証の仕様に、暗号鍵(と訳されていますが秘密鍵のことで良い……
ブラウザからDBに行き着くまでただまとめる
はじめに あなたはブラウザからデータベース(DB)に情報が行き着くまでにどんな技術が使われているか説明できますでしょうか? どのようなプロトコルが用いられ、どの技術を駆使してサーバと通信しているのか、Webサーバでは何が行われ、どのようにして負荷が分散されているのか、トランザクションはどのように管理されているのか、そしてデータベースではシャーディングや負荷対策のためにどのような対策が取られているのか… なんとなくは理解しているものの、私は自信を持って「こうなっている!!」とは説明ができません。 そこで今回は「大規模サービス」を題材としてブラウザからデータベースに至るまでの、情報の流れとその背後にある技術について、明確かつ分かりやすく解説していきたいと思います。 対象としてはこれからエンジニアとして働き出す、WEB、バックエンド、サーバーサイド、インフラ、SREを対象としております。 1.
今使っているワイヤレスイヤホンのEdifier NeoBuds Proが2021年に出た製品でちょっと古めになったので新しいのが欲しいと思い、情報収集をしていた。入門記事で、あまり触れられていないことがあったのでまとめておきたい。 現在、Amazon新生活セールFINALでセール価格になっている製品が多いので、気になる製品は価格をチェックして欲しい。 LDAC接続は再生時間が短くなる ワイヤレスイヤホンの再生時間は初心者にはわかりにくい。10時間以上の再生をうたうものはバッテリーケースを使っての充電を含めての場合を言っているものがほとんどだ。*1更にイヤホン本体のみの再生時間はノイズキャンセルON/OFFと使うCODECによって変わってくる。 「LDAC接続は高音質」みたいなことはよく書かれるのだが、この再生時間がかなり短くなることについては触れられていないことが多くて罠だ。ハイレゾのCO
Intro CSRF という古の攻撃がある。この攻撃を「古(いにしえ)」のものにすることができたプラットフォームの進化の背景を、「Cookie が SameSite Lax by Default になったからだ」という解説を見ることがある。 確かに、現実的にそれによって攻撃の成立は難しくなり、救われているサービスもある。しかし、それはプラットフォームが用意した対策の本質から言うと、解釈が少しずれていると言えるだろう。 今回は、「CSRF がどうして成立していたのか」を振り返ることで、本当にプラットフォームに足りていなかったものと、それを補っていった経緯、本当にすべき対策は何であるかを解説していく。 結果として見えてくるのは、今サービスを実装する上での「ベース」(not ベスト)となるプラクティスだと筆者は考えている。 CSRF 成立の条件 例えば、攻撃者が用意した attack.examp
パスワードはおしまい! 認証はパスキーでやろう
はじめに パスワードは古来より認証に良く使われる方法ですが、その運用の難しさからセキュリティの懸念とその対策としての運用の複雑さ(複雑で長い文字列、90日でパスワード変更など)が要求される大きく問題をもった仕組みです。 その根本的な解決策としてFIDO Allianceを中心に推進されている 「パスワードレス」 が注目されています。これはPINや生体認証とデバイス認証を使ったMFAからなっており、フィッシングやパスワード流出に強い上に、ユーザも複雑なパスワードを覚えなくて良い、という大きなメリットがあります。最近はこの流れでPassKeyというものが登場し、Apple/MS/Googleのプラットフォーマが対応したことで、本格運用に乗せれるフェーズになってきました。というわけで以下に解説動画を作ったのですが、動画中で時間の都合で触れきれなかったところや、JavaScriptによる実装のサン
情報の見つけやすさを追求する - 社内ドキュメンテーションの階層整理術 - KAKEHASHI Tech Blog
カケハシのプラットフォームチームでソフトウェアエンジニアをしているすてにゃん (id:stefafafan) です。今回はチームに配属されて数ヶ月の私が、いかにして社内ドキュメンテーションの階層構造を整理し、情報の検索性を向上させたかについてお話します。 はじめに この記事の想定読者 課題意識 メンバーへの共有と相談 社外事例の調査 esa の階層整理 第 1・第 2 階層の整理 ストック情報とフロー情報を意識した階層の整理 esa の機能をフル活用する 効果や今後について はじめに カケハシでは全社的にドキュメンテーションツールとして esa - 自律的なチームのための情報共有サービス を利用しています。それぞれのチームやプロダクトごとに階層を切ってドキュメントを書いています。 プラットフォームチームでは認証基盤などの社内プラットフォームシステムを開発しているため、自チームが運用する各種
安全なパスワードの設定・管理 企業・組織におけるパスワードは、ユーザ名と組み合わせることで企業・組織内の情報資産へのアクセスの可否を決める重要なものです。パスワードの重要性を再認識して、適切なパスワード管理を心がけましょう。 他人に自分のユーザアカウントを不正に利用されないようにするには、推測されにくい安全なパスワードを作成し、他人の目に触れないよう適切な方法で保管することが大切です。 安全なパスワードの設定 安全なパスワードとは、他人に推測されにくく、ツールなどの機械的な処理で割り出しにくいものを言います。 理想的には、ある程度長いランダムな英数字の並びが好ましいですが、覚えなければならないパスワードの場合は、英語でも日本語(ローマ字)でもよいので無関係な(文章にならない)複数の単語をつなげたり、その間に数字列を挟んだりしたものであれば、推測されにくく、覚えやすいパスワードを作ることがで
【完全ガイド】制作経験ゼロの社会人向けゲーム制作入門。夏休みを使って,Unreal EngineのFPSミニゲームを完成させてみよう
【完全ガイド】制作経験ゼロの社会人向けゲーム制作入門。夏休みを使って,Unreal EngineのFPSミニゲームを完成させてみよう 編集部:或鷹 1234567→ これを読んでいる人なら重々分かっていると思うが,昨今のゲーム市場において大きな存在感を示しているのは,プラットフォーマーでも大手メーカーでもなく,Steamだ。 何十億円もの開発予算こそもっていないが,いままでに見たこともないようなアイデアに満ちた珠玉の作品達が,それこそ遊びきれないほど眠る豊穣の大地である。 Steamを見ていると,本当にゲームというものは「アイデアと気合い」なんだと思うことも多い。美麗な超絶グラフィックスである必要はなく,なんなら文字だけでも面白いゲームは作れるわけで,そういうもので遊んでいると自分もむずむずしてくる。もしかしたら自分にも,何か作ってみたいゲームがあったりするんだろうか? しかし,世の中はそ
2024年7月1日、OpenSSHの開発チームは深刻な脆弱性 CVE-2024-6387 が確認されたとしてセキュリティ情報を発出し、脆弱性を修正したバージョンを公開しました。この脆弱性を発見したQualysによれば、既定設定で構成されたsshdが影響を受けるとされ、影響を受けるとみられるインターネット接続可能なホストが多数稼動している状況にあると報告しています。ここでは関連する情報をまとめます。 概要 深刻な脆弱性が確認されたのはOpenSSHサーバー(sshd)コンポーネント。脆弱性を悪用された場合、特権でリモートから認証なしの任意コード実行をされる恐れがある。 悪用にかかる報告などは公表時点でされていないが、glibcベースのLinuxにおいて攻撃が成功することが既に実証がされている。発見者のQualysはこの脆弱性の実証コードを公開しない方針としているが、インターネット上ではPoC
サーバー構築の練習ができるLinux学習サイトInfraAcademy(インフラアカデミー) - Qiita
こんにちは、 InfraAcademyというLinuxやネットワークの学習サービスを作成しております、ryuと申します。 サーバー構築が練習できるLinux学習サイトInfraAcademyについてご紹介します! シミュレーターを使ってサーバー構築の練習ができる InfraAcademyでは、Linuxのシミュレーターを使ってサーバー構築の練習ができます。 今までは、VirtualBoxで学習を進めていた人も多いでしょう。 私自身もVirutalBoxでサーバーの学習をしていました。しかし、環境構築に時間が掛かります。特に、複数台の連携したサーバー構築の準備に時間がかかりました。 しかし、InfraAcademyではそのような手間は一切かかりません! 関連記事:インフラ学習におすすめのサイトInfraAcademyとは? 環境の準備が1クリック Linuxの環境準備は1クリックで完了です!
モニクル社内3分LTで発表しました。技術職以外の人向けに話したので、抽象度高めにしてあります。
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
知識0から、ちょっとUIデザインに詳しくなるnote|やました
DMARC をなめるな - 弁護士ドットコム株式会社 Creators’ blog
こんなの絶対騙される……古いURL形式を使った巧妙な詐欺リンクの偽装方法が話題に/なるほど、頭いいなぁ【やじうまの杜】
Gmailのメール認証規制強化への対応って終わってますか? - エムスリーテックブログ
グリコ、ITの精鋭部隊を年収500万円で募集→「悲劇のトラブル招いた原因」
3万アカウントの凍結を見届けた 趣味としてのTwitter(X)スパム報告 | N-Styles
X(旧Twitter)の代替として注目されるSNS「Bluesky」、誰でも登録可能に
KADOKAWAグループへのサイバー攻撃や悪質な情報拡散についてまとめてみた - piyolog
Blueskyの眺め方 初版 - 点と接線。
KADOKAWAのハッキングの話チョットワカルので書く
データベースを勉強したいあなたに送る技術書17冊(+11冊1講義7link)
突貫でおぼえるSPF、DKIM、DMARC | DevelopersIO
「もふもふ動画」はただの無断転載アカウントではない?その正体に迫る<前編> | おたくま経済新聞
“プライバシーマーク認証団体”が情報漏えい 審査員が個人PCで書類保存、約3年間外部から丸見えに
自作した時間割アプリが大学の公式アプリに採用された話 - Qiita
市区町村マスタを手に入れろ、そして更新し続けろ - エムスリーテックブログ
ローチケが炎上。機種変更やアプリ再インストール、SIM差替で「チケット消滅」「復元不能」仕様がアップデートで突如実装のため - すまほん!!
新築住宅に1年住んでわかった後悔ポイントとおすすめ設備 - 若くない何かの悩み
トヨタ会長、海外移転→日本脱出を示唆…国交省からのイジメ的行為に失望
パスキーが快適すぎる - yigarashiのブログ
ワイヤレスイヤホンの価格帯別選び方 - ARTIFACT@はてブロ
令和時代の API 実装のベースプラクティスと CSRF 対策 | blog.jxck.io
総務省 | 安全なパスワードの設定・管理 | 国民のためのサイバーセキュリティサイト
OpenSSHの脆弱性 CVE-2024-6387についてまとめてみた - piyolog
次世代Web認証「パスキー」 / mo-zatsudan-passkey