Webサービス公開前のチェックリスト
個人的に「Webサービスの公開前チェックリスト」を作っていたのですが、けっこう育ってきたので公開します。このリストは、過去に自分がミスしたときや、情報収集する中で「明日は我が身…」と思ったときなどに個人的にメモしてきたものをまとめた内容になります。 セキュリティ 認証に関わるCookieの属性 HttpOnly属性が設定されていること XSSの緩和策 SameSite属性がLaxもしくはStrictになっていること 主にCSRF対策のため。Laxの場合、GETリクエストで更新処理を行っているエンドポイントがないか合わせて確認 Secure属性が設定されていること HTTPS通信でのみCookieが送られるように Domain属性が適切に設定されていること サブドメインにもCookieが送られる設定の場合、他のサブドメインのサイトに脆弱性があるとそこからインシデントに繋がるリスクを理解してお
冷凍ケーキの件
この文は似たような業種の会社に勤めていた時の事情を元に たぶんそうじゃないかなあ、程度の俺のあくまで勝手な妄想です。 -- 冷凍ケーキの件だけど、ブランド先製造ってこの手の大規模な製造問題を起こさない、 または起きても責任の所在をはっきりさせるために、 定期的に工場監査して問題発生時のトレース能力の確認を求めてくる。 分かりやすく言えば金と工数だけかかるクソ面倒なISO認証(食品だとFSSC)とかも求めてくるし、 力量怪しければ信頼できる業界大手を元請けに入れたりコンサル投入してくる。 なんでクリティカルポイントの管理や記録確認程度ではなく、 受託製造の人間による記録外の原因究明力とか改善力とかそこまで見ている。 そんな状態で製造ラインに乗せて出ていった冷凍ケーキの多数が崩れていましたなんて 明らかに製造・搬送ラインまたは付帯設備のコントロールポイント管理を極めて重篤に怠ってないと出てこな
前回は、「UIデザインってそもそも何なの?」という概論的な説明と、UIデザイン未導入の組織の中でみんなでデザインを始めてみるための施策(プロトタイピングとユーザビリティ評価)を話しました。 今回はサービス、プロダクト開発において、デザイナーではない人でも知っていて損はないUIデザインの重要ポイントについて説明します。主に以下の3つのテーマについて順番に議論をしていきます。 デバイスやソフトによるUIの違い ユーザーにかかる身体的・認知的負荷を理解する UIの重要概念(ナビゲーション、インタラクションなど)を知る 「ちょっと」と銘打っておきながらめちゃくちゃ長いnoteになってしまったので、気になる項目だけ読むか、何回かに分けて読んでいただくことをおすすめします、。 ※どこか内容に間違ってる部分やご意見ありましたらコメントいただけたら嬉しいです。 デバイスやソフトによるUIの違い皆さんがお使
Gmailが「メール送信者のガイドライン」を改訂し、なりすましメールへの対策を強化する旨を発表しています。今までは原則、なりすましメール対策の有無にかかわらず、メールはいちおうは届いていました。しかし今後は、なりすましとみなされたメールは届かなくなる方向に向かいつつあります。 なりすましメールとみなされないようにするために、メール送信者には、「メール送信ドメイン認証」への対応が求められます。メール送信ドメイン認証の技術には、主に以下の3つがあります。 SPF: Sender Policy Framework (RFC 7208) DKIM: DomainKeys Identified Mail (RFC 6376) DMARC: Domain-based Message Authentication, Reporting, and Conformance (RFC 7489) SPFは従来
はてなブックマークガイドライン
ここでは、はてなブックマークがサービスを運営するにあたっての考え方と、はてながサービスを健全に運営するための方針、また、サービスをより有益に使っていただくためユーザーのみなさまにお願いしたいことをガイドラインとして公開します。 はてな全体のルールとガイドライン はてなでは、サービス利用について下記のようなルールとガイドラインを公開しています。 はてな利用規約 はてなプライバシーポリシー はてな情報削除ガイドライン はてなコミュニティガイドライン 特に、はてなコミュニティガイドライン では、はてな全体のユーザーコミュニティに対する価値観と、サービス上で生じる問題に対する指針を記載しています。ぜひご一読ください。 はてなブックマークは、ご利用いただくみなさまが、サービスを通じて以下のような体験が得られる場であることを目指しています。 新たな発見が多く得られる 情報への深い理解や洞察が得られる
軽率に会社を設立してみた
Tue, Feb 6, 2024 2-minute readひとり合同会社を設立してみました。 なんで?「ソースコードの一行一行は、経営判断そのものだ。」という好きなフレーズがあります。とあるブログ記事の書き出して、ざっくり要約すると、プログラミングの過程においては常になんでこう書いたのか?読みやすさとかパフォーマンスとかトレードオフすべき都合があって、なにを優先すべきか?の判断がなされているはずで、それはつまり経営判断だよね、という内容です。 昨年執筆した「メタエンジニアリング 理論と実践、そして未来」という同人誌でも、このフレーズを引用させてもらいました。文中には「経営とメタエンジニアリング」という章を設け、メタエンジニアリング(つまりエンジニアとエンジニアリング組織への投資)と経営の関係について考察しています。 過去、エンジニアリングと経営の板挟みになった経験は(程度の大小こそあれ)
社内ドキュメントはなぜ更新されないのか?情報の鮮度を最小限の運用負荷で維持する「イミュータブルドキュメントモデル」のススメ - KAKEHASHI Tech Blog
はじめに こんにちは。カケハシの各プロダクトを支えるプラットフォームシステムの開発チームでテックリードを担当しているkosui(@kosui_me)です。 プロダクト開発の世界では、明瞭な社内向けドキュメントを書くための方法が数多く提案されてきました。読者の中には、製品要求を明瞭にするためにPRD (Product Requirements Document、製品要求仕様書) を書き、プロジェクトの背景から全体の設計やその代案について明瞭にするためにDesign Docsを書き、アーキテクチャに関する意思決定の記録を明瞭にするためにADR(Architecture Decision Record) を書いてきた方も数多くいらっしゃると思います。 しかし、どんな素晴らしいドキュメントも、何故か更新されなくなります。新メンバーへのオンボーディングのためにインフラ構成図を検索したあなたが見つけた
こんにちは。エムスリー・QLife(エムスリーのグループ会社)・エムスリーヘルスデザイン(エムスリーのグループ会社)でエンジニアとして各種作業に関わっている山本です! 以前もメール送信の話を書かせていただいたことがありますが、今回もまたメールネタとなります。今回のお題はメールセキュリティです。 大量メール送信のための予備知識 - エムスリーテックブログ すでにご覧になった方もいるかと思いますが、次のようなニュースが流れています。 www.proofpoint.com この「GoogleとYahooの新Eメール認証要件」ってつまりどういうことよ? というところを具体的にどのように進めているかについて書かせていただきたいと思います。 2023/12/18追記 : Googleからメール送信にTLSを使うことが追加要件として示されました。 TL;DR とりあえず何から始める? 何はともあれ実際に
江崎グリコの公式サイトより システム障害が原因で、ほぼすべてのチルド食品(冷蔵食品)が2カ月以上にわたり出荷停止になるという異例の事態に見舞われている江崎グリコ。その同社が現在、ある転職サイトに掲載している社内SEの人材募集ページが話題を呼んでいる。業務内容は「グローバル展開を見据えた次期統合認証基盤の企画、設計、構築」、歓迎条件は「SAP ERP(S/4 HANA含む)」などと高度なスキルを求める一方で、予定年収が「500万円~」となっている点について「低すぎる」として疑問の声が続出している。同社経営陣のシステム投資への理解度と今回のシステム障害を結びつける指摘もみられるが、同社がITエンジニアに提示している年収は適切なレベルといえるのか。業界関係者の声を交えて追ってみたい。 グリコは業務システムについて、独SAPのクラウド型ERP「SAP S/4HANA」を使って構築した新システムへ切
趣味にはさまざまなものがある。 私はゲーム好きが高じて株主総会のレポートを毎年書いたり、映画館でペンライトを振って歓声をあげる応援上映にのめりこんで同じ映画を何十回も観たりしている。 最近、新たにTwitter(Xともいう)におけるスパム報告が趣味に加わった。 [2024年2月20日現在 31000件ほど凍結確認済み] こちらは、記録に残している凍結済みアカウントのリストだ。2023年9月下旬から記録をあつめて、半年ほどで3万アカウントに達した。 他に、未凍結のスパムリストが5000件ほどある。 Twitter(現在はXと呼ばれる)のスパムといえば、バズったツイートに他のツイートをコピーしたり、自動生成したような文章でリプライを投げる青バッジ付きの「インプレゾンビ」が大活躍中だが、検索で拾いにくい上に凍結が容易ではないという理由で対象にしていない。 対象のスパム 現在は以下の4つを対象とし
Twitterの共同創業者、ジャック・ドーシー氏によるSNS「Bluesky」が、誰でも登録できるようになりました。 Blueskyは、イーロン・マスク氏による買収に伴いTwitter(現X)で混乱が起きる中、移行先として注目されていたSNSの1つ。これまでは招待制でしたが、日本時間2月6日からオープンになりました。 アカウントを作成するには電話番号を登録してSMS認証を行う必要があります。興味のあるトピックなどを選択して登録完了です。ユーザーインタフェースはXと似ています。 SMS認証が必要 Xと似たインタフェース Blueskyは公開SNSで、非公開アカウント(鍵アカ)にはできません。投稿やいいねのほか、ブロックも公開されますが、ミュートは非公開です。 画像をもっと見る advertisement 関連記事 X(Twitter)に音声・ビデオ通話機能 初期設定では「有効」、望まない人は
滅びてほしい認証系の実装の話
こんにちは、富士榮です。 ちょっと前に某所でダメダメな認証系の技術実装ってなんだろうねぇ、、という話をしていたことをXで呟いたところ、色々とご意見を頂けましたのでまとめて書いておきます。
今日からはじめるDiscord。基礎の基礎からサーバー運用まで,Discordの基本的な使い方をこの記事で覚えよう
今日からはじめるDiscord。基礎の基礎からサーバー運用まで,Discordの基本的な使い方をこの記事で覚えよう ライター:ワニウエイブ インターネットを介して対戦/協力するゲームはすっかり当たり前のことになり,スポーツ観戦や映画鑑賞のような「趣味」の一つとして嗜まれている。音声通話を用いてゲーム中の意思疎通や雑談を行うような文化も広く一般的なものとなり,日々さまざまな場所で行われている。 主にPCでゲームを遊ぶプレイヤーにとって,今もっとも使われているボイスチャット(音声通話)用のツールはおそらく「Discord」であろう。元々ゲーマーのためのソフトウェアとして開発されていたDiscordだが,今ではゲーマーだけではなく,さまざまなユーザーに広く親しまれている。 というのも,Discordはボイスチャット以外にも便利な機能と扱いやすさを携えており,誰にとっても重宝するツールだからだ。筆
表が示すようにBlueskyにはDM(ダイレクトメッセージ)もなく、非公開アカウント設定もなく、投稿範囲の指定もできない。ハッシュタグすらもない。 見かけがXに似ているといっても、その中身は運営陣の風変わりな設計思想に基づいている点に留意しなければならない。 なんなら以前はブロック機能もなかった。単に見たくないだけならミュート機能で十分というのが運営陣の認識だったのだが、ユーザからの粘り強い要望を受けてようやく実装された経緯がある。この一件を見ても電子決済やマッチングにまで幅広く手を出そうとしているXとは対極の理念を持っていることが分かるかと思う。 モデレーションの程度も今時のSNSにしては珍しく明快な方だと言える。というのも、初期状態では暴力・性的な投稿が非表示化されているが、これらは単純な設定変更ですべて可視化できる。つまり、運営陣は過激な表現が流通しうる実態を予め認めており、投稿その
私はプロではないのでわからないので、間違っているのは当たり前だと思って読んでください。 個々人のエンジニアの能力がとかクレジットカードがとかは基本関係ないという話です。 (関係なくてもパスワードを使い回している場合は、同じパスワードを使っているサービスのパスワードはすぐ変えるの推奨) 三行VPN→プライベートクラウドの管理システムとオンプレ認証→各システムと言う流れで侵入されていると思われるオンプレのディレクトリサービスとクラウドのidMが接続され、オンプレの認証資格でSaaSは一部やられた可能性がある現在クラウドにリフトアップ中で、新システムはモダンな対策された方法で保護されており無事だった。が、それ故にオンプレへの対策が後手だったのでは会社のシステムはどうなってるか私は長年社内システムの奴隷をやって参りました。現在のクラウドになる前のサーバも触って参りましたので、その辺りからお話しをさ
しばたです。 昨年10月にGoogle(Gmail)および米国Yahoo!においてスパム対策の強化がアナウンスされました。 この件に関してつい先日まで他人事でいたのですが、実は全然他人事では済まないことが発覚し突貫で知識を仕入れています。 アナウンスに対する具体的な対応策についてはこちらのZennの記事を見れば全部わかる感じです。 最高ですね。 また、メール送信にAmazon SESを使っている場合はAWSのブログを確認すると良いでしょう。 「これらの記事を読み解けば万事解決!」という感じではあるのですが、私自身が学んだなかで予め知っておくと良さそうに思えた点がいくつかありました。 本記事ではその辺を共有するのと、実際にAmazon SESの環境を作って動作確認をしたのでその結果も合わせて共有します。 はじめに覚えておくと良い基礎知識 Zennの記事でも詳細な解説がありますが、個人的に「最
ChatGPTとLLMシステム開発について纏めた187ページ資料です。 2024/04 名称を改め資料を大幅にアップデートしました! 今後も随時更新していきます。 データサイエンティスト協会での発表動画はこちら。 https://youtu.be/l9fpxtz22JU Build Japanでの発表はこちら。 https://youtu.be/UEZzx6a005g?si=Ot8EO2bv8yhQQEcy 2023/7/28 体裁修正、余計なページを削除 2023/12/12 RAG、API仕様、モデルのページを追加。また情報を最新化。 2024/04 名称を改め資料を大幅にアップデートしました! 1. LLM - GPTの全体像 LLM - GPT とは何なのか ~チャットAIを例にした動作イメージ~ 大規模言語モデル(LLM)が持つ基礎能力 デジタルツールとLLMの連携 GPTに関す
個人情報の取り扱い体制について評価・認証する「プライバシーマーク制度」(Pマーク制度)を運営する日本情報経済社会推進協会(JIPDEC)は11月13日、8月に発表したPマークの審査関連書類が漏えいした事案について、調査結果を発表した。 8月8日、Pマークを取得した事業者1社から「ネット上でPマークの審査関連資料と思われるファイルが閲覧可能となっている」と連絡を受け、事態が発覚した。調査を行ったところ、Pマーク審査員1人が個人所有のPCに廃棄すべき審査関連書類を保存して持ち帰っていたことが明らかに。資料を保管していたNAS(Network-Attached Storage)に適切なセキュリティ対策がなされておらず、ネット上で閲覧できる状態になっていた。 その後の調査では、この1件以外にも最大888社の審査関連情報と審査員名簿が漏えいした可能性があることも判明。さらに、この審査員が2005年1
脳に収まるコードの書き方
Mark Seemann 著、吉羽 龍太郎、原田 騎郎 訳、Robert C. Martin まえがき TOPICS 発行年月日 2024年06月 PRINT LENGTH 312 ISBN 978-4-8144-0079-9 原書 Code That Fits in Your Head FORMAT Print PDF EPUB ソフトウェアは複雑さを増すばかりですが、人間の脳は限られた複雑さしか扱えません。ソフトウェアが思い通りに動くようするには、脳に収まり、人間が理解できるコードを書く必要があります。 本書は、拡張を続けても行き詰ることなくコードを書き、複雑さを回避するための実践的な方法を解説します。最初のコードを書き始めるところから機能を追加していくところまでを解説し、効率的で持続可能なペースを保ちながら、横断的な問題への対処やトラブルシューティング、最適化を行なう方法を説明します
SNSを利用している方であれば、おそらくほとんどの方が「もふもふ動画」や「最多情報局」といったアカウントを一度は見たことがあるでしょう。 面白動画やかわいいペットの写真などの投稿で、多くのフォロワーを集めていますが、実はその大半が無断転載によるもの。転載を知らされていない元の投稿主らから、問題視されています。 ■ 「削除依頼はDMまで」とあるものの、要請に応じず 投稿を見てみると、完全に無断転載しているものと、Xの動画引用方法(URLの末尾に「video/1」を付ける方法)を使用した、“仕様の範囲内”で引用しているものの2パターンがあります。 しかしながら後者の“仕様”を使った場合でも、投稿者(動画や写真の権利者)が嫌だといえばそれまで。投稿者には著作権および著作者人格権があり、Xにポストしたからといって権利を手放したわけではありません。 これは利用規約の概要にも「ユーザーは、ポストまたは
記事の概要 私(芝浦工業大学学部4年生)が大学2年時に1人で制作した、大学のポータルアプリ(ポータルサイトからスクレイピングして時間割などを表示する)が、大学に正式採用され、公式アプリ"ScombApp"としてリリースされるに至った経緯を時系列順に説明します。 ホーム画面 時間割画面 制作の動機 大学のポータルサイト使いにくいがち。 ポータルサイトのスマホアプリ版があれば便利そう。 他にやってる人いなさそうだし、最初に作ったらみんな使ってくれそう。 ポータルサイトの問題点 大学ポータルサイトで使いにくかった点を挙げていく。 とりあえずこれを克服することを目標にした。 ログインの時に自動補完が使えない 制作当時はBASIC認証で、スマホからだとログインの自動補完ができなかった。 毎回手打ちでパスワードを入力している人がほとんど ←!? 次の授業や教室を確認するだけでも、毎回手打ちログインが必
すまほん!! » ニュース » 社会 » ローチケが炎上。機種変更やアプリ再インストール、SIM差替で「チケット消滅」「復元不能」仕様がアップデートで突如実装のため ローチケ(ローソンチケット)がSNSで炎上しています。 これはローチケが突如アップデートにて、機種変更やアプリ再インストール、異なるスマートフォンへのSIMカード/eSIM入替を行うとチケットが消失・復元不可能という仕様を実装したため。 転売防止を意識した仕様とみられますが、かなり過酷な制約であり、端末の故障や紛失、不具合によるOS初期化を想定しておらず、現実的に履行困難と思われ、消費者保護の観点からも重大な問題があるように見えます。 なお最近のモバイルOSは利用頻度の低いアプリの一時ファイル削除やアプリのアンイストールを行う機能があるため、どうしてもローチケを利用せざるを得ない人は、そうした機能が発動されないよう念の為オフに
新築住宅に住み始めてから1年経過しました。この1年を振り返ってよかったポイントや後悔ポイント、おすすめ設備を紹介します。 よかったポイント 後悔ポイント トイレの照明スイッチの位置がドアに向かって左右逆だった 問題 有効そうな予防策 対応策 トイレの照明を人感センサーにし忘れた 問題 有効そうな予防策 次善の対応策 追記(2024/01/09) トイレのタンクを断水時用に貯水タンク付きにしたつもりが付いてないかもしれない 問題 有効そうな予防策 次善の対応策 予定外に常設のテレビを設置することになり準備ができていなかった 問題 有効そうな予防策 次善の対応策 リビング階段にカーテンレールつける準備ができていなかった 問題 有効そうな予防策 次善の対応策 蓄電池の容量が少なかった 問題 有効そうな予防策 次善の対応策 エコキュートが昼間に沸き上げしてくれない 問題 有効そうな予防策 次善の対
ChatGPTを業務に組み込むためのハンズオン 2023/06/26 一般公開用 デジタル庁 Fact&Data Unit 大杉直也 ↑マイナンバー交付数のダッシュボードを作っているところです 「Microsoft でテストされたアイデアのうち、改善を示すメトリクスを実際に改善できたのは3分の1にすぎない」 (Microsoft社 元Vice President) 「もしあなたが実験主導のチームにいるなら、70%の仕事が捨てられることに慣れてください。それに応じてプロセスを構築しましょう」(Slack社 Director) A/Bテスト実践ガイド p14より 一方で 「アイデアの価値を見積もることは難しい。このケースでは、年間1億ドルの価値ある単純な変更が何か月も遅れていた。」(同著 p5より) こともあります 午前中のアイデアソンで出たアイデアはちゃんと検証するまで価値があるかは不明です
有限会社安井ファーム @yasuifarm ブロッコリーを主力とする農業法人|令和元年度 農林水産祭 内閣総理大臣賞受賞|栽培面積ベースで石川県産ブロッコリーの約3割をシェア|Global G.A.P.認証取得|著書「日本一バズる農家の健康ブロッコリーレシピ」|11月26日は #いいブロッコリーの日 |画像の無断転載はご遠慮ください yasuifarm.net 有限会社安井ファーム @yasuifarm @artrock78 ブロッコリー農家です 最近になってうま味成分のグルタミン酸が茎の内部に多く含まれることがわかるなど、ブロッコリーの茎は近年注目を集めているホットな部分です☺️🥦✨ 茎にも様々な食べ方がありますので、機会がありましたらぜひお試しいただけますと幸いです grapee.jp/1579162 2024-04-11 12:44:01 リンク grape [グレイプ] 捨てがち
しずかなインターネットの技術構成
こんなWebサービスをリリースしたので、技術的な話をまとめておこうと思います。 元々このサービスは、趣味の延長線のような感じで開発を始めました。競合にあたるnoteやはてなブログなどのサービスが確固たる地位を築いているということもあり、「お金にはならないだろうけど、自分の趣味を詰め込んだものにしよう」というゆるい気持ちで開発を続けています(楽しい)。 選定の方針 趣味と言っても文章投稿サービスなので、ユーザーが少数であったとしても長期間運営しなければなりません。そのため、ユーザー数が少なければランニングコストが数千円/月以下、ユーザー数が増えたときは段階的にコストが上がるように選定を行いました。 アプリケーション フルスタックNext.jsアプリケーションをCloud Runにデプロイしています。各APIエンドポイントはNext.jsのAPI Routesで生やしています。 Next.js
パスワードレスな認証方式である「パスキー」が急速に普及しています。OS、ブラウザ、パスワード管理ツール、サービス提供者のどれもが整いつつあり、ついに本当にパスワードが必要ない世界がやってきたことを感じます。この記事では、本腰を入れてパスキーを使い始めて快適になるまでの様子をまとめます。技術的な厳密さ・網羅性には踏み込まず、いちユーザーとしての入門記事という位置付けです。 パスキーとは パスキー - Wikipedia 認証、セキュリティに関しては門外漢なので、Wikipediaのリンクを置いておきます。私よりはWikipediaのほうが信用に足るでしょう。 そこから辿れるホワイトペーパー:マルチデバイス対応FIDO認証資格情報を読むと、多少ストーリーもわかります。FIDO2というデバイスに格納された秘密鍵に依存したパスワードレス認証の仕様に、暗号鍵(と訳されていますが秘密鍵のことで良い……
車載 OS について語る
はじめに 他分野のエンジニアに「1回のミーティングで車載OSについて教えて」と相談されることがあったため、その説明の際に使ったメモ書きを共有する。一応、最初に予防線を張っておくと、私自身、車載ソフトウェア業界に身を置くが、「いわゆる車載OS分野の専門家か?」というとそうでもないし、やや距離のある分野の方への説明なので、ツッコミはお手柔らかにお願いしたい。 ISO-26262機能安全について OSという耽美な響きからGeekでTechな話を期待されたかもしれないが、まず国際標準の話から説明を始める。というのも、この点が生命・財産に関わるソフトウェアと、そうでないソフトウェアを分かつ、大きな前提のため、ここはスキップできない。 機能安全とは? 国際標準とは世界で統一的なコミュニケーションを図るための規格であり、Terminologyについては他のどんな文書より定義が厳密なものだが、「1回のミー
Intro CSRF という古の攻撃がある。この攻撃を「古(いにしえ)」のものにすることができたプラットフォームの進化の背景を、「Cookie が SameSite Lax by Default になったからだ」という解説を見ることがある。 確かに、現実的にそれによって攻撃の成立は難しくなり、救われているサービスもある。しかし、それはプラットフォームが用意した対策の本質から言うと、解釈が少しずれていると言えるだろう。 今回は、「CSRF がどうして成立していたのか」を振り返ることで、本当にプラットフォームに足りていなかったものと、それを補っていった経緯、本当にすべき対策は何であるかを解説していく。 結果として見えてくるのは、今サービスを実装する上での「ベース」(not ベスト)となるプラクティスだと筆者は考えている。 CSRF 成立の条件 例えば、攻撃者が用意した attack.examp
今使っているワイヤレスイヤホンのEdifier NeoBuds Proが2021年に出た製品でちょっと古めになったので新しいのが欲しいと思い、情報収集をしていた。入門記事で、あまり触れられていないことがあったのでまとめておきたい。 現在、Amazon新生活セールFINALでセール価格になっている製品が多いので、気になる製品は価格をチェックして欲しい。 LDAC接続は再生時間が短くなる ワイヤレスイヤホンの再生時間は初心者にはわかりにくい。10時間以上の再生をうたうものはバッテリーケースを使っての充電を含めての場合を言っているものがほとんどだ。*1更にイヤホン本体のみの再生時間はノイズキャンセルON/OFFと使うCODECによって変わってくる。 「LDAC接続は高音質」みたいなことはよく書かれるのだが、この再生時間がかなり短くなることについては触れられていないことが多くて罠だ。ハイレゾのCO
ブラウザからDBに行き着くまでただまとめる
はじめに あなたはブラウザからデータベース(DB)に情報が行き着くまでにどんな技術が使われているか説明できますでしょうか? どのようなプロトコルが用いられ、どの技術を駆使してサーバと通信しているのか、Webサーバでは何が行われ、どのようにして負荷が分散されているのか、トランザクションはどのように管理されているのか、そしてデータベースではシャーディングや負荷対策のためにどのような対策が取られているのか… なんとなくは理解しているものの、私は自信を持って「こうなっている!!」とは説明ができません。 そこで今回は「大規模サービス」を題材としてブラウザからデータベースに至るまでの、情報の流れとその背後にある技術について、明確かつ分かりやすく解説していきたいと思います。 対象としてはこれからエンジニアとして働き出す、WEB、バックエンド、サーバーサイド、インフラ、SREを対象としております。 1.
パスワードはおしまい! 認証はパスキーでやろう
はじめに パスワードは古来より認証に良く使われる方法ですが、その運用の難しさからセキュリティの懸念とその対策としての運用の複雑さ(複雑で長い文字列、90日でパスワード変更など)が要求される大きく問題をもった仕組みです。 その根本的な解決策としてFIDO Allianceを中心に推進されている 「パスワードレス」 が注目されています。これはPINや生体認証とデバイス認証を使ったMFAからなっており、フィッシングやパスワード流出に強い上に、ユーザも複雑なパスワードを覚えなくて良い、という大きなメリットがあります。最近はこの流れでPassKeyというものが登場し、Apple/MS/Googleのプラットフォーマが対応したことで、本格運用に乗せれるフェーズになってきました。というわけで以下に解説動画を作ったのですが、動画中で時間の都合で触れきれなかったところや、JavaScriptによる実装のサン
安全なパスワードの設定・管理 企業・組織におけるパスワードは、ユーザ名と組み合わせることで企業・組織内の情報資産へのアクセスの可否を決める重要なものです。パスワードの重要性を再認識して、適切なパスワード管理を心がけましょう。 他人に自分のユーザアカウントを不正に利用されないようにするには、推測されにくい安全なパスワードを作成し、他人の目に触れないよう適切な方法で保管することが大切です。 安全なパスワードの設定 安全なパスワードとは、他人に推測されにくく、ツールなどの機械的な処理で割り出しにくいものを言います。 理想的には、ある程度長いランダムな英数字の並びが好ましいですが、覚えなければならないパスワードの場合は、英語でも日本語(ローマ字)でもよいので無関係な(文章にならない)複数の単語をつなげたり、その間に数字列を挟んだりしたものであれば、推測されにくく、覚えやすいパスワードを作ることがで
はじめに 社内インフラの運用担当者にとってソフトウェアのバージョンアップは地味な割に大変な業務です。 特に社内のオンプレサーバで動いているようなソフトウェアの場合、バージョンアップに伴う諸々の調整をそのソフトウェアを利用している各部署と行う必要があります。 そんなときに「今は忙しいからバージョンアップを先送りしてほしい」「このバージョンはスキップしてもよいのでは?」なんて声が各部署から聞こえてきます。バージョンアップの価値を各部署に理解してもらうのは大変です。 この文章はそんな時になぜバージョンアップしなければならないのかを上司や各部署のマネージャに伝えるために書きます。 ソフトウェアの有効期限は2-5年 まず、第一に、ソフトウェアというものは無限に使えるわけではなく、一定の有効期限があり、それを過ぎると徐々に動かなくなってきます。俗にいう「何もしてないのに動かなくなった問題」です。 なぜ
非常に高度なレベルで文章を生成できる対話型AIのChatGPTや、画像生成モデルのDALL・Eなどを始めとした画像生成AIの発達により、誰でもクオリティの高い文章やイラスト、画像を作成できるようになりました。これらの生成AIを用いることで、存在しない女性のセクシーな自撮りやセリフの吹き込みがある官能的なストーリーなどを全てAIで作成した「ハイパーポルノ」に注目が集まっています。 Mindy https://thisgirlnextdoordoesnotexist.net/mindy/ 生成AIはジャンルや種類を問わず文章や画像を作成できますが、ChatGPTに用いられている言語モデル「GPT-4」には不適切な質問をブロックするコンテンツフィルターが設定されていたり、画像生成AIの「Stable Diffusion」には成人向け表現を含む画像を黒塗りするセーフティーフィルターがあったりと、コ
他人のマイナ保険証 顔写真かぶったら使えた…「なりすましできてしまう」医師懸念【実験動画】:東京新聞 TOKYO Web
「これでは、なりすましもできてしまう」―。長崎市の内科医院院長(67)が2日、自らの顔写真をお面のようにかぶった女性スタッフに自分のマイナ保険証を使ってカードリーダー(読み取り機)で顔認証を試みたところ、あっさり認証され、その後の手続きに進めてしまった。院長は警鐘を鳴らすためにもその一部始終を動画に収めた。(長久保宏美)
2024年7月1日、OpenSSHの開発チームは深刻な脆弱性 CVE-2024-6387 が確認されたとしてセキュリティ情報を発出し、脆弱性を修正したバージョンを公開しました。この脆弱性を発見したQualysによれば、既定設定で構成されたsshdが影響を受けるとされ、影響を受けるとみられるインターネット接続可能なホストが多数稼動している状況にあると報告しています。ここでは関連する情報をまとめます。 概要 深刻な脆弱性が確認されたのはOpenSSHサーバー(sshd)コンポーネント。脆弱性を悪用された場合、特権でリモートから認証なしの任意コード実行をされる恐れがある。 悪用にかかる報告などは公表時点でされていないが、glibcベースのLinuxにおいて攻撃が成功することが既に実証がされている。発見者のQualysはこの脆弱性の実証コードを公開しない方針としているが、インターネット上ではPoC
モニクル社内3分LTで発表しました。技術職以外の人向けに話したので、抽象度高めにしてあります。
サーバー構築の練習ができるLinux学習サイトInfraAcademy(インフラアカデミー) - Qiita
こんにちは、 InfraAcademyというLinuxやネットワークの学習サービスを作成しております、ryuと申します。 サーバー構築が練習できるLinux学習サイトInfraAcademyについてご紹介します! シミュレーターを使ってサーバー構築の練習ができる InfraAcademyでは、Linuxのシミュレーターを使ってサーバー構築の練習ができます。 今までは、VirtualBoxで学習を進めていた人も多いでしょう。 私自身もVirutalBoxでサーバーの学習をしていました。しかし、環境構築に時間が掛かります。特に、複数台の連携したサーバー構築の準備に時間がかかりました。 しかし、InfraAcademyではそのような手間は一切かかりません! 関連記事:インフラ学習におすすめのサイトInfraAcademyとは? 環境の準備が1クリック Linuxの環境準備は1クリックで完了です!
抹殺は言い過ぎかもしれませんが簡易な名刺管理アプリであれば自作で十分という時代がきていたようです これで紙の名刺からはきっとバイバイできるでしょう! 名刺管理アプリ作ってほしいといわれた それは2/22のお話。 ことの発端は別の部署からかかってきた一本の電話でした。 新規事業の部署でいろいろな取引先様と付き合いがあるものの、紙の名刺が非常に多く管理に困っているとのことのことです。 私は小売業に勤務しているしがない一社員で、現在Eコマースの戦略立案に関する部署に所属しています。 電話先の方は、以前一緒の部署で勤務したことがある方です。現在新規事業のプロジェクト推進をしており、冒頭のような課題感を持っているため既存の名刺管理アプリ導入を考えたのですが、あまりのお値段の高さに卒倒して私に藁をもすがる思いで連絡されたようです。 これまでのアプリは名刺の識別専門のAI()を使っていた 話を聞いてみた
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
知識0から、ちょっとUIデザインに詳しくなるnote|やました
DMARC をなめるな - 弁護士ドットコム株式会社 Creators’ blog
Gmailのメール認証規制強化への対応って終わってますか? - エムスリーテックブログ
グリコ、ITの精鋭部隊を年収500万円で募集→「悲劇のトラブル招いた原因」
3万アカウントの凍結を見届けた 趣味としてのTwitter(X)スパム報告 | N-Styles
X(旧Twitter)の代替として注目されるSNS「Bluesky」、誰でも登録可能に
Blueskyの眺め方 初版 - 点と接線。
KADOKAWAのハッキングの話チョットワカルので書く
突貫でおぼえるSPF、DKIM、DMARC | DevelopersIO
ChatGPT - LLMシステム開発大全
“プライバシーマーク認証団体”が情報漏えい 審査員が個人PCで書類保存、約3年間外部から丸見えに
「もふもふ動画」はただの無断転載アカウントではない?その正体に迫る<前編> | おたくま経済新聞
自作した時間割アプリが大学の公式アプリに採用された話 - Qiita
ローチケが炎上。機種変更やアプリ再インストール、SIM差替で「チケット消滅」「復元不能」仕様がアップデートで突如実装のため - すまほん!!
新築住宅に1年住んでわかった後悔ポイントとおすすめ設備 - 若くない何かの悩み
ChatGPTを業務に組み込むためのハンズオン.pdf
ブロッコリーの茎って食べる?僕は捨てるんだけど…→企業アカウントが反応「ホットな部分です」皆さんのおすすめレシピも続々
パスキーが快適すぎる - yigarashiのブログ
令和時代の API 実装のベースプラクティスと CSRF 対策 | blog.jxck.io
ワイヤレスイヤホンの価格帯別選び方 - ARTIFACT@はてブロ
総務省 | 安全なパスワードの設定・管理 | 国民のためのサイバーセキュリティサイト
ソフトウェアはなぜバージョンアップしなければならないのか - Qiita
AIが架空の女性やセクシーな写真、ストーリーや音声まで作成する「ハイパーポルノ」
OpenSSHの脆弱性 CVE-2024-6387についてまとめてみた - piyolog
次世代Web認証「パスキー」 / mo-zatsudan-passkey
GPTが人知れず既存の名刺管理アプリを抹殺していた話 - Qiita