ウェブブラウザのバージョン間の違いを無効化するJavaScriptライブラリ「Polyfill.io」が、2024年2月のプロジェクトオーナー変更後、マルウェアが混入されてサプライチェーン攻撃に利用され、10万以上のサイトに影響が出ています。 Polyfill supply chain attack hits 100K+ sites https://sansec.io/research/polyfill-supply-chain-attack 「Polyfill.io(polyfill.js)」はアンドリュー・ベッツ氏が開発したJavaScriptライブラリです。ウェブブラウザのバージョン間で機能の違いがあると開発時に苦労しますが、Polyfill.ioを利用すれば、新しいバージョンにしかない機能を古いバージョンで利用できるようになるため、バージョンの違いを気にすることなく開発を進めること
[登壇資料] DDoS攻撃をAWSサービスだけで緩和する方法をまとめてみた #cm_odyssey | DevelopersIO
こんにちは、AWS事業本部@福岡オフィスのべこみん(@beco_minn)です。 本日開催された「Classmethod Odyssey ONLINE 情シスとセキュリティ編」で登壇する機会を頂きました。 本記事はその登壇資料紹介となります。 資料 セッション概要 近年被害が拡大しているDDoS攻撃。そんなDDoS攻撃を緩和する対策はWAFの活用や攻撃対象領域の縮小など様々ありますが、その中でも特にAWSサービスを用いた方法について分かりやすく網羅的にご紹介します。 DDoS対策の参考になりそうなブログ セッション内で紹介したAWSのサービス、機能について参考になりそうなブログをいくつかご紹介します。(後日追記あるかも) CloudFront+S3による静的サイトにCognito認証を追加してみた | DevelopersIO CloudFrontのオリジンをEC2にしてHTTPS通信を強
![[登壇資料] DDoS攻撃をAWSサービスだけで緩和する方法をまとめてみた #cm_odyssey | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/b880d63e4f4863872bb92012bbe392f8f0e8003f/height=288;version=1;width=512/https%3A%2F%2Fdevio2024-media.developers.io%2Fimage%2Fupload%2Fv1720688346%2Fuser-gen-eyecatch%2Fk5z8tfwgyaergujkam0p.png)
by Sansec Forensics Team Published in Threat Research − June 25, 2024 The new Chinese owner of the popular Polyfill JS project injects malware into more than 100 thousand sites. Update June 28th: We are flagging more domains that have been used by the same actor to spread malware since at least June 2023: bootcdn.net, bootcss.com, staticfile.net, staticfile.org, unionadjs.com, xhsbpza.com, union.m
鈴木たかのり(@takanory)です。今月の「Python Monthly Topics」では、Python製の静的サイトジェネレーターSphinxを使用してWebサイトを構築し、テーマを適用、外部へ公開する流れについて紹介します。後半ではSphinxの便利な拡張機能を紹介し、Webサイトをより便利にしていきます。 Markdownでドキュメントを書くだけで、きれいなWebサイトが簡単に公開できるので、ライブラリのドキュメントなどでもよく使われています。 Sphinxとは SphinxはPython製の静的サイトジェネレーターです。静的サイトジェネレーターとは、Markdown等の軽量マークアップのテキストファイルから、静的なWebサイトを生成するアプリケーションのことを言います。Python製の静的サイトジェネレーターにはSphinxを含め以下のツールなどがあります。 Sphinx:h
TL;DR 2024/06/26 実害が出ているようです、polyfill.ioを利用している場合は直ちに利用を止めましょう。 GIGAZINE: JavaScriptライブラリ「Polyfill.io」にマルウェアが混入され10万以上のサイトに影響 Codebook: Polyfill.io使ったサプライチェーン攻撃でサイト10万件以上に影響 polyfill.ioから配信されるスクリプトが汚染される環境下にあり、危険な可能性があります。利用している方がいらっしゃいましたら外しておくことをおすすめします。または安全なバージョンのものがCloudflareとFastlyから利用できるので、ドメインをpolyfill-fastly.netやpolyfill-fastly.ioに変更して利用しましょう。 背景 自社で使用しているマーケティングプラットフォームサービスで作成したWebページをGo
エッジは誰のもの? - ゆーすけべー日記
CDNの文脈でいうエッジコンピューティングはフロントエンドのものとされることが多い気がするけど、そうじゃない。フロントエンドの技術を使ったバックエンドである。 フロントエンド? ユーザーに近いところで実行されるという意味ではフロントエンドかもしれない。あと、VercelのNext.jsのように、フロントエンドフレームワークのファンクションがエッジで動くからフロントエンドでしょというのはある。そしてエッジのファンクションはたいていフロントエンドで使われているJavaScriptもしくはTypeScriptで書く。そうするとツールチェーンも、例えば「Vite」と聞いてそれが何であるか?を答えられる人はフロントエンドやってる人の方が多いだろう。 2つのユースケース エッジには2つのユースケースがある。 CDNの機能を拡張する。オリジンありき。 サーバーレスコンピュート。オリジンそのものになる。
危険なCookieのキャッシュとRailsの脆弱性CVE-2024-26144 | セキュリティブログ | 脆弱性診断(セキュリティ診断)のGMOサイバーセキュリティ byイエラエ
高度診断部アプリケーションセキュリティ課の山崎です。 弊社エンジニアの名古屋と山崎がRuby on RailsのActive Storageの脆弱性CVE-2024-26144を報告しました。 本脆弱性はRailsの5.2.0から7.1.0のバージョンに影響するもので、お使いのRailsのバージョンが最新でない場合にはアップデートを推奨します。 本記事では本脆弱性の注意点と、関連してCookieのキャッシュに関する調査内容を紹介します。 TL;DR ・ Set-Cookieヘッダがキャッシュされると別人ログイン問題が発生する ・ RailsのActive StorageでSet-Cookieヘッダがキャッシュ可能な設定であった(CVE-2024-26144) ・ Nginx(+ Passenger), Apache(+ mod_cache)等のキャッシュ機構と合わせて利用すると実際に事故が
Cloudflare、すべての生成AIによるクローラーをワンクリックでブロックする機能を無料で提供開始 Cloudflareは、すべての生成AIによるクローラーをワンクリックでブロックする機能を無料で提供すると発表しました。 生成AIは人間が作成したテキストや画像、動画などを大量に読み込んで学習を行う必要があります。生成AIを開発している組織は、より多くの学習データを取得しようとしており、そのためにインターネット上の多数のWebサイトをクロールするBotを稼働させているのです。 しかしWebサイトの運営元として自分たちのコンテンツがこうした生成AIの学習に使われることを望まないところもあるでしょう。 Cloudflareの新機能はこうしたWebサイトが簡単に生成AIのBotによるクローラーをブロックしてくれる機能を提供してくれます。 下記がCloudflareのダッシュボード画面で、すでに
Sansecは6月25日(現地時間)、「Polyfill supply chain attack hits 100K+ sites」において、オープンソースのJavaScriptライブラリ「Polyfill.io」が改変され、10万以上のWebサイトに展開されたと報じた。 Polyfill supply chain attack hits 100K+ sites Polyfill.ioの買収 Polyfill.ioはAndrew Betts氏が開発した人気のJavaScriptライブラリ。古いWebブラウザをサポートし、JSTOR、Intuit、世界経済フォーラムを含む10万以上のWebサイトに利用されている。 Polyfill.ioは2024年2月、中国を拠点とするコンテンツデリバリーネットワーク(CDN: Content Delivery Network)企業の「Funnull」に買収
Server-Sent Events (SSE) 目新しい技術というわけではありませんが、最近 Server-Sent Events (SSE) について言及する記事をよく見かけます。 何番煎じかはわかりませんが、個人的に興味があることと、正直触ってみたことがなかったので、コードを書きつつ調べてみました。 ※本記事で登場するサンプルコードは次のリポジトリで公開しています。 SSE とは SSE 自体を解説する記事は無数に存在するため詳細な説明は割愛しますが、簡単に言うと、サーバーからクライアントへ一方向の Push 通信を行うための仕組みです。 MDN にもページが存在するため、参考になります。 独自プロトコルを必要とせず、HTTP/1.1 でも動作するのも特徴です。 SSE の歴史 wikipedia に SSE に関するページが存在し、次のような記述があります。 SSE メカニズムは、
GitHub - taubyte/tau: Open source distributed Platform as a Service (PaaS). A self-hosted Vercel / Netlify / Cloudflare alternative.
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
『SOZAI』というフリー素材サイトをリリースしました!!
はじめに この度フリー素材サイト『SOZAI』をリリースしました!! この記事では開発の経緯や使用技術について触れていこうと思います。 ▼ サイトリンク また、イラストのリクエストもお待ちしております!! 開発の経緯 このサイトを開発するきっかけは大きく二つありました。 きっかけ① 最近、私は「なぜこのAI時代にフリー素材サイトは使われているのか」という疑問がありました。今の時代、Stable DiffusionやDALL-E、Midjourneyを使えば簡単にものの数秒で好きなイラストが生成できます。 思い通りの画像にならない しかし、実際やってみるとわかるのですが、AIはなかなか思い通りの画像を生成してくれません。イメージに近いものはできても、タッチが違ったり、背景に変なものが描かれていたりします。もちろん、私のプロンプトが悪いのかもしれませんが、AIを使いこなすのは簡単ではありません
Introduction At the time of writing, HTTP/3 is supported by 30.4% of the top 10 million websites. This market penetration is astounding, but it seems like all of this progress has been possible almost exclusively by work on browsers, load balancers and CDN providers. What about the backend? How’s HTTP/3 doing there? The answer, sadly, is not as incredible. Because of this, I have been very interes
Google CloudからOracle Cloud(OCI)に移行したらコストが半分以下になった話 - Qiita
みなさん、マルチクラウドやってますか!僕は案件ではAWS、Azure、個人や自社ではGoogle Cloudが多かったのですが、このたびOracle Cloud(OCI)にメインの運営サービスを移管しまして、パフォーマンスよくコストも半分以下になったので記事にまとめました。ただし、万人にお勧めというわけでもないのでそのあたりは記事をご覧ください。 円安しんどい なぜ我々の収入はドル建てじゃないのに支出はドル建てなのか、月980円じゃなく9.8ドルにしてたら今頃は売り上げも1.5倍くらいになってたのに1。そんな気持ちを抱えながら増え続けるクラウドコストに苦しんでいました。また、サービスがおかげさまで成長し、トラフィックの課金もお小遣いと呼べないレベルになってきました。 安いクラウドサービスを探し続け、CDN、VPS、もちろんN大クラウドもチェックし「どうせPHP/MySQLなんだからエックス
Cloudflare Workers x AWS Lambdaの組み合わせユースケース / Cloudflare Workers x AWS Lambda Combination Use Case
第36回 JAWS-UG札幌 勉強会【 #CloudflareUG_cts と合同開催です!】 https://jawsug-sapporo.connpass.com/event/321565/
Bun は WinterCG meetings に参加せず、標準から外れた拡張を利便性のために結構取り入れている。またエコシステムとして合意の取れていない実装をすることもある。これら API を使ってしまうと Node.js や Deno、Cloudflare Workers などで扱えず相互運用性の問題となる。知らず知らずのうちに使ってしまわないようにまとめておく。 Jarred Sumner @jarredsumner 2024/02/18 02:45 JS runtimes obsess about web standards but web standards orgs are incentivized to only care about browsers Luca Casonato 🏳️🌈 @lcasdev 2024/02/18 05:48 @jarredsumner J
Microsoft、ブラウザでAI推論が可能になる「WebNN」を解説 「次世代のWeb開発において重要な役割を果たす」
Microsoftは2024年6月24日(米国時間)に公式ブログで、Webアプリケーションでニューラルネットワーク推論タスクを効率的に実行できるJavaScript APIである「WebNN(Web Neural Network API)」について、概要やアーキテクチャ、メリットなどを解説した。 Microsoftは「WebNNは、Web開発者がWebアプリケーション内でニューラルネットワークの機械学習(ML)処理を直接実行できるようにするJavaScript APIだ」とした上で「WebNNはMLモデルのWebアプリケーションへの統合を簡素化し、ブラウザ上で動作するインタラクティブでインテリジェントなアプリケーションの新しい可能性を開くものだ」と述べている。 WebNNは、2024年7月時点で、インターネット標準を策定するW3C(World Wide Web Consortium)の勧告
「Lottieロッティー」はベクター画像のアニメーションを実現できる技術・ファイルフォーマットです。 Lottieアニメーションの作り方編の記事(Figma編、After Effects編)では、Lottieの概要から作り方、ファイルの書き出し方を紹介しました。そして、実装編の前編となる記事では、HTMLメインで実装できるお手軽な実装方法を紹介しました。 実装編の後編となる本記事では、JavaScriptメインに実装する方法の基本事項、およびパフォーマンス考慮についてのポイントを紹介します。 「Lottie=軽い」と思っていませんか? 一般的にウェブサイトの「軽い」「重い」には、読み込みデータ量の大小を指す場合と、動作負荷でのもたつきを指す場合の2つの意味があります。確かにデータ量的にはLottieは軽いといえますが、実はLottieのアニメーションは表示や動作の負荷的に重くなりがちです。
まとめ 検索エンジンは DuckDuckGo を使っている DNS は NextDNS を使っている macOS / iOS / iPadOS で利用している 自社でも NextDNS を採用した ログはオフで運用 なぜ DuckDuckGo ? DuckDuckGo — Privacy, simplified. Google の検索結果があまりにも酷いと感じており、 uBlacklist を利用してブロックしていたがきりが無くなってきたので、切り替えた。 DuckDuckGo ブラウザは利用しておらず Chrome を継続して利用している Chrome Extension として DuckDuckGo Privacy Essentials を追加して利用している 特に困ることはない。今後も DuckDuckGo を使っていこうと思う。 DuckDuckGo Privacy Pro が日本
MissAV終了
海賊版AVサイトとして、ここ数年日本国内でトップアクセスを誇っていた『MissAV』にアクセスできなくなったと、一部で話題になっている。 あくまで通常アクセスできなくなったというだけで、サイト自体は死んでいない模様。 ブラウザの設定をいじったりすると見れるようだ。 しかしライバルとなる海賊版AVサイトはググれば山程出てくるのでトップの入れ替わりは確定だろう。 【追記】 27日現在、MissAVの日本語トップページには「日本政府のネットワーク封鎖を突破するMissAVの無料VPNをダウンロードするには、ここをクリックしてください。」というメッセージが表示され、CloudflareのDNSサービス・アプリへのリンクが貼られている。 【用語解説】MissAV アダルト動画の海賊版が多数アップロードされている大規模動画サイト。遅くとも2022年までにサイト開設。 ユーザーがAVをタイトルや型番で検
こんにちは、うしろのこです。直近1年ではVueから離れて、maja と呼ばれる組織管理基盤の新規プロダクトの開発をしていました。 プロダクトの話はこちら(maja)↓ note.st.inc 今回は、0->1における技術選定や開発中の工夫、結果どうだったかなどを書きます。 技術選定 初めに、前提条件は以下のような感じでした。 メンバーはReactの経験が豊富、フロントを触るのは多くて3,4人くらい 常にユーザー認証された状態で操作されるため、FE用のmiddleware的な層があるとうれしい toBアプリケーション せっかくなので使ったことのないものを使ってみよう、ということで、すでにWAFでの導入が進んでいたCloudflareの技術の採用をFEでも検討しました。少し触った感じではdeploy体験がよく、ローカル開発環境であるwranglerの出来も申し分なかったため、Cloudflar
IntroductionOn June 27, 2024, a small number of users globally may have noticed that 1.1.1.1 was unreachable or degraded. The root cause was a mix of BGP (Border Gateway Protocol) hijacking and a route leak. Cloudflare was an early adopter of Resource Public Key Infrastructure (RPKI) for route origin validation (ROV). With RPKI, IP prefix owners can store and share ownership information securely,
Cloudflare を使って polyfill を自動で安全なものへ置き換えましょう | DevelopersIO
先日ブラウザ互換の JS ライブラリである「Polyfill」にマルウェアが混入されて大きな問題となっていますが、Cloudflare であれば対応がワンクリックで実施できます。 ウィスキー、シガー、パイプをこよなく愛する大栗です。 先日ブラウザ互換の JS ライブラリである、「Polyfill.io」にマルウェアが混入されて大きな問題となっています。Cloudflare では、簡単に対策を行えるための機能がリリースされたのでご紹介します。Polyfill の対応がワンクリックで行えます。 JavaScriptライブラリ「Polyfill.io」にマルウェアが混入され10万以上のサイトに影響 Polyfill について Polyfill はブラウザ間のバージョンの違いなどを無効にするためのライブラリですが、今年の2月に売却されていることが発覚していました。 Cloudflare では、Po
Cloudflare Zaraz adds support for server-side rendering of X and Instagram embeds
Cloudflare Zaraz adds support for server-side rendering of X and Instagram embeds07/10/2024 We are thrilled to announce Cloudflare Zaraz support of server-side rendering of embeds, featuring two Managed Components: X and Instagram. You can now use Cloudflare Zaraz to effortlessly embed posts from X or Instagram on your website in a performant, privacy-preserving, and secure way. Many traditional t
GitHub - ccbikai/Sink: ⚡ A Simple / Speedy / Secure Link Shortener with Analytics, 100% run on Cloudflare.
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
Namecheap Takes Down Polyfill.io Service Following Supply Chain Attack - Socket
Security News Namecheap Takes Down Polyfill.io Service Following Supply Chain Attack Polyfill.io has been serving malware for months via its CDN, after the project's open source maintainer sold the service to a company based in China. More than 110K websites using the Polyfill.io service have been impacted by a supply chain attack after a Chinese company bought the service earlier this year. The C
Competitiveness is a vice of mine. When I heard that a friend got Linux to boot off of NFS, I had to one-up her. I had to prove that I could create something harder, something better, faster, stronger. Like all good projects, this began with an Idea. My mind reached out and grabbed wispy tendrils from the æther, forcing the disparate concepts to coalesce. The Mass gained weight in my hands, and a
Kobe.tsとは TypeScriptとその周辺知識についての勉強会を開催していくコミュニティです。 なので、フロントエンドに限らず、node.js, Deno, Nest,js, Freshなどのバックエンドや、Firebase,Cloudflare,VercelなどのSaaS、npm,pnpm,Biome,tailwindCSS,Figmaなども取り扱うトピックの範囲です。 記事執筆時点でですが、立ち上げから3週間で既にメンバーが80人になりました。 神戸在住な方に限らず、ぜひメンバーになるボタンだけでも押していってください!!! なぜ神戸? 生まれてこのかた約30年、ずっと神戸に住んでいるからです。おそらくこれからも住み続けます。 そう断言できるのは、もちろん私が神戸を気に入っているからというのもありますが、職場が神戸にある妻と結婚したからです。 ソフトウェアエンジニアとしての性が
インターネットセキュリティ企業の米Cloudflareは7月3日(現地時間)、AIによるWebサイトのスクレイピング(データの自動収集)を防ぐ新機能を発表した。この機能により、Webサイト運営者は簡単な操作でAIボットからサイトを守ることができるようになるとしている。 近年、米OpenAIの「ChatGPT」などの生成AIの登場により、AIの学習に使用されるデータの需要が急増している。そのため、多くのAI企業がインターネット上の情報を大規模に収集しようとしている。 従来、Webサイト運営者はrobots.txtというファイルを使用して、検索エンジンのクローラーなどのボットにサイトのどの部分にアクセスしてよいかを指示していた。 だが、この方法には限界があるとCloudflareは説明する。例えば、robots.txtは「紳士協定」のようなもので、悪意のあるボットは無視する可能性がある。また、
立ち話から始まる業務改善、リブセンスのソリューションチーム - LIVESENSE ENGINEER BLOG
はじめに 立ち話から株価通知くん、爆誕 技術投資とソリューションチーム 越境とソリューションチーム 具体事例 株価通知くん メンション集約くん ユーザー管理システムの権限移譲 今後について はじめに 技術部インフラGの鈴木です。先日金沢競馬で最終レースで全てを取り返す体験をしたところ、久しぶりに生きていると感じました。 ところで、今回は以前こちらの勉強会にて話した内容をもとに、今年から始まった「会社に紐づくエンジニアリング」を行うソリューションチームの活動についてお話しします。 勉強会の時に使用したスライドは以下となります。 speakerdeck.com 立ち話から株価通知くん、爆誕 リブセンスはフルリモートなのでSlack上で積極的に話す文化であるWOLを実践しても、出社時と比べてどうしても雑談が少なくなりがちです。他部署等、自分と積極的に関わりのない人たちとは特にそれを感じます。 そ
生成AIの人気により、モデルのトレーニングや推論に使用されるコンテンツの需要が急増しており、一部のAI企業はウェブスクレイピング用のボットでデータを収集しています。コンテンツデリバリネットワーク(CDN)のCloudflareが、AI学習用にウェブスクレイピングを行うボットを一括でブロックする機能を導入したと発表しました。 Declare your AIndependence: block AI bots, scrapers and crawlers with a single click https://blog.cloudflare.com/declaring-your-aindependence-block-ai-bots-scrapers-and-crawlers-with-a-single-click AIの学習に用いられるデータセットを用意するためには、膨大な量のデータが必要と
2024年6月22日(土)に第一回の「Hono Conference」を東京で行いました。Honoに焦点当てたトークのみで構成されるイベントとしては初の試みです。ですので、"Our first step"という副題をつけました。100人が参加し、イベントは大成功に終わりました。 この記事ではHono Conferenceについてレポートしたいと思います。 会場 会場はdocomo R&D OPEN LAB ODAIBAさんにお借りました。開放感がありとても素敵な会場でした。ありがとうございます! 参加者 以下のページで参加者を募りました。 定員90人のところ、140人の希望者がいました。人気のほどが伺えます。当日は、発表者も合わせて100人が参加しました。 Honoを以前に使ったことがあるか?という質問にほぼ全ての人が手を挙げていたのが印象的でした。 トーク イベントは午後1時から4時30
Using S3 as a container registry a.k.a. Waiter, there's a whale in my bucket! 03 Jul, 2024 For the last four months I’ve been developing a custom container image builder, collaborating with Outerbounds1. The technical details of the builder itself might be the topic of a future article, but there’s something surprising I wanted to share already: you can use S3 as a container registry! You heard it
Serverless Haskell - GHCのWASMバックエンドで Haskell を Cloudflare Workers に載せる
Serverless Haskell - GHCのWASMバックエンドで Haskell を Cloudflare Workers に載せる TL;DR GHC 9.10 から WASM バックエンド(クロスコンパイラ)が JavaScript FFI に対応したので、Haskell コードを Cloudflare Workers 上で動かしてみたよ。快適に開発するための環境構築・ハック方法と、GHCの出力をCloudflare Workers 向けに修正する方法を紹介するよ。 はじめに──Asterius から GHC WASM バックエンドへ GHC は 9.6 から WASM バックエンド(クロスコンパイラ)を搭載していますが、GHC 9.10 から WASM バックエンドが遂に JavaScript FFI に対応しました。 従来から C FFI には対応しており、これを使って F
Artie Beaty (Special to ZDNET.com) 翻訳校正: 矢倉美登里 吉武稔夫 (ガリレオ) 2024-07-08 09:31 人工知能(AI)のトレーニングのためにAIボットがウェブサイトのコンテンツをスクレイピングするのが心配なら、Cloudflareがその対策に役立つ。 ウェブの約20%でプロクシとして利用されていると主張するCloudflareは、すべてのAIボットがサイトのテキストをスクレイピングするのを防ぐ新しいツールを導入した。同社によると、無料でサービスを利用している顧客も含め、すべての顧客にこのツールを提供するという。 生成AIの台頭により、企業はチャットボットをトレーニングするためのコンテンツを必要としている。多くの企業は、(「ChatGPT」が「Reddit」への投稿を利用してやっているように)分析用にサイトからテキストを抽出するウェブスクレイ
セキュリティ企業Sansecは2024年6月25日(現地時間)、JavaScriptのライブラリ「Polyfill.io」にマルウェアが混入していたと報じた。混入したマルウェアは10万以上のWebサイトに影響を与えたとされている。 Polyfill.jsは古いWebブラウザをサポートするためのライブラリであり、「JSTOR」や「Intuit」「World Economic Forum」など多くのWebサイトで利用されている。2024年2月に中国企業が「cdn.polyfill.io」ドメインと「GitHub」アカウントを購入した後、マルウェアが埋め込まれたコードが配布されるようになったという。 中国企業によるPolyfill.ioの買収とマルウェアの混入 Sansecの分析によると、サイバー攻撃者が「Google Analytics」ドメインを偽造し、モバイルユーザーをスポーツベッティング
Automatically replacing polyfill.io links with Cloudflare’s mirror for a safer Internet
Automatically replacing polyfill.io links with Cloudflare’s mirror for a safer Internet06/26/2024 polyfill.io, a popular JavaScript library service, can no longer be trusted and should be removed from websites. Multiple reports, corroborated with data seen by our own client-side security system, Page Shield, have shown that the polyfill service was being used, and could be used again, to inject ma
slide-ai-codegen.md
slide-ai-codegen.md marp theme paginate true gaia true LLMによるフロントエンド生成自動化 mizchi | Plaid Inc TechFeed Expert Night 31 LLM 使ってますか? 便利ですよね ChatGPT / GitHub Copilot WebUI じゃなくて CLI で自動化したいですよね? 黎明期でまともにモジュール化しても無駄そうだし、 Deno の書き捨てスクリプト量産するぞ! Deno for LLM 設定や依存のインストール不要のTS実行環境 書き捨ての CLI スクリプトが書きやすい => 実験しやすい npm 資産が使える import {z} from "npm:zod" コード評価に Deno Sandbox を用意できる(後述) @luca/esbuild-deno-loader で
Cloudflare、ワンクリックでAIボット、AIクローラーをブロックする設定を追加 Cloudflareは2024年7月3日、AI学習用のデータを収集するAIボットやAIスクレーパー、AIクローラーのアクセスをワンクリックの設定でブロックできる機能を実装したことを発表した。 Declare your AIndependence: block AI bots, scrapers and crawlers with a single click -The Cloudflare Blog Cloudflareは2023年に、robots.txtに従い動作するAIボットをブロックできる機能を発表している。しかしこのブロック機能は、ボット運営者がrobots.txtに正しくしたがったユーザーエージェントを使用している場合のみ機能する。ユーザーエージェントはボット運営者が簡単に変更して偽装
RADIUSはネットワーク接続の際に用いられる一般的なユーザー認証プロトコルです。元はダイヤルアップ接続を念頭に1991年に開発されたものでしたが、記事作成時点でもほぼすべてのスイッチ・ルーター・アクセスポイントなどでサポートされています。新たに報告された「Blast RADIUS攻撃」は、そんなRADIUSをバイパスして攻撃アクターがネットワークデバイスやサービスにアクセスできるようになる攻撃手法とのことです。 BLAST RADIUS https://www.blastradius.fail/ RADIUS/UDP vulnerable to improved MD5 collision attack https://blog.cloudflare.com/radius-udp-vulnerable-md5-attack New Blast-RADIUS attack breaks 3
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
JavaScriptライブラリ「Polyfill.io」にマルウェアが混入され10万以上のサイトに影響
Polyfill supply chain attack hits 100K+ sites
Python製静的サイトジェネレーターSphinxでWebサイトを構築して公開 | gihyo.jp
polyfill.ioを使うのは危険かもしれない(危険だった) - Qiita
Cloudflare、すべての生成AIによるクローラーをワンクリックでブロックする機能を無料で提供開始
JSライブラリ「Polyfill.io」がマルウェアに改変、10万サイト以上に影響
Server-Sent Events を複数パターンで実装して理解を試みる
gRPC Over HTTP/3
Bun の非互換な拡張 API - moriken's project
JSでLottieを配置する方法 - パフォーマンスの最適化方法も紹介! - ICS MEDIA
DuckDuckGo と NextDNS を使ってる
Remix x Cloudflare Workersで0->1 - STORES Product Blog
Cloudflare 1.1.1.1 incident on June 27, 2024
Booting Linux off of Google Drive
神戸でKobe.tsというTypeScriptコミュニティを立ち上げた話
Cloudflare、AIボットからウェブサイトを守る新機能を発表
Cloudflareが学習用データを収集するAIボットを一括でブロックする機能をリリース
Hono Conference 2024 - Our first step
Using S3 as a container registry
Cloudflare、AIスクレイピングを防ぐ無料ツールを提供
JavaScriptのライブラリ「Polyfill.io」にマルウェア混入 10万以上のWebサイトに影響
Cloudflare、ワンクリックでAIボット、AIクローラーをブロックする設定を追加 | gihyo.jp
広く使用されているユーザー認証プロトコルを危険にさらす「Blast RADIUS攻撃」が報告される