Real World HTTPでも紹介したネタですが、お仕事で受けている技術コンサル中に質問をいただいた時に、微妙に本で紹介した内容では少し足りなかったので、改めて整理のためにブログ記事にしてみました。次回、本が改訂されることがあればこのブログエントリーの内容も入れて加筆したいと思います。 Real World HTTPだとGoを使っていましたが、フロントとサーバーを同時にいじるので、本エントリーではNext.jsをサンプルに使います。Next.jsでプロジェクトを作って(npx create-next-app@latest –ts)、適当なプロジェクト名を入れてアプリケーションの雛形を作っておいてください。 Next.jsでは、1つのスクリプトファイルを作成すると、それがサーバーAPI(/pages/api以下)と、フロントの画面(/pages/以下のapi以外)になります。Next.j
FastAPI入門 - モダンなPythonフレームワークの特性をチュートリアルで手軽に学ぶ|ハイクラス転職・求人情報サイト AMBI(アンビ)
FastAPI入門 - モダンなPythonフレームワークの特性をチュートリアルで手軽に学ぶ PythonのWebフレームワークとしていま注目を集めるFastAPIは、シンプルにコードが書けるだけでなく、パフォーマンスが高いWebアプリケーションのバックエンドサーバーが構築可能です。同フレームワークの勘所をPythonスペシャリストの杜世橋さんが、初心者向けのハンズオン、そしてより実践的な画像への自動タグ付けサービス実装をとおして解説します。 FastAPIはいま非常に注目されているPythonのWebフレームワークの1つです。Flaskのようにシンプルに書ける一方でPythonのType Hintの機能をうまく活用し、HTTPのリクエスト/レスポンスをPythonの関数の引数/戻り値とシームレスにマッピングして非常に効率的に開発ができるのが最大の特徴です。非同期処理にも対応していてその名
はじめに こんにちは、株式会社Flatt Security セキュリティエンジニアの森岡(@scgajge12)です。 本稿では、Amazon S3 の脆弱な使い方によるセキュリティリスクと対策を解説し、実際の設定不備などに関する事例についても紹介します。 Flatt Security は専門家の視点でセキュリティリスクを調査するセキュリティ診断を提供しています。クラウドとアプリケーションの総合的な診断の事例として SmartHR 様の診断事例がございますので、是非インタビュー記事をご覧ください。GCP の事例ですが、もちろん今回取り上げる AWS でも同様の診断が可能です。 はじめに Amazon S3 とは バケット・オブジェクト バケット オブジェクト アクセスポリシー バケットポリシー アクセスコントロールリスト(ACL) IAM ポリシー 署名付き URL Amazon S3 に
Content-Disposition の filename という地雷。 (1個の観点で17個の脆弱性を見つけた話) - ぶるーたるごぶりん
English ver: https://gist.github.com/motoyasu-saburi/1b19ef18e96776fe90ba1b9f910fa714#file-lack_escape_content-disposition_filename-md TL;DR 1つのブラウザ、1つのプログラミング言語、15個の { Web Framework, HTTP Client ライブラリ, Email ライブラリ / Web Service 等} で脆弱性を見つけました。 見つけた脆弱性は、全て 1つの観点で発見した (多分 50-80 くらいのプロダクトの調査をした)。 RFC の記載では、(かなりわかりにくく)この問題に対する要件が記載されており、WHATWG > HTML Spec の方はしっかりと書かれているといった状況にある。 この問題は、 Content-Dispo
New for AWS Lambda – Container Image Support | Amazon Web Services
AWS News Blog New for AWS Lambda – Container Image Support February 9, 2021: Post updated with the current regional availability of container image support for AWS Lambda. With AWS Lambda, you upload your code and run it without thinking about servers. Many customers enjoy the way this works, but if you’ve invested in container tooling for your development workflows, it’s not easy to use the same
2021/01/29 NAT Slipstreaming v2が公開されたので、追加記事を書きました https://asnokaze.hatenablog.com/entry/2021/01/29/014759 2020年10月31日に「NAT Slipstreaming」という攻撃手法が発見されてます samy.pl これは簡単に言うと 罠サイトを踏ませることで、SIPのApplication Level Gateway機能を持つNATの内側に居るクライアントに対して、外側からそのクライアントの任意のTCP/UDPポートに接続できる。という攻撃のようです。 この攻撃はさまざなテクニックを使用しており大変面白いです。調査過程も含め詳細は上記のサイトに書かれているので、そちらを読むことを強く推奨します。 ざっくり 登場人物 victim(攻撃対象): ブラウザで攻撃者のサイトにアクセスすr
こんにちは。ROBOT PAYMENT (以下、ロボペイ)でエンジニアをしているtakamoriです。 私が所属しているチームでは、請求先マイページ機能を開発しており、その中でユーザー認証基盤をAuth0からCognitoへと移行させました。そこで今回は、Auth0からCognitoへのユーザー移行手順を書いていきたいと思います。 ※ 本記事ではAuth0やCognitoの環境構築は対象外で、それぞれの環境が構築済み前提となります。 移行手順 Auth0からユーザーをエクスポート Auth0ユーザー情報をCognitoユーザー情報へマッピング Cognitoへユーザーをインポート Auth0からユーザーをエクスポート Auth0からのユーザーをエクスポートするには、ExportUsersJob APIを利用します。GetUsers APIを利用して取得することも可能ですが1,000件の取得
危険なCookieのキャッシュとRailsの脆弱性CVE-2024-26144 | セキュリティブログ | 脆弱性診断(セキュリティ診断)のGMOサイバーセキュリティ byイエラエ
高度診断部アプリケーションセキュリティ課の山崎です。 弊社エンジニアの名古屋と山崎がRuby on RailsのActive Storageの脆弱性CVE-2024-26144を報告しました。 本脆弱性はRailsの5.2.0から7.1.0のバージョンに影響するもので、お使いのRailsのバージョンが最新でない場合にはアップデートを推奨します。 本記事では本脆弱性の注意点と、関連してCookieのキャッシュに関する調査内容を紹介します。 TL;DR ・ Set-Cookieヘッダがキャッシュされると別人ログイン問題が発生する ・ RailsのActive StorageでSet-Cookieヘッダがキャッシュ可能な設定であった(CVE-2024-26144) ・ Nginx(+ Passenger), Apache(+ mod_cache)等のキャッシュ機構と合わせて利用すると実際に事故が
初めまして 60歳を間近にウェブデザイナーを目指して独学で勉強しているお婆ちゃんです。 去年の暮れからphpを勉強して、初めてシステムらしきものを作ってみました。 やりたいこと プチ・クラウドストレージ ・ファイルをどこからでもアップ、保管してダウンロードもできる。 ・セキュリティも兼ねてIDとパスワードでログイン形式にする。 まずはパワーポイントでサイトの系図を設計しました。 Excel、Word、パワポは商工会議所で習いたてホヤホヤです。 それぞれ基礎編までクリアして1月半くらいかかりました。 全部で5万円くらいはかかったかな。 次は手順を考えてイメージを具体化。 これは無料版のAdobeのXDを使ってみました。 操作も簡単で、感覚的に作れちゃうので便利です。 ページ自体はシンプルにしたかったのでフォントだけで作りました。 コードを書くのもAdobeの無料Brackets。Adobeド
Real World HTTP 第3版
本書はHTTPに関する技術的な内容を一冊にまとめることを目的とした書籍です。HTTPが進化する道筋をたどりながら、ブラウザが内部で行っていること、サーバーとのやりとりの内容などについて、プロトコルの実例や実際の使用例などを交えながら紹介しています。さまざまな仕様や実例、またGoやJavaScriptによるコード例を紹介しながら、シンプルなHTTPアクセスやフォームの送信、キャッシュやクッキーのコントロール、SSL/TLS、Server-Sent Eventsなどの動作、また認証やメタデータ、CDNやセキュリティといったウェブ技術に関連する話題を幅広く紹介し、いま使われているHTTPという技術のリアルな姿を学びます。 第3版では、より初学者を意識した導入や、スーパーアプリなどプラットフォーム化するウェブに関する新章を追加。幅広く複雑なHTTPとウェブ技術に関する知識を整理するのに役立ち、また
Slackで認定されたURLリンク偽装の脆弱性 Apr 27, 2020 フィッシング詐欺における偽サイトへの誘導では、正規サイトのURLをかたってリンクをクリックさせる手口が後を絶たない。この手口は主にメールや掲示板からの誘導で悪用されるが、グループチャット内でもURLリンクを偽装できれば脅威になると考えた。ビジネスチャットツールとして世界的に利用されているSlackでのURLリンク偽装(#481472)について解説する。 URLリンクの偽装 HTMLでは、ハイパーリンクとして表示するURLと、実際にリンクするURLを個別に設定できる。例えば、以下のHTMLはレンダリングにより https://example.com となる。表示上は example.com へのリンクに見えるが、実際には akaki.io へリンクする。 <a href="https://akaki.io">https
1.緒言 低い画質の画像を高画質に変える技術である”超解像”技術のライブラリである"Real-ESRGAN"ライブラリを紹介します。 公式より、Real-ESRGANの使用方法は下記3つがあり、とにかく簡単に試したいならOnline inferenceが便利であり「https://arc.tencent.com/en/ai-demos/imgRestore」からWebアプリベースで実施できます。 【Real-ESRGANの使用方法】 Online inference:Webアプリで簡単に実行できる Portable executable files (NCNN):ー Python script:今回の記事で作成した通りPythonで実行 2.環境構築 基本的な実装方法はGitHubの"Installation"を参照しました。 私のPC環境ではCUDAのメモリに乗らないためGoogle C
新たなセキュリティテスト手法、バグバウンティプログラムのすすめ(後編) - NTT Communications Engineers' Blog
こんにちは。マネージド&セキュリティサービス部セキュリティサービス部門の閏間です。総合リスクマネジメントサービス「WideAngle」の新サービスの企画を担当しています。 本記事では、私がセキュリティの知識・技術向上のために業務外で取り組んでいるバグバウンティプログラムについて、3回にわたって紹介します。 本記事により、バグバウンティプログラムの有効性と、脆弱性探しのおもしろさの両方を伝えられれば幸いです。 (前編)バグバウンティプログラムの有効性について (中編)脆弱性探しの魅力と調査方法について (後編)実際に発見した脆弱性の詳細について【本記事】 なお、バグバウンティに関する記事としては、NTT Com社内バグバウンティのご紹介もありますので、ぜひそちらもご覧ください。 脆弱性の実例:3つの問題が重なってXSS(Cross Site Scripting)が発生 本記事では、私が過去に
メディアドゥでは、エンジニア有志によって執筆された【Tech Do Book】という合同誌を発行しています。 本日はその中から、Tech Do Book vol.1 【1章 EPUB Generator をつくろう】を紹介します。 はじめに EPUB生成ツールの作り方を通じて、EPUBフォーマットの理解について深めましょう。 スコープ シンプルなテキストベースのEPUBファイル生成ツールの作り方をまとめます。対象とするEPUBのバージョンは3.0です。 なお、コミックのような画像コンテンツを含むEPUBファイルの生成はここでは取り扱いません。 でき上がるもの 書籍ID、出版社、タイトルや目次内容、本文などをPOSTすると、EPUBファイルとしてダウンロードできるようになります。 図:フォームイメージ 必要な知識 HTML基礎 XML基礎 Spring Bootの簡単な使い方 EPUBフォー
オブジェクトストレージにおけるファイルアップロードセキュリティ - クラウド時代に"悪意のあるデータの書き込み"を再考する - Flatt Security Blog
はじめに セキュリティエンジニアの齋藤ことazaraです。今回は、オブジェクトストレージに対する書き込みに関連するセキュリティリスクの理解と対策についてお話しします。 本ブログは、2024年3月30日に開催された BSides Tokyo で登壇した際の発表について、まとめたものです。 また、ブログ資料化にあたりオブジェクトストレージを主題とした内容の再編と、登壇時に口頭で補足した内容の追記、必要に応じた補足を行なっています。 なぜ今、この問題を取り上げるのか? 近年のクラウドリフト、クラウドシフトにより、クラウドを活用する場面が多くなってきていると思います。その中で、多くの場面で利用されるオブジェクトストレージにおいて、データの書き込み時に気にすべきセキュリティリスクが存在するのをご存知でしょうか? 近年、オブジェクトストレージの不適切な利用に起因する情報漏洩が多く発生しています。そのよ
個人検証用のAWSアカウントで利用しているキーペアを失くしたのでその時の対応ブログです。 SSMが利用できる場合はSSM接続などをして公開鍵を設定しなおせばよいですが、できない場合どうやるのか気になったのでやってみました。 参考 AWSの公式ブログを参考にしています。 こちらのブログを読むと、新しく公開鍵、秘密鍵を作成してユーザーデータを利用して秘密鍵を設定しなおす手順になっています。 マネジメントコンソールからやる手順になっていますがAWS CLIを使用してやってみました。 環境 SSH接続先OS:Amazon Linux2 SSHができるようにセキュリティグループにIPアドレスが設定されている環境になります EC2の起動している場所はパブリックサブネットになります ローカルPCはWindows10を使用しています AWS CLI:2.7.22 手順 1. 新しい秘密鍵と公開鍵を作成 S
JPCERT/CCでは、攻撃グループLazarusの活動を継続的に調査しています。2021年には、CODE BLUEおよびHITCONにて攻撃グループLazarusの攻撃活動について発表をしています。 https://github.com/JPCERTCC/Lazarus-research/ 上記の調査レポートで共有したLinux OSをターゲットにしたマルウェアYamaBot(資料内では、Kaosと記載していますが、本ブログではYamaBotと記載します)について、Windows OSをターゲットにしたものが最近確認されました。YamaBotは、Go言語で作成されたマルウェアで、各プラットホーム向けに作成されたマルウェア間で機能が多少異なります。YamaBot以外にも、攻撃グループLazarusは、VSingleなどマルチプラットフォームをターゲットにしたマルウェアを複数使用しています。
こんにちは、技術開発室の滝澤です。 技術開発室の基盤システム担当チームで電子メールプロトコル勉強会を開催したので、その概要について紹介します。 この記事ではプロトコルの内容についてではなく、どのようなことを行ったかを紹介します。どのRFCを調べてもらったかについてはおまけに掲載しましたので、もしメールプロトコルについて学習したい人や組織の参考になれば幸いです。 背景 先月(2022年11月)に技術開発室の基盤システム担当のメンバーで自社のメールサーバーの構築・移設を完了させました。 メンバー構成としてはベテラン1人(わたし)と中堅1人と新人2人です。メールサーバーに関しては、わたし以外のメンバーは運用のみ経験があるか、構築・運用経験が全くないようなメンバーでした。そのため、この移設プロジェクト開始時の最大の課題は、メンバーへの電子メール(以降、単にメールと呼ぶ)に関する技術移転と技術習得で
Amazon Web Services ブログ AWS Lambda の新機能 – コンテナイメージのサポート AWS Lambda では、サーバーについて気にすることなくコードをアップロードして実行できます。多くのお客様に Lambda のこの仕組みをご活用いただいていますが、開発ワークフローのためにコンテナツールに投資した場合は、Lambda でのアプリケーションの構築に同じアプローチを使用することが難しくなります。 この問題に対応するため、Lambda 関数を最大 10 GB のコンテナイメージとしてパッケージ化し、デプロイできるようになりました。これにより、機械学習やデータ集約型のワークロードなど、大きな依存関係に頼る大規模なワークロードを簡単に構築してデプロイできます。ZIP アーカイブとしてパッケージ化された関数と同様に、コンテナイメージとしてデプロイされた関数は、同様の操作の
tl; dr TypeScriptとExpressを使ってアプリケーションを開発するにあたって、以下の課題がある。 現状、 @types/express における型定義は厳密でない リクエストハンドラの中でごちゃごちゃとやってしまい、ステートフルになりがち こうした課題に対して、gcanti/hyper-ts が有効である。 1. @types/express における型定義はstrictでない 例として、Application インターフェースの render メソッドの型定義を見てみる。 render(view: string, options?: object, callback?: (err: Error, html: string) => void): void; この型定義は厳密さに欠ける。まず、第二引数のoptionsの型は objectである。(cookieメソッドのオプシ
この記事はRuby Advent Calendar 2019 - Qiitaの24日目です。 去年(RubyやRubyのOSSの脆弱性を見つけた話 - ooooooo_qの日記)と同様にRuby関連で今年見つけた脆弱性の話です。 Ruby CVE-2019-16255: Shell#[]およびShell#testのコード挿入脆弱性 hackerone.com 脆弱性なのか判断に迷うもの。 引数が.sendにそのまま渡されるので値によってはコードが実行できるものでした。 .sendを使って実際に攻撃できるパターンが有るのか、Rubyのコードの中を調べて見つけた覚えがあります。 CVE-2019-15845: File.fnmatch の NUL 文字挿入脆弱性 hackerone.com またNul文字。さすがにRubyではもうNul文字の問題はないのではないでしょうか。多分。 Pathna
この記事以外にもいくつかCloudflareのゼロトラストについての記事を書いています。今回はその第一弾として、Cloudflareのゼロトラストネットワークの概要について書きます。 「Cloudflare Zero Trust」 で組織のゼロトラストネットワークを構成する Cloudflare Zero Trust の基本的なセットアップ手順 Cloudflare Zero Trust クライアント側のセットアップ手順 Cloudflare Zero Trust 経由でAWS上のEC2(グローバルIPアドレス無し)にSSHでログインする 2023年11月27日 追記 PayPayやInstagramなど、一部サービスのスマートフォンアプリが使えない問題の解決策を追記しました。 背景 2020年、新型コロナウイルスが蔓延しだしてから、「ゼロトラスト」という言葉をよく聞くようになりました。
How to Use AVIF: The New Next-Gen Image Compression Format — Lightspeed
How to Use AVIF: The New Next-Gen Image Compression FormatAugust 5, 2020 November 2, 2021 Update: Firefox 93 now supports the AVIF format without feature flag. August 26, 2020 Update: Chrome 85 now supports the AVIF format and the link to the preview build of the Squoosh.app has been updated as it now fully supports AVIF. A More Optimal Image Format One of the upcoming technologies we're really ex
Post-Spectre Web Development
Post-Spectre Web Development Editor’s Draft, 19 July 2021 This version: https://w3c.github.io/webappsec-post-spectre-webdev/ Latest published version: https://www.w3.org/TR/post-spectre-webdev/ Previous Versions: https://www.w3.org/TR/2021/WD-post-spectre-webdev-20210316/ Feedback: public-webappsec@w3.org with subject line “[post-spectre-webdev] … message topic …” (archives) Issue Tracking: GitHub
週刊Railsウォッチ(20190805-1/2前編)Rails 6のActive Recordは速くなった、Windows WSL2+VSCodeでのRails開発、Martin Fowler記事ほか|TechRacho by BPS株式会社
2019.08.05 週刊Railsウォッチ(20190805-1/2前編)Rails 6のActive Recordは速くなった、Windows WSL2+VSCodeでのRails開発、Martin Fowler記事ほか こんにちは、hachi8833です。7payが9月に静かに息を引き取ることが先週決まったそうです。 いや、「7Payって、結局何が悪かったんだ?」って真っ当な疑問でしょ。僕も知りたいですよ。外部が(僕も含めて)色々言っているけど、いずれも推測、もっと言えば憶測にすぎません。 https://t.co/LEKEGzAQEc — 徳丸 浩 (@ockeghem) August 4, 2019 各記事冒頭には⚓でパーマリンクを置いてあります: 社内やTwitterでの議論などにどうぞ 「つっつきボイス」はRailsウォッチ公開前ドラフトを(鍋のように)社内有志でつっついたと
Fixing a Memory Leak in a Production Node.js AppJanuary 12th, 2023 — 15 min read A few months ago, I wrote about my migration from Postgres to SQLite. I ended that with a "to be continued" because I had a number of issues related to memory and CPU spikes that I couldn't really explain. For a while I thought it was bugs in LiteFS (which I'm using to get distributed SQLite for my distributed node ap
ウェブブラウザ「Firefox 82」の正式版が公開されました。ピクチャーインピクチャーのボタンが新しくなって見つけやすくなっているほか、ページの読み込み速度と起動時間の両方がこれまで以上に素早くなっています。 Firefox 82.0, See All New Features, Updates and Fixes https://www.mozilla.org/en-US/firefox/82.0/releasenotes/ ◆動作速度が向上 flexboxでレイアウトされているウェブサイトの読み込み速度が20%向上しており、さらにセッションの復元にかかる時間が17%短縮され、中断したところから作業をより素早く再開可能になっています。また、Windows版では新しいウィンドウを開くのが10%早くなっているとのこと。 ◆ピクチャーインピクチャー ピクチャーインピクチャーは再生中のムービー
はじめに 最近HTTPについていろいろと勉強する機会があったので、これを機にHTTP/2についてまとめてみました。 HTTP/2は標準化から3年が経過し、意識こそしていないものの普通に使われるようになってきました。なんとなくサーバーをHTTP/2使うように設定したけど、なにが良くなったのかイマイチ知らないというような人が読んで、理解できる記事を目指してみたつもりです。 HTTP/2がもたらしてくれるものとその仕組みをなるべく簡潔に噛み砕いて書いてみました。そのため、この道の専門の方からすると、不十分な表現や不適切な表現、或いは私の誤った理解などがあるかもしれません。 そのような箇所を見つけたられた際には、ぜひコメントなどから指摘いただけると幸いです。 HTTPとは HTTPは皆さんもよくご存知であろうプロトコルの名称です。正式な名前はHyper Text Transfer Protoclと
Amazon S3 の署名付き URL (presigned URL) をマネジメントコンソールからお手軽に生成できるようになっていた | DevelopersIO
コンバンハ、千葉(幸)です。 2022年の1月27日に AWS の中の人からこんなツイートがありました。 You can now generate #AmazonS3 presigned URLs directly in the S3 console. Makes it easier to not bloat mails with large files. I've been waiting for this since (looks at notes) 2017. Thank you, S3 team for more #usability! pic.twitter.com/HYnDx8YPe5 — Steffen Grunwald (@steffeng) January 27, 2022 S3 コンソールから署名付き URL を簡単に生成できるようになったよ、という内容です。 具体的に
a タグの download 属性でダウンロード 従来は Content-Disposition で「ファイルに保存」としていた これまで、サーバーからのデータを「ダウンロードしてファイルに保存」するには、サーバーからクライアントへの HTTP レスポンスを送信するときに次のような HTTP ヘッダーを送る必要がありました。 Content-Disposition: attachment; filename="foo.png" ブラウザ側では、Content-Disposition というヘッダーをみることで、そのコンテンツをそのままインラインで表示するのではないということを知ることができます。 言い換えると、Content-Disposition というヘッダーがある場合に、ブラウザはそのページにナビゲートするのではなく、これからサーバーから送られてくるデータは今のページのアタッチメント
IAM ポリシー未設定の IAM ユーザーが生成した S3 署名付き URL (presigned URL) を使ってオブジェクトを Get できるのはなぜか | DevelopersIO
IAM ポリシー未設定の IAM ユーザーが生成した S3 署名付き URL (presigned URL) を使ってオブジェクトを Get できるのはなぜか コンバンハ、千葉(幸)です。 突然ですが以下のようなケースを考えてください。 IAM ポリシーがアタッチされていない IAM ユーザーが存在する 当該 IAM ユーザーが特定の S3 バケット内のオブジェクトに対する署名付き URL を生成する 生成された URL を用いて任意の利用者がオブジェクトを Get する 上記を実現したいと考えたときに必要となる設定が何か、皆さんは思いつくでしょうか。なお、 IAM ユーザーと S3 バケットは同一の AWS アカウントに存在するものとします。 「そもそも IAM ポリシーが無いのに署名付き URL を生成できるの?」という部分から引っかかる方もいるかと思いますが、実はできます。このエント
Twitter Direct Message Caching and Firefox – Mozilla Hacks - the Web developer blog
Editor’s Note: April 6, 7:00pm pt – After some more investigation into this problem, it appears that the initial analysis pointing to the Content-Disposition was based on bad information. The reason that some browsers were not caching direct messages was that Twitter includes the non-standard Pragma: no-cache header in responses. Using Pragma is invalid as it is defined to be equivalent to Cache-
【Golang + echo】S3のファイルをバイナリデータでレスポンスする - カミナシ エンジニアブログ
はじめに この記事はGo 4 Advent Calendar 2020 17日目の記事です。 こんにちは、株式会社カミナシのエンジニア @imuです。 早速ですが、S3にあるファイルをバイナリデータで取得してレスポンスに含めたいと思ったことはありませんか? 『カミナシ』ではバッチ処理でファイルを作成してS3にファイルをアップロードした後、Client側でファイルをダウンロードする機能があります。 よくある処理はClient側からAWSにアクセスをしてファイルをダウンロードする方法ですが、今回はAPI側を経由してファイルをダウンロードする方法について書きたいと思います! ファイルをバイナリデータとしてレスポンスに含めたいがうまくいかず、困っている方の参考になれば幸いです! この記事で分かること API側でS3ファイルをダウンロードせずに取得する方法 取得したファイルをレスポンスに含める方法(
Strategies for Telemetry Exfiltration (aka Beaconing In Practice)
Nic Jansma (@nicj) is a software developer at Akamai building high-performance websites, apps and open-source tools. Table of Contents Introduction What are Beacons? Beaconing Stages Sending Data at Startup Gathering Data through the Page Load Incrementally Gathering Telemetry throughout a Page’s Lifetime Gathering Data up to the End of the Page “Whenever” How Many Beacons? A Single Beacon Multipl
RemixでmicroCMSを使ったブログサイトを構築してみた〜OG画像の自動生成〜 | DevelopersIO
はじめに こんにちは、CX事業本部MAD事業部の森茂です。 ブログで記事を書くと欲しくなる機能のひとつにOG画像を自動生成する機能があると思います。今回はRemixを使ってOG画像を自動生成する機能を実装してみました。 RemixでmicroCMSを使ったブログサイトを構築してみた RemixでmicroCMSを使ったブログサイトを構築してみた〜プレビュー画面〜 OG画像を自動生成する方法としては、canvasを利用する方法とヘッドレスブラウザ等でスクリーンショット画像を利用する方法がよく取られますが、今回はPuppeteerを利用してスクリーンショットを撮影しその画像をOG画像として利用する方法を選択しました。 なおデプロイ環境はVercelを想定しています。VercelではRemixはAWS Lambdaの上で動作するためローカルサーバーや他の環境とは少し異なる方法が必要となります。V
ウェブブラウザ「Firefox 81」の正式版が公開されました。Firefoxを見ていない場合でもキーボードやヘッドセットのメディアコントロールキーを利用して音楽や動画の再生をコントロール可能になったほか、新たなテーマが追加されたり、PDFへの書き込みが容易になったりするなどのアップデートが行われています。 Firefox 81.0, See All New Features, Updates and Fixes https://www.mozilla.org/en-US/firefox/81.0/releasenotes/ ◆メディアコントロールキーをサポート キーボードやヘッドセットについている再生ボタンや停止ボタンを利用して、Firefoxで再生中の音楽や動画をコントロールできるようになるとのこと。別のタブを開いている時はもちろん、Firefoxをバックグラウンドにしている時や、PC
Introducing dotnet-monitor, an experimental tool - .NET Blog
dotnet-monitor is an experimental tool that makes it easier to get access to diagnostics information in a dotnet process. When running a dotnet application differences in diverse local and production environments can make collecting diagnostics artifacts (e.g., logs, traces, process dumps) challenging. dotnet-monitor aims to simplify the process by exposing a consistent REST API regardless of wher
Rails 6.1 の rails_storage_proxy_url でActiveStorage のリダイレクトURL問題を解決する - タケユー・ウェブ日報
Rails 6.1 の新機能 rails_storage_proxy_url を使うと、ActiveStorage で添付したファイルへのリンクが署名付きURLへのリダイレクトにならず、RailsアプリのURLのままファイルをダウンロードできるようになります。 どういうこと? ActiveStorageはこれまで、S3をバックエンドとして使った場合、S3への署名付きURL=タイムスタンプなどが付与されたURLへのリダイレクトを行ってきました。 しかしこれは扱いづらいことも少なくなく、悩みの種の1つでした。 Rails 6.1 でこの問題に対する回答が(ようやく)公式に用意されたことになります。 例 url_for(user.photo) でActiveStorageへのURLを生成 たとえば http://localhost:3000/rails/active_storage/blobs/
解決策 重要: 方法の 1、2、3 では、インスタンスを一旦停止してから起動する必要があります。次の点に注意してください: インスタンスがインスタンスストアでバックアップされている場合や、データを含むインスタンスストアボリュームがある場合、インスタンスを停止するとデータが失われます。詳細については、「インスタンスのルートデバイスタイプを判別する」を参照してください。インスタンスストアボリュームに残しておきたいデータは必ずバックアップしてください。 インスタンスを停止して再起動すると、あなたのインスタンスのパブリック IP アドレスが変更されます。外部トラフィックをあなたのインスタンスにルーティングするときは、パブリック IP アドレスの代わりに Elastic IP アドレスを使用することをお勧めします。 方法 1: ユーザーデータを入力する 1. 新しいキーペアを作成します。 2.
はじめに Gmail にはご存知の通りGmail API があり、SMTP や POP3 を使うことなく、検索機能など Gmail 独自の機能を活用することができます。 この記事では、Python を使って Gmail API の有効化から、スクリプトの作成、実行までの手順をステップバイステップで紹介します。 Gmail API を利用するまでに、プロジェクトを作成したり、APIを有効化したり、スコープを設定したり、認証情報を作成したりと、準備が割と大変なので、備忘録として書きました。 2020年4月時点の Gmail API の内容です。 Python 3.7.x を想定しています。 利用前の準備 Goole API を利用するプロジェクトを作成する 利用する Gmail アカウントの Gmail を開いたブラウザで、 Google Cloud Platform コンソール ( http
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ファイルダウンロード完全マスター | フューチャー技術ブログ
Amazon S3の脆弱な利用によるセキュリティリスクと対策 - Flatt Security Blog
NAT Slipstreaming攻撃とブラウザ側の対策 - ASnoKaze blog
Auth0からCognitoへのユーザー移行 - ROBOT PAYMENT TECH-BLOG
プチ・クラウドストレージ作ってみた - Qiita
Slackで認定されたURLリンク偽装の脆弱性
Pythonライブラリ 画質向上(超解像):Real-ESRGAN|KIYO
EPUB Generatorをつくろう - Tech Do | メディアドゥの技術ブログ
EC2のキーペアを失くしたので設定しなおしてみた | DevelopersIO
攻撃グループLazarusが使用するマルウェアYamaBot - JPCERT/CC Eyes
電子メール技術移転:メールプロトコル勉強会をチームで開催してみた
AWS Lambda の新機能 – コンテナイメージのサポート | Amazon Web Services
hyper-ts で type-safe & stateless なExpressアプリケーションを構築する
RubyやRubyのOSSの脆弱性を見つけた話の続き - ooooooo_qの日記
「Cloudflare Zero Trust」 で組織のゼロトラストネットワークを構成する
Fixing a Memory Leak in a Production Node.js App
「Firefox 82」正式版リリース、ページの読み込み速度と起動時間が大幅にスピードアップ
そろそろ知っておきたいHTTP/2の話 - Qiita
ファイルをダウンロード保存する方法 - JavaScript 入門
「Firefox 81」正式版リリース、Firefoxを最小化していても音楽や動画をコントロール可能に
SSH キーペアを紛失したときに Amazon EC2 インスタンスに接続する
Python を使い、Gmail API 経由で Gmail の送受信を行う - Qiita