エンジニア懇親会あるある
よくある、「LTが3〜7件ほど行われた後、小一時間ほど懇親会が行われるタイプのイベント」の懇親会で起きる個人的あるあるをまとめました。 登壇者に話しかけたいが登壇者が埋まっていて、余った数人の人たちでグループができて変な空気になる 2×3の机に座っているとき、真ん中の2人が左右どっちの会話に属するか悩ましくなる 缶のお酒が余っても、誰も持って帰ってくれない(ので自分が持って帰るから家にあまり飲まない酒が増える) 余ってるといつも「SDGs(Sustainable Drinking Goals)ですからね!」と言って持ち帰るのだが、結果として冷蔵庫に見なれないチューハイが謎に増える。 円になって会話しているとき、1人分常に空けておいてくださいってアナウンスがあっても、実際会話している円に入るの抵抗ある 乾杯でどのグループに缶を持っていくかが運命の分かれ道すぎる 話すとき最初名前を名乗らずにい
危険なCookieのキャッシュとRailsの脆弱性CVE-2024-26144 | セキュリティブログ | 脆弱性診断(セキュリティ診断)のGMOサイバーセキュリティ byイエラエ
高度診断部アプリケーションセキュリティ課の山崎です。 弊社エンジニアの名古屋と山崎がRuby on RailsのActive Storageの脆弱性CVE-2024-26144を報告しました。 本脆弱性はRailsの5.2.0から7.1.0のバージョンに影響するもので、お使いのRailsのバージョンが最新でない場合にはアップデートを推奨します。 本記事では本脆弱性の注意点と、関連してCookieのキャッシュに関する調査内容を紹介します。 TL;DR ・ Set-Cookieヘッダがキャッシュされると別人ログイン問題が発生する ・ RailsのActive StorageでSet-Cookieヘッダがキャッシュ可能な設定であった(CVE-2024-26144) ・ Nginx(+ Passenger), Apache(+ mod_cache)等のキャッシュ機構と合わせて利用すると実際に事故が
Real World HTTP 第3版
本書はHTTPに関する技術的な内容を一冊にまとめることを目的とした書籍です。HTTPが進化する道筋をたどりながら、ブラウザが内部で行っていること、サーバーとのやりとりの内容などについて、プロトコルの実例や実際の使用例などを交えながら紹介しています。さまざまな仕様や実例、またGoやJavaScriptによるコード例を紹介しながら、シンプルなHTTPアクセスやフォームの送信、キャッシュやクッキーのコントロール、SSL/TLS、Server-Sent Eventsなどの動作、また認証やメタデータ、CDNやセキュリティといったウェブ技術に関連する話題を幅広く紹介し、いま使われているHTTPという技術のリアルな姿を学びます。 第3版では、より初学者を意識した導入や、スーパーアプリなどプラットフォーム化するウェブに関する新章を追加。幅広く複雑なHTTPとウェブ技術に関する知識を整理するのに役立ち、また
オブジェクトストレージにおけるファイルアップロードセキュリティ - クラウド時代に"悪意のあるデータの書き込み"を再考する - Flatt Security Blog
はじめに セキュリティエンジニアの齋藤ことazaraです。今回は、オブジェクトストレージに対する書き込みに関連するセキュリティリスクの理解と対策についてお話しします。 本ブログは、2024年3月30日に開催された BSides Tokyo で登壇した際の発表について、まとめたものです。 また、ブログ資料化にあたりオブジェクトストレージを主題とした内容の再編と、登壇時に口頭で補足した内容の追記、必要に応じた補足を行なっています。 なぜ今、この問題を取り上げるのか? 近年のクラウドリフト、クラウドシフトにより、クラウドを活用する場面が多くなってきていると思います。その中で、多くの場面で利用されるオブジェクトストレージにおいて、データの書き込み時に気にすべきセキュリティリスクが存在するのをご存知でしょうか? 近年、オブジェクトストレージの不適切な利用に起因する情報漏洩が多く発生しています。そのよ
Next.jsの画像周りのキャッシュ戦略について調べる
import Image from "next/image"; import stinCatJpg from "./stin_cat.jpg"; // 画像をJavaScriptモジュールのように扱い、指定する形式 <Image src={stinCatJpg} alt="stin cat" />; // img要素同様に文字列を指定する形式 <Image src="/stin_cat.jpg" alt="stin cat" width="300" height="300" />; 本記事では、画像をJavaScriptモジュールのように扱う形式を「モジュール読み込み」と呼び、文字列を指定する形式を「文字列読み込み」と呼ぶことにします。 モジュール読み込み形式だとビルド時に画像サイズを計測して自動でwidth, heightを指定してくれます。 これらは単にwidth,heightの指定を
GitHub Pull Requests Version 0.100.0 of the GitHub Pull Requests extension adds Copilot integration: Use the @githubpr chat participant in the Chat view to search for issues, summarize issues/prs, and suggest fixes for issues. @githubpr uses a number of Language Model tools to accomplish this. There's also a new Notifications view that shows GitHub notifications, with an action to prioritize them
Amazon SESでDMARCの集計レポートを受信してAthenaで検索をかけてみる | DevelopersIO
初めに DAMRCにおける集計レポートはご存知でしょうか。 DMARCではruaタグに所定のアドレスを指定することで1日に1度程度を目安にその受信サーバに届いたメールの配信状況の集約情報を受け取ることができます。 なかな個別のレポートを目で検査するのは厳しいかと思いますが、各社のDMARC分析用のサービスであったり、OSSでもparsedmarcのようなツールがあったりと現在では比較的気軽に分析することができます。 継続的な分析というよりはとりあえずの導入でSPF/DKIM対応から漏れている環境をサクッとみたい時にAWS上で何か良い感じに作れないかなぁと思って考えてみたところ、それくらいであればAmazon SESで受信したデータをS3に格納しAthenaで検索すれば使った分だけの費用で良い感じでは? と思いついたので構築してみることにしました。 注意 https://datatracke
個人開発がおすすめな理由6選
個人開発がおすすめな理由6選 株式会社NoSchool CTO / meijin ※slidevで発表したスライドをほぼそのまま投稿しています 目次 自己紹介 私が個人開発しているツール 個人開発がおすすめな理由 1)使ってみたい技術を試す場になる 2)不確実性に投資できる 3)作ったことのあるサービスの種類が増える 4)Webサービスの全体感が見える 5)要件定義の経験と視座が得られる 6)汚いコードを書けばどんな目に遭うかわかる まとめ 宣伝 自己紹介 名人 Twitter(X): 名人|マナリンクCTO Zenn: https://zenn.dev/meijin 株式会社NoSchool CTO オンライン家庭教師マナリンク(https://manalink.jp/) 個人開発 テストメーカー(https://test-maker.app/) 好きな言語はTypeScript、好きな
What's Changed 4.19.2 Staging by @wesleytodd in #5561 remove duplicate location test for data uri by @wesleytodd in #5562 feat: document beta releases expectations by @marco-ippolito in #5565 Cut down on duplicated CI runs by @jonchurch in #5564 Add a Threat Model by @UlisesGascon in #5526 Assign captain of encodeurl by @blakeembrey in #5579 Nominate jonchurch as repo captain for http-errors, expr
生成AIの新展開!?―学術研究支援用ボットを作ってみた。その(2) - digitalnagasakiのブログ
前回記事の続きです。生成 AI が、いつの間にか新しい局面を迎えているように思います。問い合わせをするための文字数制限(正確に言えばトークンの制限)が大幅に増え、問い合わせの際に、前提知識として学術論文数十本、あるいは新書10冊くらいを読み込ませてから回答させることができるようになっています。これまでは「生成 AI が持つ知識」を問い合せる形になっていましたが、これによって、「こちらが持つ知識や情報を生成 AI に考えさせる」ことができるようになりつつあります。この流れがさらに進めば、今まではできなさそうだった有用性を発揮することができるようになるかもしれない、ということで、とりあえず今試せることをちょこちょことやってみています。 で、前回記事をみた人から、J-STAGEからPDFをダウンロードする方法についてのリクエストがありましたので、ちょこっと書いてみます。 生成AIに読み込ませる信
API Gateway(REST API)とLambda(Python)でBOM付きUTF8なCSVをレスポンスする方法
API Gateway(REST API)とLambda(Python)の構成で、LambdaでBOM付きUTF8のCSVを作成して、API Gateway経由でCSVをレスポンスする方法を記載します。 BOM付きUTF8とすることで外字が文字化けしないCSVをAPI Gateway経由でダウンロードできます。 やること AWSの構成はAPI GatewayとLambda 使用する言語はPython 外字が文字化けしないCSVをダンロードできるようにする →BOM付きUTF8とすることで文字化け対策ができます。 Lambdaの作成 以下のソースコードでLambdaを作成します。 def lambda_handler(event, context): body_str = """column1,column2 "㐂","昱" """ return { 'statusCode': 200, '
EC2インスタンスのユーザーデータ内のdnfコマンドやyumコマンドが失敗する場合の緩和策を考えてみた | DevelopersIO
ユーザーデータでパッケージのインストールをしようとすると失敗するんだが こんにちは、のんピ(@non____97)です。 皆さんはEC2インスタンスのユーザーデータでdnfコマンドやyumコマンドが失敗したことはありますか? 私はあります。 具体的にはユーザーデータでdnf upgradeやdnf install パッケージ名を実行すると、以下のようにRPM: error: can't create transaction lock on /var/lib/rpm/.rpm.lock (Resource temporarily unavailable)とログが出力されます。 $ dnf upgrade -y --releasever=latest Amazon Linux 2023 repository 30 MB/s | 23 MB 00:00 Amazon Linux 2023 Ker
多くの画像生成AIサービスは、ChatGPT有料版で使えるDALL-E 3や、Discordで使えるMidjourneyなど、クラウドベースであり、生成するたびにサーバーにアクセスして処理を行う。オンラインで簡単に利用できるというメリットの一方で、無料で利用できる範囲には枚数制限や速度制限などがあるのが大きなデメリットだ。 AIイラストは、何度もプロンプトを変えて「下手な鉄砲数打ちゃ当たる」方式で試行錯誤しないと、望むイラストには辿り着けない事が多い。趣味で試したい程度の無料ユーザーは、画像生成AIの凄さを体験できずにいるかもしれない。 この点、数ある画像生成AIの中で、Stable Diff… クラウドコンピューティングは時間あたりで課金されるため、Vast.aiのインスタンスを立ち上げた後に、ゼロからWebUIの使い方を調べていると、無駄にお金がかかってしまうので、まずは自分のPC上で
ファイルのアップロード時などにmultipart/form-data形式を使用することが多いと思います。 Go言語では標準ライブラリのmime/multipartパッケージを使ってパースができます。 しかし、実はmime/multipartパッケージには落とし穴があり、気を付けないと速度低下やメモリ使用量増加につながります。 この記事では、traPでのサービスでのファイルアップロード速度の改善のためにFormStreamというライブラリを作り、multipart/form-dataを高速かつ省メモリなパースを簡単に実現した話をします。 traP Collection traP CollectionはtraPでサークル内で開発されたゲームの販売・展示を行うゲームランチャーです。 知っている方はSteamをイメージするとわかりやすいのですが、部員が開発したゲームをアップロードするとランチャーを
Building the Same App Using Various Web Frameworks [ learning engineering 🛠 ] · 8 min read Recently, I’ve been wondering if I should migrate from my current web app stack (FastAPI, HTML, CSS, and a sprinkle of JavaScript) to a modern web framework. I was particularly interested in FastHTML, Next.js, and Svelte. FastHTML: Many folks have started building with it since Jeremy Howard launched it a m
TL;DR Fake SMTP について MailHog と mailpit の機能差について maiplit の機能について(メール送信,API,SMTPS,SMTP_AUTH の検証) 今回の検証用ソースはこちらです。 Fake SMTP について Fake SMTP はメール送信テストの際に有用です。 わざわざテスト用の SMTP サーバーをレンタルしたりする必要がなくなります。 また実際にメール送信をするわけではないので、テスト時に誤って本番メールアドレスへ送信するという事態を防ぐことができます。 Fake SMTP の仕組みとしてはざっくり以下のような感じです。 メール送信 実際にメール送信が行われるのではなく、Fake SMTP で設定したストレージにメールが保存される そのストレージに保存したメールをブラウザもしくは API 等から確認できる 製品としては以下のようなものが有
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Visual Studio Code October 2024
Release 5.0.0 · expressjs/express
格安GPUインスタンスでの生成AI完全ガイド: Vast.aiで動かすLLM & Stable Diffusion
multipart/form-dataの省メモリかつ高速なパーサー「FormStream」
Building the Same App Using Various Web Frameworks
Laravel Sail9から導入されたMailhogの後継Fake SMTP/mailpitを使ってみた