この2年でFirebase Authentication はどう変わった?セキュリティ観点の仕様差分まとめ - Flatt Security Blog
はじめに こんにちは、@okazu_dm です。 今回自分がぴざきゃっとさんが2022年4月に書いた以下の記事を更新したため、本記事ではその差分について簡単にまとめました。 Firebase Authentication利用上の注意点に関して生じた差分とは、すなわち「この2年強の間にどのような仕様変更があったか」と同義だと言えます。IDaaSに限らず認証のセキュリティに興味のある方には参考になるコンテンツだと思います。 更新した記事につきましては、以下をご覧ください。 差分について Firebase Authenticationの落とし穴と、その対策を7種類紹介する、というのがオリジナルの記事の概要でしたが、2年ほどの時間の中で対策については大きく進歩したものが4点ありました(残念ながら落とし穴が無くなった、とまでは言えませんが)。 今回記事の中で更新したのは以下4点です。 落とし穴 1.
GitHubで扱うPersonal access tokenの利用方法をセキュアにする - 10X Product Blog
こんにちは、セキュリティチームの@sota1235です。 セキュリティチームでは昨年の夏頃からGitHub上のセキュリティリスクを洗い出し、順に対応や改善を行っています。 そのうちの1つとして、昨年の秋ごろからGitHubのPersonal Access Tokenの取り扱いの改善を行ってきました。 具体的には以下の取り組みを行いました。 CI等で利用されているPersonal Access Tokenの利用廃止 OrganizationにおけるPersonal Access Token(classic)の利用禁止設定 今回はこの2つの取り組みについて、どのような課題設定を行い、どんな手順で完了したのかをお話しします。 以下のような課題感、疑問をお持ちの方に対する1つの回答になりうると思うので該当する方はぜひご一読ください🙏 GitHubにおけるPersonal Access Token
@Hiroki__IT が目の前にやってきて私にIstioのこと教えてくれた。- Istio in Action の読書感想文 - じゃあ、おうちで学べる
はじめに マイクロサービスアーキテクチャの台頭により、サービスメッシュ技術は現代のクラウドネイティブ環境において外せない選択肢の一つとなっています。 その理由は明確です。マイクロサービスに求められる非機能要件の多くは類似しており、これをアプリケーション側で個別に実装すると、開発者やインフラエンジニアの負担が増大するからです。 ここで登場するのがサービスメッシュです。サービスメッシュの採用により、これらの非機能要件をインフラ層で一元管理することが可能となり、アプリケーション開発者とインフラエンジニアの責務を明確に分離できます。つまり、各エンジニアが自身の専門領域にフォーカスできるのです。これは単なる効率化ではなく、イノベーションを加速させるためサービス開発する上での労苦をなくします。 そして、サービスメッシュの世界で圧倒的な存在感を放っているのがIstioです。その包括的な機能と広範な採用で
Semperisは2024年8月7日(現地時間)、「Microsoft Entra ID」(以下、Entra ID)に重大なセキュリティリスクがあると報告した。特定のMicrosoftアプリケーションにおいて、通常は許可されていない特権アクションを実行できることが明らかにされている。Entra IDのグローバル管理者ロールを含む特権ロールへのユーザーの追加や削除が可能である点が最も懸念されており、特権昇格の危険性があることが指摘されている。 特定のMicrosoftアプリケーションで不適切なアクセス許可が許される この問題は、MicrosoftのOAuth 2.0スコープ(アクセス許可)の不備に起因している。OAuth 2.0はアプリケーションがユーザーの認証情報を直接共有することなく限定的なアクセス権を取得できるようにするための認証プロトコルだが、このプロトコルで一部のMicrosoft
DeltaLake Universal Formatを使ったクロスプラットフォーム分析 - NTT Communications Engineers' Blog
本記事では6月に開催されたDATA+AI Summit 2024でGeneral Availabilityが発表されたDatabricksのDeltaLake Universal Formatの機能を使ってクロスプラットフォームでの分析を実現する方法について紹介します。 DeltaLake Universal FormatはDeltaLakeに保存されたデータをApache Icebergなどの異なるフォーマットで読み出すことができるようにする機能です。本記事では実際にDatabricks上でDeltaLake Universal Formatの機能を有効にしたテーブルを作成し、Amazon AthenaからApache Iceberg形式でクエリを発行するサンプルを用いて、機能の使い方と本機能のメリットについて解説します。 目次 目次 はじめに データレイクとOpen Table For
筒井(@ryu22e)です。2024年7月の「Python Monthly Topics」は、Cloudflare WorkersのPythonサポートについて解説します。 前半ではCloudflare WorkersでPythonを使う方法について、後半ではCloudflare WorkersでPythonを動かす仕組みと技術的制限について解説します。 なお、Cloudflare WorkersのPythonサポートは本記事執筆時点(2024年7月24日)でオープンベータ版です。正式リリース時には仕様が変更される可能性があります。また、一部機能はローカル環境でしか利用できません。 Cloudflare Workersとは Cloudflare Workersは、Cloudflareが提供するサーバーレスアプリケーションを構築・デプロイするためのプラットフォームです。主に以下のような特徴が
デジタルクレデンシャルによる「本人確認」と「身元確認」
こんにちは、富士榮です。 「クレデンシャル」という言葉も色々と定義がブレブレだという大きな課題はあるものの、さまざまな証明書をデジタル化(クレデンシャル化)するムーブメントの中では更にわけがわからないことになってきていますので、そろそろ定義をちゃんとしていかないといけない時期にきているわけです。 OpenArtに「Digital Credential, National ID」と入れたら生成された画像 例えば、マイナンバーカードをスマホ搭載した場合のmDocは本人確認書類として利用できるデジタルクレデンシャル、という位置付けとされていますが、マイナンバーカードを使って本人確認された情報をVerifiable Credentialとして発行したものも同じように本人確認書類として利用できるかのように表現されてしまっているのは本当に大丈夫なのか?という話はその典型だと思います。また、学修歴や資格
生成 AI や Gemini の基本について学べる Generative AI Study Jam 開催のお知らせ
.app 1 .dev 1 #11WeeksOfAndroid 13 #11WeeksOfAndroid Android TV 1 #Android11 3 #DevFest16 1 #DevFest17 1 #DevFest18 1 #DevFest19 1 #DevFest20 1 #DevFest21 1 #DevFest22 1 #DevFest23 1 #hack4jp 3 11 weeks of Android 2 A MESSAGE FROM OUR CEO 1 A/B Testing 1 A4A 4 Accelerator 6 Accessibility 1 accuracy 1 Actions on Google 16 Activation Atlas 1 address validation API 1 Addy Osmani 1 ADK 2 AdMob 32 Ads
xID、デジタル庁の「デジタル認証アプリ」を活用したい民間事業者向けの”署名API利用ソリューション”を提供 マイナンバーカード・デジタルIDを活用した自治体や企業の課題解決・新規事業創出を総合的に支援するGovtechスタートアップ、xID(クロスアイディ)株式会社(本社:東京都千代田区、CEO 日下 光 以下xID) は、デジタル庁の提供する「デジタル認証アプリ」を活用したい民間事業者向けの”署名API利用ソリューション”を提供いたします。 これにより、金融機関や通信事業者が、犯収法(※1)および携帯法(※2)に準拠した、マイナンバーカードの署名用電子証明書の利用による身元確認を、従来の「xIDアプリ」と「xID API」、アプリ開発事業者向けの「xID SDK」に加え、「デジタル認証アプリ」を利用して実施可能になります。 ※1…犯罪収益移転防止法のこと 参考:警察庁「犯罪収益移転防止
I'm back, Ruby on Rails
03 Aug, 2024 Last year, I wrote a blog post called Goodbye, Ruby on Rails. One year later, after creating my own business, I decided to be back to Ruby on Rails. I’m withdrawing my previous statements on DHH and Rails. Though I still have some concerns about the directions of Ruby on Rails, especially the rejection of TypeScript, I still believe that Ruby on Rails is a great framework for web deve
At Valyent, we are building open-source software for developers. As part of this mission, we're currently developing Ferdinand, our email sending service for developers (currently in alpha). Email infrastructure relies on several key protocols, with the most important being: SMTP (Simple Mail Transfer Protocol): Used for sending and receiving emails between mail servers. IMAP (Internet Message Acc
.app 1 .dev 1 #11WeeksOfAndroid 13 #11WeeksOfAndroid Android TV 1 #Android11 3 #DevFest16 1 #DevFest17 1 #DevFest18 1 #DevFest19 1 #DevFest20 1 #DevFest21 1 #DevFest22 1 #DevFest23 1 #hack4jp 3 11 weeks of Android 2 A MESSAGE FROM OUR CEO 1 A/B Testing 1 A4A 4 Accelerator 6 Accessibility 1 accuracy 1 Actions on Google 16 Activation Atlas 1 address validation API 1 Addy Osmani 1 ADK 2 AdMob 32 Ads
はじめに こんにちは。 クラウドエース株式会社 データソリューション部の髙木です。 私は新卒ですが、入社前から業務の自動化をしたいという思いがありました。 本記事では、私が初めて業務の(半)自動化をしたことについて執筆します。 日報作成を半自動化しようと思ったワケ 退勤前の必須業務である日報。 早く退勤したいのに日報がそれを阻害してきます。 特に「作業詳細」と「作業予定」の欄を埋めるのが大変です。 (「課題」や「所感」は多少なりとも書く気力はあります。) Google Calendar の予定のタイトルをそのままコピー&ペーストできればいいのに。 もちろん、各予定について Google Calendar の予定をクリックする。 予定のタイトルをコピーする。 日報作成画面にペーストする。 を行えばできます。 しかし、明らかに面倒です。 もっとこう、その日と翌勤務日の予定のタイトルだけをずらー
GitHub ActionsでPlaywright E2Eテストを定期実行し、結果をSlack通知する | DevelopersIO
GitHub ActionsでPlaywright E2Eテストを定期実行し、結果をSlack通知する Playwrightで実装したE2Eテストを定期実行する際に、GitHub Actionsを使うととても簡単でした。Slackへの通知も簡単にできるモジュールがありましたので、ご紹介します。 情報システム室の進地@日比谷です。 Playwrightで実装したE2Eテストを定期実行する際に、GitHub Actionsを使うととても簡単でした。Slackへの通知も簡単にできるモジュールがありましたので、ご紹介します。 シェルコマンドを定期実行する方法としてのGitHub Actions コマンド(シェルコマンド)を定期実行する方法には様々な方法があります。 人間が手動で頑張る 専用サーバを立ててcronを実行 EC2を立ててcronを実行 AWS Systems Managerでステートマ
Microsoft 以外のメール アプリで Outlook メールの同期を続行するために、最新の認証方法が必要になりました - Microsoft サポート
最終更新日: 2024 年 6 月 10 日 問題 長年にわたって、アプリケーションでは基本認証を使用して、サーバー、サービス、API エンドポイントに接続してきました。 基本認証は、アプリケーションがすべての要求でユーザー名とパスワードを送信することだけを意味し、それらの資格情報も多くの場合、ユーザーのデバイスに保存または保存されます。 従来、基本認証はほとんどのサーバーまたはサービスで既定で有効になっており、簡単に設定できます。 Basic Authentication は当時の標準でしたが、Basic Authentication を使用すると、攻撃者がユーザーの資格情報をキャプチャしやすくなります。これにより、盗まれた資格情報が他のエンドポイントやサービスに対して再利用されるリスクが高まります。 基本認証は、古い業界標準です。 その脅威は時間の長い間だけ増加しており、多数の製品で
CDKでOIDCプロパイダーを作成し、GitHubActionsでOIDCを使用してAWS認証を行う - Qiita
完成物 今回の記事ではこれの左側の部分の説明をします。 今後似たような認証機構を構築する時のために備忘録として残しておくための記事です。 間違いや、もっとこうしたら良いなどがあったらコメントしていただけると幸いです。 OIDC認証とは 会社の同期がめっちゃわかりやすい記事を書いてくれていたのでそれを参考しました。 上記の記事より引用。OIDCの流れの簡略化した図 ものすごくざっくり言うと、 OIDC = 「トークンを使用した短期認証のプロトコル」 と言えそうです AWS Credentialsのような長期的な認証ではないのでセキュリティ的にも推奨されます。 今回は、 AWS側にOIDCプロバイダーを設置して、GitHubActionsから送られてくるトークンを検証、識別して必要なロールを渡す という機構を構築していきます。 1. CDKでOIDCプロバイダーと必要なロールをデプロイ パイプ
はじめに 突然ですが、「ヘイ!ダギー」をご存じでしょうか。 Disney制作の知育アニメなのですが、子供がどハマりするついでに私もハマっています。 非常にコミカルでポップ、軽快な音楽とストーリーで飽きずに観ていられます。 ※公式サイトより抜粋 犬のダギーのチビッコ園に、個性豊かでゆかいな子どもたちが大集合! ~中略~ みんな、優しく見守っていてくれるダギーが大好き! 一日の終わりには、頑張ったごほうびとしてダギーからバッジがもらえるんだ。 「 頑張ったごほうびとしてダギーからバッジがもらえるんだ。」 ということで、楽しくチャレンジをしていろんなバッジを集めることができるアプリを作ってみました。(Googleアカウントですぐに始められます!) Happy Badge ※PWAに対応していますので、「ホーム画面に追加」するとアプリのように利用できおススメです。 ホーム画面への追加方法 できるこ
前書き Discord Botコトハジメ。趣味記事です。 メンションするとあらかじめ設定された数パターンの中からランダムに返信を返すDiscord Botを実装します。 下準備 Python実行環境の構築 Discord側の準備 Botアカウントの作成 DEVELOPER PORTALにアクセス、ログインします。 右上の[New Application]をクリック モーダルウィンドウが開くのでbot名を入力し、[Create]ボタンをクリックします。 [Bot]タブを開き、[Add Bot]をクリック。その後、[Yes, do it!]をクリックして続行します。 今回は個人用のデモBotのため、[PUBLIC BOT]はオフに設定します。 Privileged Gateway Intentsにもチェックを入れておきます。 tokenの取得 [Copy]ボタンをクリックするとクリップボードに
![[Python]Discord Botのつくりかた - Qiita](https://cdn-ak-scissors.b.st-hatena.com/image/square/a1e43e8aa697f3210a2300cc0cd2856522519923/height=288;version=1;width=512/https%3A%2F%2Fqiita-user-contents.imgix.net%2Fhttps%253A%252F%252Fcdn.qiita.com%252Fassets%252Fpublic%252Farticle-ogp-background-412672c5f0600ab9a64263b751f1bc81.png%3Fixlib%3Drb-4.0.0%26w%3D1200%26mark64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZ3PTk3MiZoPTM3OCZ0eHQ9JTVCUHl0aG9uJTVERGlzY29yZCUyMEJvdCVFMyU4MSVBRSVFMyU4MSVBNCVFMyU4MSU4RiVFMyU4MiU4QSVFMyU4MSU4QiVFMyU4MSU5RiZ0eHQtYWxpZ249bGVmdCUyQ3RvcCZ0eHQtY29sb3I9JTIzMUUyMTIxJnR4dC1mb250PUhpcmFnaW5vJTIwU2FucyUyMFc2JnR4dC1zaXplPTU2JnM9NDQxZjY3MzZiMzYzZDQzZDliYzZmZWNiNThmYjhlYTc%26mark-x%3D142%26mark-y%3D57%26blend64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZoPTc2Jnc9NzcwJnR4dD0lNDBzaG93bl9pdCZ0eHQtY29sb3I9JTIzMUUyMTIxJnR4dC1mb250PUhpcmFnaW5vJTIwU2FucyUyMFc2JnR4dC1zaXplPTM2JnR4dC1hbGlnbj1sZWZ0JTJDdG9wJnM9ZGZmNzk5ZWE2ZTU0M2I1ZGQ1OWY3MTQxY2FlZmM5ZjA%26blend-x%3D142%26blend-y%3D436%26blend-mode%3Dnormal%26txt64%3DaW4g5qCq5byP5Lya56S-44Oq44OQ44ON44K544OK44Os44OD44K4%26txt-width%3D770%26txt-clip%3Dend%252Cellipsis%26txt-color%3D%25231E2121%26txt-font%3DHiragino%2520Sans%2520W6%26txt-size%3D36%26txt-x%3D156%26txt-y%3D536%26s%3D77e66b520294b75831e6843785027e57)
pythonフォルダをzipに圧縮します。任意のファイル名でOKです Lambdaのメニューからレイヤーを選択します レイヤーの作成から、レイヤー名称は任意、zipファイルは先ほど4.で作成したファイルをアップロード。ランタイムはPythonを選択して作成ボタンを押下します。 作成中の関数に戻り、コードタブの最下段「レイヤー」で「レイヤーの追加」から先ほど作成したレイヤーを選択します。 これで、関数からGoogleの認証やカレンダーAPIが呼び出せるようになります。 コードを記述する こちらはいつものとおりChatGPT 4o で作成してもらいました。毎度のことですが、紆余曲折あってすんなりとは動きません。が、完成したのが以下のコードとなります。 import json import os import csv import urllib.request import urllib.par
Einstein Copilot と Data Cloud Vector Database を連携する - フレクトのクラウドblog re:newal
こんにちは。エンジニアの山下です。 今回は Einstein Copilot と Data Cloud Vector Database を連携する方法について書こうと思います。 Einstein Copilot は Salesforce が提供する LLM によるアシスタントサービスで、チャットベースで LLM に指示を行うことで、自然言語によるレコード検索やメールの文面の下書きなどを行なうことができます。地味に手間のかかる作業を LLM に一任できるため、Salesforce を普段使いする人に重宝されそうなサービスです。 Einstein Copilot の微妙な点は、デフォルトで搭載されている検索機能が CRM レコードのみを対象としており、Data Cloud のデータを検索するためには利用することができないことです。 Data Cloud に取り込んだ外部データを Einstei
システム開発に取り組まれている皆さま、情報セキュリティに関する事故を最小限に留めることを目的として、開発のテスト工程で事前に発見した脆弱性に対処できる、セキュリティ診断サービスの報告書を有効に活用されていますか? また、危険度の高い脆弱性がセキュリティ診断サービスで発見された際にはシステムのリリースに大きな影響を与えることになりますが、これを最小限に留めるためにシフトレフトに取り組まれていますか? さらに、開発の上流工程で脆弱性に対して先手を打つ、セキュリティ・バイ・デザインをご存じでしょうか? セキュリティ・バイ・デザインは、これまでのシステム開発でも取り入れられてきた概念です。しかし、皆さまにとって、“開発の上流工程で先手を打つ”ことが一般的によい施策であることをイメージできるものの、実際に得られる効果は想像しづらい(効果測定しづらい)と感じることはないでしょうか。 一方、開発の後工程
はじめに スマホのアプリ開発を行っていると、最近はクラウドとの連携が必要になる場合がほとんどです。 その際、ログインアカウントをどうするか、という問題に突き当たります。 私が公開しているLiveCapture3 Remoteも、内部的にAWSに接続して処理を行いますが、そこで利用したのが、Googleアカウント/Apple IDを利用してアプリサインインを行う方法です。 この方法を使用すれば、ユーザアカウント情報を自サービスで管理せずに、アプリに対して適切な権限を付与して必要最低限のAWSサービスにアクセスすることが可能になります。 今回は、AWS Cognitoサービスを使用してGoogleアカウントでサインインし、ユーザに対して適切なIAM権限を付与する方法を説明します。 AppleIDでのサインイン方法(Sign In With Apple)はこちらをご覧ください。 Googleアカ
こんにちは、PaaS Developer チームの陳です。 API Management(以下 APIM)の資格情報マネージャーを構成して、バックエンドを認証する方法について、Entra ID をプロバイダとして構成する方法を以下のドキュメントに掲載されていますが、 資格情報マネージャーの構成 - Microsoft Graph API Azure AD B2C を使用して構成する方法はないため、今回は APIM で Azure AD B2C を用いた バックエンド認証の構成手順についてまとめます。 質問 APIM での バックエンド認証には、Entra ID ではなく、Azure AD B2C を使用する予定ですが、Credential Manager とポリシーの構成方法について知りたい。 回答 本ブログは以下の流れで説明していきます。 Azure AD B2C の構成手順 APIM
ウマたん 当サイト【スタビジ】の本記事では、Pythonでスプレッドシートを操作する方法について解説していきます。スプレッドシートの面倒な作業をPythonで自動化していきましょう! こんにちは!スタビジ編集部です! この記事ではPythonを使ってスプレッドシートを操作する方法について解説します! 仕事でもプライベートでもよく利用される”スプレッドシート(Google spreadsheets)“! ただ、以下のように感じる方も多いのではないでしょうか。 スプレッドシートにデータを集めたはいいけど、手動で整理するのが面倒、、、 クラウドの利点を生かして、作業を効率化したい! こんな悩みはPythonと組み合わせることで解決できることが多いです! ウマたん Pythonでスプレッドシートを扱う方法をマスターして、面倒な作業をどんどんラクにしていこう! Pythonでの自動化については以下の
Azure Logic AppsのWorkflowをPipelineを用いてデプロイしてみた ~~Logic AppへWorkflowのデプロイ~~ - JBS Tech Blog
Azure Logic Apps(以下:Logic Appsと記載)のワークフローをAzure Pipelinesを用いてデプロイする方法について、複数回に分けてご紹介します。 前回は事前準備としてセルフホステッドエージェントの作成方法についてご説明しました。 前回の記事を見ていない方は以下よりご覧ください。 blog.jbs.co.jp 本記事では、実際にLogic Appsにワークフローをデプロイしていきます。 Azure Pipelinesとは 前提 事前準備 ワークフローの準備 Repos上にフォルダを準備 ワークフローとホストの情報を格納 API接続の事前作成 Pipelinesの作成 YAMLファイルについて Pipelinesの作成 ワークフローのデプロイ Pipelinesの実行 デプロイ後のワークフローの確認 最後に Azure Pipelinesとは はじめに、Azur
2024年度 開発研修 最優秀チームの高品質サービスを支えるインフラ構成 | CyberAgent Developers Blog
CyberAgent の グループIT推進本部 / CIU 所属の近藤です。CIU は CyberAgent 社内のクラウド基盤である Cycloud の開発・運用を行っている組織で、簡単に言うと社内用の AWS や GCP みたいなモノです!私はその中でも IaaS のレイヤを主に担当していて、最近はストレージの移行みたいなことをやっています。 さて、私は24新卒エンジニア全体研修の L チームでインフラの部分を担当していました。ここでは研修で作成したSNSアプリのインフラ構成や工夫点について説明していきます。 全体構成 インフラの全体構成は以下のようになっています。 AWSの各サービスをどのように利用しているかや、各サービス間の関係をできる限りわかりやすく書いたつもりです。ここからは領域ごとに簡単に説明していきます。 アプリケーションサーバー バックエンドのアプリケーションを動かすコン
AzCopy v10.26.0 がリリースされました
AzCopy v10.26.0 について (意訳) セキュリティ修正 セキュリティの脆弱性に対処するために依存関係をアップデートしました 新機能 AzCopy は、Red Hat Enterprise Linux (RHEL)、Ubuntu、Mariner、Debian、SUSE、Rocky、CentOS のパッケージ マネージャーを介した配布をサポートするようになりました (#2728) 依存関係のアップデート Golang 1.22.4 -> 1.22.5 azidentity 1.6.0 -> 1.7.0 不具合修正 OAuth 接続コンテナーからコピー ジョブを実行する際、AzCopy が _token_refresh_source プロパティを正しくアンマーシャリングできない問題を修正しました (#2710) 依存関係に対して宣言された CVE を自動的に検出できるよう、Azur
FedCM の更新: パソコン版 Multi IdP API、Android 版 Chrome の Button Mode API と Continuation Bundle のオリジン トライアル | Privacy Sandbox | Google for Developers
フィードバックを送信 FedCM の更新: パソコン版 Multi IdP API、Android 版 Chrome の Button Mode API と Continuation Bundle のオリジン トライアル コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。 Chrome 128 以降、パソコンでは Multi-IdP API のオリジン トライアルが開始され、Android では Button Mode API と Continuation バンドルのオリジン トライアルが開始されます。マルチ IdP 機能を使用すると、デベロッパーは 1 回の get() 呼び出しで、サポートされている複数の ID プロバイダの配列を指定できます。Button Mode API によって新しい UI が追加されました。Button Mode API を使用する
バグバウンティ初心者が最初の3カ月で読んだ記事や書籍のご紹介 - YusukeNakajimeのブログ
はじめに こんにちは。nakajimeeeeです。 バグバウンティを始めて、はや3カ月が経ちました。私の所属している会社ではプライベートのバグバウンティプログラムを開催しており、主にそのプログラムでバグを探索をしています。バグの詳細は公開できませんが、2024年4月 ~ 2024年7月の3カ月間で以下の通り、11件の脆弱性が認定されました。 クロスサイトスクリプティング(XSS)× 5 Information Disclosure × 2 オープンリダイレクト × 2 レースコンディション × 1 アクセス制御の不備(IDOR)× 1 手を動かしてバグ探索することで、オフェンシブなセキュリティの知識が身につき、かつ、報奨金がもらえることもあり、社内でバグバウンティプログラムへの参加を勧めています。ですが、興味を持ってくれる方は多いものの、実際に参加するのはハードルが高いようで、なかなか参加
スタートアップを起業したいけど、なにから始めたらいいかわからない、つくりたいプロダクトはあるけど、起業して成功できる自信がない。そのような悩みを感じながら情報収集をしているエンジニアの方は多いかと思います。 本記事では、「Developer eXperience Day 2024」(主催:日本CTO協会)にて「いつかスタートアップを起業したいエンジニアへ」をテーマにおこなわれたセッションの内容をお届けします。 このセッションでは株式会社Authleteの川崎 貴彦さんが、起業前に備えるべきことや注意点、失敗事例や成功事例などについて、ご自身の起業経験をもとにお話ししてくださいました。 川崎 貴彦さん ソフトウェアエンジニアとして、ネットワークやデータベース、Java仮想マシン、モバイルアプリ、分散システム等の開発に携わった後、OAuth 2.0 / OpenID Connectの実装を部品
はじめに 技術チャレンジ部のとも(Tomo)です。チームTPACで自動運転AIチャレンジ2024に参加中です。 チームTPACの参加メンバーを盛り上げるべく、DifyでDiscordのボットを作ってみました。 …と言ってもこちらの記事を実行しただけ(記事を書かれた方、ありがとうございます!)。 せっかくなので、AI経験0な素人の私がつまづいたところ、チーム盛り上げに効きそう点などを交えてお伝えできればと思います。 素人なので、変なことを言っていたらすいません! きっかけ たまたま生成AIのワークショップに参加する機会があり、そこでDifyを使ったAIアプリケーションのデモがありました。 また、技術チャレンジ部のLT会で、Difyを使ったAIアプリケーションで新生活をスタートされた方のお話を聞きました(感動!)。 TPACはチームも大きくなって、メンバーと大会を盛り上げていきたい! AIアプ
AthenaとStep Functionsで特定の条件に該当するユーザーを抽出してLINE公式アカウントのオーディエンスを一括作成してみた | DevelopersIO
リテールアプリ共創部@大阪の岩田です。 LINE公式アカウントのオーディエンス作成について検証する機会があったので検証した内容について共有させて頂きます。 やること こんな構成を作ります。 何かしらのシステムが顧客の属性値とLINEユーザーIDの情報を定期的にS3バケットに出力していると想定し、出力されたファイルから条件に該当するユーザーIDを抽出し、LINEのMessaging APIを利用してユーザーIDアップロード用のオーディエンスを作成する一連の処理をStepFunctionsで構築します。 このブログではシンプルに以下のようなJSONファイルが出力されている前提とし、prefが兵庫県のユーザーIDを抽出してオーディエンスを作ってみます。 サクっと検証するのが目的なのでオーディエンス作成のAPIエンドポイントはJSON指定のエンドポイントを利用します。JSON指定のエンドポイントは
Difyで作ったアプリのインターフェースとしてDiscordを利用Difyは作成したチャットボットやワークフローをアプリとして公開することが簡単にできます。Dify単体でもインタフェースを提供しているため、公開すること自体のハードルはとても低いです。 こちらの記事でDifyの機能を使ってチャット画面を簡単に公開する手順を紹介しています。 アプリを実行をするとそのままチャット画面が作れるこんな感じのチャット画面がDifyだけでできる一方で、インタフェースの好みは人それぞれで新しいインタフェースを利用することはそれだけでハードルとなり、せっかく頑張ってワークフローを作ってもタッチポイントが合わなければ利用することは少なくなってしまいます。 そこで! Difyは作ったアプリやワークフローをAPIによって利用することができるため、APIを利用して今回はDiscordとつないでみます。 DifyとD
はじめに 2023年4月に基盤エンジニアとして Ubie に入社しました nerocrux です。主に Ubie の ID 基盤の開発と保守運用を担当しています。 この記事は、2023 Ubie Engineers アドベントカレンダー 5 日目の記事となります。 Ubie では、モジュラモノリスを採用しつつ、マイクロサービスアーキテクチャも採用しており、領域によってサービスを分けて、それぞれの担当チームが開発と保守運用をしています。 クライアントから一つのリクエストを受け取ったあとに、Ubie のバックエンドではリクエストを受け取ったサービスだけがそのリクエストを処理することもあれば、別のサービスにディスパッチし、複数のサービスがひとつのリクエストを処理して結果を返すこともあります。 マイクロサービス間の通信が Ubie の内部で発生したとしても、必ずしも無制限で自由に行われていいわけで
場合によっては、両方の種類のトークンにアクセスする必要があります。例: 1 つのテナントが JWT を発行し、他のテナントが Opaque トークンを発行する複数のテナントをサポートできます。 リクエスト時にこの決定を行う必要がある場合は、AuthenticationManagerResolver を使用して次のように実現できます。 @Bean AuthenticationManagerResolver<HttpServletRequest> tokenAuthenticationManagerResolver (JwtDecoder jwtDecoder, OpaqueTokenIntrospector opaqueTokenIntrospector) { AuthenticationManager jwt = new ProviderManager(new JwtAuthenticat
SnowflakeとSaaS間のデータ連携を容易に実現!Omnataが提供するNative Apps「Omnata Google Sheets Plugin」を使ってGoogleスプレッドシートとSnowflake間のデータ連携を試してみた | DevelopersIO
SnowflakeとSaaS間のデータ連携を容易に実現!Omnataが提供するNative Apps「Omnata Google Sheets Plugin」を使ってGoogleスプレッドシートとSnowflake間のデータ連携を試してみた さがらです。 Omnataという、SnowflakeにNative Appsの形で特化した、各SaaSとのデータ連携に使用できるコネクタを提供している企業があります。 今回、Snowflake Marketplaceで公開・販売されているNative AppsであるOmnata Google Sheets Pluginを用いて、「GoogleスプレッドシートからSnowflakeへのデータロード」と「SnowflakeからGoogleスプレッドシートへのReverse ETL」を行ってみたので、本記事でまとめてみます。 Omnata Sync Engi
target や config を理解して dbt model の出力先を制御できるようになる - 30歳からのプログラミング
dbt を使おうとすると、profile や target、config、property など、様々な概念が出てくる。 それらをあまり理解できていなくても、何となく動かすことはできるかもしれない。 しかし、これらの概念を理解していないと、意図した通りに動かしたり他者が記述した設定内容を理解したりするのは難しい。 この記事では、最初は理解が難しいこれらの概念について、「model の出力先の設定」を題材にして説明していく。 dbt runした際にどこにテーブルやビューが出力されるのか、設定を読み解いて理解できるようになることを目指す。 この記事の内容は dbt のバージョン1.8.5で動作確認している。 データウェアハウスは BigQuery を使用する。 概要 どのデータウェアハウスのどのテーブルにあるデータを使うのか、データの出力先はどこになるのか。 そういった設定には「profile
Webアプリ制作チュートリアル #02「学習手順」
Webアプリケーションを作れるようになるための学習手順を書いておきます。 何をどのくらい学習すればいいかという基準にしてもらえるといいでしょう。 1. 基本的なプログラミングスキルの習得 HTML、CSS、JavaScriptの基礎を学ぶ事が基本です。 W3SchoolsやMDN Web Docsなどのチュートリアルやリファレンスリソースを利用するといいでしょう。 HTML,CSSは、基本構造と、表示クリエイティブとしてのデザインを理解して、簡単な素材や、色相についての知識を身につけましょう。 Javascriptは、簡易学習ではなく、深い領域まで知っておく事が重要です。 Webアプリケーションの仕様などが決まっているのであれば、それに基づいたJavascript知識を学習するだけでもいいですが、幅広いアプリケーション構築がしたいと考えると、フロントエンドのスキル全般の知識を学習することを
VBAからSlackに画像を投稿する - Qiita
準備 Tokenの取得 以下の記事を参考に、インストールとトークンの取得を行う。 Slackでアプリケーションを作成し、OAuth Tokenを発行するまで Bot TokenとUser Tokenはどちらでも問題ない。 Scopeはfiles:writeを選択すること。 アプリの追加 Slackの画面から、サイドバーの「アプリを追加する」をクリック。 先ほどインストールしたアプリを選択して追加。 サイドバーのAppに追加したアプリが表示されているため、右クリックしてメニューから「アプリの詳細を表示する」を選択。 詳細画面の「チャンネルにこのアプリを追加する」より投稿したいチャンネルを選択 チャンネルIDの取得 チャンネルを開いて左上のチャンネル名をクリックし、チャンネル詳細ウィンドウを表示 「チャンネル情報」タブ最下部に表示されているチャンネルIDをコピー VBAコード Const ur
TL;DR. アカウントの設定でサーバの認証を"OAuth2"にして認証アプリで認証し、Thunderbirdを登録すればいい。 基本的に使ってないMicrosoftアカウント用のOutlookのメールにこんなメールが来た。 言うまでもないがこんなもんフィッシングをまず疑うべきで、不用意にリンクをクリックしたりしてはいけない。同様の例がないか検索してみる。 と、どうやら本当に、OAuth2なる新しい認証方式にしないといけないらしいので下記サイトを参考に変更した。 https://www.g-ipc.shimane-u.ac.jp/_files/00220781/office365_mfa_set_thunderbird_modern.pdf 内容は簡単である。ThunderbirdでOutlookのアカウント設定を開き、セキュリティ設定の認証方式を「OAuth2」にする。するとMicros
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Microsoft Entra IDに重大なセキュリティリスク 特権昇格の危険性
Cloudflare WorkersでサーバーレスPythonアプリを構築してみよう | gihyo.jp
xID、デジタル庁の「デジタル認証アプリ」を活用したい民間事業者向けの”署名API利用ソリューション”を提供
Build Your Own SMTP Server in Go
Windows 版 Chrome で Cookie のセキュリティを向上させる
Google Calendar API を用いた日報作成の半自動化
AIで自分だけのバッジを集めよう!子供と一緒に楽しめる「Happy Badge」 - Qiita
[Python]Discord Botのつくりかた - Qiita
akippaの予約CSVからGoogleカレンダーに転記するLambda関数 #2 - Qiita
「シフトレフト」の始め方|設計工程で作りこまれる脆弱性にどう対処するか?
【AWS】GoogleアカウントでAWSサービスに接続する
API Management で Azure AD B2C を利用した認証の構成手順について
【目指せ自動化】Pythonでスプレッドシートを操作して書き込み・読み込みを行う方法!|スタビジ
いつかスタートアップを起業したいエンジニアへ|Tech Team Journal
素人がチームを盛り上げるDiscordボットをDifyで作ってみた - Qiita
DifyとDiscordを連携させてみよう!|marumarumaru
マイクロサービス間通信における認証認可およびアクセス制御
OAuth 2.0 リソースサーバーマルチテナンシー: : Spring Security - リファレンス
Thunderbirdを使っていたらOutlookから「アクションが必要です」とメールが来たので対応した。 - 悪霊にさいなまれる世界 -The Demon-Haunted World