JetBrains社が提供している統合開発環境で詳しくは先人たちが紹介してくれている なんなら説明不要のIDEである。 ペアプログラミング 複数人で同時にプログラミングすること 昔は一台の端末に複数人がそれぞれキーボードをつなげてワイのワイのコーディングをしていたらしい。 基本的には ・教える人 ・教わる人 という役割を決めてペアを組んで行うそうな。 リモートペアプログラミング キーボードを端末に複数台つなぐのではなく、ネットワークにて一台の端末に接続して 同時にプログラミングをすること。 2020年は特に重要な要素でもあると思う。 JetBrains社が公式でペアプロ用プラグインの試用版をリリースした 個人的にはIDEといったらJetBrains系に勝るものはないと思っているのですが。 ペアプログラミングという面に関しては、なかなかよさげなものがない。 サードパーティ製のプラグインでCo
NTT東日本-IPA「シン・テレワークシステム」(新型コロナウイルス対策リモートワーク実証実験) |法人のお客さま|NTT東日本
「シン・テレワークシステム」を使えば、職場や大学のパソコンに自宅から 安全にアクセスし在宅勤務や研究等の継続をすることができます。 NTT東日本と独立行政法人情報処理推進機構(以下、IPA)は、新型コロナウイルスに関する政府の緊急事態宣言や在宅勤務への社会的要請を受け、国内の多くの方々の感染拡大防止と事業継続を支援するため、契約不要・ユーザー登録不要の、直ちに利用可能な、無償のシンクライアント型VPNを活用しテレワークを支援する「シン・テレワークシステム」を迅駛に開発し、提供を開始しました。本システムは、実証実験を延長しております。なお終了する場合は終了の6ヵ月前までにお知らせすることといたします。 本システムは、NTT東日本コロナ対策プロジェクト 特殊局(仮設)およびIPA 産業サイバーセキュリティセンター サイバー技術研究室が共同で構築し、筑波大学OPENプロジェクト、KADOKAWA
同根のバグレポートが散見されますが、ここ数ヶ月、状況をみるに修正される見込みがなさそうなので記録しておきます。 事象 MySQL 5.7 の libmysqlclient (libmysqlclient.so.20) を使用しているプロセスが、無限ループに突入して CPU (user%) を食いつぶし続ける。 PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 28150 hirose31 20 0 32488 6080 5492 R 93.8 0.3 0:16.70 mysql 発現条件 MySQLが提供しているパッケージのMySQL 5.7.25, 5.7.26, 5.7.27 で確認。 Ubuntu 18.10, mysql-community-client 5.7.25-1ubuntu18.10 Ubuntu 18.04, m
AWSの無料SSL証明書サービス”Certificate Manager”をELBに設定して『https』になるか確認してみる | DevelopersIO
こんにちは、初心者向けシリーズです。 今回はAWSの無料SSL証明書サービス”Certificate Manager”をELBに設定してみようと思います! そもそもSSL証明書とは? SSLとは、ブラウザとウェブサーバ間でデータの暗号化をする仕組みのことです。 インターネット上で送受信される個人情報や、クレジットカード情報等を暗号化して通信を行うことで、盗聴や情報改ざんを防ぐ役割を持っています。 SSL証明書が適用されてるサイトはHTTPSで通信されることになり、URLの頭に「https://~」と、鍵マークが表示されます。 認証レベル(方式)により、3タイプに分かれます。 ドメイン認証 個人・法人で発行可能。問い合わせフォーム等の各種フォームやイントラネット等で利用がおすすめ。 企業認証 法人のみ発行可能。個人情報やクレジットカード等の入力が必要なサイトにおすすめ。 EV認証 法人のみ発
REST API Design Best Practices Handbook – How to Build a REST API with JavaScript, Node.js, and Express.js
I've created and consumed many API's over the past few years. During that time, I've come across good and bad practices and have experienced nasty situations when consuming and building API's. But there also have been great moments. There are helpful articles online which present many best practices, but many of them lack some practicality in my opinion. Knowing the theory with few examples is goo
【早めに準備を!】2020年にAmazon Relational Database Service (RDS)/Amazon AuroraでSSL/TLS証明書をアップデートする必要が生じます | DevelopersIO
先日のDevelopers.IO 2019 TOKYOのランチ時に出てきたお弁当の中身が、実質1/2白米という半ライス状態だった事に驚きを隠せませんでした。え?半ライスってそういう事じゃなく? ▲ でも美味しかった 「うーん……白米とおいなりさんで米がダブってしまった」と脳内で呟いていた、AWS事業本部のShirotaです。ご飯に甘いもの、と聞くとちょっと気後れしてしまいますがおいなりさんは大好きです。 2020年3月5日、RDSで利用しているSSL/TLS証明書が期限を迎えます さて、見出しの通り 2020年3月5日 、現行のRDSで利用されているSSL/TLS証明書(CA証明書)が期限を迎えます。 現行のCA証明書は rds-ca-2015 となっている筈で、RDSのコンソールの「Connectivity& security」欄から確認できます。 この証明書の期限が切れる為、AWSでは
ランサーズ Advent Calendar 2019 19日目担当の@manamin0521mです! サーバーサイド力を上げていくぞ💪という機運なのと、ネットワークがわからなくて詰んだことが立て続けにあったので、最近はマスタリングTCP/IP 入門編 第5版を読んでいます。そこで今回はこちらの本を読んで学んだネットワークについて紹介します。 ネットワークの勉強をする上で躓くのは以下の3点ではないでしょうか? ①知識がどう役立つのかよくわからない ②何に使われているのかわからない ③用語が難しくて覚えるのが大変 そこで今回の記事ではそれらのギャップを埋められればと思います。初学者の方対象です。 ネットワークの知識がなくて困ったとき ・AWSの構成図がいまいち読めない ・ポートとIPアドレスの違いがいまいち説明できない ・IPアドレスを固有のものだと思いこんでいて認識がズレる ・雰囲気でdo
関連キーワード サイバー攻撃 | ハッキング | セキュリティ 無料でSSLサーバ証明書を発行する認証局(CA)「Let's Encrypt」について、ドメイン所有権の検証方法に脆弱(ぜいじゃく)性があることが分かった。サイバー犯罪者は実際に所有していないドメインのSSLサーバ証明書を取得できる可能性があるという。脆弱性は、ドイツの研究機関であるフラウンホーファー研究機構のサイバーセキュリティ分析部門が見つけた。 意図的に検証を失敗させる巧妙な手口
急に外部APIとの通信が "dh key too small" で失敗するようになったのはなぜ? - BANK tech blog
こんにちは。最近TRAVEL Nowの開発にも顔を出すようになったうなすけです。今回はTRAVEL Nowの開発において発生した問題について書こうと思います。 外部API連携部分で突然のエラー TRAVEL Nowでは、外部のOTAと連携し、旅行商品を皆さんに提供しています。 そんな数多くのAPIのうち、ある特定のAPIで次のような例外が発生して通信ができなくなってしまいました。 OpenSSL::SSL::SSLError (SSL_connect returned=1 errno=0 state=error: dh key too small) それも、本番環境でのみ発生します。 始めはこのエラーについてよく理解しておらず、 http.verify_mode = OpenSSL::SSL::VERIFY_NONE を指定してみたり、 apt install ca-certificate
ブラウザプラグインのFlash Playerは2020年末でサポートが終了しました。そのことにより、Flashコンテンツをブラウザで再生する手段がなくなっています。 筆者はBeautiflビューティフルというウェブサイトを個人的に運用しています。Beautiflは、ユーザーが投稿したFlash作品を紹介するギャラリーサイトです。Flash Player終了によってウェブサイトの目的であるFlashの再生体験ができなくなるので、窮地に陥りました。Flash Playerの終了は2017年にアドビが決定したことで覆せないので、ウェブサイト側として次の3つの対策を行いました。 FlashをHTMLで再生可能にする Flashをビデオとして残す SWFファイルをダウンロード可能にする 本記事ではウェブでFlashコンテンツをどうやって残していこうとしたのか、そのアプローチを紹介します。 Beaut
Rails 6.1のDocker開発環境構築をEvil Martians流にやってみた(更新)|TechRacho by BPS株式会社
更新情報 2019/11/20: 初版公開 2021/03/25: Rails 6.1.3.1に合わせて更新 2021/04/06: Ruby 3.0.1に更新 先々月に公開したこちらの翻訳記事の実践編ということで。試行錯誤しているうちにRailsが6.0.1になりました。 クジラに乗ったRuby: Evil Martians流Docker+Ruby/Rails開発環境構築(翻訳) Docker Desktop for Macについて これまではピュアな環境を求めてParallels Desktop for MacのUbuntu VM上でDockerを使っていたのですが、久しぶりにDocker Desktop for Macを使ってみると速度や使い勝手が随分よくなっていて驚きました。 Docker Desktop for Macの方がUbuntu VMのDockerよりビルドが速い(体感で
Amazon RDS Proxy for Scalable Serverless Applications – Now Generally Available | Amazon Web Services
AWS News Blog Amazon RDS Proxy for Scalable Serverless Applications – Now Generally Available At AWS re:Invent 2019, we launched the preview of Amazon RDS Proxy, a fully managed, highly available database proxy for Amazon Relational Database Service (RDS) that makes applications more scalable, more resilient to database failures, and more secure. Following the preview of MySQL engine, we extended
はじめに これまでG Suiteでメールアカウントの運用をしてきました。独自ドメインも使えるうえに無償だったのでとても重宝していましたが、無償利用も2022年5月で終わりそうな状況です(2022年2月時点)。 このご時世、うかつにメールサーバを自前で建てるのも大変そうだし、どこかによさそうなコンテナイメージはないものか探したところ、docker-mailserverが全部入り&お手軽でよさそうでした。 令和4年2月版として、ソースを漁りながら利用方法調査したので、まとめておきます。 docker-mailserver これはなにもの? メール送受信に必要なものがまるっと一式入った便利なイメージです。元はtvial/docker-mailserverという名前だったようです。 pros さくっとpostfix, dovecotを立ち上げられる fail2ban, DNSBLもオプションで有効
はじめに 現在進行形でC#のみを使って個人でソシャゲ作りを試しているyoship1639です。 本記事はQiita夏祭り2020「〇〇(言語)のみを使って、今△△(アプリ)を作るとしたら」のテーマに沿った内容となっています。 近年のソーシャルゲーム界隈は多様化が進んでクライアントサイドだけではなくサーバーサイドもあらゆる言語やフレームワークが試みられていますが、クライアントもサーバーも統一の言語で構成されているのはほとんどないかと思われます。言語にはその言語の得意分野があると思うので。 しかし、今まさに私が開発中の環境が好きな言語で開発しやすいという理由でクライアントもサーバーもC#で構成した作りになっているので、どのような構成でどうすれば最低限のソシャゲの基盤が作れるかを、解説が長くなり過ぎないようにまとめることが出来ればと思います。 三部構成で、クライアント実装、サーバー実装、AWS
俳句bot (nostr) nostr の日本リレーを監視し、投稿を 575 または 57577 判定し、引用でお知らせする。狙った俳句ではなく、天然物の俳句がマッチするとウケが良い。 Go で実装。内部では go-haiku を使って俳句を判定。監視は日本語の投稿が流れる日本のリレーをお借りしている。普通の Go アプリなので golan:1.20-alpine でビルドして scratch でイメージ作成。 # syntax=docker/dockerfile:1.4 FROM golang:1.20-alpine AS build-dev WORKDIR /go/src/app COPY --link go.mod go.sum ./ RUN apk add --no-cache upx || \ go version && \ go mod download COPY --link
Serverless.inc 社より、Serverless Components がついに GA されました。 近年のアプリケーション開発では、いくつかの SaaS を組み合わせることで超高速に開発を行うことができます。例えば「認証は Auth0、ホスティングは Netlify、バックエンド API は AWS Lambda を使用する」といった具合です。このように複数のサービスを組み合わせることで、Undifferentiated Heavy Lifting な作業を排除できます。開発者は価値を生み出すビジネスロジックにのみ集中できるようになるのです。 以下はサーバレスアーキテクチャの例です。複数の SaaS を組み合わせて構築しています。 SaaS を組み合わせるだけで、一定の機能群を作り上げることができる時代になりました。しかし、それにしても複雑な管理は残ります。アプリケーション開発
AWS Client VPN はリモートアクセスVPNを実現するためのAWSサービスです。 クライアントPCから AWSの各種リソースに安全にアクセスすることができます。 さて、実際に AWS Client VPNの作業手順などを調べてみると、 サーバー/クライアント証明書 や プライベートキー 、 認証局 などといった用語 がどんどん出てきます。 これらは全て AWS Client VPNに必要な要素です。 が、 これらがどのように関わり合って AWS Client VPNを実現しているのか はこれら手順を読んでも、中々理解するのは難しいものがあります。 そこで本記事は AWS Client VPNの中心技術である SSL について主に解説してみます。 SSLで使用される サーバー証明書 や 認証局 などがどんな役割を持つのかを理解していただき、 AWS Client VPN(SSL-V
ウン十万接続のECSサービスを平和にアップデートしたい - Nature Engineering Blog
こんにちは大塚(@maaash)です。7月からCTOに復帰しました。引き続きよろしくお願いいたします。 これは第2回 Nature Engineering Blog 祭11日目のエントリです。 昨日はファームウェア・エンジニアの村田さんによる Matterでやりたかったけどできなかったこと - Nature Engineering Blog でした。 今日のお話は、話題の新製品Remo nanoやMatterとは関係ありません。 背景 先週、黒田さんが ウン十万接続のALB SSL証明書を平和に更新したい - Nature Engineering Blog を書いてくれました。 その話は ALBを二台用意して緩やかに接続を移行するようにしたら、大変平和になって僕もみんなもハッピーになった。 という話でした。ALB blue-green deploymentを使うと、ウン十万のRemoたちが
ISUCON9 予選問題の解説と講評 : ISUCON公式Blog
予選の問題作成を担当したメルカリのkazeburoです。 ISUCON9の予選に参加していただいた皆さま、ありがとうございました。 お楽しみいただけましたでしょうか。 また、主催の941さんをはじめとするLINEの皆様、ポータルの作成と運用をやっていただいたさくらインターネットの皆様、問題作成と事前回答に協力にいただいた皆さま、サーバ環境を提供していただいたアリババクラウドの皆さま、本当にありがとうございました。 問題の公開今回の予選問題のソースコード、データ、およびプロビジョニングに使用した設定ファイルなどは以下のリポジトリで公開しております。アプリケーション、ベンチマーカーを起動する手順もありますので、手元で挑戦することもできるかと思います。 https://github.com/isucon/isucon9-qualify 蛇足ですが、本リポジトリのコミット数は1,700以上、PRも
ラズベリーパイを使ったIoTシステムに脆弱性があると指摘があったためセキュリティ対策を施した話 - West Gate Laboratory
概要 先日のブログで記事を書いた、ラズベリーパイを使って作ったIoTシステムに「脆弱性がある」と指摘を受けたので、素人ながら調べつつ最低限のセキュリティ対策を施した話。 westgate-lab.hatenablog.com (ちなみに、上の記事ははてなブログの週間ランキング2位になってしまった) 今週のはてなブログランキング〔2020年2月第1週〕 - 週刊はてなブログ 背景 先日上記のブログ記事を公開したところ、「システムに脆弱性がある」という指摘を多々頂いた。システムというのは、「ラズベリーパイでインターホンを監視して、呼出音を検知したら条件に応じて解錠ボタンを押す」というものである。 もともとは、予定された配達か否かで2通りの解錠方法を考えていた。 予定された配達の場合(廃止済み) 予定していなかった配達の場合(現行版は常にこれ) 受けた指摘は主に2つ。 もともと予定された配達時間
数年前からGoogleは「Progressive Web Apps」(PWA)という技術を提唱してその普及を推進している。PWAはネイティブアプリケーションのように動作するWebアプリケーションであり、オフラインでも動作し、プッシュ通知などの機能も利用できる。本記事ではこのPWAの中核となる技術の解説と、PWAに対応したWebアプリケーションを作成するための流れを紹介する。 「Progressive Web Apps」(PWA)とは 一昔前は「ネットサービス」といえばPCのWebブラウザからアクセスして利用するものがほとんどだった。しかし、スマートフォンが普及した昨今では多くのサービスがスマートフォン向けの対応を行っている。今ではPCからのアクセスよりもスマートフォンからのアクセスのほうが多いサービスは珍しくなく、スマートフォン向けの専用アプリを用意しているサービスも多い。 とはいえ、ネイ
※こちらは初代ATOM Camに関する記事になります。 技術的に共通する部分も多いですが、ATOM Cam2に関する記事は ↓こちらに記載していますのでこちらもどうぞ はてなブログに投稿しました #はてなブログ ATOM Cam2が届いた&赤外線問題の検証 - honeylab's blog https://t.co/M9OHyihAP7 — ひろみつ(honeylab) (@bakueikozo) 2021年5月20日 ---------------------------- 激安防犯カメラ「ATOM Cam」 一部界隈で話題になった、クラウドファンディング形式で発売することが報じられ、一時期は達成は全然無理かと思われた「ATOM Cam」ですが internet.watch.impress.co.jp 最終的には十分な投資を集めて無事発売、にこぎつけたようです。 そして、こちらの製品を
golangで作るTLS1.2プロトコル
はじめに 前回自作でTCPIP+HTTPを実装して動作を確認することができました。 しかしご覧頂いた方はおわかりのように、通信はHTTP=平文でやり取りされておりパスワードなど機密情報が用意に見れてしまう状態です。 普段我々がブラウザに安心してパスワードを入力しているのは通信がTLSで暗号化されているからです。ではそのTLSの仕組みはどうなっているのでしょう? 恥ずかしい限りですが僕はわかりません。😇😇😇 ということで以下を読みながらTLSプロトコルを自作してみてその仕組みを学ぶことにします。 マスタリングTCP/IP情報セキュリティ編 RFC5246 プロフェッショナルSSL/TLS 今回の実装方針です。 TLS1.2プロトコルを自作する 暗号化などの処理はcryptパッケージの関数を適時利用する tcp接続にはconnectを使う 鍵交換はまずRSAで作成する TLS_RSA_W
Cloudflare で mTLS を利用する
Cloudflare で mTLS を利用するのがあまりにも簡単だったので書いておきます。 mTLS について 一般的に TLS を利用する場合は「クライアントがサーバーから送られてきた証明書を検証する」という仕組みを利用し、 信頼できる機関が発行した証明書を利用しているかどうかや証明書のドメインが一致しているかどうかなどを確認します。 mTLS (mutual TLS) というのは TLS 利用時に「クライアントから送られた証明書をサーバが検証する」という仕組みです。 つまりサーバーがクライアントがわから送られてくる証明書を確認するというフェーズが挟み込まれます。 この証明書自体は何を使ってもよく、オレオレ証明書でもかまいません。 クライアント側に証明書を設定するという仕組みです。VPN とかを利用したりする方は経験があるかもしれません。 mTLS はめんどくさい クライアント側に証明書
はじめに 『プロフェッショナルTLS&PKI改題第2版(原題: Bulletproof TLS and PKI Second Edition)』が出版されました。今回は出版前のレビューには参加していませんが、発売直後にラムダノートさんから献本をいただきました。ありがとうございます(そのためタイトルにPRを入れてます)。原著のサイトでは前バージョンとのDiffが公開されており、今回は翻訳の確認を兼ねて更新部分を重点的に読みました。このエントリーでは、改訂版のアップデート部分がどのようなもので、今後どう学んだらよいかということを中心に書いてみたいと思います。 短いまとめ: HTTPSへの安全意識が高まっている今だからこそ『プロフェッショナルTLS&PKI』を読みましょう。 長文注意!: 書いているうちに非常に長文(1万字以上)になってしまったので、長文が苦手な方は、GPT-4要約(400字)を
経路1 WEBサイト閲覧・誘導による感染不正なコードが埋め込まれたWebサイトを閲覧することで、マルウェアに感染することがあります。また、官公庁や企業などの正規のWebサイトが第三者によって改ざんされ、閲覧者が気が付かないうちに不正なサイトへ誘導される事例もあります。以下のような怪しいウェブサイトにはアクセスしないことをお勧めします。 ・電子掲示板やSNS上のリンクには特に注意する。 不特定多数がアクセスするため、むやみにリンクをクリックしないように気を付けましょう ・SSL証明書を利用していないサイトには注意する。 (例: 鍵アイコンとHTTPS:// で始まるものではなく HTTP:// で始まるサイト) 経路2 メールの添付ファイルやURLクリックによる感染安全だと思った電子メールの添付ファイルやWebサイトのリンクをクリックすると、マルウェアに感染するというのはニュースなどでもよ
18年目ブロガー、「副業クエスト100」管理人 高校卒業後、定職につかず、30以上の副業を実践するもすべて失敗。 コンビニのアルバイトで生活費を稼ぎつつ、「副業」をテーマにブログを始める。 記事数が100を超えるも、最初の3年間は収益ゼロ。一念発起し、ブログ運用の勉強を始める。 裏ワザや近道を探すことをやめ、徹底的なSEO対策とブログの改善により、5年目にして月収10万円を達成する。 そこからは順調に収益を伸ばし続け、2010年には年収1000万円突破。そして2014年には累計収益1億円、2020年には累計収益5億円を突破する。 しかし、常に順風満帆だったわけではなく、Googleのアルゴリズムアップデートにより、何度も収益が激減しており、そのたびにブログの刷新(ブログデザインの変更、時代に合わなくなった記事の書き直し・削除etc)を行い、高収益を維持し続けている。 基本を超徹底する王道の
つい最近(2019/10)CloudFlareがQUIC対応のQuicheをNginxで利用出来るパッチを公開したりHTTP-over-QUICがHTTP/3に改名したりで、HTTP/3がかなりアツくなってきています。 このビッグウェーブに乗るべく、CloudFlareのQuicheパッチを適用したNginxを用意して、NLB越しでQUICを喋ってみたいと思います。 もこ@札幌オフィスです。 つい最近、(2019/10)CloudFlareがQUIC対応のQuicheをNginxで利用出来るパッチを公開したりHTTP-over-QUICがHTTP/3に改名したりで、HTTP/3がかなりアツくなってきています。 このビッグウェーブに乗るべく、CloudFlareのQuicheパッチを適用したNginxを用意して、NLB越しでHTTP/3を喋ってみたいと思います。 NLBを利用してHTTP/3
Building a more private web: A path towards making third party cookies obsolete
$200K 1 10th birthday 4 abusive ads 1 abusive notifications 2 accessibility 3 ad blockers 1 ad blocking 2 advanced capabilities 1 android 2 anti abuse 1 anti-deception 1 background periodic sync 1 badging 1 benchmarks 1 beta 83 better ads standards 1 billing 1 birthday 4 blink 2 browser 2 browser interoperability 1 bundles 1 capabilities 6 capable web 1 cds 1 cds18 2 cds2018 1 chrome 35 chrome 81
JPCERT/CCは11月8日、CMSの「WordPress」に複数の脆弱性が見つかったとして最新版へのアップデートを呼び掛けた。影響度を示すCVSS v3のベーススコアは最大6.1。悪用されると、WordPressで運用するWebサイトの閲覧者が攻撃を受けたり、記事投稿者のメールアドレスを盗まれたりする恐れがある。 影響を受けるのはWordPress 6.0.3より前のバージョン。クロスサイトスクリプティングの脆弱性(CVE-2022-43497、CVE-2022-43500)、不適切な認証の脆弱性(CVE-2022-43504)が見つかった。 クロスサイトスクリプティングは、Webサイトの脆弱性を突いて攻撃スクリプトを設置し、閲覧者に悪影響を与える攻撃手法。今回の脆弱性を悪用されると、閲覧者のWebブラウザで攻撃スクリプトが実行されたり、メールを使って記事を投稿する「メール投稿」機能を
はてなブログでの独自ドメインの取得・設定方法を徹底解説! シンプルなネイキッドドメインの魅力とは?【公式】 - 週刊はてなブログ
何気ない日々の様子を書き残したり、撮りためた写真をまとめたり、あるいは、試行錯誤しながら自分らしいブログのデザインを追求したり。そうして少しずつブログに記録された記事や画像、デザインは大きな財産になります。 そんな大切なブログをより自分らしいものにしてくれるのが、独自ドメインです。はてなブログで独自ドメインを運用する場合、これまでwww.example.comのように冒頭にサブドメインの設定が必要でしたが、2020年4月以降example.comのような形でもご利用いただけるようになりました。このようにwwwなどのホスト名がつかないドメインを「ネイキッドドメイン」と呼びます。 この記事では、ネイキッドドメインの魅力から、独自ドメインを取得して、はてなブログProの独自ドメイン機能で設定する方法までじっくり解説いたします。 サブドメインなしの独自ドメインを使うメリットとは? 1. Googl
侵害されたのは9月6日以降、侵害を発見したのは11月17日。手口は、侵害されたWordPressのパスワードを使ってWordPressのレガシーコードベースのプロビジョニングシステムにアクセスするというもの。発見してすぐに攻撃者をロックアウトしたとしている。 アクセスされたと確認した顧客情報は以下の通り。 最大120万人のManaged WordPressユーザーのメールアドレスと顧客番号 WorPressの管理者パスワード アクティブなユーザーの場合、sFTPクレデンシャルとデータベースのユーザー名とパスワード アクティブなユーザーのSSL秘密鍵 GoDaddyはWordPressのパスワードと秘密鍵をリセットし、新しいSSL証明書を発行している。 【更新履歴:2021年11月23日午前10時10分 WordPressのホスティングサービスへの侵害であることが明確になるようタイトルと本文
はじめに はじめまして、@takashi-kun です。 自分が所属するチームでの連載企画 "Blog Series of Introduction of Developer Productivity Engineering at Mercari" 、今回はメルカリが成長を続けている中で多くのレガシーな技術と私達 Core SRE チームがどのように向き合っているか具体例を基に紹介します。 突然ですが、「レガシーな技術」と聞いて何を思い浮かべるでしょうか? 古いミドルウェアを利用している、昔の言語で書かれている、オンプレ環境を利用している、などなど、いろいろな定義が浮かぶと思います。 メルカリは事業スピードの加速に伴いシステムが日々拡張/拡大されていくため、「owner/maintener ともに存在しないシステム」が少なからず存在します。owner も maintener もいない中でシ
こんにちは。サービス開発室の武田です。このエントリは、2018年から毎年公開しているAWS全サービスまとめの2024年版です。 こんにちは。サービス開発室の武田です。 このエントリは、2018年から毎年公開している AWS全サービスまとめの2024年版 です。昨年までのものは次のリンクからたどってください。 AWSにはたくさんのサービスがありますが、「結局このサービスってなんなの?」という疑問を自分なりに理解するためにまとめました。 今回もマネジメントコンソールを開き、「サービス」の一覧をもとに一覧化しました。そのため、プレビュー版など一覧に載っていないサービスは含まれていません。また2023年にまとめたもののアップデート版ということで、新しくカテゴリに追加されたサービスには[New]、文章を更新したものには[Update]を付けました。ちなみにサービス数は 247個 です。 まとめるにあ
Oracle Cloudで常時無料サービスが開始されたので使ってみた。 構成は、Django+nginx+uWSGI+Oracle Database+Oracle Linux 以下の3つの環境を作ってみたので、その時の備忘録。 ローカルの開発環境 ローカルでDockerを使った開発環境 コンピュート・インスタンスでの本番環境 とりあえず、Djangoの雛形アプリにアクセスできるまでの簡易なので、 SSL対応などは省いてます。 Oracle Cloudの常時無料サービス(無料ティア)について 新しく常時無料で利用できるようになったサービスたち。 ・Oracle Cloud無償ティア | オラクル | Oracle 日本 利用できるのは、以下のようなもの。 データベース ... 20GBを2つまで コンピュート ... 仮想マシン。1/8 OCPU・1GBを2つまで ストレージ ... 合計1
MySQLの約30億レコードをRedshiftにDMSでニアリアルタイム同期した - クラウドワークス エンジニアブログ
概要 こんにちは。クラウドワークス SREチームの@kangaechuです。最近好きなラジオ番組は空気階段の踊り場です。 企業にとってデータは非常に重要です。さまざまなデータを組み合わせて分析を行うことにより、ユーザをより深く知ることができ、それによりサービスやビジネスモデルを継続的に変革することが可能になります。 クラウドワークスでも同様に、施策やマーケティング、新サービスの開発など、さまざまな取り組みの源泉としてデータを活用しています。 crowdworks.jpではマスタデータベースにAWS RDSで稼働するMySQLを使用し、分析系のデータベースにはAmazon Redshiftを使用しています。Redshiftに同期されたテーブルは約270テーブル、レコードにして約30億件あり、1か月に1.5億件のレコードが同期されています。 今回はMySQLからRedshiftへの同期の仕組み
デジタル庁が12月20日に公開した「新型コロナワクチン接種証明書アプリ」で、通信内容のデータが見られてしまうというツイートが話題になった。投稿者は該当ツイートを削除しているが、同庁はツイートについて把握しており、触れられている内容については「問題ない」との認識を示した。 投稿の内容は、同アプリの通信解析を試みたユーザーによる「アプリがサーバ証明書を確認せずに情報送信しているから、SSLインスペクション(暗号化通信の復号)で送受信データが読めてしまう」というもの。しかし、このツイートに対し「ピンニングをしていないだけでは」との指摘が相次いだ。 ピンニングとは、特定の証明書のみに限定して通信するもので、一時期はセキュリティに対して効果があるとされていたが、近年では別のリスク面からピンニングしないケースも多いようだ。同アプリはピンニングせずに通信しているが、アプリの送信データ自体は暗号化されてい
ZOZOテクノロジーズSRE部の市橋です。普段は主にAWSを用いて複数プロダクトのシステム構築、運用に携わっています。今回は2020年2月にリリースされたZOZOMATについて、システム構成と開発時に直面した課題、その課題を解決するために工夫した点について紹介します。 ZOZOMATではEKSやgRPCを新規に採用しており、これによって仕様の変更に強くなる、通信のオーバーヘッドを削減できるなど様々なメリットを享受できました。しかし導入時に一筋縄ではいかないことがあったため、今回苦戦した点についてご紹介できればと思います。 ZOZOMATとは お客様の足を3Dで計測するために開発された計測用マットです。ZOZOMATでの計測情報をもとに、靴の推奨サイズを参照するなどのサービスをご利用いただくことが可能です。ご興味のある方はこちらをご確認ください。 ZOZOMATのシステム構成 システムの全体
はじめに この記事では、7月にリリースした、さくらのクラウドで使える機能の1つである「エンハンスドデータベース(TiDB)」というサービスについて紹介します。サービスの紹介に加えて、その裏で使っているTiDBという分散データベースの技術についても簡単に触れようかなと思っています。 分散データベース / NewSQLについて NewSQLとは さて、皆さんは「分散データベース」とか、あるいは「NewSQL」とか、そういった単語を耳にすることがあるでしょうか?ということでまずはこのお話をしたいと思います。 NewSQLと呼ばれているものはどういったものかといいますと、SQLをインターフェースとするという特徴を持っていて、データベース(例えばMySQLやPostgreSQLなど)と同じように強い整合性を持ち、トランザクションをサポートしていて、かつ分散データベース(分散型のリレーショナルデータベ
“AWS 上で静的な Web サイトを公開しよう!” 編を公開しました!- Monthly AWS Hands-on for Beginners 2020年5月号 | Amazon Web Services
Amazon Web Services ブログ “AWS 上で静的な Web サイトを公開しよう!” 編を公開しました!- Monthly AWS Hands-on for Beginners 2020年5月号 こんにちは、テクニカルソリューションアーキテクトの金澤 (@ketancho) です。この記事では、先日公開した AWS の各サービスを使って簡単な Web サイトを作成し、それをインターネット上に公開するハンズオンを紹介していきます。 HTML や CSS を使った Web ページを作ったけどそれを簡単に公開するにどうすればいい?という開発者の方々 AWS で CDN や DNS の設定を行うにはどうすればいいの?というエンジニアの方々 にぴったりなコンテンツになっておりますので、ぜひご視聴いただければと思います。 AWS Hands-on for Beginners シリーズ一
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ついにJetBrains系IDEでペアプロができるようになりそう - Qiita
MySQL 5.7でクライアントプログラムがCPUを食いつぶす件 - (ひ)メモ
図解!ネットワークの7層を実務に当てはめてみた - Qiita
無料SSLサーバ証明書発行のLet's Encryptに脆弱性 犯罪者が悪用する“穴”とは?
Flash作品を残すために取り組んだこと - プラグイン無しでFlashを再生できるJSライブラリを採用して - ICS MEDIA
docker-mailserverをさくっと立ち上げる(令和4年2月版)
C#のみを使って、今ソーシャルゲームアプリを作るとしたら - Qiita
nostr と Bluesky に7つ bot を作り k8s で稼働させた
Serverless Components はオレたちの未来を劇的にスケールさせるか - Qiita
SSLを改めて理解してから AWS Client VPN に挑む | DevelopersIO
ネイティブアプリ風Webアプリ「PWA」を実現する3つの技術 | さくらのナレッジ
ATOM Cam解析準備 - honeylab's blog
書評 プロフェッショナルTLS&PKI 改題第2版 (PR) - ぼちぼち日記
【マルウェアの代表的な6つの感染経路別】多層防御アプローチによる対策一覧まとめ
グーグルが公式発表している「すごい資料」、SEO対策のポイント11選
Nginx+NLBでHTTP/3環境をAWSに作ってみた | Developers.IO
WordPressに複数の脆弱性 クロスサイトスクリプティングで閲覧者・投稿者が影響受ける恐れ
GoDaddyにデータ侵害、最大120万人のWordPressホスティングユーザーの個人情報が漏えい
レガシーなシステムとの向き合い方 | メルカリエンジニアリング
【2024年】AWS全サービスまとめ | DevelopersIO
Oracle無料ティアでDjango+Nginx+uWSGIでサーバを立ててみる - Qiita
接種証明アプリの通信内容が見えてしまう? デジ庁「他人からは見えず問題ない」
ZOZOMATにおけるEKSやgRPCを用いたシステム構成と課題解決 - ZOZO TECH BLOG
今すぐ使える分散DB「エンハンスドデータベース(TiDB)」のご紹介 | さくらのナレッジ