Webサービス公開前のチェックリスト
個人的に「Webサービスの公開前チェックリスト」を作っていたのですが、けっこう育ってきたので公開します。このリストは、過去に自分がミスしたときや、情報収集する中で「明日は我が身…」と思ったときなどに個人的にメモしてきたものをまとめた内容になります。 セキュリティ 認証に関わるCookieの属性 HttpOnly属性が設定されていること XSSの緩和策 SameSite属性がLaxもしくはStrictになっていること 主にCSRF対策のため。Laxの場合、GETリクエストで更新処理を行っているエンドポイントがないか合わせて確認 Secure属性が設定されていること HTTPS通信でのみCookieが送られるように Domain属性が適切に設定されていること サブドメインにもCookieが送られる設定の場合、他のサブドメインのサイトに脆弱性があるとそこからインシデントに繋がるリスクを理解してお
2023年11月9日、いなげやは同社一部店舗で掲示していたポスターなどに記載されたQRコードへアクセスした際、予期せぬ不正サイトに誘導する広告が表示され、クレジットカード情報が盗まれる被害が発生したと公表し注意を呼びかけました。ここでは関連する情報をまとめます。 短縮URLサービス中の広告表示を起因とした事案か いなげやはネットスーパーの入会案内として、入会用サイトへアクセスさせるため店頭展示していたポスターや配布していたチラシにQRコードを掲載していた。このQRコードを読み込んだ際に、予期せぬ不正なサイトに誘導する広告が表示される場合があり、今回この不正なサイトを通じてクレジットカード情報を盗まれる事案が発生したとして顧客に対して注意を呼び掛けた。また万一クレジットカード情報を誤って入力するなどしてしまった際はカード会社に連絡を取るようあわせて案内を行っている。*1 同社が公表した資料中
最近見つけた現象で既に論じられているかと思ったがちょっと解説が見つからなかったのでまとめておく。 手短に X(旧Twitter)クライアントで表示されるTwitterカードについてカードに表示されるドメインとは違うページにリンクさせる手法が存在する この手法は第三者のTwitterカードを利用することができる つまり悪用者は第三者のTwitterカードを表示させながら自身の意図するページに閲覧者を誘導することができる これはフィッシングの手法になりうる 見つけたツイート 以下のツイートはGoogle、Bloomberg、日経ビジネスのTwitterカードが添付されているがクリックするとそれらとは異なる情報商材サイトにジャンプする。リンク先に危険な仕組みはないと思われるがクリックは自己責任で。念を入れたい人は curl -L で。 PCブラウザでカーソルを合わせてもXの短縮URLサービスであ
個人開発で参考になるNext.jsリポジトリ10選
OpenStatus - ステータスページ App Router Turborepo Drizzle Clerk tRPC Tailwind shadcn/ui LLM Report - OpenAI モニタリング App Router Prisma NextAuth shadcn/ui Stripe Dub - URL 短縮 App Router Turborepo Prisma NextAuth Tailwind Stripe slug - URL 短縮 Prisma NextAuth tRPC Tailwind Cal.com - 日程調整 Turborepo Prisma NextAuth tRPC Tailwind Taxonomy - ブログ App Router Prisma NextAuth Tailwind Rowy - ローコード GUI Firebase Dorf -
YouTubeなどに投稿される動画は、ブラウザのデベロッパーツールや「yt-dlp」などを使ってダウンロードできますが、操作が少し手間です。オープンソースプロジェクトとして公開されている「cobalt」を使うと、URLを貼り付けるだけでYouTubeやX(旧Twitter)の動画をダウンロードできるとのことなので、実際に使ってみました。 GitHub - imputnet/cobalt: save what you love https://github.com/imputnet/cobalt cobalt https://cobalt.tools/ 上記のcobaltの公開ページにアクセスすると、以下のように表示されます。 今回は、試しに以下の動画をダウンロードしてみます。 1.56秒で180km/hに達する富士急ハイランド「ド・ドドンパ」の加速力3.75Gをプレス向け試乗会で体験してき
海外のセキュリティ企業「Phylum」はトロイの木馬化された「jQuery」がnpmやGitHub、jsDelivr のCDNホストで拡散している事を指摘しました。 「jQuery」を悪用したサプライチェーン攻撃の概要 Phylumは 2024 年 5 月 26 日以来、トロイの木馬化された jQuery のバージョンを悪用する執拗なサプライ チェーン攻撃者を監視しており、最初に npm でこのjQuery を悪用する亜種を発見しました。 そこでは、1 か月にわたって数十のパッケージで侵害されたバージョンが公開されていました。 調査の結果、GitHubや、jsDelivr の CDN ホスト リソースでも、トロイの木馬化された jQuery のインスタンスを発見しました。 なお、今回解説されている内容は正規の「jQuery」へ今回のトロイの木馬が紛れ込んでいるのではなく、 悪意のあるユーザ
署名付きURLを利用したファイルアップロードWeb API設計の勘所 | フューチャー技術ブログ
はじめに現代のWebアプリケーションにおいて、ユーザが写真や動画などのファイルをアップロードする機能は、しばしば求められます。 本記事では、ファイルアップロードを実現するための一手段として、「署名付きURL」を利用した方式を取り上げ、その設計について詳しく解説します。 今回は、Amazon Web Services(AWS)を利用する前提のもと、このアプローチを探求していきます。 前半部分は署名付きURLをそもそもよく知らない方向けの導入部となっていますので、要点だけ抑えたい方は設計上のポイントから読まれることをお勧めします。 ファイルアップロードの実現方式パターン署名付きURLの話をする前に、ファイルアップロード機能をWeb APIとして実現する方式について、いくつか代表的なものを紹介します。 Pattern 1. multipart/form-datamultipart/form-da
【追記あり】X(Twitter)でURLを貼るとツイートが表示されない問題、検証してみた結果→YouTube、Instagram、Yahoo!ニュースが非表示に
高遠 頼@生命科学VTuber(たかとー らい)🧬 🔬 🥼 @takatoh_life 生命科学VTuber。 Ph.D. 博士(理学) 学振DC1、バイオインフォ系IT企業を経て、化学メーカーにて生命科学の研究者として従事。生命科学やデータサイエンスを中心にTwitter, YouTubeで活動しています。EN🇺🇸OK 母上:となみ涼様 @suzu00726 父上:DatA様 @Data_htak takatoh.net 高遠 頼@生命科学VTuber(たかとー らい)🧬 🔬 🥼 @takatoh_life X(Twitter)の一部ユーザーにて外部URL付きポストが表示、通知されない問題が生じています。 現在分かっていることをまとめました。 以下に表示されないURLと表示されるURLをまとめました。 ✅表示されないURL ・Google(YouTube、Googleフォ
米Googleは7月18日(現地時間)、2019年3月に生成を停止したURL短縮サービス「goo.gl」を、2025年8月25日に完全停止すると発表した。 goo.glは、2009年に立ち上げたURL短縮サービス。生成停止後も、既に生成された短縮URLは実際のURLにリダイレクトされていた。 8月23日から来年8月24日までは、短縮URLから実際のURLにリダイレクトされる前に終了を告知するページが表示されるようになる。 来年の8月25日以降は、すべてのgoo.glのURLには404エラーが返されるようになる。 短縮URLサービスは2009年前後に、Twitter(現X)の140文字制限にリンクを貼る場合などのニーズを受けてtr.imやbitlyなど、複数の企業が提供していた。 関連記事 Google、ドメイン登録サービスを手放す 約1000万ドメインが他社に 米Googleが、ドメイン登
AWS S3 のファイルを社内からのみ URL でダウンロード可能にする(パブリックアクセスブロック有効) - APC 技術ブログ
はじめに こんにちは。クラウド事業部の野本です。 業務でモックサーバを作る際に、静的なファイルをふつうに URL でアクセスしてダウンロードできるようにする必要がありました。この用途に AWS の S3 を使いたいものの、バケットの設定を間違えると全世界に公開されてしまいそうで、公式ドキュメントを調べながら恐る恐る設定しました。 調べた結果、バケットポリシーで適切なアクセス制限を掛けるならパブリックアクセスブロック機能は有効のままでもいいことがわかりました。その設定方法や考え方について纏めます。 設定方法 S3 のオブジェクトを URL 直アクセスでダウンロードできるようにするには、 REST API GetObject を全員に許可するようにバケットポリシーを設定します。 リクエスト元を制限する際にポリシーが「非パブリック」と判定されるよう設定すれば、パブリックアクセスブロック機能はオン
ドコモは現在、各サービスのドメインを「docomo.ne.jp」へ統合する作業を進めており、現在使用しているもの、すでに使用をやめたものを含め同社の専門部署で一括管理しているという。そのうえで「docomokouza.jp」については、社内管理の不手際により、一時的にドコモの保有ではなくなっていたとしている。 今回の「docomokouza.jp」はドコモが取り戻したため不正利用される心配はなくなったが、こうしたドコモ保有のドメインを失った場合はどういった対応を取るのだろうか。同社は「弊社の商号、商標を含むドメインが第三者に取得されて不正に利用された場合は、JP-DRP(JPドメイン名紛争処理方針)という公的な指針によって必要な措置をすみやかに取る」としている。 JP-DRPは、ドメインにまつわる商標権者とドメイン登録者の紛争処理に関する規約を定めたもの。ドメイン名の不正登録・使用を回避す
Intro IETF の RFC は、いくつかの場所で同じものが公開されている。 どの URL が最適なのか、という話。 結論は www.rfc-editor.org だ。 RFC Hosting Site 例えば RFC 9110 - HTTP Semantics で言うと、以下の 4 つがある。 https://tools.ietf.org/html/rfc9110 https://datatracker.ietf.org/doc/html/rfc9110 https://www.rfc-editor.org/rfc/rfc9110.html https://httpwg.org/specs/rfc9110.html まずは、これらの違いを簡単に解説する。 tools.ietf.org IETF がホストする RFC は、 tools.ietf.org だった。 RFC 2616: H
コロナ禍で行われた「Go Toイート」事業では、農林水産省から委託を受けた民間の会社や商工会議所などが「ドメイン」と呼ばれるインターネット上の住所を新たに取得するなどして、都道府県ごとにウェブサイトが設けられました。 ところが、「Go Toイート」の終了に伴ってウェブサイトが閉鎖されたことから、ドメインが手放されるようになっていて、ドメインの登録サービス会社のオークションを通じて落札されるなどして、同じURLで別のサイトが表示されるケースがあることがわかりました。 NHKが調べたところ、少なくとも15のドメインにこれまでと異なるサイトが開設されていて、中には、オンラインカジノの情報サイトや「パパ活」に関するサイトなどが開設されているケースもありました。 こうしたドメインの扱いについて、政府のガイドラインでは「正規のウェブサイトになりすました不正なウェブサイトに誘導されないよう、対策を講じた
Cloudflare PagesでURL短縮サービスを作ってみましょう!これを作ることであなたは以下を体験することができるしょう。 HonoでWebページをつくること Cloudflare KVをアプリケーションの中で使うこと アプリケーションをCloudflare Pagesへデプロイすること アプリケーションの特徴 今回作ってもらうアプリケーションはこのような特徴があります。 Viteを使って開発 UI付き JSXを使ってHTMLを書ける メインのコードは100行以下! Zodを使ったバリデーション バリデーションエラーも表示 簡易なCSRF対策 デモ 完成品を使っている様子です。 完成品 完成済みのコードは以下にあります。 アカウント 今回、アプリケーションを作ってCloudflare PagesへデプロイするにはCloudflareのアカウントが必要です。無料の範囲で遊べるので、も
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
短縮URLサービス利用時に表示された悪質な広告についてまとめてみた - piyolog
Twitterカードが貼られたツイートはすべて詐欺です、という時代 - Qiita
無料でYouTubeやX(旧Twitter)の動画をURLをコピペしてダウンロードできる「cobalt」
トロイの木馬化された「jQuery」がnpmやGitHubで拡散
Google、URL短縮サービス「goo.gl」を2025年8月に完全終了へ
「ドコモ口座」のドメイン、ドコモが取り戻す 出品の経緯をGMO含め聞いた
RFC の URL はどのドメインで貼るのが良いか | blog.jxck.io
「パパ活」情報が「Go Toイート」URLで表示 ドメイン流用の実態は? | NHK
メール中のURLに特殊なIPアドレス表記を用いたフィッシングに、フィッシング対策協議会が注意喚起 Amazon、ETC利用照会サービス、国税電子申告・納税システムなどをかたる
Cloudflare PagesでURL短縮サービスをつくる!