This document is distributed as TLP:CLEAR. Disclosure is not limited. Sources may use TLP:CLEAR when information carries minimal or no foreseeable risk of misuse, in accordance with applicable rules and procedures for public release. Subject to standard copyright rules. TLP:CLEAR information may be distributed without restrictions. For more information on the Traffic Light Protocol, see cisa.gov/t
Eyes Above The Waves Robert O'Callahan. Christian. Repatriate Kiwi. Hacker. Archive 2024 December Mt Arthur/Tablelands/Cobb Valley November Queen Charlotte Track 2024 October Auckland Half Marathon 2024 Advanced Debugging Technology In Practice June Waihohonu Hut 2024 So You Want To Build A Browser Engine Real-Time Settlers Of Catan April Auckland Waterfront Half Marathon 2024 Whanganui River Jour
Amazon Bedrock Knowledge Base の構造化データ取得はどこまで複雑なクエリに対応できるか - Taste of Tech Topics
こんにちは、機械学習チーム YAMALEX の駿です。 YAMALEX は Acroquest 社内で発足した、会社の未来の技術を創る、機械学習がメインテーマのデータサイエンスチームです。 (詳細はリンク先をご覧ください。) この記事は Amazon Bedrock Advent Calendar 2024 23日目の投稿です。 Amazon Bedrock Knowledge BaseのデータベースとしてRedshiftを指定して、構造化データを検索し、その結果を元に回答を生成することができるようになりました。 現在のところ、データベースとしてはRedshiftのみに対応しています。 Redshiftであれば、Serverless版、クラスタ版いずれも選択が可能です。 この記事ではRedshiftにサンプルとして用意されているTICKITデータセットを用いて、複雑なテーブルに対してどのよ
◆はじめに Let’s Encryptチームから証明書の有効期限切れ通知メールを受信して残りも5日を切ったので、更新をしました。 ◆手動更新について 過去記事「Let’s EncryptワイルドカードSSLサーバ証明書更新」に自動更新できない理由などを書いていますので参考にしてください。 ◆公式情報等 詳細のドキュメント等: Let’s Encrypt 公式ドキュメント ◆更新要領 # certbot certonly --manual --preferred-challenges dns -d *.maruweb.jp.net -m XXXX@mail.com --agree-tos Saving debug log to /var/log/letsencrypt/letsencrypt.log Renewing an existing certificate for *.maruweb
Migrating from AWS App Mesh to Amazon ECS Service Connect | Amazon Web Services
Containers Migrating from AWS App Mesh to Amazon ECS Service Connect After careful consideration, we have made the decision to discontinue AWS App Mesh, effective September 30th, 2026. Until this date, existing AWS App Mesh customers will be able to use the service as normal, including creating new resources and onboarding new accounts via the AWS CLI and AWS CloudFormation. Additionally, AWS will
Next.js 15.1
Next.js 15.1 brings core upgrades, new APIs, and improvements to the developer experience. Key updates include: React 19 (stable): Support for React 19 is officially available in both Pages Router & App Router. Improved Error Debugging: Enhanced DX and better source maps for the browser and the terminal. after (stable): New API to execute code after a response has finished streaming. forbidden / u
Sekoiaは10月7日(現地時間)、「Mamba 2FA: A new contender in the AiTM phishing ecosystem - Sekoia.io Blog」において、中間者攻撃(AiTM: Adversary-in-The-Middle)を実行するフィッシングキット「Mamba 2FA」を発見したとして、その分析結果を伝えた。このフィッシングキットはMicrosoftアカウントの認証情報とCookieを窃取可能だという。 Mamba 2FA: A new contender in the AiTM phishing ecosystem - Sekoia.io Blog Mamba 2FAの概要 Sekoiaによると、Mamba 2FAはTelegram上でフィッシング・アズ・ア・サービス(PhaaS: Phishing-as-a-Service)として販売
254 No.55 2020 1 はじめに 様々な産業分野や重要インフラにおいて,5G(1) の活用が検討されている中で,5G のセキュリティ への関心も高まっている.本稿では,移動体通信網 におけるセキュリティ脅威と 2G 以降のセキュリ ティ対策の変遷について述べた後,5G のセキュリ ティについて解説する. 2 移動体通信網におけるセキュリティ 2.1 セキュリティ脅威と 2G~4G における対策の発展 移動体通信網におけるセキュリティ脅威は,不正 利用や課金逃れ,ローミング時の事業者間での不正 課金・不正請求,クローン端末,盗聴,位置トラッ キング,端末の盗難と端末内の情報窃取,DoS 攻 撃など様々である. ディジタル無線技術が最初に導入された 2G* に おいても,こうしたセキュリティ脅威への対策の必 要性は認識されており,SIM(Subscriber Identity Mod
認証と認可は、情報セキュリティ、アクセス制御に関連する重要な概念です。 「認証(Authentication)」は、ユーザーが自分自身であることを確認するプロセスです。通常、ユーザー名とパスワード、生体認証(指紋や顔認識など)、セキュリティトークンなどが使用されます。これにより、システムはユーザーの正当性を確認し、システムやデータへのアクセスを許可します。 一方、「認可(Authorization)」は、認証されたユーザーが特定のリソースや機能にアクセスする権限を持っているかどうかを定義するプロセスです。認可は、ユーザーがアクセスできるデータやシステムの特定の部分を制御します。例えば、システム管理者は全ての機能にアクセスできるが、一般ユーザーは限られた機能しか利用できないような設定が認可の例です。 要するに、認証はユーザーの正当性を確認し、認可はユーザーがどのリソースや機能にアクセスできる
Googleの新ガイドライン対応だけで終わらせない:5分で構築する自前のレポート分析ツールでDMARCを正しく運用 - asoview! Tech Blog
アソビュー株式会社VPoEの @tkyshat です。 はじめに この記事は、以下の方々を対象にしています: メールのセキュリティについてかいつまんで知りたい方 DMARCをまだ設定できていない方 DMARCの設定はしたもののポリシーがnoneのままの方 DMARCの設定はしているがレポートをうまく活用できていない方 すでにDMARCの設定が完了し、レポートのモニタリングもできており、BIMI認証まで完了している方には物足りないかもしれません。 ブログの中で簡易的なものではありますが、5分でできるレポート分析ツールの構築方法も紹介しておりますので、ぜひ参考にしていただければと思います。 背景と目的 Googleが2023年10月に発表したGmailの新ガイドラインは、5000件以上のメールを送信する企業に対する要求が強化され、2024年2月以降にガイドラインに従っていないメールは配信されな
CVE-2024-0012 PAN-OS: Authentication Bypass in the Management Web Interface (PAN-SA-2024-0015)
Description An authentication bypass in Palo Alto Networks PAN-OS software enables an unauthenticated attacker with network access to the management web interface to gain PAN-OS administrator privileges to perform administrative actions, tamper with the configuration, or exploit other authenticated privilege escalation vulnerabilities like CVE-2024-9474. The risk of this issue is greatly reduced i
freee Developers Advent Calendar 2024 17日目の記事はWaTTsonが担当します。昨年のAdvent Calendarでは「credentialをSlackに書くな高校校歌」というのを出してプチバズりしていたのですが、今回はネタ枠ではなくもうちょっと真面目な話を書きます。 developers.freee.co.jp 脅威モデリングの取り組み みなさんは開発しているシステムに対して「脅威モデリング」を行っているでしょうか?脅威モデリングとは、システムの各要素が持つ様々な脅威を挙げ、それらの緩和策を考えて整理する、という取り組みです。最近では、12月6日・7日に脅威モデリングナイト#5とTMC Tokyo x ZANSINの2日連続でのイベントが開催されたりと、界隈が活気を見せつつあります。 freeeでは、2023年に開催した自社カンファレンス「fre
Windows security and resiliency: Protecting your business
At Microsoft, security is our top priority, and with every release, Windows becomes even more secure. At Ignite 2024, we will highlight new Windows security innovations that will provide the clarity and confidence our customers and organizations require while navigating this evolving digital landscape. We will also talk about our learnings from the July incident, and investments we are making as a
WebKit Features in Safari 18.4
Safari 18.4 is here! It includes 84 new features, including a completely new declarative mechanism for sending Web Push notifications, lots of CSS including a brand-new shape() function, P3 & translucency for the HTML color picker, media formats with more robust support for recording, new Web APIs including modern popover manipulation, new JavaScript features like Iterators, a faster way to jump t
CloudFront Hosting Toolkitを使って静的Webサイト環境を作ってみた | DevelopersIO
手間をかけずにCloudFrontを使った静的Webサイトを作りたい こんにちは、のんピ(@non____97)です。 皆さんは手間をかけずにCloudFrontを使った静的Webサイトを作りたいなと思ったことはありますか? 私はあります。 過去にAWS CDKを使ってこの思いを実現したことがありますが、一からAWS CDKを作り込むのはなかなか大変でした。 そんな苦労はCloudFront Hosting Toolkitを使用すると少し解消されるかもしれません。 CloudFront Hosting ToolkitはCLIまたはAWS CDKでフロントエンドのホスティングとCI/CDパイプラインを用意するツールです。 今だとAmplifyを使えば良いのではないか? という声も聞こえてきますが、細かいカスタマイズを行いたい場合にCloudFront周りを直接操作したい場合があります。そうい
A lightning fast, new agentic coding experience within the Amazon Q Developer CLI | Amazon Web Services
AWS DevOps & Developer Productivity Blog A lightning fast, new agentic coding experience within the Amazon Q Developer CLI Earlier today, Amazon Q Developer announced an enhanced CLI agent within the Amazon Q command line interface (CLI). With this announcement, Q Developer brings the latest agentic experience to the CLI that provide a more dynamic, interactive coding experience that works with yo
I spend most of my coding time in Cursor. It's a fantastic tool for LLM assisted coding. But coding with LLMs has a specific quirk: they possess strong contextual memory but lack episodic memory. In simpler words, they recall information within a single conversation but forget everything once a new chat session begins. No learnings from previous chats on how you like things. No accumulation of ins
AIにセキュリティ対策任せれば大丈夫というニュース記事多いから試してみた www3.nhk.or.jp 試してみたけど基本的な内容(過去事例の多い内容)ならきちんと返信 二段階認証の導入とか。 でも二段階認証強制化は50%くらいのユーザーはついてこれずに離れるから消極的 任意ならありだけど任意だと三割くらいのユーザーしか設定しない セキュリティ対策は利便性とセキュリティ強度のバランスを考えること *SNSをみると、二段階認証を強制していなかったサイト運営側を批判する書き込みが多いけど、バランス(セキュリティと利便性はトレードオフ)を知っているとそれも違うな、、、と思ったり。 xtech.nikkei.com 下みたいな新しめの技術で前例が少ない内容のアドバイスを返さないLLMがほとんど。 基本AIは過去の学習を元にした答えを返しているので、新しいこと、前例の少ないことが弱くなるのはディープ
Language Model API
The Language Model API enables you to use the Language Model and integrate AI-powered features and natural language processing in your Visual Studio Code extension. You can use the Language Model API in different types of extensions. A typical use for this API is in chat extensions, where you use a language model to interpret the user's request and help provide an answer. However, the use of the L
Real-world gen AI use cases from the world's leading organizations | Google Cloud Blog
AI is here, AI is everywhere: Top companies, governments, researchers, and startups are already enhancing their work with Google's AI solutions. Published April 12, 2024; last updated Dec. 19, 2024. Earlier this month, Google released Gemini 2.0, ushering in the agentic era of AI. For many of our customers, they were already living it. Even before we released Gemini 1.0 a year ago, organizations o
週刊Railsウォッチ: bin/ciが追加、HashWithIndifferentAccessへの変換がスキップ可能にほか(20250409)|TechRacho by BPS株式会社
こんにちは、hachi8833です。 Findy Conferenceがリリースされました🥳 「行きたかったのにチケットが売り切れていた😭」「スポンサー募集の〆切終わってた😭」なんてことがなくなる!!!https://t.co/RZCUCW8Rcy — まっきー (@ayamakkie) March 27, 2025 つっつきボイス:「上のリンクは、今どんなカンファレンスが予定されているのかを言語ごとやテーマごとに串刺しで表示してくれるサービスだそうです(例: Rubyの場合)」「お、コロナ後でイベントも順調に復活しているようですね: 当てもなくカンファレンスや勉強会を探すよりは、こういうサービスを手がかりに探してみてもよさそう👍」 週刊Railsウォッチについて 各記事冒頭には🔗でパーマリンクを置いてあります: 社内やX.comでの議論などにどうぞ 「つっつきボイス」はRail
ユーザが快適にページを閲覧できるようにHousiiのページ表示速度を改善した話 - Speee DEVELOPER BLOG
※この記事は、2024 Speee Advent Calendar9日目の記事です。昨日の記事はこちら tech.speee.jp はじめまして、24卒で入社して不動産DXのHousii BUでエンジニアをしている山本です。 この記事では2024年10, 11月に行ったHousiiのページ表示速度改善についての話を書いていきたいと思います。Speeeで技術的なチャレンジができるか不安に思っている学生さんや、単純にページ表示速度を速くしたいというエンジニアの方に読んでいただけると嬉しいです。 1. そもそもHousiiはどのようなプロダクトか 2. 今回解決したかった問題 3. ページ表示速度を計測する 4. オーバーヘッドを解消する以外のアイデアを試す 4-1. ローディングスピナーの削除 4-2. データの事前フェッチによるページ表示の高速化 4-3. SSR (Server Side
犯罪者によるフィッシング詐欺を狙った、三菱UFJ銀行を名乗る偽SMS(ショートメッセージ)/メールがかつてない規模でお客さまに送られており、内容も一見して区別がつきにくいものとなっています。 かかる状況を踏まえ、当行はお客さまの資産をお守りするべく、以下記載の実施日以降に三菱UFJダイレクトでのワンタイムパスワード(アプリ)利用登録時の本人確認を電話(自動音声)で実施した場合、振込を始めとする一部取引の取り扱いを変更します。
ホーム | Lemino(レミノ) - 映画・ドラマ・アニメや音楽・ライブが見放題 | ドコモの動画配信サービス
新しい映像配信サービスLemino!映画やドラマ、アニメ、ライブ映像など多彩なジャンルが楽しめる!/オリジナル作品も見放題/初回初月無料/マルチデバイス対応/ダウンロード視聴可能/好きな作品と出会える機能がたくさん。
RubyKaigiスケジュールアプリのPostgreSQLからSQLiteへの移行 - SmartHR Tech Blog
久しぶり、プログラマーのkinoppydです。前回の記事では、RubyKaigi公式スケジュールアプリ 「Schedule.select」 のデザイン刷新に関してお届けしました。 tech.smarthr.jp Schedule.selectの今年の大きなトピックは以下の5つです。 デザインの刷新 PostgreSQLからSQLite3への移行 Solid三兄弟の導入(cableはまだ使うかどうかわかりませんが……) Rails 8へのアップグレードとPWA対応 Kamalによるデプロイ 今回は第2回目として、Schedule.selectのデータベースをPostgreSQLからSQLiteへ移行したお話しをします。 目次 目次 Why SQLite PostgreSQLからSQLiteへのデータ移行 pg gem を削除し、sqlite3 gemを入れる config/database.
ユビーにパスキーを導入しました
はじめに Ubie プロダクトプラットフォーム所属の nerocrux です。 Ubie にパスキー認証を導入しました。導入してからしばらく時間が経ちましたが、年末になると色々振り返りたくなるので、パスキーを導入した背景や導入方法などを簡単にまとめたいと思います。 導入背景 Ubie では、症状検索エンジン「ユビー」(以下、ユビー)という一般生活者向けのサービスを展開しています。ユーザーが簡単な質問を回答することで、関連する病名や、適切な受診先情報を得ることができるサービスとなっています。 ユビーを利用する際に、ユーザーはアカウントを登録することができます。アカウント登録の手段として、いわゆるソーシャルログインを利用するほか、メールアドレスを入力したあと、メールアドレスに送られた 6 桁の OTP (有効期限の短い 1 回きりのパスコード) をユビーに入力することで、メールアドレスを所有す
Security plugin flaw in millions of WordPress sites gives admin access
HomeNewsSecuritySecurity plugin flaw in millions of WordPress sites gives admin access A critical authentication bypass vulnerability has been discovered impacting the WordPress plugin 'Really Simple Security' (formerly 'Really Simple SSL'), including both free and Pro versions. Really Simple Security is a security plugin for the WordPress platform, offering SSL configuration, login protection, a
GitHub - openauthjs/openauth: ▦ Universal, standards-based auth provider.
While there are many open source solutions for auth, almost all of them are libraries that are meant to be embedded into a single application. Centralized auth servers typically are delivered as SaaS services - eg Auth0 or Clerk. OpenAuth instead is a centralized auth server that runs on your own infrastructure and has been designed for ease of self hosting. It can be used to authenticate all of y
Security update: The following extensions have security updates: ms-python.python and ms-vscode-remote.remote-ssh. Update 1.95.1: The update addresses these issues. Update 1.95.2: The update addresses these issues. Update 1.95.3: The update addresses these issues. Downloads: Windows: x64 Arm64 | Mac: Universal Intel silicon | Linux: deb rpm tarball Arm snap Welcome to the October 2024 release of V
Over the years, I’ve repeatedly heard that Windows NT is a very advanced operating system and, being a Unix person myself, it has bothered me to not know why. I’ve been meaning to answer this question for years and I can do so now, which means I want to present you my findings. My desire to know about NT’s internals started in 2006 when I applied to the Google Summer of Code program to develop Boo
New OpenSSH Vulnerability Could Lead to RCE as Root on Linux Systems
OpenSSH maintainers have released security updates to contain a critical security flaw that could result in unauthenticated remote code execution with root privileges in glibc-based Linux systems. The vulnerability, codenamed regreSSHion, has been assigned the CVE identifier CVE-2024-6387. It resides in the OpenSSH server component, also known as sshd, which is designed to listen for connections f
Quickly adopt new AWS features with the Terraform AWS Cloud Control provider | Amazon Web Services
AWS DevOps & Developer Productivity Blog Quickly adopt new AWS features with the Terraform AWS Cloud Control provider Introduction Today, we are pleased to announce the general availability of the Terraform AWS Cloud Control (AWS CC) Provider, enabling our customers to take advantage of AWS innovations faster. AWS has been continually expanding its services to support virtually any cloud workload;
Hello friends, this is the first of two, possibly three (if and when I have time to finish the Windows research) writeups. We will start with targeting GNU/Linux systems with an RCE. As someone who’s directly involved in the CUPS project said: From a generic security point of view, a whole Linux system as it is nowadays is just an endless and hopeless mess of security holes waiting to be exploited
UNC5537 Targets Snowflake Customer Instances for Data Theft and Extortion | Google Cloud Blog
UNC5537 Targets Snowflake Customer Instances for Data Theft and Extortion UPDATE (June 17): We have released our Snowflake threat hunting guide, which contains guidance and queries for detecting abnormal and malicious activity across Snowflake customer database instances. Default retention policies for the relevant views enable threat hunting across the past 1 year (365 days). Introduction Through
Centrally manage root access in AWS Identity and Access Management (IAM) - AWS
Today, AWS Identity and Access Management (IAM) is launching a new capability allowing customers to centrally manage their root credentials, simplify auditing of credentials, and perform tightly scoped privileged tasks across their AWS member accounts managed using AWS Organizations. Now, administrators can remove unnecessary root credentials for member accounts in AWS Organizations and then, if n
【PGlite:Part2】pg-gatewayを利用したTCP接続 - RAKUS Developers Blog | ラクス エンジニアブログ
はじめに 復習:PGlite pg-gateway pg-gatewayとPGliteを起動してSQLクライアントから接続する まとめ はじめに こんにちは、エンジニア2年目のTKDSです! 前回はPGliteの概要・使い方・速度実験について記事にしました。 今回はさらに、PGliteへのSQLクライアントからの接続を可能とするpg-gatewayについて紹介し、活用例について示します。 復習:PGlite PGliteは、PostgreSQLをWebAssembly(WASM)にコンパイルした軽量なデータベースエンジンです。 これにより、ブラウザ、Node.js、Bun、DenoなどでPostgresの機能を利用でき、開発者はローカルやサーバーレス環境でデータベース操作を行うことが可能です。 PGliteは、インメモリデータベースやファイルシステム(Node.jsやBun)、Indexe
Googleが公開した新しい「メール送信者ガイドライン」をきっかけに、これまで普及の遅れていた日本においてもDMARC(Domain-based Message Authentication, Reporting, and Conformance)の導入が急速に広がっています。 ただ、ガイドライン準拠のためだけにDMARCを設定し、実際にはこれを活用できていない企業も少なからずあるようです。 送信者ガイドライン強化の本来の目的は、フィッシング詐欺やサイバー攻撃などの要因になっている「悪意のあるなりすまし電子メール」の撲滅です。これを実現するためにも、DMARCの導入だけでなく近い将来にはポリシーの強化が求められてもおかしくありません。また、安定した電子メール配信を実現するためにも、DMARCの活用は今後不可欠となっていくでしょう。 今回はDMARCを導入後に必要となる対応や企業が直面する課
NTLM の廃止に向けた対応について
2024/12/20 更新 Windows 11 24H2 / Windows Server 2025 において NTLMv1 が削除されたことが公開情報に明記されたことに伴い、本記事の内容を更新しました。 本記事はマイクロソフト社員によって公開されております。 こんにちは。Windows Commercial Support Directory Services チームです。 今回は、先般非推奨となった NTLM の廃止に向けた対応について、ご参考としていただける情報についてご案内いたします。 今後の対応について、現時点で詳細が未確定な部分もございますので、必要に応じてブログの内容はアップデートする予定です。 1. NTLM 廃止の背景 Windows 認証のセキュリティを向上させるため、弊社は NTLM 認証を使う必要があるシナリオに対処して、最終的に NTLM を無効化し、すべての認
はじめに こんにちは。金融ソリューション事業部エンジニアリングオフィスの加藤です。 仕事でGKEやAKSといったマネージドKubernetesサービスを利用したインフラ構築を経験してきました。 この記事では、Raspberry Pi 5でK8sクラスタを構築しながら、マネージドK8sのありがたみについて学んでいきます。 ゴール 以下の作業を通して、Kubernetesクラスタのオンプレ環境における構築手順の全体的な流れと、設計判断のポイントについてざっくり理解する Raspberry Piをセットアップする Kubernetesクラスタを作る Prometheus, Grafanaを入れてクラスタの監視環境をセットアップする Cloudflare tunnelを利用して、セキュアにインターネット経由からのアクセスをできるようにする 構成 Raspberry Pi 5は手元に3台あります。以
Passkeys on Windows: Authenticate seamlessly with passkey providers
Passkeys on Windows just got easier! As part of Microsoft’s vision for a passwordless future we are working to make passkeys on Windows simple and intuitive. Passkeys are safer and easier to use than passwords, which are vulnerable to phishing and data breaches. That is why, in support of a passwordless future, we partnered in the FIDO alliance with other platforms in supporting passkeys. As part
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Modern Approaches to Network Access Security
So You Want To Build A Browser Engine
Let’s EncryptワイルドカードSSLサーバ証明書手動更新(2025.1)
多要素認証を回避しMicrosoftアカウントを狙うサイバー攻撃に注意
Bplus55_解説論文_5G セキュリティ_四永.indd
重要な情報セキュリティ概念: 認証と認可 #情報セキュリティ - 叡智の三猿
脅威モデリングのためのカードゲームを比較する - freee Developers Hub
Writing Cursor Rules with a Cursor Rule
リスクベース認証とは?不正アクセスを防ぐ次世代のセキュリティ対策 - 社内SEゆうきの徒然日記
ワンタイムパスワード(アプリ)利用登録時の本人確認方法による一部取引の取扱変更 | 三菱UFJ銀行
October 2024 (version 1.95)
Windows NT vs. Unix: A design comparison
Attacking UNIX Systems via CUPS, Part I
DMARCを使いこなせ 導入メリットと実践ポイントを徹底解説
Raspberry Pi 5でオンプレKubernetesに入門 - 電通総研 テックブログ