就職情報サイト「リクナビ」を運営するリクルートキャリアは11月14日、学生の内定辞退率を予測して他社に販売するサービス「リクナビDMPフォロー」(8月4日付で廃止)に個人情報の取り扱い不備があったとして、日本情報経済社会推進協会(JIPDEC)からプライバシーマーク(Pマーク)を取り消す措置を受けたと発表した。 リクナビDMPフォローは、リクルートキャリアが2018年3月に始めたサービス。(1)顧客企業から応募者の個人情報(19年2月まではCookie情報、3月以降は氏名など)を提供してもらう、(2)リクナビの持つ情報と照合し、利用ブラウザや個人を特定する、(3)応募者と過去のリクナビユーザーの行動履歴を照合し、内定辞退率のスコアを算出する——という仕組みだった。 リクルートキャリアはスコアを34社に納品したが、リクナビのプライバシーポリシーに不備があり、一部の学生から事前に同意を得ていな
はじめに こんにちは。株式会社Flatt Securityのセキュリティエンジニアの冨士です。 本稿では、XSS(クロスサイトスクリプティング)が攻撃に用いられた時のリスクの大きさを紹介していきます。以降はクロスサイトスクリプティングをXSSと記載していきます。 XSSはセキュリティエンジニアならもちろん、開発を行っているエンジニアの多くの方が知っている脆弱性です。ですが、私はWebアプリケーションの脆弱性診断を行ってきた経験の中で多くのXSSを目にしてきましたし、依然として検出率の多い脆弱性の一つだと感じています。 その認知度や、一般的な対策方法のハードルの低さ(設計や仕様によっては対策工数が大きい場合もありますが)にも関わらずXSSの検出率が多いのは、直感的にリスクがわかりづらく、アラートをあげるだけの紹介が多いことが一つの要因ではないかと考えています。 すなわち、興味範囲が「どのよう
Webサイトを見ると、「Cookie(クッキー)」使用への同意を確認するバナーが出てきたことはないでしょうか? 少し、うざったくも見えるこのバナー。なぜ、最近こうした表示が増えてきたのでしょうか。専門家に聞きました。 Cookie使用の同意を求めるバナーの例(電通公式サイト) そもそも、「Cookie」とは何でしょうか。「Cookie」とは、閲覧したWebサイトのサーバーから発行され、ユーザーのコンピューターなどの中に預けておくファイルのことです。Cookieによって、ユーザーがWebサイトで入力した情報やサイト内のどこを閲覧しているのかといった情報などを、サイトの運営や広告配信業者などが取得することができます。 SNSなどへのログイン状態を維持したり、通販サイトで買い物かごに入れた商品がWebサイトをいったん離れても再表示されたりするのは、Cookieによるものです。一方、企業側もCoo
序文 WebKit と Gecko の内部オペレーションに関するこの包括的な入門情報は、イスラエルのデベロッパー Tali Garsiel 氏による多くの研究の成果です。数年にわたり、ブラウザ内部に関するすべての公開データを確認し、ウェブブラウザのソースコードを読むことに多くの時間を費やしました。彼女は次のように書いています。 ウェブ デベロッパーは、ブラウザ操作の内部構造を学ぶことで、より的確な意思決定を行い、開発のベスト プラクティスの背後にある理由を知ることができます。これはかなり長いドキュメントですが、時間をかけてじっくり読むことをおすすめします。やったら嬉しいよ。 Chrome デベロッパー リレーションズ、Paul Irish はじめに ウェブブラウザは、最も広く使用されているソフトウェアです。この入門編では その仕組みを解説しますアドレスバーに「google.com」と入力し
【レポート】AWS における安全な Web アプリケーションの作り方 #AWS-55 #AWSSummit | DevelopersIO
この記事では、5月12日に行われた AWS Summit Online 2021 のオンラインセッション『AWS における安全な Web アプリケーションの作り方(AWS-55)』の模様をレポートします。 セッション概要 情報処理推進機構(IPA) の公開している「安全なウェブサイトの作り方」をはじめとしたセキュリティを考慮した安全なウェブアプリケーションの設計ガイドラインがいくつか知られています。本セッションでは、アプリケーション開発者向けにガイドラインに則ったアプリケーションを AWS 上でどのように実装するのかを AWS プラットフォームレイヤーとアプリケーションレイヤーのそれぞれの観点から項目ごとに解説し、アプリケーション導入前、または導入後のセキュリティ対策の指標となることを目指します。 登壇者 アマゾン ウェブ サービス ジャパン株式会社 技術統括本部 ソリューションアーキテク
就職情報サイト「リクナビ」を運営するリクルートキャリアは8月26日、学生の内定辞退率を本人の十分な同意なしに予測し企業に販売していた件について、事態の経緯と再発防止策を公表した。問題視されているサービス「リクナビDMPフォロー」(4日付で廃止)は研究・開発を目的に企画したもので、いち早く市場に投入し、顧客企業の反応を見ながら改善することを重視したため、社内のチェック体制が機能していなかったという。今後は10月をめどに、リクナビ事業にプライバシー責任者を設置する他、2020年1月をめどに新卒事業の経営体制を変更するなどし、再発を防ぐ方針だ。 リクルートキャリアの小林大三社長は同日、記者会見で「学生への配慮と、社内のガバナンス(企業統治)が不足していた」と不備を認め、「学生や大学、企業関係者の皆さまにご迷惑をおかけしたことを深くおわびする」と謝罪した。 小林社長はリクナビDMPフォローをリリー
Google に入社して 10 年が経った
Developer Advocate という技術啓蒙の担当者として Google に入社して今日でちょうど 10 年が経った。技術以外のことについてはめったにブログを書くことはないのだけど、良い節目なのでこの機会に記録を残しておきたい。 Google 入社のきっかけ # 「インターネットにアイデンティティのレイヤーを作り、インターネット全体をオープンなソーシャルネットワークの基盤にしたい」これが僕が前職で持っていた野望だった。その一歩として、その会社で運営していたポータルサイト全体をソーシャルプラットフォーム化するというアイディアが採用され進める中で、OpenSocial という Google が中心として進めていた技術に取り組んでいた。日本語の情報が少ない分野だったためブログを書いたり、コミュニティ運営や技術講演をしていたら、当時 (今もだけど) 仲良くしてもらっていた田中洋一郎さんに
2021年になりましたね。 矢倉眞隆(myakura)です。ウェブ標準やブラウザに興味のあるウェブ開発者です。gihyo.jpでは2009年に「Web標準とその周辺技術の学び方」という連載をしていました。 今回は昨年の泉水さんに代わり、2021年のウェブ標準やブラウザの動向を占おうと思います。2020年は世界もブラウザもそれなりに大きな出来事がありましたので、2020年の動きをまずおさえ、そのうえで2021年はどうなるのかを考えてみました。 W3Cのプロセス改訂でLiving Standardライクな仕様の改訂が増えていく W3Cは2020年9月に、新しいプロセス文書と特許ポリシーを公開しました。 新しい文書プロセスはW3Cの組織の定義や標準化の流れ、意思決定などについて定めた文書です。ここ数年は毎年更新されていますが、2020年はこれまでと比べて最大級とプレスリリースでもうたわれています
秘密にしておきたかったんだけど、実はTwitterにはWebページを埋め込めるんだよね - Qiita
こんにちは、Twitter大好き丸の あかい です タイトルの通りなのですが、実はTwitterにはWebページを埋め込むことができます。(具体的には「ツイートには」ですが) 「WebページにTwitterを埋め込む」ではないですよ。 次のツイートをご覧ください。 つくったから見て!!!! 特にPC版Twitterから《《《再生》》》してみて!!!!!https://t.co/a1KLMSXfaV #朱猪わらい — あかい (@Ver1000000000) July 9, 2020 ……何やら再生できそうな感じのインターフェースが表示されていますよね? そうなのです、このツイートをWeb版Twitter公式クライアントで開いて再生ボタン押下して展開するとなんと、 このために作った拙作の朱猪わらいの動画(?)がはじまります。 (かなり適当なES2015をpolifyllもいれず生で書いたので
ウェブサイトがJavaScriptとCookieなしで個人を追跡する方法が一発で理解できる「No-JavaScript fingerprinting」
「フィンガープリント」とは、JavaScriptやCookieなしでウェブサイトのユーザーを識別するための固有識別子で、ユーザーの属性・行動・興味・関心といった詳細な情報をもとにマッチする広告を表示するターゲティング広告に用いられます。そんなフィンガープリントが、JavaScriptやCookieを使わずにどうやってユーザーを特定しているのかがよくわかるサイト「No-JavaScript fingerprinting」が公開されています。 No-JavaScript fingerprinting https://noscriptfingerprint.com/ 今回はGoogle ChromeからNo-JavaScript fingerprintingにアクセスしてみます。アクセスする前に、JavaScriptを使用しないようにあらかじめブラウザから設定しておきます。Chromeの右上にあ
0 issue "letsencrypt.org" 0 issuewild "letsencrypt.org" 0 iodef "mailto:yourmail@example.jp" §OS再インストール さくらVPSのコントロールパネルから、OSを再インストールするサーバを選ぶ。 www99999ui.vs.sakura.ne.jp §OSのインストール操作 Ubuntu 22.04 LTS を選ぶ。 OSインストール時のパケットフィルタ(ポート制限)を無効にして、ファイアウォールは手動で設定することにする。 初期ユーザのパスワードに使える文字が制限されているので、ここでは簡単なパスワードにしておき、後ですぐに複雑なパスワードに変更する。 公開鍵認証できるように公開鍵を登録しておく。 §秘密鍵と公開鍵の作成 クライアントマシン側で生成した公開鍵を ~/.ssh/authorized_k
Googleは検索エンジンだけではなく、GmailやGoogleドキュメント、Googleアナリティクス、Googleスプレッドシートなど、さまざまなサービスを無料で提供しています。しかし、古くから「ただより高いものはない」といわれるように、無料で提供されるのにはそれだけの理由があるわけで、ウェブアプリ開発者のキャスパー・ブレーデ氏が「Googleアナリティクスは無料で提供されているが、使うのをやめるべきだ」と主張しています。 Google Analytics: Stop feeding the beast | Caspar von Wrede https://casparwre.de/blog/stop-using-google-analytics/ 近年のGoogleは検索エンジンを運営する小さく風変わりな会社ではなく、巨大な多国籍企業となりました。Googleの主な事業は検索エンジン
極めつけは、2019年12月に起きた、さくらインターネットへの不満の記事を Qiita 側で勝手に非公開にした一件だ。 「さくらインターネット側が公開停止要請をしたのでは?」と騒がれたが、Qiita が独自判断で非公開にしたとわかり、真摯に対応をしようとしていたさくらインターネットにまで迷惑をかけてしまう結果となった。 管理社会としての姿エンジニアは、コミュニティーのために情報共有をオープンにする姿勢でいる。 時間をかけて見つけた答えに、他者がすぐにたどり着けるようにできれば全体の生産性を上げられるゆえの貢献だ。 一方で、Qiita がユーザーに見せてしまった姿は、Qiita 独自の判断で情報統制がおこなわれるクローズドな管理社会だ。 この結果、エンジニアから Qiita への不信感は積もり続けたまま今日に至り、それがついに爆発してしまった。 今回の件は個人情報の取扱として問題があるが、仮
ポエム特化のZenn2との噂の「しずかなインターネット」を使いはじめたので、ユーザーとしてどんな技術が使われているのかを確認していく。 sizu.me おもむろにbuiltwith.comにかけてみる。 builtwith.com ここで分かる情報はブラウザのDevTools眺めてても得られるのであまり収穫はない。 前段にCloudflareのCDNサーバーがいて Next.jsで生成されたレスポンスを返している ことがわかる。 この時点ではキャッシュのみCloudflareなのか、Pages/WorkersでNext.jsのSSRごと動かしているのかは判断できない。 認証 Set-Cookie: __Secure-next-auth.session-token=が含まれているのでNextAuth.jsを使っているのが分かる。 next-auth.js.org Emailでサインアップする
サマリ2020年2月にGoogle ChromeはCookieのデフォルトの挙動をsamesite=laxに変更しましたが、2022年1月11日にFirefoxも同様の仕様が導入されました。この変更はブラウザ側でCSRF脆弱性を緩和するためのもので、特定の条件下では、ウェブサイト側でCSRF対策をしていなくてもCSRF攻撃を受けなくなります。この記事では、デフォルトsamesite=laxについての基礎的な説明に加え、最近のブラウザの挙動の違いについて説明します。 (2022年1月29日追記) 本日確認したところ、Firefoxにおけるデフォルトsamesite=laxはキャンセルされ、従来の挙動に戻ったようです(Firefox 96.0.3にて確認)。デフォルトsamesite=lax自体は先行してGoogle Chromeにて実装されていましたが、細かい挙動の差異で既存サイトに不具合が
Intro 10 年ほど前に同じことを調べたことがある。 なぜ html の form は PUT / DELETE をサポートしないのか? - Block Rockin' Codes https://jxck.hatenablog.com/entry/why-form-dosent-support-put-delete 当時は全くの素人で、素人なりに調査はしたが、ほとんどが推測の域を出ない結論だった。 この問題についてあらためて記す。 仕様策定の経緯 表題の通り、 <form> の method には GET と POST しかサポートされていない。 HTTP には他にも PUT や DELETE といったメソッドもあるのに、なぜサポートされていないのかという疑問から始まった。 仕様が決定した経緯は、以下に残っている。 Status: Rejected Change Descriptio
こんにちは、あるいはこんばんは。村山です。皆さまGoogleアナリティクス4(以下、GA4)との戯れには慣れてきましたでしょうか。GA4の使い方は「完全に理解した」という方もいれば「まだまだこれから計測実装していくから触っていない」みたいな方もいらっしゃるのではないかと思います。 今回は、後者である「これからGA4を計測実装していく」方にむけて、どのようにGA4の計測実装を推進したら良いのか書いていこうと思います。 どのようなイベントを計測するべきか? データに関わる方が1名と少ない場合 データに関わる方が2名以上の場合 データ計測の設計書となるドキュメントが必要だ GA4はさまざまなイベント計測方法がある GA4管理画面内の「イベントの変更」 GA4管理画面内の「イベントの作成」 GA4管理画面内の「オーディエンストリガーイベント」 GTM内からイベントタグの発火 GA4の計測設計にはN
はじめに こんにちは。株式会社Flatt Security セキュリティエンジニアの石川です。 本稿では、ログイン機能をもつWebアプリケーションにおける実装上の注意を、マイページ機能から派生する機能のセキュリティ観点から記載していきます。特に、XSS(Cross-Site Scripting)やSQLインジェクションのような典型的な脆弱性と比較して語られることの少ない「仕様の脆弱性」にフォーカスしていきます。 これから述べる実装上の注意点は、実際にはマイページ機能であるかどうかに関係なく注意するべきです。 しかし、開発者の視点に立つと「これこれの機能にはどのようなセキュリティ観点があるか」という形が読みやすく、また他の機能の仕様のセキュリティを考える上で想像力を働かせやすいものになるのではないでしょうか。 また、株式会社Flatt Securityではお客様のプロダクトに脆弱性がないか専
2022年になりました。矢倉眞隆(@myakura)と申します。昨年に引き続き、新春特別企画のブラウザとウェブ標準を担当させていただきます。 なお、取り上げるトピックの数やインパクトの大きさもあり、CSSについては別記事となりました。あわせて読んでいただければ幸いです。 ChromeとFirefoxがバージョン100に到達 昨年の新春企画でもすこし触れましたが、今年はChromeとFirefoxのバージョンが100になります。 Chrome 100は、今年の3月29日にリリース予定です。もともとはもう少し先だったのですが、Chrome 94からリリースサイクルが4週間に短縮されたため、Chrome 100のリリースが早まりました。 Chromeよりも早く4週間のリリースサイクルに移行していたFirefoxも、5月3日にFirefox 100がリリース予定です。 バージョンが3桁になることで
note_vuln.md noteの独自ドメインセッションの脆弱性について報告した件 文責: mala 前置き note.com (以下note) に2020年に報告した脆弱性(現在は修正済み)を解説する 個人の活動として行っており所属組織とは関係がない 自分がnote社に対して、問題があると指摘していたのは主に広報対応についてですが、この記事は技術的な知見を共有することを目的とするため、技術的な解説を中心にします。 公開にあたってはnote社に対して確認の上で行っています。note社による修正対応は2021年までに実施されていますが、その修正内容が適切であるかどうかについて保証するものではありません。(網羅的な確認や追加の検証をしていません) note社のサービスに他の脆弱性が無いことを保証するものではありません。 経緯 2020年9月30日に公開されたnote社の記事で https:/
Log4jで話題になったWAFの回避/難読化とは何か
はじめに 2021年12月に発見されたLog4jのCVE-2021-44228は、稀に見るレベル、まさに超弩級の脆弱性となっています。今回、私はTwitterを主な足がかりとして情報収集を行いましたが、(英語・日本語どちらにおいても)かなりWAFそのものが話題になっていることに驚きました。ある人は「WAFが早速対応してくれたから安心だ!」と叫び、別の人は「WAFを回避できる難読化の方法が見つかった。WAFは役に立たない!」と主張する。さらにはGitHubに「WAFを回避できるペイロード(攻撃文字列)一覧」がアップロードされ、それについて「Scutumではこのパターンも止まりますか?」と問い合わせが来るなど、かなりWAFでの防御とその回避方法について注目が集まりました。 実はWAFにおいては、「回避(EvasionあるいはBypass)」との戦いは永遠のテーマです。これは今回Log4jの件で
コンテンツ投稿系のWebサービスでは「ユーザーのページに好きな独自ドメインを登録できる」という機能をつけたくなることがあります。ユーザーからすると「コンテンツが自分自身の所有物であること」を感じやすいですし、コンテンツのポータビリティが上がりますし、とても夢がありますよね。僕もいつか実装してみたい機能のひとつです。 しかし、この機能を提供するには、以下のようなハードルがあります。 料金 ベンダーロックイン 複雑な実装(とくに認証) (1)の料金についてはデプロイ先によります。例えばVercelであればProプラン以上であれば無制限に独自ドメインを登録できます(Unlimited custom domains for all Pro teams)。 Google Cloudの場合にはCertificate Managerで独自ドメインごとの証明書を管理するのに「ひとつあたり○USD」という感
米Googleは1月25日(現地時間)、2021年3月に発表したサードパーティーcookieに代わる技術「FLoC」(Federated Learning of Cohorts)の開発を停止し、新たに「Topics」と呼ぶ技術のテストを年内に開始すると発表した。 同社は、ユーザーのWebプライバシーを改善しつつ適切な広告を表示するための取り組み「Privacy Sandbox」の技術としてFLoCを開発してきたが、ユーザーを特定できてしまう可能性を指摘されたり、この取り組みが独禁法に違反する可能性があるとされたりと、批判が高まっていた。 Googleは「Topicsは、FLoCのテストからの学習と幅広いコミュニティからのフィードバックに基づいて、FLoCに代わるものとして開発する」と語った。 Topicsの大まかな仕組みはこうだ。Webブラウザが、ユーザーのWeb閲覧履歴に基づいて、そのユ
あずきバーで肉じゃが | レシピ | 井村屋株式会社
当ウェブサイトでは、お客様により良いサービスをご提供するため、Cookieを使用しています。当社のCookieの使用については「サイトポリシー」をお読みください。Cookieの利用に同意いただける場合は、「同意する」ボタンを押してください。 同意する
「Web 技術解体新書」執筆について
「Web 技術解体新書」執筆について Intro 「Web 技術解体新書(Web Anatomia)」という書籍の執筆と、 zenn 上での販売についてアナウンスします。 各章を分割して執筆し公開していく予定です。 第一章: Origin 解体新書 Web 技術解体新書とは Web というものを正しく理解するために必要な知識や技術は日増しに増え、それに従い学ぶためのコストもかなり上がってきています。 一方で、多くの書籍や雑誌、 Web 上の記事、動画や音声コンテンツは充実しており、学ぶための手段もかなり広がっています。 しかし、 Web に関わる技術書籍の多くは、何らかのフレームワークの解説や、 JS/CSS などの特定技術、特定の非機能要件に特化したものが多く、(その括りの曖昧さ故) Web という括りで書かれたものはあまりありません。 あったとしても、多くは初心者向けなものが多く、ある
ウェブサイトを閲覧していると、過剰に広告が表示されてウェブサイトが見にくくなってしまうことが多々あります。広告をブロックできるアプリを使用しても、ウェブサイトに「広告ブロッカーをオフにしてください」という表示が出てしまい、さらにウェブサイトが見づらくなるということも。そんな中、広告ブロッカーを使用するのではなく「ウェブサイトのURLに『.』を加えるだけで広告がオフになる」という報告がRedditに投稿されました。 fyi: You can bypass youtube ads by adding a dot after the domain : webdev https://www.reddit.com/r/webdev/comments/gzr3cq/fyi_you_can_bypass_youtube_ads_by_adding_a_dot/ 例えば、 https://www.yout
CDNのエッジで実行する系が面白い
先日の Next.js Conf で Vercel は Next.js の新しいバージョン「12」をリリースした。 興味深いのは、Vercel は同時にEdge Functionsというサービスを開始したことだ。 Edge Functions – Vercel 謳い文句のひとつに Push your functions to the edge とあるように、「エッジ」で実行される「関数」を提供するプラットフォームである。 ここで言うエッジとはなにかというと、Vercel は明言していないが CDN のエッジのことだ。 Vercel の例のように「CDN のエッジで実行する系」が増えている。例えば以下の 7 つだ。 Cloudflare Workers Fastly Compute@Edge AWS CloudFront Functions AWS Lambda@Edge Deno Depl
こんにちは @zaru です。今回は昔からある CSRF (クロスサイト・リクエスト・フォージェリ) の今時の対策についてまとめてみました。もし、記事中に間違いがあれば @zaru まで DM もしくはメンションをください (セキュリティの細かい部分についての理解が乏しい…) 。 2022/08/29 : 徳丸さんからフィードバック頂いた内容を反映しました。徳丸さん、ありがとうございます! 認証あり・なしで対策方法が違う点 トークン確認方式のデメリットのクロスドメインについての言及を削除、代わりに Cookie 改変リスクを追記 Cookie 改ざん可能性について徳丸さんの動画リンクを追記 SameSite 属性で防げない具体的なケースを追記 nginx 説明が関係なかったので削除 そもそも CSRF ってなに? 昔からインターネットをやっている方であれば「ぼくはまちちゃん」 騒動と言えば
【セキュリティチームブログリレー2回目】 こんにちは。エンジニアリンググループの山本です。 セキュリティチームは、エンジニアリンググループ全体のセキュリティを向上させるためのバーチャルチームなのですが、各プロダクト開発チームのサービスをチェックして、協力しながら全体のセキュリティを向上させていくのがミッションです。 そのお仕事の一環として「この部分、セキュリティヘッダが足りないから入れてください!」というやりとりを日常的に行なっています。 今日はこの「セキュリティヘッダ」というものが一体何なのか、今さら人に聞けないアレコレを取りまとめてみたいと思います。 セキュリティヘッダ警察の日常の図(もちろん冗談です) セキュリティヘッダ そもそもセキュリティヘッダとは? 比較的安全なセキュリティヘッダ X-Content-Type-Options X-XSS-Protection Strict-Tr
ZOZOTOWNのWebホーム画面をNext.jsでリプレイスして得た知見 - ZOZO TECH BLOG
はじめに ZOZOTOWN開発本部の武井と申します。ZOZOTOWNのフロントエンドリプレイスプロジェクトを主に担当しております。ZOZO DEVELOPERS BLOG でも「ZOZOのリプレイスプロジェクトで得られる唯一無二の経験。大規模サービスを進化させるやりがいとは」というインタビュー記事を掲載しておりますので、もしよろしければこちらも併せてご覧ください。 さて、本題です。現在ZOZOTOWNではオンプレミスかつ、モノリスだった既存システムをマイクロサービスAPIに責務を分割したり、インフラをクラウドに移行したりしています。しかし、いわゆるWebのUIを構築するためのシステムは現在も既存システムに新機能開発や機能改修を行なっており、リプレイスに着手できていませんでした。 そこで、まずホーム画面から段階的にリプレイスすべく設計・開発を昨年から行ない、無事リリースできました。ZOZOT
ヤン坊マー坊リニューアル一般投票|ヤンマーの企業マスコットキャラクター「ヤン坊マー坊」|ヤンマーについて|ヤンマー
1959年に「ヤン坊マー坊天気予報」の キャラクターとして登場したヤン坊マー坊。 農業や漁業、建設現場などで活躍される お客さまのお役に立てるよう、 天気を伝える存在として長年愛されてきました。 これからは“A SUSTAINABLE FUTURE”の実現に向け 「心を動かし、未来を動かす」キャラクターとして 活躍の場を広げていきます。 国や地域を問わず幅広い世代の声や想いを反映し、 未来の可能性にチャレンジしていく。 新しいヤン坊マー坊のデザインは、 皆さんの投票で決定します。 進化する2人を、ぜひ一緒に選んでください。 「心を動かし、未来を動かす」 新しいヤン坊マー坊は、ワクワクする気持ちを原動力に チャレンジ精神が旺盛な性格で、 失敗しても決して諦めない。 自由な創造力に溢れ、新しい社会と新しい世代のために 2人が力を合わせて未来に向かって チャレンジしていきます。 ヤン坊マー坊リニ
iCARE Developer Meetupは、月次で開催している株式会社iCAREが主催するエンジニア向けのLT勉強会です。18回目の今回は、Ruby on Railsをテーマに行いました。サーバーサイドエンジニアの越川氏からはToken認証機能について。 Rails APIモードで開発するときの認証用のトークンはどこに保存すればいいの問題 越川佳祐氏:私からは、「Rails APIモードにおけるToken認証機能について」というテーマでLT(ライトニングトーク)をしようと思っていたんですが、スライドを作っていて「あれ、これ別にRailsだけの話じゃなくない?」と思ってしまいました。みなさんの中にも、そう思う方がいるかもしれないんですが、もうこれで作っちゃったのでご了承ください。 私は株式会社iCAREで、サーバーサイドエンジニアをしている、越川と申します。Twitterは@kossy0
同社はまた、2月のChromeのアップデートで、サードパーティーで使うためにラベル付されたCookieにHTTPS経由のアクセスを要求する計画も発表した。これにより、安全でないクロスサイトトラッキングを制限する。 関連記事 「クッキー」から始めるプライバシーの旅 Webブラウザの「クッキー」という仕組み。リクナビの内定辞退率の予測にまつわる問題でやり玉に上がりましたが、そもそもどんな仕組みなのでしょうか。クッキーの理解から、プライバシーを考えていきます。 Chromium版「Microsoft Edge」は2020年1月15日リリース Microsoftが、Chromium版ブラウザ「Microsoft Edge」の正式版を2020年1月15日に公開すると発表した。WindowsとmacOS版だ。新ロゴはイノベーションの波を表現したとしている。 Google、個人のプライバシーと最適な広告
Google Analytics 4 で正しく理解しておくと安心な「指標」8選(寄稿:小川卓) - はてなビジネスブログ
株式会社HAPPY ANALYTICSの小川卓(id:ryuka01)です。 Google Analytics 4 の本格利用がGoogle Analytics終了とともに始まり、多くのサイトや企業が移行を完了したと思われます。しかしGA4は新しい計測形式になり、混同しやすい内容が増えました。特に今までGAを使っていた人ほど、誤った理解で設定を行ったり、数値の定義を間違えて理解してしまいます。 そこで今回は誤った理解をされがちな数値を8個まとめてみました。普段なにげなく使っている指標も実はこんな仕様だった!というのを理解しておくと、適切な指標を選んだり、説明できたり出来るようになります。 みなさんが正しく仕様を理解できているかを1つずつチェックしながら、ぜひ本記事をご覧ください。 「設定」編も参考にしてみてください。 Google Analytics 4 でミスされやすい・誤解されやすい「
シングルページアプリケーション(SPA)において、セッションIDやトークンの格納場所はCookieあるいはlocalStorageのいずれが良いのかなど、セキュリティ上の課題がネット上で議論されていますが、残念ながら間違った前提に基づくものが多いようです。このトークでは、SPAのセキュリティを構成する基礎技術を説明した後、著名なフレームワークな状況とエンジニアの技術理解の現状を踏まえ、SPAセキュリティの現実的な方法について説明します。 Discord Channel: #track1-8-spa-security
この記事はRetty Advent Calendar 2019 21日目の記事です。エンジニアの 神@pikatenor がお送りします。11日目の記事に書かれた「弊社エンジニアの神(注・人名であり実名です)」とは私のことです。 qiita.com さて世はまさにマイクロサービス大航海時代、大規模化した組織・肥大化したコードベースのメンテナンスを継続的に行っていくべく、アプリケーションを機能別に分割する同手法が注目を集めていることは皆さんもご存知でしょう。 マイクロサービスアーキテクチャ特有の設計課題はいくつかありますが、今回は認証情報のような、サービス間でグローバルに共有されるセッション情報の管理のパターンについて調べたことをまとめてみたいと思います。 背景 HTTP は本質的にステートレスなプロトコルですが、実際の Web サービス上では複数リクエストをまたがって状態を保持するために、
こんにちは。X(クロス)イノベーション本部 ソフトウェアデザインセンター セキュリティグループの耿です。 AWS WAF は簡単に Web アプリに WAF を追加でき、かつ値段も他の WAF 製品より安いため、好きな AWS サービスの一つです。そんな AWS WAF ですがしばらく構築・運用し、これを最初から知っておけば・・・と思ったことがあるので 8つご紹介します。 AWS WAF の基本については分かっている前提で、特に説明はいたしません。また2023年10月現在の最新バージョンである、いわゆる「AWS WAF v2」を対象としています。 その1: AWS マネージドルールのボディサイズ制限が厳しい その2: ファイルアップロードが AWS マネージドルールの XSS に引っかかることがある その3: マネージドルールにはバージョンがある その4: CloudWatch Logs
ultraviolet @raurublock ・CDCが「アメリカ人が生のクッキー生地を食べる」ことにサルモネラ菌リスクがあると警告 ・しかし「生のクッキー生地はあまりにも美味すぎる」という問題がある という記事なのだけれど、いろいろついていけない… washingtonpost.com/wellness/2023/… 2023-05-26 11:07:54 リンク Washington Post The CDC wants people to stop eating raw cookie dough. But it’s so tasty. A salmonella outbreak linked to raw cookie dough has sickened at least 18 people across six states, according to the CDC. 124
はじめに バックエンドエンジニアは、プログラミングの中で特にイメージがわきにくい分野である。簡単に言えば、バックエンドエンジニアはユーザから見えない部分にあるシステムである。(例えば、ユーザ認証やデータベース設計・操作・運用などが例として挙げられる) 例えば、ECサイトを運用する際に、ユーザから見えるUIだけを作っても作動しない。バックエンドになるシステムの構築も必要なのだ。 今回はバックエンド開発を理解する上で必要な10の知識を徹底解説する。その中で、個人の見解に過ぎないが初心者にオススメのバックエンドのフレームワークを3選紹介する。あくまで一個人の見解に過ぎないが、今回の記事を通してバックエンドの学習方法またはその魅力を十分に理解していただければ非常に幸いである。 本題に入る前に、本記事における「バックエンド」はあくまで認証やデータベースなどシステムやソフトウェアの裏側で動作しているも
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
リクナビ運営元に「Pマーク」取り消し措置 “内定辞退予測”を問題視
開発者が知っておきたい「XSSの発生原理以外」の話 - Flatt Security Blog
最近よく見る「Cookie使用同意バナー」、実は無意味? 専門家が指摘するちぐはぐ対応
ブラウザの仕組み | Articles | web.dev
IIJ、6月16日施行の「Cookie規制」 を解説〜多くのサイトやアプリが対象になり、情報の公表などが義務に
詳報・リクナビ問題 「内定辞退予測」なぜ始めた? 運営元社長が経緯を告白
2021年のウェブ標準とブラウザ | gihyo.jp
Ubuntu 22.04 LTS サーバ構築手順書
「たとえ無料で便利でもGoogleアナリティクスを使うべきではない」という主張
Qiita はなぜここまで退会炎上したのか?|横江 as a なんとか
「しずかなインターネット」の技術スタックを調べる - laiso
2022年1月においてCSRF未対策のサイトはどの条件で被害を受けるか
なぜ HTML の form は PUT / DELETE をサポートしないのか? | blog.jxck.io
GA4の計測設計には設計ドキュメントが重要な件 - ブログ - 株式会社JADE
Webサービスにおけるマイページの仕様とセキュリティ観点 - Flatt Security Blog
2022年のブラウザとウェブ標準 | gihyo.jp
noteの独自ドメインセッションの脆弱性について報告した件
Webサービスで「ユーザーページに独自ドメインを登録できる」機能を提供するのがなぜ難しいか
Google、脱Cookie技術「FLoC」開発を停止し、新たな「Topics」を発表
URLに「.」を追加するだけでウェブサイトの広告を回避できる可能性があるという指摘
今時の CSRF 対策ってなにをすればいいの? | Basicinc Enjoy Hacking!
セキュリティヘッダ警察です!既に包囲されている!観念してヘッダを挿入しなさい! - エムスリーテックブログ
認証用トークン保存先の第4選択肢としての「Auth0」
Google、サードパーティー製CookieのChromeでのサポートを2年以内に終了へ
SPAセキュリティ入門
マイクロサービス時代のセッション管理 - Retty Tech Blog
AWS WAF について最初から知りたかったこと8選 - 電通総研 テックブログ
アメリカ人、生のクッキー生地が好きすぎてリスクを警告する記事まで出てるらしい「しかも対策したやつ売ってる」
バックエンド開発の基本を理解するために必要な10の知識 2022年版