iCARE Developer Meetupは、月次で開催している株式会社iCAREが主催するエンジニア向けのLT勉強会です。18回目の今回は、Ruby on Railsをテーマに行いました。サーバーサイドエンジニアの越川氏からはToken認証機能について。 Rails APIモードで開発するときの認証用のトークンはどこに保存すればいいの問題 越川佳祐氏:私からは、「Rails APIモードにおけるToken認証機能について」というテーマでLT(ライトニングトーク)をしようと思っていたんですが、スライドを作っていて「あれ、これ別にRailsだけの話じゃなくない?」と思ってしまいました。みなさんの中にも、そう思う方がいるかもしれないんですが、もうこれで作っちゃったのでご了承ください。 私は株式会社iCAREで、サーバーサイドエンジニアをしている、越川と申します。Twitterは@kossy0
Google Analytics 4 で正しく理解しておくと安心な「指標」8選(寄稿:小川卓) - はてなビジネスブログ
株式会社HAPPY ANALYTICSの小川卓(id:ryuka01)です。 Google Analytics 4 の本格利用がGoogle Analytics終了とともに始まり、多くのサイトや企業が移行を完了したと思われます。しかしGA4は新しい計測形式になり、混同しやすい内容が増えました。特に今までGAを使っていた人ほど、誤った理解で設定を行ったり、数値の定義を間違えて理解してしまいます。 そこで今回は誤った理解をされがちな数値を8個まとめてみました。普段なにげなく使っている指標も実はこんな仕様だった!というのを理解しておくと、適切な指標を選んだり、説明できたり出来るようになります。 みなさんが正しく仕様を理解できているかを1つずつチェックしながら、ぜひ本記事をご覧ください。 「設定」編も参考にしてみてください。 Google Analytics 4 でミスされやすい・誤解されやすい「
シングルページアプリケーション(SPA)において、セッションIDやトークンの格納場所はCookieあるいはlocalStorageのいずれが良いのかなど、セキュリティ上の課題がネット上で議論されていますが、残念ながら間違った前提に基づくものが多いようです。このトークでは、SPAのセキュリティを構成する基礎技術を説明した後、著名なフレームワークな状況とエンジニアの技術理解の現状を踏まえ、SPAセキュリティの現実的な方法について説明します。 Discord Channel: #track1-8-spa-security
この記事はRetty Advent Calendar 2019 21日目の記事です。エンジニアの 神@pikatenor がお送りします。11日目の記事に書かれた「弊社エンジニアの神(注・人名であり実名です)」とは私のことです。 qiita.com さて世はまさにマイクロサービス大航海時代、大規模化した組織・肥大化したコードベースのメンテナンスを継続的に行っていくべく、アプリケーションを機能別に分割する同手法が注目を集めていることは皆さんもご存知でしょう。 マイクロサービスアーキテクチャ特有の設計課題はいくつかありますが、今回は認証情報のような、サービス間でグローバルに共有されるセッション情報の管理のパターンについて調べたことをまとめてみたいと思います。 背景 HTTP は本質的にステートレスなプロトコルですが、実際の Web サービス上では複数リクエストをまたがって状態を保持するために、
こんにちは。X(クロス)イノベーション本部 ソフトウェアデザインセンター セキュリティグループの耿です。 AWS WAF は簡単に Web アプリに WAF を追加でき、かつ値段も他の WAF 製品より安いため、好きな AWS サービスの一つです。そんな AWS WAF ですがしばらく構築・運用し、これを最初から知っておけば・・・と思ったことがあるので 8つご紹介します。 AWS WAF の基本については分かっている前提で、特に説明はいたしません。また2023年10月現在の最新バージョンである、いわゆる「AWS WAF v2」を対象としています。 その1: AWS マネージドルールのボディサイズ制限が厳しい その2: ファイルアップロードが AWS マネージドルールの XSS に引っかかることがある その3: マネージドルールにはバージョンがある その4: CloudWatch Logs
ultraviolet @raurublock ・CDCが「アメリカ人が生のクッキー生地を食べる」ことにサルモネラ菌リスクがあると警告 ・しかし「生のクッキー生地はあまりにも美味すぎる」という問題がある という記事なのだけれど、いろいろついていけない… washingtonpost.com/wellness/2023/… リンク Washington Post The CDC wants people to stop eating raw cookie dough. But it’s so tasty. A salmonella outbreak linked to raw cookie dough has sickened at least 18 people across six states, according to the CDC. 1242 リンク GIGAZINE 「生のまま
Electronic Frontier Foundation サードパーティクッキーは死につつある。そしてGoogleはその代替手段を作ろうとしている。 ご承知の通り、クッキーの死を嘆く必要など微塵もない。サードパーティクッキーは20年以上に渡り、ウェブ上の不気味で胡散臭い、数十億ドル規模の広告監視産業の要であった。だが、その基盤に暗雲が立ち込めるようになったことで、最大手のプレイヤーはなんとか窮地を脱しようとしている。 Googleは、サードパーティクッキーを新たなターゲティング広告テクノロジーにリプレイスするべく奔走している。その提案のいくつかは、Googleが従来の監視ビジネスモデルへの批判から正しい教訓を学んでいないことを露わにしている。本稿では、おそらく最も野心的で、最も有害な影響を及ぼしうる提案の1つであるFLoCに焦点を当てる。 FLoCは、サードパーティトラッカーが行ってい
![Googleに騙されてはいけない:FLoCは邪悪なアイデアである | p2ptk[.]org](https://cdn-ak-scissors.b.st-hatena.com/image/square/f02299819b2ed0ae3fcca408d7dbad468b2d27a2/height=288;version=1;width=512/https%3A%2F%2Fp2ptk.org%2Fwp-content%2Fuploads%2F2021%2F03%2F5109080982_5e16ca6a30_e.jpg)
はじめに バックエンドエンジニアは、プログラミングの中で特にイメージがわきにくい分野である。簡単に言えば、バックエンドエンジニアはユーザから見えない部分にあるシステムである。(例えば、ユーザ認証やデータベース設計・操作・運用などが例として挙げられる) 例えば、ECサイトを運用する際に、ユーザから見えるUIだけを作っても作動しない。バックエンドになるシステムの構築も必要なのだ。 今回はバックエンド開発を理解する上で必要な10の知識を徹底解説する。その中で、個人の見解に過ぎないが初心者にオススメのバックエンドのフレームワークを3選紹介する。あくまで一個人の見解に過ぎないが、今回の記事を通してバックエンドの学習方法またはその魅力を十分に理解していただければ非常に幸いである。 本題に入る前に、本記事における「バックエンド」はあくまで認証やデータベースなどシステムやソフトウェアの裏側で動作しているも
こんにちは!JADEの郡山です。 2023年7月から従来のバージョンのGoogleアナリティクス「ユニバーサルアナリティクス」が順次計測を停止していき、いよいよGA4へ完全移行する段階が訪れました。 同じ「Googleアナリティクス」というアクセス解析ツールではありますが、UAとGA4は計測する仕組み(仕様)がまったくの別物となっています。 ゼロからGA4を学び、向き合い、活用することが求められるわけですが、 一方で「UAではこういう仕組みでデータを集計していた」という知識をお持ちの方ほどUAとGA4の仕様の違いに頭を悩まされることも多いのではないでしょうか。 今回はGA4の基本的なデータである「ユーザー」指標について、 UAとGA4でどのような仕様の違いがあるのかを解説してみます。 管理画面に表示されているデータは、一体どんな仕組みで集計されたものなのか。 その仕組を、(基本的な部分だけ
卒業証書 2021年4月にプログラミングスクールのWebデザイナー向けプログラミングコースを卒業しました。 受講していたのはRailsプログラマーコースだったのを、途中からメンターさんに相談してWebデザイナー向けにカリキュラム内容をカスタマイズしてもらって、受講してました。 受講していたスクールでははじめての試みだったということで、同じデザイナーの人でプログラミング勉強したいと考えている人向けに記事を残すことにしました。 プログラミングを勉強しようと思った経緯は以前投稿した記事に書いているので、そちらを参照してください。 ksmxxxxxx.hatenablog.com スクールでやったこと 通っていたのはフィヨルドブートキャンプというプログラミングスクールになります。 実際に進めたカリキュラムは以下になります。 Linuxの基本 Terminal Debianをインストール ファイル操
元ネタ @localdisk さんの記事です。 こちらで概ね適切に説明されているものの,文章のみで図が無くて直感的に把握しづらいので,初心者にもすぐ飲み込ませられるように図に描き起こしてみました。 図 解説 illuminate/auth: 最小限の認証認可コアロジック コアコンポーネント群の laravel/framework に含まれているものです。 Socialite 以外のすべてのパッケージが,実質このコアに依存していることになります。 以下の記事でこのパッケージの詳細について説明しているので,ここでは端折って説明します。 伝統的 Cookie ベースのセッション認証 こちらでも解説している, 「Cookie に識別子を載せ,それに対応する情報はサーバ側のファイルに記録する」 という手法に近いものです。 実装は illuminate/session にあり, PHP ネイティブのセ
先日GoogleよりGoogle Analyticsの大幅アップデートが発表されました。 その名も「Google Analytics 4」です。 従来よりアプリ + ウェブ アナリティクスという名称でβ提供されていたものが正式にリリースされた形になります。 自分の勉強がてら、アップデートの内容を整理したいと思います。 アップデートの背景 そもそもなぜGoogleは今回のアップデートを行ったのでしょうか? アナウンスの原文にその答えが書いてありました。 新しいアナリティクスでは、デバイスやプラットフォームごとに細分化された測定ではなく、顧客中心の測定を行うことができます。マーケターが提供するユーザーIDや、広告のパーソナライゼーションにオプトインしたユーザーからのGoogle独自のシグナルなど、複数のIDスペースを使用して、顧客が貴社のビジネスとどのように相互作用しているかをより完全に把握す
記事が見つかりませんでした|秋田魁新報電子版
電子ブックの表示(ビューアー)には「issuu」というサービスを使用しています。初めて使用する場合、英語で「cookieの利用を許可するかどうか」を確認される場合があります。
Private Relay と IP Blindness による Fingerprint 対策 | blog.jxck.io
Intro iOS15 がリリースされたため、 Private Relay のベータを試すことができた。 このようなサービスが提供されるようになった背景を踏まえ、挙動を簡単に確認しつつ、解説する。 背景 そもそも、なぜこのようなサービスが出てきたのかを理解するには、現在のインターネットが抱える問題の背景を理解する必要がある。 特に Web において問題になっている「トラッキング」を防ぐために、法的な規制や業界団体の自主規制による対策は長いこと行われてきたが、それでも看過できないインシデントなどが目立ったために、 Apple の ITP を皮切りに 3rd Party Cookie の制限が始まった。 ここで重要なのは、「本来防ぎたいのは 3rd party Cookie という技術ではなく Tracking というユースケースだ」という点だ。 この前提が伝わっていない場合、トラッキングのユ
サーバサイドレンダリングの導入から生じるSSRF | セキュリティブログ | 脆弱性診断(セキュリティ診断)のGMOサイバーセキュリティ byイエラエ
オフェンシブセキュリティ部の山崎です。サーバサイドレンダリング(SSR)の導入によってSSRFが発生する問題を見つける機会があったため、本記事では実例を交えながら紹介したいと思います。 サーバサイドレンダリング(SSR)とは? 本記事で扱うSSRとは「サーバ上でHTMLを出力すること」を指しています。ただしerbやjspのようなテンプレートからHTMLを出力するのとは異なり、一般的には以下のようにクライアントサイドレンダリング(CSR)の文脈で使われることが主です。 近年のVue.jsやReactを代表するようなWebフロントエンドフレームワークはブラウザ上で動的にDOMツリーを構築して画面を描画(CSR)するのが主流となっています。これによってページ遷移を挟まずユーザ体験のよいシングルページアプリケーション(SPA)が作ることができるというメリットがあります。 ただ、単純なSPAにはデメ
はじめに 今日は、ニコニコのプレミアム会員サービスを支える「プレミアム課金システム」を動画システムのモノリスから切り出し、変更可能にしていった過程について書きます。プレミアム課金システムは金銭を扱うシステムですので、「(特に、失敗した)話を聞くのは面白いけど、自分で触りたくない」と思われる方も多いのではないでしょうか。 この記事では、決済にかかわるシステムでも一般的なシステム改善の方法が適用できることをお伝えしたいと思います。また、コストを抑えつつ着実なシステム改善を行う方法論としてもご理解していただけると嬉しく思います。 背景 プレミアム会員サービスについて 月額500円(税別)のプレミアム会員制度には159万人(2020年9月末現在)の方が加入してくださっており、ニコニコ事業を支える主要な有料サービスです。 ニコニコ動画は2006年にサービスを開始し、2007年にプレミアム会員サービス
概要 Partytownというプロジェクトが先月発表された。このプロジェクト自体はWebのパフォーマンス向上(3rd Party Scriptによるブロッキングの低減)を主目的としているが、実質ブラウザにおけるJavaScript Sandboxの方向性に一石を投じるものであるとして自分は理解した。本稿ではこちらについて背景とともに解説を試みる。 WebブラウザにおけるJavaScript Sandbox JavaScriptで記述されたWebアプリケーションにおいて、たとえばプラグイン機構を実現したいなど、他Partyが提供あるいはユーザ自身が記述したスクリプトを、ホストとなるアプリケーションに影響を与えることなく実行することを許可したい、というケースはままある。2000年代に跋扈したブログパーツの類はWebコンテンツに対するプラグインの代表例とも言えるが、埋め込み先ページに対しての全権
サーバーレスのセキュリティリスク - AWS Lambdaにおける脆弱性攻撃と対策 - Flatt Security Blog
はじめに こんにちは、株式会社Flatt Security セキュリティエンジニアの森岡(@scgajge12)です。 本稿では、AWS Lambda で起こりうる脆弱性攻撃やリスク、セキュリティ対策を解説し、サーバーレスにおけるセキュリティリスクについて紹介します。 はじめに AWS Lambda について サーバーレスにおけるセキュリティリスク AWS Lambda で起こりうる脆弱性攻撃 Lambda での脆弱性攻撃によるリスク 脆弱性攻撃による更なるリスク OS Command Injection XML External Entity (XXE) Insecure Deserialization Server Side Request Forgery (SSRF) Remote Code Execution (RCE) AWS Lambda におけるセキュリティ対策 セキュリティ
Latest topics > なぜMozillaはXULアドオンを廃止したのか?(翻訳) - outsider reflex
Latest topics > なぜMozillaはXULアドオンを廃止したのか?(翻訳) 宣伝。日経LinuxにてLinuxの基礎?を紹介する漫画「シス管系女子」を連載させていただいています。 以下の特設サイトにて、単行本まんがでわかるLinux シス管系女子の試し読みが可能! « 「同調圧力は忌むべきものだ」と思考停止していたことに気付いた話 Main 「なぜMozillaはXULアドオンを廃止したのか?」に寄せられていた反応を見て、「甘い……甘すぎる……」と思って、W3C信者時代からの価値観に行き着いた話 » なぜMozillaはXULアドオンを廃止したのか?(翻訳) - Aug 22, 2020 (原著:David Teller, 2020年8月20日、CC BY-NC 4.0で公開されている内容の全訳。Qiitaにもクロスポストしています。) 要約:Firefoxはかつて、XUL
Paul Boag氏はユーザー体験デザイナー、サービスデザインコンサルタント、およびデジタルトランスフォーメーションのエキスパートです。非営利団体や企業向けに、デジタル体験の改善を目指す支援をしています。 あなたのWebサイトは、訪れるユーザーにあれこれ考えさせすぎてはいないですか? ユーザーに大きな認知負荷をかけていて、それによってユーザーがあなたのWebサイトから離脱していっている、ということはありませんか? もしそうならば、これは修正すべき問題で、実際に修正が可能です。 認知的な負荷による影響 この問題はWebデザイナーである私たちと明らかに密接に関連しています。ユーザーが1つのことに集中しすぎて、他の要素に気が付かなかった場合、Webサイトでの重要なCTA(コールトゥアクション)だって気づかれない可能性があるということです。そう、ものごとをクリーンかつシンプルに整理したいというデザ
「ユーザーを追跡しないのではっきりとは分からないが」、市場シェアデータやダウンロード数から推定すると、DuckDuckGoのユーザー数は7000万人~1億人と考えられるとしている。 同社は、「人はプライバシーを気にはするが、実際に対策はしない」とプライバシー懐疑論者は主張するが、米AppleがiOS 14.5でトラッキング許諾の義務付けを実施したことで、簡単で犠牲を払わずに済むなら人はプライバシー対策を行うことが証明されたと語った。4月のiOS 14.5のリリース以来、世界のユーザーの88%がアプリによる追跡をオプトアウトしている。DuckDuckGoはオンラインプライバシーを守る「簡単なボタン」さえ用意すれば人はそれを押す、としている。そして、DuckDuckGoの検索エンジンは「簡単なボタン」の1つなのだという。 同社はまた、昨年末に主要な2度目の増資を行ったことも明らかにした。VCの
Modern Web Development on the JAMstack を読んでまとめた - console.lealog();
https://www.netlify.com/pdf/oreilly-modern-web-development-on-the-jamstack.pdf Netlify社が2019年に公開した本?PDFです。 せっかくJamstackの会社に入ったので、読んでおかないといけない気がして。 あとJamstackは人によって解釈が違ったりするとし、Jamstackの真髄について知っておきたいですよね?と思い。 ただこれなんと127ページもあるんですよね〜。 全編もちろん英語なので、読むのも中々に大変ですよね〜。 てなわけで、ざっくり訳してまとめまておきました。(それでも長いけど) はじめに ここ最近のWebの進化はすさまじい ブラウザもJavaScriptもパワフルになった その分ユーザーの要求も増える やることが増えると処理は遅くなる 遅いページは見向きもされないモバイル当たり前の世界だ
1919年に創立したアメリカのファストフードチェーン「A&Wレストラン」は、日本では沖縄県にしか店舗がありませんが、アメリカとインドネシアを中心に16の国と地域で1200店舗以上を展開しています。そんなA&Wレストランがマクドナルドに敗北した過去をもとに、メニューを一新したと報じられています。 The Truth About A&W's Third-Pound Burger and the Major Math Mix-Up | A&W Restaurants https://awrestaurants.com/blog/aw-third-pound-burger-fractions A&W Turns its 'Worst Marketing Fail' Into a New Burger | QSR magazine https://www.qsrmagazine.com/news/a
こんにちは、柴田です。 今回は「会員制メディア」のチュートリアルを全3回に分けてお届けします。 === 認証編ページ作成編完成編=== 会員制メディアは、一部の記事は会員しか見れないような形式のメディアです。 ビジネスでは近年よくあるユースケースであり、もしかしたら個人ブログに導入してみても一風変わっていて面白いかもしれません。 また、応用すれば課金しないと見れない記事のような仕組みも作れると思います。 今回想定している仕様は以下の通りです。 記事一覧画面と全公開記事(/public配下)は事前生成をしておき、静的に配信する会員向け記事(/private配下)はログイン済みユーザーのみ閲覧可能とし、SSRで配信する Next.jsを用いてJamstackとSSRの合わせ技を行い、認証にはAuth0を用います。 1. Next.jsプロジェクトを用意まずは、Next.jsのプロジェクトを作成
ドコモが「dポイント」など44のサービスURLを順次変更。何が目的なのか(山口健太) - エキスパート - Yahoo!ニュース
NTTドコモは2021年から2022年にかけて、「dポイントクラブ」や「dカード」など44サービスのURLを順次変更します。ユーザーにとってはブックマークの変更などの手間が発生することになりますが、いったい何が目的なのでしょうか。 たとえばdカードの場合は、これまでWebサイトのドメイン名は「d-card.jp」でしたが、2022年6月から「dcard.docomo.ne.jp」に変更されます。個々のサービスだけでなく、ドコモの企業サイトも2022年3月に「www.nttdocomo.co.jp」から「www.docomo.ne.jp」に変更される予定です。 ドメイン名は「docomo.ne.jp」に統一される(ドコモの発表内容より筆者作成) ユーザーへの影響としては、ドコモはURL変更に合わせてWebブラウザの「お気に入り」や「ブックマーク」を変更するよう呼びかけています。ブックマークを
SPAのアプリケーションで、外部のIdPを使ってOpenID Connect によるログイン機能を開発しようと考えています。IDトークンの保存先として、ブラウザのCookieかサーバーのDBに保存するかの2つの案があると思っています。調べた限り、サーバーサイドで持つべきという意見が多いように見えますが、以下のような背景がある中で開発しても、ブラウザのCookieでは持つべきなのではないのでしょうか? - IDトークン自体にも、個人の属性(氏名等)情報は無いことを確認している - サーバーサイドでIDトークンの署名検証をして、IDトークンの改ざんが無いか確認する - Http Only属性:JSによるCookieへのアクセスを防ぐため - Secure属性:流出防止のため - SameSite=strict:CSRF対策のため 結論から言えば、「どちらでもよい」となります。しかし、恐らく話は
Googleアカウントにログイン不要でYouTubeを広告なしでサクサクと視聴できる専用プレーヤーが「FreeTube」です。Cookieによる追跡がなくプライベートな環境でYouTubeを再生可能で、Googleアカウントにログインしなくてもチャンネル登録ができる専用ブラウザで、Windows・Mac・Linux向けが無償で配信されています。 FreeTube - The Private YouTube Client https://freetubeapp.io/ 上記リンクにアクセスしたら上部メニューの「Download」をクリックして、今回はWindows版をインストールするため「.exe(x64)」をクリックし、インストーラーをダウンロードします。 インストーラーのファイルサイズはEXE形式だと約62MB。ダブルクリックして起動します。 「次へ」をクリック。 「インストール」をクリ
Chromeのクッキー廃止へ。ブラウザをチェックしてみよう2024.01.13 21:00167,166 Thomas Germain - Gizmodo US [原文] ( 岩田リョウコ ) グッバイ、クッキー! Googleが長年にわたって進めてきたクッキーの廃止計画が1月4日、実行に移されました。Chromeウェブブラウザを利用しているユーザーのうち1%、約3000万人に対してクッキーを無効化。そして今年の年末までに、すべてのChromeユーザーのクッキーがなくなるとのことです。すべてのクッキーではなく、廃止されるのは追跡をするサードパーティークッキーです。 クッキーの役目って?プライバシーを守りたい人たちにとって、インターネットの元凶とみなされているクッキー。ほとんどのウェブでクッキーは、テック企業がオンライン上での私たちの行動を追跡する方法となっていました。ターゲット広告や他の多
Intro 以前から騒がれていた Apple によるサイドローディング周りの緩和について、正式な情報公開があった。 Apple announces changes to iOS, Safari, and the App Store in the European Union - Apple https://www.apple.com/newsroom/2024/01/apple-announces-changes-to-ios-safari-and-the-app-store-in-the-european-union/ ストアやペイメントの緩和もあるが、ここでは WebKit に関する部分だけを抜粋し、どのような条件があるのかをまとめておく。 筆者が公開情報を読んで解釈したものなので、内容は保証しない。 前提 iOS/iPadOS に入れられるブラウザには、 WebKit を用いる必要が
How I built a modern website in 2021September 29th, 2021 — 34 min read For over half of 2021, I worked on a complete rewrite of kentcdodds.com. You're reading this on the rewrite of this site! Are you using dark mode or light mode? Have you signed in and selected your team yet? Have you tried to call into the Call Kent Podcast? This blog post isn't about these and other features of the new site, b
SPA+SSR+APIで構成したWebアプリケーションのセッション管理 - Pepabo Tech Portal
カラーミーショップ サービス基盤チームのkymmtです。この記事では、サーバサイドレンダリングするシングルページアプリケーションとAPIサーバからなるWebアプリケーションのセッション管理方法について紹介します。 アプリケーションの構成 構成の概要 今回は例としてEC事業部で提供するカラーミーリピートをとりあげます。構成としては、Railsで作られたAPIサーバ1と、Vue.jsで作られたシングルページアプリケーション(SPA)からなります。また、SPAはExpressが動くフロントエンドサーバでサーバサイドレンダリング(SSR)します。APIサーバはSPAかフロントエンドサーバだけが呼び出します。各ロールはサブドメインが異なります。 APIサーバでセッションIDを持つCookieを発行し、Redisを用いてセッション管理します。また、APIサーバへのセッションが有効なリクエストはフロント
.app 1 .dev 1 #11WeeksOfAndroid 13 #11WeeksOfAndroid Android TV 1 #Android11 3 #DevFest16 1 #DevFest17 1 #DevFest18 1 #DevFest19 1 #DevFest20 1 #DevFest21 1 #DevFest22 1 #DevFest23 1 #hack4jp 3 11 weeks of Android 2 A MESSAGE FROM OUR CEO 1 A/B Testing 1 A4A 4 Accelerator 6 Accessibility 1 accuracy 1 Actions on Google 16 Activation Atlas 1 address validation API 1 Addy Osmani 1 ADK 2 AdMob 32 Ads
この記事はRetty Advent Calendar 2019 21日目の記事です。エンジニアの 神@pikatenor がお送りします。11日目の記事に書かれた「弊社エンジニアの神(注・人名であり実名です)」とは私のことです。 qiita.com さて世はまさにマイクロサービス大航海時代、大規模化した組織・肥大化したコードベースのメンテナンスを継続的に行っていくべく、アプリケーションを機能別に分割する同手法が注目を集めていることは皆さんもご存知でしょう。 マイクロサービスアーキテクチャ特有の設計課題はいくつかありますが、今回は認証情報のような、サービス間でグローバルに共有されるセッション情報の管理のパターンについて調べたことをまとめてみたいと思います。 背景 HTTP は本質的にステートレスなプロトコルですが、実際の Web サービス上では複数リクエストをまたがって状態を保持するために、
3兆円市場になるとは....|miyasaka
インターネット広告がついに3兆円の見込みとのこと。メディア&広告の最前線からは10年以上も離れてるけど3兆円は驚いた。 自分も昔、この業界で仕事してたんだけどいつからこんなに巨大化したんだろうと思って市場推移を調べてみたら 1996年 16億円 1997年 60億円 2003年 1,000億円 2009年 新聞を上回る 2014年 1兆円突破 2019年 テレビを上回る 2024年 3兆円超予測 良質なコンテンツは大事だけどそれ支えるのはアドテク。コンテンツが花だとするとアドテクは地下茎。両方ケアしないとね。地下茎が弱ると花は咲かない。 そして大事なアドテクノロジーを内製化できてるか?他社依存しちゃってるかはメディアの将来にとってとても大きいと思う。最近だと課金型メディアも増えてきたので地下茎に課金決済システムも入るのかな。地下茎が外部か?自分のものか? これは自分の印象なんだけど、メディ
政府情報システムにおける 脆弱性診断導入ガイドライン 2022(令和 4)年 6 月 30 日 デジタル庁 〔標準ガイドライン群ID〕 DS-221 〔キーワード〕 セキュリティ、脆弱性、脆弱性診断 〔概要〕 政府情報システムの関係者が脆弱性診断を効果的に導入するための基準及 びガイダンスを提供する。 改定履歴 改定年月日 改定箇所 改定内容 2022年6月30日 - 初版決定 1 目次 1 はじめに ......................................................... 2 1.1 目的とスコープ .............................................. 2 1.2 適用対象 .................................................... 3 1.3 位置づけ ...
","naka5":"<!-- BFF501 PC記事下(中⑤企画)パーツ=1541 -->","naka6":"<!-- BFF486 PC記事下(中⑥デジ編)パーツ=8826 --><!-- /news/esi/ichikiji/c6/default.htm -->","naka6Sp":"<!-- BFF3053 SP記事下(中⑥デジ編)パーツ=8826 -->","adcreative72":"<!-- BFF920 広告枠)ADCREATIVE-72 こんな特集も -->\n<!-- Ad BGN -->\n<!-- dfptag PC誘導枠5行 ★ここから -->\n<div class=\"p_infeed_list_wrapper\" id=\"p_infeed_list1\">\n <div class=\"p_infeed_list\">\n <div class=\"
ふと気になって調べたことの備忘メモです ✍ (2022/11/3追記)ご指摘頂いた内容を踏まえて加筆修正をおこないました なぜ調べたか Webアプリケーションの開発に携わっていると CSRF という脆弱性への対処を求められますが、多くの場合利用しているフレームワークが設定追加だけで対応してくれたり、既に前任者によって適切な処置がされていたりなど、実務上で目を向ける機会はその重要性と比較して少ないのでないかと思います また、Webブラウザの実装やHTTP周辺の関連仕様の変化から陳腐化している情報も多く、現代において全体感と具体的な対処法を理解するには少しばかりハードルが高いように感じていました ですので、自身の現時点での認識を明文化して残しておくことにしました なお、私はWebセキュリティの専門家でなく、一介の開発者のため、誤りが多分に含まれる可能性があります ご指摘を頂ければ修正したいと思
サマリ CookieやlocalStorage等でセッション管理しているウェブサイトがクリックジャッキング対策していない場合、どの条件で被害を受けるかを説明する。SameSite属性のないCookieでセッション管理しているウェブサイトは、主要ブラウザのデフォルト設定ではクリックジャッキングの影響を受けない。一方、loaclStorageにトークン類を格納するウェブサイトでは、Google Chrome等のブラウザでクリックジャッキングの影響がある。また、ブラウザの設定を変更した場合の影響についても説明する。 クリックジャッキングとは クリックジャッキングとは、一言で説明すると「ウェブサイト利用者に意図しないクリック(タップ)をさせる」攻撃です。ウェブサイト上で意図しないクリックを勝手にさせられると、重大な結果になる場合があります。例えば、このURLを閲覧すると、以下のようにTwitter
これに対し、今回のデモを組織した団体「No Tech For Apartheid」は「自分たちの労働がアパルトヘイトや大虐殺の原動力となることは望まない」と訴える。Googleに対してイスラエル政府との契約の中止を求めるのは、発端となったプロジェクト・ニンバスの契約を「ガザのパレスチナ人を虐殺するイスラエルへの支援」と見なしていることによるものだ。 社員の解雇について同団体は「言語道断の報復行為」「Googleが自社の社員よりも、虐殺行為をしているイスラエル政府および軍との12億ドルの契約の方を大切にしていることが、これではっきりした」と反発した。 また抗議デモは平和的に行われ、Google社内で器物を損壊したり、同僚を妨害したりもしていないと主張。社員の解雇はGoogleのいう「開かれた文化」の虚偽をさらけ出したと訴え、解雇は不当だったとし全米労働関係委員会(NLRB)に不服を申し立てて
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
認証用トークン保存先の第4選択肢としての「Auth0」
SPAセキュリティ入門
マイクロサービス時代のセッション管理 - Retty Tech Blog
AWS WAF について最初から知りたかったこと8選 - 電通総研 テックブログ
アメリカ人、生のクッキー生地が好きすぎてリスクを警告する記事まで出てるらしい「しかも対策したやつ売ってる」
Googleに騙されてはいけない:FLoCは邪悪なアイデアである | p2ptk[.]org
バックエンド開発の基本を理解するために必要な10の知識 2022年版
UAとGA4の【ユーザー数】カウント方法をめっちゃ丁寧に解説します - ブログ - 株式会社JADE
プログラミングスクールを卒業しました - ksmxxxxxx.hatebu
Laravel の認証・認可パッケージが多すぎてわけわからんので図にまとめた - Qiita
GAが大幅アップデート!「Google Analytics 4」の概要|CloudFit inc.
ニコニコで12年運用した決済システムを移行する上で必要だったこと - Qiita
今Partytownがヤバい。JavaScript Sandboxの未来はどっちだ?
認知負荷の増加がWebサイトに与える悪影響
プライバシー重視検索エンジンDuckDuckGo、「収益は年間1億ドル以上、1億ドル以上の調達も」
意外過ぎる理由でマクドナルドに敗北したA&Wレストランが新たに打ち出した施策とは?
Next.jsとAuth0で会員制メディアを作る【1. 認証編】
SPAのアプリケーションで、外部のIdPを使ってOpenID Connect によるログイン機能を開発しようと考えています。IDトークンの保存先として、ブラウザのCookieかサーバーのDBに保存するかの2つの案があると思っています。調べた限り、サーバーサイドで持つべきという意見が多いように見えますが、以下のような背景がある中で開発しても、ブラウザのCookieでは持つべきなのではないのでしょうか? - IDトークン自体にも、個人の属性(氏名等)情報は無いことを確認している - サーバーサイドでIDトーク
無料でYouTubeを広告なし&ログイン不要でサクサク視聴できるプレイヤー「FreeTube」
Chromeのクッキー廃止へ。ブラウザをチェックしてみよう
Apple によるブラウザエンジン規制の緩和 | blog.jxck.io
How I built a modern website in 2021
Google 公式ウェブ開発者向けリソースのご紹介
マイクロサービス時代のセッション管理 - Retty Tech Blog
政府情報システムにおける 脆弱性診断導入ガイドライン
グーグルも提供廃止 規制強まる「クッキー」って何?:朝日新聞デジタル
CSRF(Cross-Site Request Forgery)攻撃について
2023年4月においてクリックジャッキング未対策のサイトはどの条件で被害を受けるか
Googleオフィスに警察、社員50人超を解雇 抗議デモ対応が見せつけた“IT界の巨人”の変貌ぶりとは
https://twitter.com/koba0367/status/1532861948152680448
