並び順

ブックマーク数

期間指定

  • から
  • まで

1 - 40 件 / 116件

新着順 人気順

cryptoの検索結果1 - 40 件 / 116件

  • 暗号鍵管理ガイドライン | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構

    実際の暗号システムがセキュアに動作し続けるためには、暗号アルゴリズム自体がセキュアであるだけでは不十分で、データが保護される期間中、その暗号アルゴリズムが使用する暗号鍵もセキュアに管理されている必要があります。そのため、暗号鍵やデータのライフサイクルを踏まえた運用、安全な暗号鍵の保管、暗号鍵危殆化時の対策などを行う上で参考となるガイドラインを取りまとめています。 「暗号鍵管理システム設計指針(基本編)」の内容 「暗号鍵管理システム設計指針(基本編)」は、あらゆる分野・あらゆる領域の全ての暗号鍵管理システムを対象に、暗号鍵管理を安全に行うための構築・運用・役割・責任等に関する対応方針として考慮すべき事項を網羅的に提供し、設計時に考慮すべきトピックス及び設計書等に明示的に記載する要求事項を取りまとめたガイドラインとして作成されたものです。 具体的には、暗号鍵管理の必要性を認識してもらうために「

      暗号鍵管理ガイドライン | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
    • 侮辱的な報酬額の大学講師の仕事依頼がやってきた。その額なんと月2.7万円

      あるミッション系の大学から講師委嘱の依頼がやってきた。その科目は私の個人的な知識と経験から興味深い話がたくさんできるであろう分野で、具体的には、著作権特許権と検閲、電子書籍とDRM、著作権特許権の保護する範囲を越えようとする不自由なソフトウェアライセンス、岡崎図書館事件、兵庫県警Alertループ事件、神奈川県警CoinHive事件、あるいは本の出版事情や再販制度といった内容を取り扱うことになる。 例年70-80人の履修者がいて、1学期間に1コマ100分が14回に加えて内容の理解の確認のための課題と評価だ。 単純計算で一ヶ月に7時間の授業と、準備時間を授業時間と同じぐらい確保し、課題作成と80人分の回答を評価する時間を考えると、最低でも月に20-30時間ぐらいは必要だ。質をあげようとすればもっと長時間の労働になるだろう。大学なので報酬は安くても引き受けるとして、期間を定めた個人請負なので時給

      • 【山本一郎】無知を騙す仕組みになっちゃった「NFTゲーム」界隈の行方

        【山本一郎】無知を騙す仕組みになっちゃった「NFTゲーム」界隈の行方 ライター:山本一郎 昔からあることですが,それっぽいバズワードをまぶしておくと,会社の偉い人が「最先端の物事に乗り遅れるな」とばかりに見事に騙されて,部下が総萎えになりながらも巨額投資を巻き上げられたり,大事故を起こしたりする事例って多いじゃないですか。 最近だとその最たるものが「NFTゲーム」なわけです。 ついぞ先日も,宇宙へ跳んだおカネ配りおじさんと上場ゴール事件の人が黄金タッグを組んで,派手に打ち上げていたNFTゲーム「キャプテン翼 -RIVALS-」で,結構なやらかし事案が発生しました。本来の挙動制限を超える出金ができてしまう,“出金貫通”なる事故です。 ローンチ直後にちょっと躓いた「キャプテン翼 -RIVALS-」。さまざまに修正を加えながら,現在も絶賛運営中 キャプテン翼 -RIVALS- 公式サイト しかし

          【山本一郎】無知を騙す仕組みになっちゃった「NFTゲーム」界隈の行方
        • ブロックチェーンの作り出す価値に付いて - Software Transactional Memo

          TL;DR 疑いの目を向けてみると怪しい奴ばかり 通貨発行は楽しい、これは真理である。 www.sinseihikikomori.com 1人プレイ用のゲームの中で敵を倒してゲーム内の通貨を得る行為は広義の通貨発行と見做せる。ドラクエの世界でスライムを倒して3ゴールドを得る行為すら通貨の発行であるという観点で考えた時、このブログの読者は誰しも通貨発行の体験があるはずである。 現実で使われる通貨を鋳造したら普通の犯罪であるが、この日本で法に触れずにこれに近い行為を達成できるのが借金である。人から10万円を借りて、その引き換えに「x万円を○月○日までにお返しします」と借用書を書けばその「○月○日にx万円を受け取る権利」自体が債権としてそれなりの値段y円で市場で取引される一方で自分はx万円を得ることができ、世界に存在する価値の総量がy円だけ増えたことになる。これは経済の基本である。 この借用書、

            ブロックチェーンの作り出す価値に付いて - Software Transactional Memo
          • 投資家「爺さんが亡くなって100億円分のビットコインを相続したぞ!」→税理士「これだと税金で9億円の赤字ですね…」

            村上ゆういち@魔界の税理士 @Jeanscpa 【仮想通貨の税理士と言えば村上さん】 ▶仮想通貨にかかる最新の税金の動向を発信 ▶魔界(仮想通貨の深い分野)投資している「魔界の税理士®」(商標登録済) ▶Japanese crypto investor & NFT gamer & Japanese social Influencer lit.link/murakamitax 村上ゆういち@魔界の税理士 @Jeanscpa 投資家「先生、今回は相続税の相談がありまして来ました。先月、祖父が亡くなってしまったんですが、その遺産整理していたらなんとビットコインが100億円分あったんですわ!おそらく相続税はかかるでしょうが、それを払ったとしてもがっぽがっぽですわ。先生、税金の対応お願いします!」 税理士「ご依頼いただき、ありがとうございます。」 投資家「どうも祖父が初期のビットコインを買っていたよ

              投資家「爺さんが亡くなって100億円分のビットコインを相続したぞ!」→税理士「これだと税金で9億円の赤字ですね…」
            • 「プロ驚き屋」・「驚き屋」の意味と英訳(2023年 新語ネットスラング) - 言葉を嗜む - 日英翻訳辞典

              先日、ツイッターで「プロ驚き屋」(または「驚き屋」)という今年生まれたばかりの超ニッチなスラングの意味を英語で紹介したところ、想定外に結構反響があったので(以下ツイート)、この記事でその意味や英訳を解説しようと思います。 プロ驚き屋 (“a professional surprised man”, New Slang) = a person who excitedly shares state-of-the-art tools/technologies like ChatGPT on social media with hyperbole like 神/最強/ヤバすぎ, as well as with hallucination/overstatement at times based on a few cherry-picked examples — Takashi’s Japanese

                「プロ驚き屋」・「驚き屋」の意味と英訳(2023年 新語ネットスラング) - 言葉を嗜む - 日英翻訳辞典
              • 息子が「もしかして大人って会話が成り立たない人が結構いる?」と聞いてきた→内容を聞くとかなり興味深いテーマだった

                taku@crypto @taku__crypto @y_fomalhaut これは興味ありますね。 確かに子供同士で会話に困った事はあまり記憶にないですが、大人になると会話が成り立たない人はたまに会います。 大人の会話が高度であるのか? 歳により会話能力が衰えるのか? pong @Showtapong 俺も子どもの頃似たようなことを考えていた。そしておっさんになって、会話が下手になった気がすごくする。話すのは上手くなった気もするし、知識とかも絶対増えたことは間違いないはずなんだけど。まあ知識ってものは、往々にしていろいろ邪魔になるもんだけども。 twitter.com/y_fomalhaut/st…

                  息子が「もしかして大人って会話が成り立たない人が結構いる?」と聞いてきた→内容を聞くとかなり興味深いテーマだった
                • macOSのM1とx86-64におけるベンチマーク比較の考察

                  世間ではAppleの新しい製品に使われるARM64 CPUであるM1の話題でもちきりだ。ただし、日本語を話す記者というのは極めて非科学的かつ無能であり、M1の現物を手にしても、末端のソフトウェアを動かして、体感で早いだの遅いだのと語るだけだ。そういう感想は居酒屋で酒を片手に漏らすべきであって、報道と呼ぶべきシロモノではない。 と思っていたら、Phoronixがやってくれた。M1とi7で動くmacOSでベンチマークをしている。 これを考察すると、M1のMac Miniは、一世代前のi7のMac Miniに比べて、メモリ性能とI/O性能が高く、演算性能は低いようだ。このことを考えると、M1の性能特性としては、動画のエンコードやソフトウェアレイトレーシングをするには不向きだが、その他の作業は遜色ないだろう。 問題は、仮想化とRosettaを組み合わせることができないという点だ。x86-64のユー

                  • Goで解放したメモリが少しずつ戻ってくる現象 - knqyf263's blog

                    情報を発信する人のところに情報が集まることを日々実感しているので、Linuxのメモリ管理に特に詳しいわけではないのですが最近遭遇した問題について自分の理解を書いておきます。ざっと調べても同じことを書いている人を見つけられなかったので、公開には意義があると考えています。識者の方がフィードバックをくださると嬉しいです。 ※ AIの出力をベースに書いているのでいつもと少し文体が違います。 背景 要約 調査 再現の難しさ Goアプリケーションの調査 pprofによる分析 GCログの調査 Linuxの調査 Goランタイムの調査 GoのGCとTHP khugepagedの問題 Goランタイムにおける回避策 回避策の削除 max_ptes_noneのデフォルト値について MADV_NOHUGEPAGEをやめた理由 調査内容まとめ 解決策 検証 C言語 Go言語 まとめ 背景 Go言語で書かれたOSSのア

                      Goで解放したメモリが少しずつ戻ってくる現象 - knqyf263's blog
                    • 絶対に画像をダウンロード&スクレイピングさせないWebページを本気で作ってみた - blog.potproject.net

                      巷で話題になっているこの話題、画像をスクレイピングやダウンロードされたくないということで騒がれています。その話に関しては色々な意見があると思ってますがここでは置いておくとして・・・ 技術的にやるとしたら実際どれくらい対策できるの?ということが気になったので、自分の知識で出来る限り対策したものを作ってみることにしました。 最初に 賢い方はわかると思いますが、タイトルは釣りです。 絶対に画像をダウンロード&スクレイピングさせないページは存在しません。ソフトウェアにおいて絶対と言う言葉はまず存在しないのです。ブラウザで表示している以上、仕組みさえわかれば技術的には可能です。 そのため、 「元画像のダウンロードとスクレイピングを非常に困難にしたWebページを本気で作ってみた」 が実際のタイトルかなとなります。 とはいえ、この仕組みであれば大多数の人は機械的にスクレイピングすることを諦めるレベルの作

                        絶対に画像をダウンロード&スクレイピングさせないWebページを本気で作ってみた - blog.potproject.net
                      • Twitter社内管理ツールの不正アクセスについてまとめてみた - piyolog

                        2020年7月16日(日本時間)、Twitter上で複数の著名なアカウントや有名企業のアカウントからビットコイン詐欺の投稿が行われました。Twitterはその後の調査で、社内サポートチームが使用する管理ツールが不正利用されたことが原因と発表しました。ここでは関連する情報をまとめます。 何が起きたの? 2020年7月16日未明から著名アカウントを中心に詐欺投稿が行われた。その後アカウント侵害の影響は大部分が回復した。 一連の投稿にはTwitter社内のサポートチームが使用する管理ツールが悪用された。さらに複数のアカウントでDM閲覧やデータのダウンロードが行われた恐れがある。 社内ツールはソーシャルエンジニアリングにより不正利用された。Slackがその舞台となったと報じられている。 1. アカウントのっとり詐欺投稿 4時間続く 7月16日に発生したビットコイン詐欺の投稿は大まかに2種類が確認さ

                          Twitter社内管理ツールの不正アクセスについてまとめてみた - piyolog
                        • Go の命名規則 | micnncim

                          本記事は Go Advent Calendar 2019 11 日目の記事です。 Go はシンプルな言語機能・シンタックスが特徴であり、命名規則にもそのシンプルさが表れています。 本記事では、公式や著名な Go エンジニア、OSS などから見られる Go らしい命名規則を紹介します。 今更なテーマかもしれませんが、意外にも公私共々で命名規則が意識されていないコードを時折見かけるので、自戒も込めて記します。 誤った内容があれば Twitter でご指摘いただければと思います。 パッケージ名簡潔にするEffective Go では、short, concise, evocative なパッケージ名が望ましいとされます。 これはパッケージ名に限らずほとんどあらゆる命名において役立つ指針だと思います。 また、「パッケージ名は一言で何をするかを表すエレベーターピッチだ」という Dave Cheney

                            Go の命名規則 | micnncim
                          • すぐに役に立つものはすぐに陳腐化してしまうから方法ではなく設計の本を読む - API Design Patterns の読書感想文 - じゃあ、おうちで学べる

                            あなたがさっきまで読んでいた技術的に役立つ記事は、10年後も使えるでしょうか?ほとんどの場合でいいえ はじめに 短期的に効果的な手法や知識は、ソフトウェア開発の分野において、急速に価値を失う傾向があります。この現象は、私たちが何を重点的に学ぶべきかを示唆しています。最も重要なのは、第一に基本的な原理・原則、そして第二に方法論です。特定の状況にのみ適用可能な知識や即座に結果を出すテクニックは、長期的には有用性を失う可能性が高いです。これは、技術や手法が時間とともに進化し、変化していくためです。 learning.oreilly.com 「API Design Patterns」は、このような考え方を体現した書籍です。しかも480 ページもあります。本書は単なる手法の列挙ではなく、Web APIデザインの根幹をなす原則と哲学を探求しています。著者のJJ Geewax氏は、APIを「コンピュータ

                              すぐに役に立つものはすぐに陳腐化してしまうから方法ではなく設計の本を読む - API Design Patterns の読書感想文 - じゃあ、おうちで学べる
                            • 自由な会話からデート写真を無限に生み出せるAI技術を使った恋愛シミュレーションゲーム『Love Infinity ∞』がハッカソンで爆誕。「僕たちが驚くほど面白い」と制作者も感動

                              東京大学VRサークル「UT-virtual」のOBであるまつさこ氏とkyok01氏は6月20日(火)、ヒロインとの自由な会話を通してデートの記念写真を生成するAI技術を使った恋愛シミュレーションゲーム『Love Infinity ∞』の映像をTwitter上で公開した。本作は大規模ハッカソンイベント「AI+Crypto Hackathon」の作品として6月9日(金)から6月20日(火)までの期間で制作されており、執筆時点で一般向けの公開は予定されていない。 AIハッカソンでとんでもない恋愛シミュレーションゲームが完成した… 1️⃣ヒロインと自由会話 2️⃣会話の履歴から待ち合わせ場所や着ていく服の情報を抽出 3️⃣抽出情報をStableDiffusion用のプロンプトに変換して画像生成… pic.twitter.com/OLr8YSx9Pf — まつさこ (@wappaboy) June

                                自由な会話からデート写真を無限に生み出せるAI技術を使った恋愛シミュレーションゲーム『Love Infinity ∞』がハッカソンで爆誕。「僕たちが驚くほど面白い」と制作者も感動
                              • クリプト・Web3業界の誇大広告に踊らされてはならない:1500人超の科学者・エンジニア・技術者が米議会に警告 | p2ptk[.]org

                                クリプト・Web3業界の誇大広告に踊らされてはならない:1500人超の科学者・エンジニア・技術者が米議会に警告投稿者: heatwave_p2p 投稿日: 2022/7/262022/7/26 以下の文章は、1500人のコンピュータ科学者、ソフトウェアエンジニア、テクノロジストらが米議会指導部、各委員会委員長・少数党筆頭委員に送付した「Letter in Support of Responsible Fintech Policy」という公開書簡を翻訳したものである。 責任あるフィンテック政策を求める書簡 2022年6月1日 チャック・シューマー 上院多数党院内総務 ミッチ・マコネル 上院少数党院内総務 ナンシー・ペロシ 下院議長 ケヴィン・マッカーシー 下院少数党院内総務 デビー・スタバノウ 上院農業・栄養・林業委員会委員長 ジョン・ボーズマン 上院農業・栄養・林業委員会少数党筆筆頭委員

                                  クリプト・Web3業界の誇大広告に踊らされてはならない:1500人超の科学者・エンジニア・技術者が米議会に警告 | p2ptk[.]org
                                • 仮想通貨の相続に関する税は110%になるので、相続放棄をするしかない – DeFIRE 〜デファイア〜

                                  【速報】大手DEX「Balancer」に致命的なバグ。大部分は救出もTVLの4%が依然としてリスク下に

                                    仮想通貨の相続に関する税は110%になるので、相続放棄をするしかない – DeFIRE 〜デファイア〜
                                  • 自社サービスのバックエンドを Go から TypeScript へ切り替えるための整理

                                    切り替える理由 自社の主力製品で利用している技術(WebRTC / WebTransport)がブラウザベースのため TypeScript を利用する Go を採用したのは sqlc が使いたかったという理由 sqlc-gen-typescript が出てきたのでもう Go を使う理由がなくなった 自社サービスチーム全員が Go にまったく興味が無い sqlc 自体は便利 そもそも自社に Go への興味がある人がいない 自社サービスの規模ではボトルネックになるのはデータベースであって言語ではない もしアプリでスケールが必要なときは Rust や Erlang/OTP に切り替えれば良い コネクションプールは PgBouncer を利用すればいい TypeScript からは 1 コネクション 1 接続で問題無い どうせフロントエンドでは TypeScript を書く 自社では React

                                      自社サービスのバックエンドを Go から TypeScript へ切り替えるための整理
                                    • 画像生成AIでウェブサイトやUIデザインを生成するコツ

                                      人工知能(AI)は、ウェブサイト制作を、根本から変えてしまうでしょう。 今のところ、AI画像生成ツールは、呪文(プロンプト)を唱える、ちょっとしたコツを覚えることで、以下のようなWebレイアウトを作成できます。 beautiful landing for spiderman website, design, ux/ui, ux, ui --ar 3:2 --v 4 --q 2 「花屋、フラワーショップ」をテーマにすると、一発でWebサイト向けレイアウトを錬成できます。 「日本」をテーマにすると、こんな美しいUIデザインに。 実際にAI画像生成ツールを使いこむうちに、少しずつわかってきた、AIツールでウェブサイトやUIデザイン画像を生成するコツを、メモ的にご紹介。 アップデート、継続していきます。 コンテンツ目次 ✨ AI画像生成ツールとは? ✨ 唱える呪文(プロンプト)って何? ✨ 画像を

                                        画像生成AIでウェブサイトやUIデザインを生成するコツ
                                      • Re: 空想のNFTと現実のNFT - Software Transactional Memo

                                        前回の記事に長文で反論が付いていたので興味深く拝読した。 sasakill.substack.com 書いた人はSmartnews社のVice Presidentのようで、予想外のところまで記事がリーチしたのは少し驚いている。 メタバースはNFTの使い途の一部でしかなく、Web3によって完璧な非中央集権的な社会が実現するなんてこともない。 僕の記事では「メタバースにNFTは不要」と言ったのに「NFTにメタバースは不要」というような受け取られ方をしているあたりは少し気になるが、彼が論点に挙げたいのはメタバースでもWeb3でもなくNFT単体であるようだ。そのつもりで僕の意見をまとめる。 私の考えでは「ノーコストでコピーが可能」という議論の土台にそもそも穴がある。 繰り返すがコピーはやはりノーコストである。この記事の読者が自身のデバイスに僕の記事を表示させるまでのコピーに掛かった電気代・通信費の

                                          Re: 空想のNFTと現実のNFT - Software Transactional Memo
                                        • あなたのGoアプリ/ライブラリのパッケージ構成もっとシンプルでよくない? | フューチャー技術ブログ

                                          2023.10.5追記: Goチームからプロジェクトの目的に応じたディレクトリ構造についてのドキュメントが公式に公開されています。 https://go.dev/doc/modules/layout Goでプロジェクトのフォルダ構成どうしよう、とググると見つかるStandard Go Project Layout。とはいえ、これはかなりコード量を増やしてしまう恐れがありますので、導入する場合のデメリットも考えておく方が良いです。 特に、プログラマーは、最初にみたプログラミング言語のフォルダ構成を親だと思う特性があり、Javaや.NETに影響されるとかなり細かくフォルダを切りたくなったり、package privateなど細かく可視性を制御しようとしたりして、なおかつ「privateのテストってどうすべきなんですか?」とか議論を始めたりもしますが、Go先生によればこれぐらいは1パッケージにフ

                                            あなたのGoアプリ/ライブラリのパッケージ構成もっとシンプルでよくない? | フューチャー技術ブログ
                                          • 検索結果に表示される広告を悪用したマルウエアの拡散についてまとめてみた - piyolog

                                            2022年末以降、一部のマルウエアでGoogleの検索結果に表示される広告サービスを悪用し感染させる手口が増加しているとして、セキュリティベンダやFBIなどが注意を呼び掛けています。ここでは関連する情報をまとめます。 Googleの広告悪用し偽インストーラー配布サイトへ誘導 マルバタイジングの一種で、SEO(Search Engine Optimization)ポイズニング、またはSERP(Search Engine Results Page)ポイズニングとも呼ばれることがあり、攻撃者はなりすまし対象のソフトウエア配布先に似せたドメイン名を取得し、これを表示させる広告をGoogleから購入する。 ソフトウエアのインストールを考える利用者は検索サービスでソフトウエアの名前で検索を行うことが一般的だが、攻撃者が用意した広告が検索結果の一番上に表示されることがあり、利用者は誤ってそれをクリックし

                                              検索結果に表示される広告を悪用したマルウエアの拡散についてまとめてみた - piyolog
                                            • BigQueryでクエリ一撃で29万円溶かしたけど助かった人の顔

                                              SolanaのPublic DataをBigQueryで取得したかった# えー、お笑いを一席. ブロックチェーンSolanaのデータがGoogle Cloud BigQueryで使えるようになったというニュースをたまたまネット推薦記事でみかけた1. おや, 面白そうだ. ちょっとやってみようかな… BigQueryはさわるのが1年以上つかってないかも, どうやるんだっけ… とりあえずカラムとかサンプルでちょっとデータをみたいよな, こんな感じだっけか? とりあえず動かしてみよう, ポチッとな. … 5秒でレスポンスが帰ってくる. おー、速い. えーっと, あれ課金データ309TB?! いちげきひっさつ、ハサンギロチン2. BigQueryでクエリ一撃5 秒で29万円溶かした人の顔# 話題の画像生成AI, DALL・Eをつかって BigQueryでお金溶かした人の顔を表現してもらった3. あ

                                              • 君がエッチなことを考えるとみんなのブラウザに流れ星が降るChrome拡張 - Qiita

                                                2022/04/28:追記 公開していたzipファイルのリンクを削除しました。 バックエンドのサーバーを停止しました。 伴ってもう星が流れなくなります。 ※この記事にはちょっとだけエッチな内容が含まれます!苦手な方はご注意ください。 こんにちは。あんど(@ampersand_xyz)と申します。 いきなりすみません、タイトルにエッチとか入ってて驚かれた方もいらっしゃることでしょう。どういうことなのか説明させていただきます。 概要説明 画像出典: 吸血鬼すぐ死ぬ 9巻 P134 盆ノ木至 秋田書店 __要するにこれです。__さすがに宙に星を降らせるわけにはいきませんので今回はブラウザ内に星を降らせていきます。 漫画のコマを見ただけでは何を言ってるのかご理解いただくのが難しいかもしれませんが、これ以上説明のしようがありませんのでついてきてください。 実現方法 いかにしてエッチなことを考えている

                                                  君がエッチなことを考えるとみんなのブラウザに流れ星が降るChrome拡張 - Qiita
                                                • JSON をプレビューしながら jq のフィルタを書くことができる「jnv」を試してみる

                                                  ちなみに jq がインストールされている必要はありません。 jnv does not require users to install jq on their system, because it utilizes j9 Rust bindings. https://github.com/ynqa/jnv#installation JSON navigator and interactive filter leveraging jq Usage: jnv [OPTIONS] [INPUT] Examples: - Read from a file: jnv data.json - Read from standard input: cat data.json | jnv Arguments: [INPUT] Optional path to a JSON file. If not prov

                                                    JSON をプレビューしながら jq のフィルタを書くことができる「jnv」を試してみる
                                                  • 【2020年】CTF Web問題の攻撃手法まとめ - こんとろーるしーこんとろーるぶい

                                                    はじめに 対象イベント 読み方、使い方 Remote Code Execution(RCE) 親ディレクトリ指定によるopen_basedirのバイパス PHP-FPMのTCPソケット接続によるopen_basedirとdisable_functionsのバイパス JavaのRuntime.execでシェルを実行 Cross-Site Scripting(XSS) nginx環境でHTTPステータスコードが操作できる場合にCSPヘッダーを無効化 GoogleのClosureLibraryサニタイザーのXSS脆弱性 WebのProxy機能を介したService Workerの登録 括弧を使わないXSS /記号を使用せずに遷移先URLを指定 SOME(Same Origin Method Execution)を利用してdocument.writeを順次実行 SQL Injection MySQ

                                                      【2020年】CTF Web問題の攻撃手法まとめ - こんとろーるしーこんとろーるぶい
                                                    • タイムスタンプの再発見と「いわゆるブロックチェーン」

                                                      (第三者)検証可能な形で情報の非改ざんを保証することブロックチェーン技術の登場により、「情報が改ざんされずに検証できる形で残る」という機能が注目を集めている。しかし、ブロックチェーン技術の文脈でこの機能との関係を考える時に、多くの議論において技術史を踏まえない曖昧な議論が散見され、これが様々な場面で無用なディベートを生み出しているように見られる。そこで、この機能についての歴史を紐解きながら、「いわゆるブロックチェーン」をどう理解したらいいのかを述べたい。 この節のタイトルのように、第三者検証可能な形で情報の非改ざんを保証すること、という要請はもちろん古くから存在する。その多くは、信頼される第三者機関が、ある時点で文書が存在したことを証明するというもので、日本では法務省が所轄する公証制度が存在する[1]。[1]では、公証制度のことを以下のように書いている。 公証制度とは,国民の私的な法律紛争

                                                        タイムスタンプの再発見と「いわゆるブロックチェーン」
                                                      • E2EE を開発していて思うこと

                                                        ここ数ヶ月は自社製品向けの End to End (Media) Encryption の設計と実装をしています。年内での提供を目標として開発を進めてい見ていますが、色々感じることがあったので雑に書いていこうと思います。 前提自分は暗号やセキュリティの専門家ではない自社製品向けの E2EE は Signal や Google Duo が利用している実績のある仕組みを採用しているE2EE や暗号の専門家を招聘し、相談しながら開発している自分の E2EE に対する考え悪意あるサービス管理者からユーザを守るために存在する機能と考えています。 Signal プロトコルはよく考えられすぎているSignal が考えた Curve25519 (x25519/ed25519) を利用した X3DH / Double Ratchet の仕組みは安全すぎると感じるくらいです。 相手からメッセージを受信するたび

                                                        • 「赤毛のアン」の突飛な能弁や空想癖は『虐待され精神のバランスが崩れていた』とも考えられる~高畑アニメ版や新作ドラマでも描写あり?

                                                          星 暁雄 (ITと人権) @AkioHoshi フリーランスITジャーナリスト ← 日経BPで編集長とか ← 早稲田大学大学院・理工 分野:IT全般、インターネットと人権, Blockchain, Crypto 好きなもの:Tech, Innovation 嫌いなもの:Fake, Scam, Cult 趣味アカウント @AkioHoshi2 note.com/akiohoshi/n/ne… 星 暁雄 (ITと人権) @AkioHoshi 高畑勲演出のTVアニメーション作品「赤毛のアン」のこと。 昔見たときにはアンは「エキセントリックな少女」に見えた。 今見ると、最初の数話で描かれるアンは「虐待されて精神のバランスを崩した児童」。おそらく解離症状が出ている。そこに気がついた時、背筋がぞわっとしました。

                                                            「赤毛のアン」の突飛な能弁や空想癖は『虐待され精神のバランスが崩れていた』とも考えられる~高畑アニメ版や新作ドラマでも描写あり?
                                                          • 令和にふりかえる C10K 問題

                                                            C10K 問題 (the C10K problem) は1999年に Dan Kegel が発表した文章、ならびにそこで提示された「問題」です。文章はその後も2000年代前半に何度か更新されているのですが、さすがに令和に読み返すと、当初の問題意識がわかりにくいところがあります。 2000年からの10年は、 ソフトウェア面では、select(2), poll(2) にかわる新しいシステムコールの実装と、それを使ったアプリケーションの普及 ハードウェア面では、x86 アーキテクチャの64ビット移行、仮想化命令の追加と、マルチコア化 さらにそこにクラウドも登場する、面白い時代でした。ここでは、それらの出来事を中心に、さらに、当時の雰囲気をつたえるような日本国内のブログやインタビュー記事をまとめることで、C10K 問題が、さまざまな側面から解決されていく流れを説明したいと思います。 書き足したいと

                                                            • 永久保存版 FTX事件の記録

                                                              FTX事件についての情報を整理します。 FTX事件とは 世界有数の暗号通貨取引所FTXやその関連企業が突如として経営破綻した事件です。 事件の全容はいまだ不明瞭です。 この記事について この記事では情報を整理して、現状わかっている事件に至るまでの過程をオープンな記事としてまとめたいと思います。 現時点で大量の情報が出ていますが、将来経緯を追うことが難しくなることも予想されます。 また現状に混乱されている方も多いはずです。 まずは、交通整理をするためにも、一次ソースを中心にまとめて残しておこうと思います。 個人的にこの衝撃的事件を克明に記録しておきたいという思いもあります。 記事をご覧になって何か補足があればご連絡よろしくお願いします。 将来の資料とするため、ツイートは基本的に埋め込みとスクリーンショットの両方を記載しています。 主な登場人物 SBF 本名 Sam Bankman-Fried

                                                                永久保存版 FTX事件の記録
                                                              • Hono + htmx + Cloudflareは新しいスタック

                                                                この記事は以前7月に自分で書いた「Hono + htmx + Cloudflare is a new stack」という記事を一部修正し、訳したものです。 Hono + htmx + Cloudflareは新しいスタック 以前、バックエンドエンジニアだった身からすれば、Reactは複雑だと感じることがあります。さらに(私はフレームワーク開発者なのですが)フレームワーク開発者にとってはハイドレーションの仕組みを作ることは厄介です。しかし、しばしばReactを使うことになります。 Reactの優位な点の一つは「JSX」です。最初見た時、JSXは奇妙に思えました。「なんでJavaScriptの中にHTMLのタグが入っているんだ!」。しかし、一度慣れると、JSXは柔軟で、書きやすいことに気づきました。 今日はこれから、JSXをサーバーサイドのテンプレートとして使う技術スタックを紹介します。これはつ

                                                                  Hono + htmx + Cloudflareは新しいスタック
                                                                • Webデザインの種明かし、コピペできる最新HTML/CSSスニペット30個まとめ

                                                                  この記事では、Webデザインの引き出しを増やす、コピペで使える最新HTML/CSSスニペットをまとめてご紹介します。 Codepenで話題となっているものを中心に、今後のデザイン制作に活用したいアイデアがずらり揃った今回。新しいウェブデザインの可能性を感じるものばかりとなっています。 Webの進化が止まらない、コピペ可な最新HTMLスニペット40個まとめ CSSコピペで完成!押したくなるWebボタンデザインまとめ Webデザインの引き出しを増やす、コピペできる最新HTMl/CSSスニペットまとめ 「Run Pen」をクリックすることで読み込みが開始されます。右下に表示された「Return」で再読み込みし、左上のHTML/CSS/JSタブを切り替えることで、それぞれのスタイリングを確認できます。実際にカスタマイズしたいときは、右上の「Edit on Codepen」をクリックしましょう。 画

                                                                    Webデザインの種明かし、コピペできる最新HTML/CSSスニペット30個まとめ
                                                                  • Amazon S3 へのファイルアップロードで POST Policy を使うと、かゆいところに手が届くかもしれない - カミナシ エンジニアブログ

                                                                    はじめに こんにちは。カミナシでソフトウェアエンジニアをしている佐藤です。 みなさんは、アプリケーションのフロントエンドから、Amazon S3 にファイルをアップロードするときに、どのような方法を用いているでしょうか? 「バックエンドのサーバーにファイルを送信し、バックエンドのサーバー経由で S3 にアップロードしている」「Presigned URL を払い出して、フロントエンドから直接 PUT している」など、いくつかの方法があると思います。 弊社で提供しているサービス「カミナシレポート」でも、用途に応じて上記の方法を使い分けて S3 へのファイルのアップロードを行っています。 特に、Presigned URL は、手軽に利用できる上に、バックエンドのサーバーの負荷やレイテンシーの削減といったメリットも大きく、重宝しています。 一方で、その手軽さの反面、アップロードに際して様々な制約を

                                                                      Amazon S3 へのファイルアップロードで POST Policy を使うと、かゆいところに手が届くかもしれない - カミナシ エンジニアブログ
                                                                    • EU主要機関の欧州議会、ビットコインの利用禁止へ | サステナビリティ×ブロックチェーン情報メディア【HEDGE GUIDE Web3】

                                                                      ドイツの暗号資産メディアBTC-ECHOによると、欧州連合(EU)の立法府である欧州議会が2月23日、ビットコインをはじめとするProof of Work(PoW)型暗号資産の利用を禁止する方向で動いていることが明らかとなった。(編集部注釈:最新の状況については下記記事リンクをご覧ください。) EU議会、ビットコインの利用禁止を草案から削除 EUが提言する、暗号資産の規制をまとめた最終草案「Markets in Crypto-Assets(MiCA)」内には、環境的に持続不可能なコンセンサスアルゴリズムを利用する暗号資産を禁止する規定が明記されている。具体的には、ビットコインなどのPoW型暗号資産が該当する。 PoWとは、ブロックチェーンに取引記録などが保存された新たなブロックを追加する上で必要な作業のことを指す。ブロックチェーンの各ブロックをハッシュ化した際に、生成されるハッシュ値の先頭

                                                                        EU主要機関の欧州議会、ビットコインの利用禁止へ | サステナビリティ×ブロックチェーン情報メディア【HEDGE GUIDE Web3】
                                                                      • RSAに対するフェルマー攻撃 - Qiita

                                                                        はじめに(Introduction) RSAの鍵ペアの生成方法にミスがあり脆弱性となってしまった実装例があったようです。 元の文献を機械翻訳(ちょっと修正)してみます。 原文のデモをやってみたところ、案外動いたので先にデモを記します。 デモ(Demo) まずは、素数$p$と$q$を生成して$N$を求めるところです。 ※:鍵長が2048bitなので多少時間がかかります。 問題となったライブラリがこのようなロジックであったかは不明ですが、翻訳した資料を参考に作成しています。 import random as rnd import sympy key_length = 2048 distance = 10000 p = 0 q = 0 # 乱数Xを生成する。 X = rnd.randrange(2, pow(2, key_length)) for i in range(distance): #

                                                                          RSAに対するフェルマー攻撃 - Qiita
                                                                        • 「ノートン 360」で仮想通貨マイニング機能が自動インストールされる件に批判の声

                                                                          by Tony Webster 多数のユーザーが利用しているアンチウイルスソフト「ノートン 360」が、アップデートにより、仮想通貨マイニング用の新機能「ノートン クリプト」も自動的にインストールされる仕様となったことに対して批判が集まっています。 Norton 360 Now Comes With a Cryptominer – Krebs on Security https://krebsonsecurity.com/2022/01/norton-360-now-comes-with-a-cryptominer/ Once Opted Into Norton Crypto, You Can't Easily Uninstall | Digital Trends https://www.digitaltrends.com/computing/no-easy-way-to-uninstal

                                                                            「ノートン 360」で仮想通貨マイニング機能が自動インストールされる件に批判の声
                                                                          • 国別の「最も嫌われているスマホアプリ」が判明、日本人が最も忌み嫌っているアプリは?

                                                                            スマートフォンユーザーのほとんどはアプリストアからアプリを入手して使っていますが、そうしたアプリの中には広告まみれだったり期待通りに機能しなかったりするものも少なくありません。アプリに言及している膨大な数のツイートを収集して、それが肯定的か否定的かを分析した調査により、ダウンロードしたユーザーを最も失望させているアプリが判明しました。 The Most Hated Apps in Every Country and U.S. State https://www.electronicshub.org/the-most-hated-apps-in-every-country-and-u-s-state/ テック系ニュースブログのElectronicsHubは人々に嫌われているアプリを調べるにあたり、さまざまなジャンルのアプリ87個について言及しているジオタグ付ツイート300万件以上を収集しまし

                                                                              国別の「最も嫌われているスマホアプリ」が判明、日本人が最も忌み嫌っているアプリは?
                                                                            • Windows CryptoAPIの脆弱性によるECC証明書の偽造(CVE-2020-0601) - ぼちぼち日記

                                                                              1. はじめに つい先日のWindowsのセキュリティアップデートでWindowsのCryptoAPIの楕円曲線暗号処理に関連した脆弱性の修正が行われました。 「CVE-2020-0601 | Windows CryptoAPI Spoofing Vulnerability」 これがまぁ世界の暗号専門家を中心にセキュリティ業界を驚かせ、いろいろ騒がしています。 その驚きの一つは、この脆弱性の報告者がNSA(米国家安全保障局)だったことです。NSAはMicrosoftのアナウンスとは別により詳しい内容でこの脆弱性を警告するアナウンスを出しています。 「Patch Critical Cryptographic Vulnerability in Microsoft Windows Clients and Servers」 これまで数々の諜報活動をインターネット上で行ってきたNSAが、この脆弱性を

                                                                                Windows CryptoAPIの脆弱性によるECC証明書の偽造(CVE-2020-0601) - ぼちぼち日記
                                                                              • ウェブブラウザ「Brave」がリンクを乗っ取りアフィリエイトコードを挿入していた

                                                                                2020年5月に月間アクティブユーザーが1500万人を突破するなど、利用状況が好調なウェブブラウザ「Brave」に対して、「リンクを乗っ取ってアフィリエイトコードを自動挿入していた」という疑惑が持ち上がっています。 The Brave web browser is hijacking links, and inserting affiliate codes | Attack of the 50 Foot Blockchain https://davidgerard.co.uk/blockchain/2020/06/06/the-brave-web-browser-is-hijacking-links-and-inserting-affiliate-codes/ Privacy browser Brave under fire for violating users’ trust - Dec

                                                                                  ウェブブラウザ「Brave」がリンクを乗っ取りアフィリエイトコードを挿入していた
                                                                                • 「GitHubで大規模なマルウェア攻撃が広まっている」──海外エンジニアのツイートが話題 すでに対応中か

                                                                                  スティーブンさんは当初、「3万5000のリポジトリ(プロジェクトのソースコード保管庫)が感染している」としていたが、その後「GitHub上に3万5000件以上見つかったのであり、リポジトリが感染しているわけではない」と訂正している。悪意あるコードが埋め込まれているのは、正規のリポジトリから第三者がクローンしたもの。 投稿によると、暗号通貨(原文ではcrypto)やGo、Python、JavaScript、Bash、Docker、Kubernetesなどのサードパーティーライブラリのクローンリポジトリで悪意あるコードを確認しているという。悪意あるコードは、Node.jsのモジュール管理ツール「npmスクリプト」やDockerコンテナのパッケージ「Dockerイメージ」、インストールドキュメントに追加されているとしている。 続けて、スティーブンさんは「攻撃者はクローンした偽のリポジトリを正規の

                                                                                    「GitHubで大規模なマルウェア攻撃が広まっている」──海外エンジニアのツイートが話題 すでに対応中か