Meety脆弱性 2022-11
meety_vuln.md Meety脆弱性 2022-11 文責 mala 経緯: Meety退会しようと思ったがアカウントがなかったので、退会するためにアカウントを作ることにした。 免責: 気になった範囲ですぐに見つかったもののうち、悪用可能なものを記載しています。 好ましくないが仕様だろうというものは書いていません。 他の脆弱性が無いことを保証するものではないです。 これはsecret gistです 11/24 時点で未修正の脆弱性情報が含まれています。修正されたらpublicに変更する予定です。 近しい人向けの注意喚起と、開発元への報告を兼ねて書いています。 悪用を教唆したり、悪用しそうな人に情報を共有することは避けてください。 自分の所有していないアカウントの情報を書き換えると法に触れるので、そのような行為は絶対にやめてください。 11/25 Publicにしました 以下 1-4
今よりもっとスキルを上げたい、ついでに年収も上げたい!という場合、iPhoneアプリの作り方講座で生徒の年収が5倍になったという報告があるように、プログラミングは短期間で大きな効果が実感できる可能性を秘めています。そこで、30代半ばからプログラミングの勉強を開始してわずか数年で年収を3倍以上アップすることに成功したという人物がいるという話を聞き、「最速で年収アップを実現するには何をどうすればいいのか」という秘訣や具体的解決策をあれこれと聞いてみました。 世界最大級のオンライン学習プラットフォーム | Udemy https://www.udemy.com/ ・目次 ◆「プログラミングなんて大嫌い!」がプログラマーになれた理由とは? ◆オンライン講座「Udemy」をどうやって活用したのか? ◆約600講座を受講した黒澤さんの「初心者におすすめの最初の1本」 ◆初心者に伝えたいこと ◆スキルを
長期間ログインの形跡がない、いわゆる「休眠アカウント」を削除する方針を米Twitterが打ち出した。同社は休眠アカウントの所有者に対し、12月11日までにログインがない場合にアカウントを削除するという警告メールを送っている。 この方針に対し、Twitter上では「故人のアカウントも削除されてしまうのか」「アニメ過去作の公式アカウントも活動の様子がないと消されてしまうのでは」など、懸念する声が相次いでいる。Twitterの東京トレンドと日本トレンドにも「休眠アカウント削除」が上がっている状態だ(27日午後5時時点)。 例えば、米Facebookであれば故人のアカウントを遺族や友人が管理できる「追悼アカウント」という機能がある。Twitterでは、休眠アカウントの削除に際して故人の記録をどのように考えているのか。 ITmedia NEWSの取材で、Twitterは現時点で「故人のアカウントは削
Appleが、パスワードを不要にする技術の標準化に取り組んでいるFIDO Allianceに参加したことが明らかになりました。 現在、Webなどでユーザー認証の仕組みとして一般的に使われているユーザーIDとパスワードの組み合わせは、パスワードの流出によるリスト型攻撃や、総当たり的な攻撃など、さまざまな手法によって不正なログインを引き起こす要因となっています。 この状況を改善するために、パスワードに依存した認証ではなく、指紋認証や顔認証やPINコードなどを基に生成した秘密鍵と公開鍵を用いた公開鍵暗号の仕組みによって、ユーザー認証を行う業界標準の策定や利用促進を行っているのがFIDO Allianceです。 FIDO Allianceが策定した標準仕様である「FIDO2」の中心的な構成要素であるWeb認証技術「Web Authentication」(WebAuthn)は、2019年3月にW3C
この記事では、以下のようなチームを想定して、お金と手間をできるだけかけずにそこそこセキュリティを向上させることをまとめようと考えています。そんなんじゃだめだ!とか、こういう場合は漏れませんか?というコメント大歓迎です。 想定するチーム 営業やCS、マーケの人など全職種含めると30人前後あるいはそれ以下で、Webサービス(アプリ含む)開発を行っている 副業人材も多く、半数のメンバーは会社支給でないマシンを使っている それらのマシンは他社の業務でも使用されている Macが多めだがWindowsもいる 基本的に業務データはクラウド上にあり、PCローカルにあるのは開発途中のデータ、Biz/バックオフィス系のドキュメント、重たいデザイン系データ程度。自社データセンターや、オフィスネットワークでしかアクセスできないサーバはない。 メインの業務ツールはGoogle WorkspaceとSlackとGit
NextDNSというサービスは子持ち家庭のインターネットを安心安全にする - kuenishi's blog
tl:dr; 子供にも安全にインターネットさせたいが、なるべく親がコントロールしたい いままで /etc/hosts を工夫して狭い範囲でブラックリスト管理していたが運用が辛かった NextDNS.io というサービスがやりたいことを全部実現していたので課金した 我が家には小学生と幼稚園の男児がいて、どちらもラップトップを持ってネットサーフィンをする。分からないことは自分で調べさせたりScratchでプログラミングさせたりして遊ばせれば、これが結構な時間潰しになる。わたしの古いMacBook Airを使わせたりしていたが、予算に余裕が出たタイミングで上の子にはMacBook Proを買い与えた。いちどそのMacにMinecraftをインストールしてやったらすぐに廃人になったので、さすがにそれはアンインストールして禁止した。おおよそ自由にネットサーフィンはさせているのだが、インターネット上で
WebP(ウェッピー)という画像形式をご存知でしょうか? 長い間、webの静止画は大部分がJPEG/GIF/PNGのいずれかでした。WebPはこのすべてを置き換えることができる次世代のフォーマットです。2020年9月リリースのiOS 14がWebPをサポートしたことで、主要なモダンブラウザーの足並みがようやく揃いました。 この記事では、新しい技術の恩恵を最大限に受けつつ、変わり続ける画像形式に対応していくための最適解を探ります。 ※ この記事の初版は2020年10月の公開ですが、各ブラウザーの対応状況等は2022年11月に最新の内容に更新しています。 SafariがWebPをサポート。フォーマット戦争ついに終結か? 2020年現在、webで主流の画像形式はJPEG/GIF/PNGの3つでしょう。 2006年リリースのIE7で透過PNGがサポートされたことで、静止画に関しては「写真のJPEG
1ヶ月で負荷テストの基礎から学んで実際にやってみた知見 | BLOG - DeNA Engineering
はじめに こんにちは。DeSCヘルスケアシステム部でインターンをしている中島です。本記事では開発に関わった2つのサービス「ハレトケ」「カラダモ」の負荷テストで得た知見について紹介したいと思います。 負荷テストをこれからやる方や、システムのパフォーマンスチューニングに興味のある方などの参考になると嬉しいです。 負荷テストの目的 まず、負荷テストをどのような目的でやるのかについて抑えておきます。一般的にクラウド環境での負荷テストの目的は以下の5つが挙げられます。(出典:Amazon Web Services負荷試験入門 ――クラウドの性能の引き出し方がわかる Software Design plusシリーズ) 各種ユースケースの応答性能を推測する 高負荷時の性能改善を行う 目的の性能を提供することができるハードウェアをあらかじめ選定する システムがスケール性を持つことを確認する システムのスケ
定期的にDevise批判の話が出てくるので、個人的な考えを書いてみます。 Railsに詳しくないなら、Deviseを使わないべきか? 「認証自作、 Rails 、 Devise」の記事で以下のような記載がある。 「Rails について深い理解がないならば、 Devise は使うな」とあります。この方針は10 年近く前から書かれています。 これ元の英語とあってない気がするんですよね。 If you are building your first Rails application, we recommend you do not use Devise. Devise requires a good understanding of the Rails Framework. In such cases, we advise you to start a simple authenticatio
中途半端な英語使いが英国からのニュースを東京で読み、あちこちふらふらうろうろ。時々嘘。 はてブ = http://b.hatena.ne.jp/nofrills Twitter = http://twitter.com/nofrills Twitterのログ = http://twilog.org/nofrills ◆「なぜ、イスラム教徒は、イスラム過激派のテロを非難しないのか」という問いは、なぜ「差別」なのか。(2014年12月) ◆「陰謀論」と、「陰謀」について。そして人が死傷させられていることへのシニシズムについて。(2014年11月) ◆知らない人に気軽に話しかけることのできる場で、知らない人から話しかけられたときに応答することをやめました。また、知らない人から話しかけられているかもしれない場所をチェックすることもやめました。あなたの主張は、私を巻き込まずに、あなたがやってください
Meta Questは8月からFacebook不要へ。新設のMetaアカウントへ移行、FB・インスタ接続は任意 | テクノエッジ TechnoEdge
Facebookあらため Meta社が、新しい「Metaアカウント」の詳細を発表しました。2022年8月から、Quest 2など MetaのVRヘッドセットはFacebookアカウント不要でログインやセットアップができるようになります。 Metaアカウントは柔軟性と管理のしやすさを念頭に、新たに設計されたメタバースのためのアカウント。Quest などVRヘッドセットへのログインに必要になるほか、ストアでの購入履歴やデータ、フレンド(今後は「フォロワー」形式)、旧Oculusプロフィールを置き換える Meta Horizonプロフィールはこの Metaアカウントに紐づくようになります。 Facebook や Instagramの知り合いとVRでもつながりたい場合、このMetaアカウントと同じアカウントセンターにFacebookアカウントやInstagramアカウントを追加することもできますが
Twitterが凍結されたのでWildebeestでFediverseに移住した Mzyy94 Misc 05 Jul, 2023 まだTwitterで消耗しているの? 遡ること2023年4月末。世間が数年ぶりの我慢のいらないGWを満喫しようと熱気を帯びている時期に、凍てつくような出来事が起きた。 いつも通り深夜までTwitterをして寝て起き、手ぐせのようにTwitterを開くと見慣れないダイアログが表示された。 「ご利用のアカウントは永久凍結されています」 状況を飲み込むのに2秒もかからなかった。ああ、ついにきたかと。 イーロン・マスク体制になっていつか訪れると思っていた終わりがやってきたことを理解した。 目次 Open 目次 永久凍結、そしてアカウント消失 新しい居場所を求めて Mastodon Weibo Twitterの崩壊とポストTwitter Bluesky Threads
Herokuの移行先を考える 今運用しているアプリ達をすぐにHeroku以外に移すということはしないまでも、競合となるプロダクトの調査をしておくことは(特に後発のものについては)機能面で実はこんなに便利なものがあったのか、と気づくことにもなったりするので、やっておいて損はないかと思いました。 比較対象について 比較する対象としては、インターネットで最近見かけるPaaSを選定しました。同様のことができるIaaSのコンポーネントとして、AWS FargateやGoogle Cloud Runがありますが、そのようなIaaSの一部として提供されるものについては今回は比較対象とはしません。 今回の比較対象は以下3つです。 Render https://render.com Railway https://railway.app Fly.io https://fly.io deployするRails
以前勤めていた会社で、会話の時には「ちがう」と言ってはいけない、というルールがあったことを6月ごろに書いた。 コンサルタントやってた時、重要な対人技術として『「ちがう」と言うな』と習った。 コンサルタントのころ。対人技術を教わった。 様々なものがあったが、その中でも群を抜いて重要な技術の一つは 「会話の時、人の話を否定しない」こと。 具体的には、人に『ちがう』と言ってはいけなかった。 コンサルタントというのは、クライアントの力を借りないと、何もできない仕事だ。 本当に、何一つできない。 だから、クライアントとの人間関係はとても重要だった。 その「人間関係」の構築において、最も重要な事柄の一つが、上の「ちがう」に代表されるような、言葉の使い方だ。 言葉は使い方によって、人間の意識を変え、行動を変える。 だから、仕事では、面倒くさがらず「適切な言葉を選ぶこと」が極めて重要だった。 * 例えば当
3rd-party cookieのない2年後のアドテックに向けた動きまとめ 各陣営紹介編|AD EBiS マーテック研究会
今年の1月にGoogleより3rd-party cookieの廃止が発表されました。 この発表がきっかけでユーザのプライバシー保護とオンライン広告のエコシステム(ターゲティング広告、計測、アドフラウド対策)の維持を目的とする技術的な取り組み「Privacy Sandbox」に注目が集まりました。 実はPrivacy SandboxだけじゃないGoogleの提案ばかり注目されがちですが、プライバシーに配慮した技術提案を行っているのは、それだけではありません。アドテックとブラウザにおいてNo.1のシェアを誇るGoogleは、シェアの高さゆえに実はプライバシー保護に一番消極的で、Safariに比べると2年ほど対応が遅れています。 プライバシー保護に関わる技術的な取り組みはPrivacy Sandboxの他にも、Webを支える技術の標準化を担うW3C(World Wide Web Consorti
noteは機械学習をどう活用している?MLチームの開発指針と取り組みまとめ 【2022年版】|noteエンジニアチームの技術記事
本記事ではnoteのMLチームの取り組みについて、機能と概要をそれぞれ紹介します。 紹介する機能はnote全体の一部ではありますが、MLチームの全体像を掴むことができます。 ▼この記事でわかること▼ MLチームが取り組んでいる内容が全体的に理解できる note内でどのように機械学習が利用されているのかがわかる MLチームの全体的なアーキテクチャと開発指針を知ることができる 前提noteの取り組みを説明する前に、まずはMLチームの開発とアーキテクチャについて簡単に説明していきます。 現状の開発について 開発の規模 / 現在のアーキテクチャなどの影響もあり、「バックエンドエンジニア」と「MLエンジニア」の開発の垣根が薄い MLエンジニアは機械学習以外にも、バックエンド開発やアーキテクチャのリプレイスなど、多様な開発能力が求められる アーキテクチャ図2022年10月時点アーキテクチャを決定する上
2018年の初めくらいから、仕事でGraphQL APIを何度も作っている。サーバーサイドもクライアントサイドも実装している。 最近クライアント側にRelayを使ってみている。 GraphQLのクライアントとしてはApolloを使う場合が多いと思うが、Facebook製のRelayもかなりよくできている。以前はTypeScriptに対応していなかったが、今はTypeScriptも使える。最近のバージョンではhooksのAPIがexperimentalではなくなり、ReactのSuspense API(Suspense for Data Fetchingは使わずに)と合わせて使える。 RelayはGraphQLのスキーマに制約を設けることで、クライアント側のAPIがデータの再取得やページネーションなどを抽象化している。換言すると、Relayからデータの再取得やページネーションに必要なスキーマ
俺のワンタイムパスワードはいつ当たりが出るのか
$ time node index.js 1 *100k searched.. 2 *100k searched.. - snip - 20 *100k searched.. 21 *100k searched.. Found in 21 *100k + 25484 Fri Aug 09 2024 13:22:25 GMT+0900 (日本標準時) 1723177345522 777777 real 1m7.435s 再来年の8月か...楽しみだなぁ... Googleカレンダーに入れなきゃ。 安全性 なんでこんな簡単で面白い事をみんなやらないの?というのは当然の疑問かもしれない。 アカウントとセキュリティ 当然、 ↑で使ったSecretは本物ではなくてデモサイト( https://rootprojects.org/authenticator/ )で生成したものを使っている。このため、仮に
キングジム、梱包用の緩衝材を必要な分だけ自分で作れるエアクッションメーカー「エアフィット」を発売 - MdN Design Interactive
キングジム、梱包用の緩衝材を必要な分だけ自分で作れるエアクッションメーカー「エアフィット」を発売 新規会員登録 ログイン管理 Twitter facebook はてなブックマーク RSS 2024.5.22 WED
「コンサル一年目が学ぶこと」という本について、知人から「本当にこういうことを習うの?」という質問をもらった。 パッと読んだ限りでは、特に違和感はないし、目次を見ていただいても分かる通り、特に「コンサルタントだから習う技術」というわけでもない。 大体、どんな会社でも「やってますよね?」と言われたら、仕事ができる人なら「まあ、やってるよね」ということが並んでいる。 ただ読み進めていくと「コンサル会社ならでは」と言えそうな話もあった。 内容ではない。 コンサル会社のカルチャーの部分だ。 例えば「01結論から話す」において。 コンサルティング会社では、あらゆるものが、「結論から」のフォーマットに沿っていました。 そして、常にそれを意識するよう、すべてにおいて徹底されていました。 コンサルティングの報告書はもちろん、日常のメール、メモ書き、上司とのやりとり、すべて、結論から言うことが徹底されました。
開発者のためのReactJSロードマップ
ThemeSelection 高品質でモダンなBootstrap HTMLテーマや管理者向けテンプレートを提供するUIキットベンダ この記事は、著者の許可を得て配信しています。 https://dev.to/theme_selection/reactjs-roadmap-for-developers-2824 ReactJSまたはReactは、ユーザーインターフェイスやUIコンポーネントを構築するためのオープンソースのフロントエンドのJavaScriptライブラリです。Facebookや個人の開発者や企業のコミュニティがメンテナンスをしています。近年、コンポーネントベースのGUI開発に最適なライブラリの一つとして成長しています。 AngularやVue.jsのようなフロントエンドフレームワークは他にもありますが、Reactが他と違うのは、コンポーネントベースのGUI開発だけに焦点を当ててお
※ 2023年 改定: Google Cloudのキャプチャを最新のものに差し替えました。 ステッカーは「OAuth完全に理解した!」ステッカーです。 トップの画像をご確認ください Auth屋の本の評判: https://togetter.com/li/1477483 雰囲気OAuthシリーズ第2弾!認可のプロトコルであるOAuth2.0と認証の関係を理解するための本です。OpenID Connectの入門書でもあります。 ■ 想定読者 以下のいずれかに当てはまるエンジニアが想定読者です。 • OAuthと認証の関係を理解したい • 「SNSアカウントでログイン」の仕組みを知りたい • OpenID Connectを理解したい ■ この本を読むメリット 「OAuth は認可のプロトコルなのになぜ OAuth"認証"という言葉が使われているのか」 「OAuth 認証と『OAuth を認証に使
![OAuth、OAuth認証、OpenID Connectの違いを整理して理解できる本 [2023年改訂版] - Auth屋 - BOOTH](https://cdn-ak-scissors.b.st-hatena.com/image/square/127737ea575017a2185e9fa702ca14e2664176d1/height=288;version=1;width=512/https%3A%2F%2Fbooth.pximg.net%2Fc%2F620x620%2Fcf80a27c-5163-4a4b-9d2b-2ba823d41bec%2Fi%2F1550861%2F8e5994c7-c997-4ab8-b6d6-d3075b91f791_base_resized.jpg)
プライバシー強化、しましょ。「本当に信頼できるVPN」4選2020.11.23 22:0020,315 Andrew Couts - Gizmodo US [原文] ( EKT/Word Connection JAPAN ) だれか、VPNの選び方を教えて! VPN(Virtual Private Network、仮想プライベートネットワーク)は、オンラインでのプライバシーを強化する方法のひとつですが、その実態はよくわからないことも多く、信頼できるVPNプロバイダー探しがカギとなります。ユーザー自身が「ここなら信用できる」と思うことが大切なため、人に簡単にプロバイダーをおススメすることもできません。 以下のリストは、あくまで判断材料のひとつとしてとらえていただき、実際にVPNを導入するなら「ここならオンラインの安全とプライバシーを預けられる」とご自身が納得できるプロバイダーを選ぶことが大切
Hello there, ('ω')ノ これまで、実例をもとに学んだ脆弱性診断につかえる実践的なテクニックは以下のとおりで。 ・サブドメインの1つに403を返すエンドポイントがある場合は、通常のバイパスは機能しないので、Refererヘッダを変更すると200 OKが取得できる場合があります。 ・エンドポイントのディレクトリとリクエストボディを削除して、メソッドを「PUT」から「GET」に変更すると隠されたエンドポイントに関する情報を取得できる場合があります。 ・見つけたエンドポイントに通常アカウントで403エラーが発生した際、管理者アカウントのjsonリクエストの本文と比較して差分のパラメータを追加するとアクセスできる場合があります。 ・Linux環境でコマンドを実行する際、スペース文字をバイパスするためのペイロードは以下のとおりです。 cat</etc/passwd {cat,/etc/
Web会議サービス「Zoom」のWindowsクライアントに、ログイン情報を盗まれる恐れのある脆弱性があると、PC情報サイトの米Bleeping Computerが3月31日(現地時間)に報じた。 Zoomがサービス内で利用しているURLをハイパーリンクに変換する方法が問題という。URLだけでなくUNC(Universal Naming Convention、「C:\Users\Public」のようにドライブの位置を指定するパス)もハイパーリンクに変換する。不注意なユーザーがたとえばパブリックグループに投稿されたおもしろそうな名称のハイパーリンクをクリックすれば、Windowsがリモートファイルにアクセスしようとする過程でPCのユーザー名とパスワードのハッシュがリモート先から見えるようになるので、悪意ある攻撃者がこのハッシュを入手してユーザーのPCや参加するネットワークに侵入しようとする可
Web会議サービス「Zoom」のmacOS版アプリのインストールプロセスで、ユーザーが許可しなくてもインストールが始まるようになっているのはマルウェア的だと米セキュリティ企業VMRayのテクニカルリードを務めるフェリックス・シール氏が自身のTwitterアカウントで指摘した。 これに対し、Zoomのエリック・ユアンCEOは、MacからWeb会議に参加するのは簡単ではないので、参加するまでに必要なクリック数を減らすためにこの方法を採用したが、指摘はもっともなので改善するとリプライした。 ユーザーがMacからWeb会議に参加しようとすると、PKG形式のZoomアプリのインストールを求められる。一般的なアプリの場合、インストール開始までに複数のステップがあるが、Zoomの場合はそうした手順はなく、macOSで通常は行われるユーザーへの警告も表示せずに「pre-requirement」スクリプトを
自分もツイッター歴9年、陰のオタクなら「自分のよくわからん親族よりフォロワーに葬式に来て欲しい」 そういう感情はよく分かります。ですが、それは中々条件が揃わないと難しいと思いました。 たまたまうまく行った今回の実例とともに、「フォロワーに葬式に来てもらうこと」の何が難しいか、条件は何かを書いていこうと思います。 1.今回の事例 2.「フォロワーに死を知らせること」 3.「フォロワーに葬式に来てもらうこと」 4.まとめ 1.今回の事例 先日、事故により弟が急逝。ショックに頭が働かない中、母が「もしもの時はツイッターで何か言ってってどこかで書いてた気がする」と発言。もともと弟と仲が良く、ネット上での友達も多いことを知ってた私は彼のノートやスケッチブックを漁って遺書のようなものを見つけました。弟の最後の望みを叶えるべく、行動に移りました。 2.「フォロワーに死を知らせること」 正直、「葬式は難し
はてなブログでは、記事編集画面(PC版)内で、記事のアイキャッチ画像を作成・編集できるようにしました。専用ソフトや技術がなくても100種類のテンプレートから選んで編集でき、オリジナリティを出したい方は自分でゼロから作成することもできます。グラフィックデザインプラットフォーム「Canva*1」による「Canvaボタン*2」を使った機能です。 このアイキャッチ画像は「Canva」で作成しました 使い方 記事編集画面(PC版)の編集サイドバーから「アイキャッチ画像を作る」を押してください。 Canvaの編集画面がその場で開きます。まずはCanvaのアカウントを作成し、ログインしてください(GoogleやFacebookアカウントでも登録できます)。 好みのテンプレートを選択して編集するか、ゼロから画像を作成してください。画像の編集が終わったら、右上の「完了」ボタンで保存をすると、自動ではてなフォ
書いてってリクエストされたので、書きます 2020.07.29 神々からいろんなお知恵を授かったので一部修正しています 主な修正点はOIDCのグルーピングと権限周りについてです。こちらできないと書きましたが、OIDCのclaimとして存在しているのでSP側で対応していれば可能なようです。できるかどうかはSP(サービスの対応次第) 最初に言いたいこのnoteはSSOから始まり、SAMLとかIdPだとかOIDC・OAuthだとか最終的にはProvisioningまでと用語はたくさん出てきますが、技術的な部分はほぼ削ってます。そして、情シス目線でコンシューマーサービスを利用したい・制御したいという立場で書いてます。tCサービスではまた違う角度でみる必要があるので、気をつけてください。あくまでこれは情シス目線 Tech寄りの要素が知りたくなったら他で調べてみてください。このnoteは、認証認可って
子どもがYouTubeに動画をアップロードするのはもはや珍しいことではありませんが、オーストラリアのニューサウスウェールズ州に住むジェニファー・ワトキンスさんは、子どもがちょっとしたイタズラ心を発揮した動画をアップロードしたことにより、Googleアカウントを凍結される羽目になっています。 How Your Child’s Online Mistake Can Ruin Your Digital Life - The New York Times https://www.nytimes.com/2023/11/27/technology/google-youtube-abuse-mistake.html ワトキンスさんは夫のブルースさん、双子のベンさん、フリンさんとの4人家族。ベンさんとフリンさんは、ワトキンスさんのGoogleアカウントにログインした状態のタブレット端末を用いて、子ども向
人間が作ったゴリラ専用のSNS「banuho(バヌーホ)」が、これまでTwitterを利用していたゴリラたちの間で「ウホ」と話題になっています。 クリエーターのTakumaN(@TakumaN_me)さんが、「Twitterを利用するゴリラがあまりにも多すぎる」と、人間とゴリラで利用するSNSを分けるべく開発。banuhoは、他のゴリラと「ウホ」と言い合うことで、バナナを1本ずつもらえる画期的なSNSとなっています。 「banuho(バヌーホ)」のトップ画面 サイト説明に「人間のご利用はできません」とあるように、ゴリラだけが利用できます。筆者は人間なので絶対うまく使えないと思ってましたが、実際に使ってみると「ウホ」を送るだけというシンプルさがとても快適でした。しっくりくるのは何でウホ。 ゴリラじゃないけどバナナはうれしいウホ リリースから27時間ほどで、なんと1万という数のゴリラがbanu
限定公開した日付になっていたので再投稿しました泣 普段は京都大学で学生をしており、iOSエンジニアとしての歴も3年目となりました。 NoSQLもFirebaseも全く触ったことのなかった僕が、バックエンド全てFirebaseで完結させた知見を残しておきます。 何を作ったのか ランディングページ https://app-rose.me/ AppStore https://apps.apple.com/us/app/rose-me/id1453049174?l=ja&ls=1 恋愛は試着する時代 という信念のもと、試着感覚のデートを提供するマッチングアプリRose Meを開発しました。 空いている時間に、好きな場所で1時間だけのデートのおさそいをして、ローズを送ることでデートに行きたいという気持ちを伝えることができます。 デート後に、お互いが気になるボタンを押していれば連絡はとりあうことができ
Googleアカウントから完全に締め出されたときの対処法は?
Googleのアカウントは、GmailやYouTubeだけでなく、様々なサービスと連携して利用することが可能です。これは、アカウントが使えなくなったときに影響の及ぶ範囲もそれだけ大きいともいえます。マーケティングなどを行う企業・Red Violet Worksの創業者でCEOのデジレア・カルヴィロ氏が、Googleアカウントから完全に締め出しを食らい、なんとか復帰するまでの経緯を、後の人のために明らかにしてくれています。 When You Get Locked Out of Your Google Account, What Do You Do? https://www.linkedin.com/pulse/when-you-get-locked-out-your-google-account-what-do-desirea-calvillo カルヴィロ氏は2004年、まだ招待制だったころ
頑張れば頑張るほど、成果が出なくなる「落とし穴」の話。
コンサルタント時代に学んだことの中で、最も重要な事項の一つは、間違いなく 「頑張れば頑張るほど、成果が出なくなる」だった。 これは「頑張らなくて良いんだよ」とか「長時間労働は悪」といった、価値観の話ではない。 本当に「頑張ると成果が出なくなるから、頑張るな」というシンプルな話だ。 だが、直感には反する。 努力と成果には、因果がある気がするからだ。 * 例えば、こんな話だ。 ある会社で、画期的な商品を開発した。 BtoB向けのサブスクリプション契約可能な商材で、潜在的なニーズがあったため、まず既存顧客に向けて販売したところ、またたく間に数百社の顧客を開拓できた。 しかも、営業はとてもかんたんだった。 広告とダイレクトメールだけで、引き合いがバンバン来る。 あとは、出かけていって、サインを貰って、受注。 楽なもんである。 経営者は喜んだ。 「これは金鉱脈だ、全営業リソースを突っ込んで、市場を取
フィッシングサイトへの自動入力のリスク SMS OTPとWebサイトが紐付かない状態では、正規のSMS OTPがフィッシングサイトへ自動入力されるリスクが生じる。現実的なリスクとして、GutmannらはMITMと組み合わせた「ログインにおける2要素認証の回避」と「ソーシャルログインの偽装による電話番号確認の回避」、「オンライン決済における取引認証の回避」の3つのシナリオを示している⁷。2要素認証の回避につながるリスクは、iOSの自動入力がPayPayの偽サイトで発動した前回の検証で確認している。今回の検証ではAndroidの自動入力がPayPalの偽サイトで発動するか確認する。 2要素認証の回避 PayPalの偽サイトは前回と同様にMITMフィッシングフレームワーク「Evilginx2」で複製し、一般利用者が誤ってアクセスしないようインバウンド接続を制御した。Android 11のChro
このページを見るには、ログインまたは登録してください
Facebookで投稿や写真などをチェックできます。
強い組織は、人の欠点を無視することで「凡人」を戦力化する。
結構前の話だ。 とある会社で、一人のマーケティング担当が辞めた。 彼はそれまで、その会社に存在しなかった メディアを使ってリードを獲得する手法を駆使し、大量の成果をあげていた。 当初、その功績は経営陣たちから大きく評価された。 給与はアップし、大きなボーナスが彼に支払われた。 しかし、残念ながら、その高い評価は長続きしなかった。 なぜなら、彼の「だらしなさ」が、あらわになってきたからだ。 前の日にクライアントと飲み歩いて、次の日昼過ぎに出社する。 机の上は大量の書類で汚く汚れている。 彼の上司は彼に警告した。 遅刻はするな。机を整理しろ。 彼は「成果はあがっている。時間や机はそれと関係ない。」と言い張ったが、上司は彼に「態度を改めなければ減給する」と警告した。 彼は、結局それを断り、知人のスタートアップに転職した。 「今は、紙を使わないから机が汚れないし、出社自由だから、最高だよ」 と彼は
2020年3月17日、株式会社Authleteが主催する「OAuth & OIDC 勉強会 リターンズ【入門編】」が開催。同社の共同創業者であり、プログラマー兼代表取締役でもある川崎貴彦氏が、OAuth 2.0 / OIDCの仕様について解説しました。 冒頭は、OAuth 2.0の概念や認可・認証までの流れと、それを理解する上で避けては通れない3つの技術仕様(JWS・JWE・JWT)についての解説です。 OAuth 2.0とは 川崎貴彦氏:株式会社Authleteの川崎です。本日は「OAuthとOpenID Connectの入門編」ということでオンライン勉強会を開催しますので、よろしくお願いします。最初にOAuth 2.0の概要の説明からです。 ブログに書いてある内容と一緒なんですが、まずユーザーのデータがあります。このユーザーのデータを管理するのが、リソースサーバーです。このユーザーのデ
ブラウザのテキスト入力フィールドに関する脆弱(ぜいじゃく)性の分析により、大手企業や官公庁のサイトのHTMLソースコードに平文でパスワードが保存されていることが判明しました。問題を発見した専門家らは、試しに機密データを抜き取れるテスト用の拡張機能を作成したところ、いとも簡単にChromeウェブストアにアップロードできたと報告しています。 [2308.16321] Exposing and Addressing Security Vulnerabilities in Browser Text Input Fields https://arxiv.org/abs/2308.16321 Chrome extensions can steal plaintext passwords from websites https://www.bleepingcomputer.com/news/securi
このページを見るには、ログインまたは登録してください
Facebookで投稿や写真などをチェックできます。
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
爆速で年収3倍を実現した黒澤さんに「30代からの勉強で成功する秘訣は何なのか?」と根堀り葉掘り聞いてみた
故人のアカウントはどうなる? 「休眠アカウント削除」の方針をTwitterに聞く
Apple、パスワードを不要にするFIDO Allianceへの加盟が明らかに
(随時更新)メンバー30人以下くらいの副業もいるチームの社内セキュリティについて - Qiita
次世代画像形式のWebP、そしてAVIFへ。変わり続ける技術に対応するweb制作の黄金解 - ICS MEDIA
Railsで認証機能を自作する?それともDeviseを使う? - アジャイルSEの憂鬱
はてなブックマークでわけのわからないスターがつけられている場合、相手はスパマーかもしれない。
Twitterが凍結されたのでWildebeestでFediverseに移住した
RailsアプリをHerokuから移行するならどれがいいのか比較する | うなすけとあれこれ
仕事では、面倒くさがらず「適切な言葉を選ぶこと」が極めて重要だった。
Relayに学ぶGraphQLのスキーマ設計 - cockscomblog?
「コンサル一年目が学ぶこと」を読んで、コンサル会社の「容赦ない」カルチャーについて思い出した。
OAuth、OAuth認証、OpenID Connectの違いを整理して理解できる本 [2023年改訂版] - Auth屋 - BOOTH
プライバシー強化、しましょ。「本当に信頼できるVPN」4選
脆弱性診断につかえる実践的なテクニックを列挙してみた - shikata ga nai
ZoomのWindows版にユーザーログイン情報窃盗に繋がる脆弱性
ZoomのMac版、インストール時にマルウェア的な挙動 セキュリティ専門家が指摘
フォロワーに葬式に来てもらうことは難しい - マグロの戯言帖
記事編集画面内で、誰でも簡単に「アイキャッチ画像」を作れるようにしました - はてなブログ開発ブログ
情シスがなんで社内システムにIdPというかSAMLを導入した方がいいのか【一部訂正しました】|kobaso
「おしり動画」を7歳の息子が勝手にアップロードしたため母親がGoogleアカウントを凍結される
ゴリラ専用のSNS「banuho」に1万頭以上のゴリラ集まる 開発の理由は「Twitterにゴリラが多すぎる」
FirebaseだけでiOS版マッチングアプリ「Rose Me」をリリースするまでの話 - Qiita
SMS OTPの自動入力によるリスクとその対策
OAuth 2.0 / OIDC を理解する上で重要な3つの技術仕様
GmailやAmazonでは「HTMLにプレーンテキストでパスワードが保存されている」とセキュリティ研究者が警告