Webサービス公開前のチェックリスト
個人的に「Webサービスの公開前チェックリスト」を作っていたのですが、けっこう育ってきたので公開します。このリストは、過去に自分がミスしたときや、情報収集する中で「明日は我が身…」と思ったときなどに個人的にメモしてきたものをまとめた内容になります。 セキュリティ 認証に関わるCookieの属性 HttpOnly属性が設定されていること XSSの緩和策 SameSite属性がLaxもしくはStrictになっていること 主にCSRF対策のため。Laxの場合、GETリクエストで更新処理を行っているエンドポイントがないか合わせて確認 Secure属性が設定されていること HTTPS通信でのみCookieが送られるように Domain属性が適切に設定されていること サブドメインにもCookieが送られる設定の場合、他のサブドメインのサイトに脆弱性があるとそこからインシデントに繋がるリスクを理解してお
9/5NEW その2(日焼け止め・保湿について)https://anond.hatelabo.jp/20240905170633その3(クリームの紹介)https://anond.hatelabo.jp/20240905171035 も書いたよ! anond:20240904005812 の主ではないけれど、ブコメに 「 id:doksensei せめてブコメでオススメのスキンケアとかないのか。デオコ以外にはてブで話題になったものないんじゃないのかこの役たたずインターネットめが」 とあった。ウム。役に立ちたい。というわけで、おすすめ書きます。 洗顔と保湿の1アイテムずつなので、取り入れやすいと思うよ。 個人の意見男性のほうが、保湿するだけでも(これまでやっていなかった分見違えるように)かなり若見えするので、 ぜひ洗顔と保湿だけでも見直してみて!「キレイになる」ではなくて、「若く見える」「ち
スキル0から1年間でマルウェア解析を習得した学習方法 - the_art_of_nerdのブログ
みなさん、こんちにはmです。 今回は私が1年の期間でマルウェア解析のスキル0から習得するまでに取り組んだ方法をまとめました。 初めに開始時のスキルや1年間でかけたコスト、スケジュールなどを共有します。 開始時のスキルなど 表層解析、動的解析、静的解析の違いもあまり理解していない プログラミングはPythonを学び始めた程度 低レイヤーの知識なし アセンブリの知識なし Windowsアプリケーション開発の経験なし SOCアナリストとしてブルーチームの知識は多少 脆弱性診断の経験も(深くはないが)多少 エンジニア歴7、8ヶ月目くらい ざっくりですが、このようにマルウェア解析に絡んでくる知識はほぼ0でした。 学習にかけたトータルコスト 書籍:約5万円 オンライン教材:12万円 約17万円近く1年間に使いましたが、お金で直接スキルは買えないので必要経費です。 なお、オンライン教材の12万円について
CSRF 対策はいまだに Token が必須なのか?
CSRF 対策は One Time Token を form なりに付与して、サーバ側でチェックすれば良い。 それをデフォルトでサポートしてるフレームワークなどもあるし、なくてもライブラリでいくらでも対応できる。 どうせ完全にステートレスなサービスはなかなかないので、サーバ側に redis や memcache を用意するのも別に大変じゃない。 なので、 CSRF 対策として Token を付与するのは、最も安全で推奨できる方式ではある。 っていうのを踏まえた上で、もう SameSite=Lax デフォルトだけど、今でも Token 必須なの?みたいなのがたびたび話に出るので、いい加減まとめる。 前提 この話は、スコープがどこなのかによって話が多少変わるので、そこを絞る。 今回は Passive ではなく Active に対策していく場合を考えるので、前提をこうする。 SameSite=l
日本語は外国人話者にとって難しすぎるので、新しい簡易日本語「Japhalbet」をAIに作ってもらった(CloseBox) | テクノエッジ TechnoEdge
仮想的なシステムであり、実際の普及は想定されていない。 言語学習や異文化コミュニケーションのツールとしての可能性がある。 結論ローマ字運動とJaphalbetは、どちらも日本語の表記をラテン文字化する試みという点で共通していますが、その目的、アプローチ、そして想定される使用範囲に大きな違いがあります。ローマ字運動が日本の近代化と識字率向上を主眼としていたのに対し、Japhalbetは国際的な日本語学習とコミュニケーションの促進を目指しています。 また、ローマ字運動が日本語の文法構造をほぼそのまま維持したのに対し、Japhalbetはより大胆な文法の簡略化を提案しています。これは、Japhalbetが非日本語話者にとっての理解のしやすさを重視しているためです。 結果として、ローマ字運動は日本社会に一定の影響を与え、特に技術分野での応用を見出しましたが、Japhalbetは現時点では理論的な提
あひるさん🇺🇸 @5ducks5 新しい🇺🇸人上司がやたらと「君の仕事はいつも完璧だ。何か困ってないか?必要なものはないか?」と褒めてくる。 毎回最後に「昇給と休み以外ならなんでも言ってくれ」と付け足すけど。 先日も歯が浮くようなセリフでまた持ち上げられたので「今までのボスの中で1番お世辞が上手だよ」と返したところ、彼はほんの少し真面目な顔をして 「これはお世辞じゃない。仕事を部下にやってもらってるわけだから褒めて感謝するのは当たり前だ。」と言った。続けて 「そうすることで『嫌々やらされてる仕事』は『やりたい仕事』になるんだ。そして皆に気持ちよく働いてもらうのが私の仕事だ。昇給と休み以外はなんでも実現させる」と言ってきた。この人は生粋の人たらしのようだ。 これは組織形成や部下の教育だけの話でなく、子供の教育にも通じるなと思った。 私もとにかく子供を褒め続ける主義なのでうちの子は掃除
Intro Ladybird は、他のブラウザエンジンをフォークせず、企業との取引に頼らず、寄付だけで作ることを宣言した新しいブラウザエンジンだ。 Ladybird https://ladybird.org/ これがいかに価値のある取り組みなのか、 Web を漫然と眺めてきた筆者による N=1 の妄言を書いてみる。 ブラウザエンジンとは ブラウザは、「ブラウザ UI」と「ブラウザエンジン」と、大きく二つの構成要素に分けて考えることができる。 ブラウザエンジンとは、いわゆる Web 標準の技術を片っ端から実装した、ブラウザの土台となるものだ。 ビルドすれば、入力した URL からネットワーク経由でリソースを取得し、パースしてレンダリングして表示できる。そのための IETF RFC や WHATWG HTML や ECMAScript が実装されている、標準技術の結集だ。 その上に、例えばタブ
真・全国ないものねだり
純粋の他46地域には存在する、ガチのないものねだりは太字で記載する また10地域ないものについては記載しないので勝手に連合を組んでください (ジョイフル、デニーズ、ロイヤルホスト、バーミヤン、いきなりステーキ、かっぱ寿司、ホビーオフ、AOKI、はるやま、コナカ、エディオン、くまざわ書店、紀伊國屋書店、三菱UFJ銀行、Amazon Hub、QBハウス)都道府県ないもの備考北海道本家かまどや デイリーヤマザキ ウエルシア JA-SS(ホクレンSSで代用) ナビ個別指導学院 河合塾マナビスでっかいどうの端っこでは何もないというツッコミは不可避青森ジョリーパスタ やよい軒 まいどおおきに食堂 本家かまどや ビアードパパ(過去に存在) ウエルシア(ハッピー・ドラッグで代用) Zoff サイクルベースあさひ 4℃ スーモカウンター はんこ屋さん21 住友林業 フジテレビ系列岩手やよい軒 ヨックモック
イスラエル政府の言うような "human animals" なんかじゃない。彼ら・彼女らの言葉を伝える翻訳ハッシュタグ - Hoarding Examples (英語例文等集積所)
【「日本国際ボランティアセンター (JVC)」さんの緊急支援要請】 ガザ地区での活動実績がしっかりしている日本のNGOです https://www.ngo-jvc.net/news/news/202310_gaza.html 起きたことに、衝撃を受けすぎて、言葉にならない、ということは、日常にあふれている。ネットなどでよく、「語彙力をなくす」というスラングで描写されるあれである。 10月7日の出来事は、その最たるものだった。 Twitterのログを見返したが、そのときのものは何もない。最近はMastodonに切り替えつつあるのでMastodonに書いたかと言えば、そっちにもない。速報としてスマホに配信されてきた短い文面を見て、「え」と声に出したことは覚えている。そのあとは「マジで?」と思い、BBC Newsの速報を一読して「何これ」と思い、もう一度読んで「は?」と思った。 そして「いやいや
節分なので聞きたいんだけど ブルアカ https://pbs.twimg.com/media/Es3iE3pU0AMJoz7.jpg モンスト https://cdn.wiki.famitsu.com/files/attachment/000/057/660/full_upload.png FGO https://arcade.fate-go.jp/news/assets/servant/introduce-SyutendoujiAssassin.png VTuber https://static-cdn.jtvnw.net/jtv_user_pictures/a1e0e231-3e4c-47f6-9fff-faf54eb49658-profile_image-300x300.png まだまだいるけど最近の鬼キャラ、みんなツノが肌の延長みたいに境目があいまいで長くて大体グラデーションがかか
S3経由でXSS!?不可思議なContent-Typeの値を利用する攻撃手法の新観点 - Flatt Security Blog
はじめに セキュリティエンジニアの齋藤ことazaraです。今回は、不可思議なContent-Typeの値と、クラウド時代でのセキュリティリスクについてお話しします。 本ブログは、2024 年 3 月 30 日に開催された BSides Tokyo で登壇した際の発表について、まとめたものです。 また、ブログ資料化にあたり、Content-Type の動作や仕様にフォーカスした形で再編を行い、登壇時に口頭で補足した内容の追記、必要に応じた補足を行なっています。 また、本ブログで解説をする BSides Tokyoでの発表のもう一つの題である、オブジェクトストレージについては、以下のブログから確認をすることが可能ですので、ご覧ください。 blog.flatt.tech なぜ今、この問題を取り上げるのか? 従来のファイルアップロードにおいて、Content-Type の値を任意の値に設定すること
Netscapeと米司法省は、Microsoftの「Windows」と「Internet Explorer(IE)」が独占禁止法に違反していると訴えた裁判では勝利したが、Netscapeは結局救われなかった。かつては最も人気のあるブラウザーであったNetscapeの運命は尽きた。同社の初期の従業員だったJamie Zawinski氏は当時、コードの公開に関して、「瀕死のプロジェクトに『オープンソース』という魔法の粉をかけたところで、魔法のようにうまくいくようなことはない」と語っている。 それでもNetscapeのコードが公開されたことは事実であり、Mozilla Projectは、そのソースコードを元に、インターネットのさまざまなアプリケーションに利用できる汎用クライアントを作った。また2002年には、そのクライアントが純粋なウェブブラウザーである「Firefox」に生まれ変わった。この年
jQuery 4.0.0 has been in the works for a long time, but it is now ready for a beta release! There’s a lot to cover, and the team is excited to see it released. We’ve got bug fixes, performance improvements, and some breaking changes. We removed support for IE<11 after all! Still, we expect disruption to be minimal. Many of the breaking changes are ones the team has wanted to make for years, but co
JR東日本のデジタルトランスフォーメーション(DX)戦略が岐路に立っている。チケットレス化を前提にみどりの窓口の削減に取り組んできたが、移行は想定通りに進捗していない。有人の切符販売窓口では混乱が頻発し、削減計画は凍結を余儀なくされた。使い勝手の悪いネット販売システムの改修を怠ったまま拙速に取り組んだ結果の「デジタル戦略の誤算」で、顧客目線に立った改善が欠かせない。「インターネットを使ってチケ
This December, if there’s one tech New Year’s resolution I’d encourage you to have, it’s switching to the only remaining ethical web browser, Firefox. According to recent posts on social media, Firefox’s market share is slipping. We should not let that happen. There are two main reasons why switching is important. “Red Panda” by Mathias Appel is marked with CC0 1.0. 1. Privacy Firefox is the only
KeyTrap (CVE-2023-50387)を検証してみた - knqyf263's blog
DNSは趣味でやっているだけですし有識者のレビューを経ているわけでもないので誤りを含むかもしれませんが、DNS界隈には優しい人しかいないのできっと丁寧に指摘してくれるはずです。 追記:めちゃくちゃ丁寧にレビューしていただいたので修正いたしました。森下さんほどの方に細かく見ていただいて恐れ多いです...(学生時代に某幅広合宿で森下さんの発表を見てDNSセキュリティに興味を持った) 4万文字を超える大作、おつかれさまです。わかりやすく書けていると思いました。 ざっと読んで、コメントしてみました。ご参考まで。https://t.co/bVj5WeFHQr https://t.co/ku5NOx6ua8— Yasuhiro Morishita (@OrangeMorishita) 2024年2月19日 要約 背景 詳細 DNSSECとは? DNSSECの可用性 鍵タグの衝突 攻撃内容 SigJam
フロントエンドの移り変わりは早すぎるのか
インターネットでは毎日のように言われることですが、私はそこまでではないと考えています。 ネットでよくそう言われる理由として考えられるものと、それを踏まえてどう向き合っていくとよさそうか、個人的な考えをまとめてみます。 なぜ言われるのか 言語が実質的にJavaScript一択 バックエンド、というかサーバサイドでは技術選定に「言語の選択」が入りますが、フロントエンドでは実質的にはJavaScriptにほぼ固定されます(TypeScriptも別言語ではないので、ここではJavaScriptに含めます) サーバサイドと比較して「技術の移り変わりが早すぎる」と評される場合、多くはその人の使用しているとある言語と比較されているように思われます。 実質的に言語が固定なので、比較するならすべてのサーバサイドの変化の総量と比較するのが妥当でしょう。 PHP + Python + Ruby + go + J
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「清潔になりたい男たちへ」に倣っておすすめアイテム書くよ
新しい🇺🇸人上司はやたらと褒めてくれるので「今までで1番お世辞が上手だ」と言ったら、生粋の人たらしな反応をされた
なぜブラウザエンジンは 1 つではダメなのか? または Ladybird への期待 | blog.jxck.io
鬼っていつからこんな風になっちゃったの?(追記・ツノ、肌角)
「Firefox」興亡史:一時代を築いたブラウザーの歴史と衰退
jQuery 4.0.0 BETA! | Official jQuery Blog
JR東日本「みどりの窓口」削減凍結 デジタル戦略の誤算 - 日本経済新聞
In 2024, please switch to Firefox