Webサービス公開前のチェックリスト
個人的に「Webサービスの公開前チェックリスト」を作っていたのですが、けっこう育ってきたので公開します。このリストは、過去に自分がミスしたときや、情報収集する中で「明日は我が身…」と思ったときなどに個人的にメモしてきたものをまとめた内容になります。 セキュリティ 認証に関わるCookieの属性 HttpOnly属性が設定されていること XSSの緩和策 SameSite属性がLaxもしくはStrictになっていること 主にCSRF対策のため。Laxの場合、GETリクエストで更新処理を行っているエンドポイントがないか合わせて確認 Secure属性が設定されていること HTTPS通信でのみCookieが送られるように Domain属性が適切に設定されていること サブドメインにもCookieが送られる設定の場合、他のサブドメインのサイトに脆弱性があるとそこからインシデントに繋がるリスクを理解してお
9/5NEW その2(日焼け止め・保湿について)https://anond.hatelabo.jp/20240905170633その3(クリームの紹介)https://anond.hatelabo.jp/20240905171035 も書いたよ! anond:20240904005812 の主ではないけれど、ブコメに 「 id:doksensei せめてブコメでオススメのスキンケアとかないのか。デオコ以外にはてブで話題になったものないんじゃないのかこの役たたずインターネットめが」 とあった。ウム。役に立ちたい。というわけで、おすすめ書きます。 洗顔と保湿の1アイテムずつなので、取り入れやすいと思うよ。 個人の意見男性のほうが、保湿するだけでも(これまでやっていなかった分見違えるように)かなり若見えするので、 ぜひ洗顔と保湿だけでも見直してみて!「キレイになる」ではなくて、「若く見える」「ち
スキル0から1年間でマルウェア解析を習得した学習方法 - the_art_of_nerdのブログ
みなさん、こんちにはmです。 今回は私が1年の期間でマルウェア解析のスキル0から習得するまでに取り組んだ方法をまとめました。 初めに開始時のスキルや1年間でかけたコスト、スケジュールなどを共有します。 開始時のスキルなど 表層解析、動的解析、静的解析の違いもあまり理解していない プログラミングはPythonを学び始めた程度 低レイヤーの知識なし アセンブリの知識なし Windowsアプリケーション開発の経験なし SOCアナリストとしてブルーチームの知識は多少 脆弱性診断の経験も(深くはないが)多少 エンジニア歴7、8ヶ月目くらい ざっくりですが、このようにマルウェア解析に絡んでくる知識はほぼ0でした。 学習にかけたトータルコスト 書籍:約5万円 オンライン教材:12万円 約17万円近く1年間に使いましたが、お金で直接スキルは買えないので必要経費です。 なお、オンライン教材の12万円について
CSRF 対策はいまだに Token が必須なのか?
CSRF 対策は One Time Token を form なりに付与して、サーバ側でチェックすれば良い。 それをデフォルトでサポートしてるフレームワークなどもあるし、なくてもライブラリでいくらでも対応できる。 どうせ完全にステートレスなサービスはなかなかないので、サーバ側に redis や memcache を用意するのも別に大変じゃない。 なので、 CSRF 対策として Token を付与するのは、最も安全で推奨できる方式ではある。 っていうのを踏まえた上で、もう SameSite=Lax デフォルトだけど、今でも Token 必須なの?みたいなのがたびたび話に出るので、いい加減まとめる。 前提 この話は、スコープがどこなのかによって話が多少変わるので、そこを絞る。 今回は Passive ではなく Active に対策していく場合を考えるので、前提をこうする。 SameSite=l
日本語は外国人話者にとって難しすぎるので、新しい簡易日本語「Japhalbet」をAIに作ってもらった(CloseBox) | テクノエッジ TechnoEdge
仮想的なシステムであり、実際の普及は想定されていない。 言語学習や異文化コミュニケーションのツールとしての可能性がある。 結論ローマ字運動とJaphalbetは、どちらも日本語の表記をラテン文字化する試みという点で共通していますが、その目的、アプローチ、そして想定される使用範囲に大きな違いがあります。ローマ字運動が日本の近代化と識字率向上を主眼としていたのに対し、Japhalbetは国際的な日本語学習とコミュニケーションの促進を目指しています。 また、ローマ字運動が日本語の文法構造をほぼそのまま維持したのに対し、Japhalbetはより大胆な文法の簡略化を提案しています。これは、Japhalbetが非日本語話者にとっての理解のしやすさを重視しているためです。 結果として、ローマ字運動は日本社会に一定の影響を与え、特に技術分野での応用を見出しましたが、Japhalbetは現時点では理論的な提
あひるさん🇺🇸 @5ducks5 新しい🇺🇸人上司がやたらと「君の仕事はいつも完璧だ。何か困ってないか?必要なものはないか?」と褒めてくる。 毎回最後に「昇給と休み以外ならなんでも言ってくれ」と付け足すけど。 先日も歯が浮くようなセリフでまた持ち上げられたので「今までのボスの中で1番お世辞が上手だよ」と返したところ、彼はほんの少し真面目な顔をして 「これはお世辞じゃない。仕事を部下にやってもらってるわけだから褒めて感謝するのは当たり前だ。」と言った。続けて 「そうすることで『嫌々やらされてる仕事』は『やりたい仕事』になるんだ。そして皆に気持ちよく働いてもらうのが私の仕事だ。昇給と休み以外はなんでも実現させる」と言ってきた。この人は生粋の人たらしのようだ。 これは組織形成や部下の教育だけの話でなく、子供の教育にも通じるなと思った。 私もとにかく子供を褒め続ける主義なのでうちの子は掃除
Intro Ladybird は、他のブラウザエンジンをフォークせず、企業との取引に頼らず、寄付だけで作ることを宣言した新しいブラウザエンジンだ。 Ladybird https://ladybird.org/ これがいかに価値のある取り組みなのか、 Web を漫然と眺めてきた筆者による N=1 の妄言を書いてみる。 ブラウザエンジンとは ブラウザは、「ブラウザ UI」と「ブラウザエンジン」と、大きく二つの構成要素に分けて考えることができる。 ブラウザエンジンとは、いわゆる Web 標準の技術を片っ端から実装した、ブラウザの土台となるものだ。 ビルドすれば、入力した URL からネットワーク経由でリソースを取得し、パースしてレンダリングして表示できる。そのための IETF RFC や WHATWG HTML や ECMAScript が実装されている、標準技術の結集だ。 その上に、例えばタブ
真・全国ないものねだり
純粋の他46地域には存在する、ガチのないものねだりは太字で記載する また10地域ないものについては記載しないので勝手に連合を組んでください (ジョイフル、デニーズ、ロイヤルホスト、バーミヤン、いきなりステーキ、かっぱ寿司、ホビーオフ、AOKI、はるやま、コナカ、エディオン、くまざわ書店、紀伊國屋書店、三菱UFJ銀行、Amazon Hub、QBハウス)都道府県ないもの備考北海道本家かまどや デイリーヤマザキ ウエルシア JA-SS(ホクレンSSで代用) ナビ個別指導学院 河合塾マナビスでっかいどうの端っこでは何もないというツッコミは不可避青森ジョリーパスタ やよい軒 まいどおおきに食堂 本家かまどや ビアードパパ(過去に存在) ウエルシア(ハッピー・ドラッグで代用) Zoff サイクルベースあさひ 4℃ スーモカウンター はんこ屋さん21 住友林業 フジテレビ系列岩手やよい軒 ヨックモック
世界1位のYouTuber「MrBeast」の動画制作マニュアルが流出、多数の動画で1億再生以上を達成した制作手法が明らかに
MrBeast(ミスタービースト)は2024年9月17日時点で3億1500万人以上のチャンネル登録者を抱える世界トップのYouTuberです。そんなMrBeastの制作チームに新たに加入した人向けの制作マニュアルが流出し、誰でも閲覧可能な状態となっています。 How to succeed in MrBeast production (leaked PDF) https://simonwillison.net/2024/Sep/15/how-to-succeed-in-mrbeast-production/ MrBeastがどんな人物なのかについては下記の記事を読むと分かります。下記の記事が作成された2023年6月時点ではMrBeastのチャンネル登録者は1億6000万人でした。 チャンネル登録者数1億6000万人の世界最強YouTuber「MrBeast」の正体とは? - GIGAZINE
イスラエル政府の言うような "human animals" なんかじゃない。彼ら・彼女らの言葉を伝える翻訳ハッシュタグ - Hoarding Examples (英語例文等集積所)
【「日本国際ボランティアセンター (JVC)」さんの緊急支援要請】 ガザ地区での活動実績がしっかりしている日本のNGOです https://www.ngo-jvc.net/news/news/202310_gaza.html 起きたことに、衝撃を受けすぎて、言葉にならない、ということは、日常にあふれている。ネットなどでよく、「語彙力をなくす」というスラングで描写されるあれである。 10月7日の出来事は、その最たるものだった。 Twitterのログを見返したが、そのときのものは何もない。最近はMastodonに切り替えつつあるのでMastodonに書いたかと言えば、そっちにもない。速報としてスマホに配信されてきた短い文面を見て、「え」と声に出したことは覚えている。そのあとは「マジで?」と思い、BBC Newsの速報を一読して「何これ」と思い、もう一度読んで「は?」と思った。 そして「いやいや
節分なので聞きたいんだけど ブルアカ https://pbs.twimg.com/media/Es3iE3pU0AMJoz7.jpg モンスト https://cdn.wiki.famitsu.com/files/attachment/000/057/660/full_upload.png FGO https://arcade.fate-go.jp/news/assets/servant/introduce-SyutendoujiAssassin.png VTuber https://static-cdn.jtvnw.net/jtv_user_pictures/a1e0e231-3e4c-47f6-9fff-faf54eb49658-profile_image-300x300.png まだまだいるけど最近の鬼キャラ、みんなツノが肌の延長みたいに境目があいまいで長くて大体グラデーションがかか
S3経由でXSS!?不可思議なContent-Typeの値を利用する攻撃手法の新観点 - Flatt Security Blog
はじめに セキュリティエンジニアの齋藤ことazaraです。今回は、不可思議なContent-Typeの値と、クラウド時代でのセキュリティリスクについてお話しします。 本ブログは、2024 年 3 月 30 日に開催された BSides Tokyo で登壇した際の発表について、まとめたものです。 また、ブログ資料化にあたり、Content-Type の動作や仕様にフォーカスした形で再編を行い、登壇時に口頭で補足した内容の追記、必要に応じた補足を行なっています。 また、本ブログで解説をする BSides Tokyoでの発表のもう一つの題である、オブジェクトストレージについては、以下のブログから確認をすることが可能ですので、ご覧ください。 blog.flatt.tech なぜ今、この問題を取り上げるのか? 従来のファイルアップロードにおいて、Content-Type の値を任意の値に設定すること
Netscapeと米司法省は、Microsoftの「Windows」と「Internet Explorer(IE)」が独占禁止法に違反していると訴えた裁判では勝利したが、Netscapeは結局救われなかった。かつては最も人気のあるブラウザーであったNetscapeの運命は尽きた。同社の初期の従業員だったJamie Zawinski氏は当時、コードの公開に関して、「瀕死のプロジェクトに『オープンソース』という魔法の粉をかけたところで、魔法のようにうまくいくようなことはない」と語っている。 それでもNetscapeのコードが公開されたことは事実であり、Mozilla Projectは、そのソースコードを元に、インターネットのさまざまなアプリケーションに利用できる汎用クライアントを作った。また2002年には、そのクライアントが純粋なウェブブラウザーである「Firefox」に生まれ変わった。この年
jQuery 4.0.0 has been in the works for a long time, but it is now ready for a beta release! There’s a lot to cover, and the team is excited to see it released. We’ve got bug fixes, performance improvements, and some breaking changes. We removed support for IE<11 after all! Still, we expect disruption to be minimal. Many of the breaking changes are ones the team has wanted to make for years, but co
JR東日本のデジタルトランスフォーメーション(DX)戦略が岐路に立っている。チケットレス化を前提にみどりの窓口の削減に取り組んできたが、移行は想定通りに進捗していない。有人の切符販売窓口では混乱が頻発し、削減計画は凍結を余儀なくされた。使い勝手の悪いネット販売システムの改修を怠ったまま拙速に取り組んだ結果の「デジタル戦略の誤算」で、顧客目線に立った改善が欠かせない。「インターネットを使ってチケ
This December, if there’s one tech New Year’s resolution I’d encourage you to have, it’s switching to the only remaining ethical web browser, Firefox. According to recent posts on social media, Firefox’s market share is slipping. We should not let that happen. There are two main reasons why switching is important. “Red Panda” by Mathias Appel is marked with CC0 1.0. 1. Privacy Firefox is the only
KeyTrap (CVE-2023-50387)を検証してみた - knqyf263's blog
DNSは趣味でやっているだけですし有識者のレビューを経ているわけでもないので誤りを含むかもしれませんが、DNS界隈には優しい人しかいないのできっと丁寧に指摘してくれるはずです。 追記:めちゃくちゃ丁寧にレビューしていただいたので修正いたしました。森下さんほどの方に細かく見ていただいて恐れ多いです...(学生時代に某幅広合宿で森下さんの発表を見てDNSセキュリティに興味を持った) 4万文字を超える大作、おつかれさまです。わかりやすく書けていると思いました。 ざっと読んで、コメントしてみました。ご参考まで。https://t.co/bVj5WeFHQr https://t.co/ku5NOx6ua8— Yasuhiro Morishita (@OrangeMorishita) 2024年2月19日 要約 背景 詳細 DNSSECとは? DNSSECの可用性 鍵タグの衝突 攻撃内容 SigJam
フロントエンドの移り変わりは早すぎるのか
インターネットでは毎日のように言われることですが、私はそこまでではないと考えています。 ネットでよくそう言われる理由として考えられるものと、それを踏まえてどう向き合っていくとよさそうか、個人的な考えをまとめてみます。 なぜ言われるのか 言語が実質的にJavaScript一択 バックエンド、というかサーバサイドでは技術選定に「言語の選択」が入りますが、フロントエンドでは実質的にはJavaScriptにほぼ固定されます(TypeScriptも別言語ではないので、ここではJavaScriptに含めます) サーバサイドと比較して「技術の移り変わりが早すぎる」と評される場合、多くはその人の使用しているとある言語と比較されているように思われます。 実質的に言語が固定なので、比較するならすべてのサーバサイドの変化の総量と比較するのが妥当でしょう。 PHP + Python + Ruby + go + J
特によく使われる上二つのサービスでは”Webアプリケーションのテスト環境"を提供しており、インターネットに公開されたWebアプリケーション、開発中のローカルのWebアプリケーションのテスト環境が揃っています。 テスト環境 = テスト用アプリケーションがデプロイされ、ホストされている環境 テスト実行環境 = 上記テスト環境にアクセスし、テストを実施するためのデバイス・ブラウザ・OSを含む環境 BrowserStackはクラウド上で後者の「テスト実行環境」を提供しています。 BrowserStack Live (手動テスト) BrowserStackにホストされている様々なデバイスを利用し、マニュアルテストすることが可能です。画像ではiPhone13のデバイスを立ち上げ、Webのダッシュボード上で操作を行っている様子です。シミュレータではなく、実機デバイスをブラウザ上から操作できます。 Bro
皆さんが思い出せる最も古い記憶はいつ頃のものでしょうか。 稀に「母親の胎内にいたときを覚えている」という方もいますが、ほとんどの人は2〜3歳以降のことだと思います。 このように人生初期(0〜3歳頃)の記憶が抜け落ちている現象を「幼児期健忘(infantile amnesia)」といいます。 ただ、最近の研究では人間の自意識は4カ月頃から発達すると報告されており、ほとんどの人が2〜3歳以前の記憶を思い出せない理由はよく分かっていませんでした。 この疑問に対して、アイルランド・ダブリン大学トリニティ・カレッジ(TCD)の研究チームは、私たちが人生初期の記憶を喪失しているわけではなく、アクセスできない状態になっているだけである可能性を示唆する研究結果を報告しています。 さらに驚くべきことに、幼年期の記憶にフタがされるかされないかは、妊娠中の母親の免疫反応に大きな要因があったといいます。 研究の詳
Amazon Web Services(AWS)は、オープンソースとして開発されているリレーショナルデータベース「MariaDB」の最上位スポンサーとなるダイアモンドスポンサーになったことを明らかにしました。 AWS is now the first diamond sponsor of the MariaDB Foundation @mariadb_org AWS engineers are significant contributors to the #opensource databases that our managed services are built on and that our customers depend on. Read more: https://t.co/VWzxIQzdPK #AWSCloud pic.twitter.com/97va28nHKl —
あひるさん🇺🇸 @5ducks5 2002年に渡米。アメリカで解雇されたり再就職したり転職したりしてます。日常生活を面白おかしく切り取って毎日が楽しくなるような小ネタをつぶやいてます。固定の連ツイもぜひ。アイコンは本人ではありません。 amazon.co.jp/b?ie=UTF8&node… あひるさん🇺🇸 @5ducks5 先日仕事中にどうしても青のボールペンが必要になったんですけど、オフィスのどこを探しても黒と赤しか無かったんですね。ありえない。この会社は青レンジャーを敵に回す気か。とにかく青のボールペンが手に入らなくてとても悔しかったので仕方なく黒のボールペンを電子顕微鏡で観察する事にしました→ pic.twitter.com/VO11tRVbFM 2024-01-04 13:36:02
あひるさん🇺🇸 @5ducks5 2002年に渡米。アメリカの日常生活を面白おかしく切り取って、毎日が楽しくなるような小ネタをつぶやいてます。固定の連ツイもぜひ。アイコンは本人ではありません。 amazon.co.jp/b?ie=UTF8&node… あひるさん🇺🇸 @5ducks5 日本語勉強中の🇺🇸人同僚が「日本語だいぶ上手くなったよ。なんか面白い問題ない?」と言ってきたので、じゃあこれを読みなさいと「一月一日、元日の日曜日、日本晴れ、今日は良い一日になりそうだ。明日の二日は布団を天日干ししてから初日の出の絵日記を書こう」を見せたら日の読み方に発狂してた。 2023-12-29 10:56:43
こういう事(これが本当にマルバタイジングだったのかサイト改ざんだったのかどうか等はITmediaから経緯説明があったわけでもないので知らない)があって こういうスタンスなのだけれど、モバイル環境に関しては最近はJavaScriptを無効化してブラウジングしてる。使っているスマホのバッテリーがへたりはじめているので少しでも消費電力を下げたいというのもある。 基本的にはChromeをデフォルトJavaScript無効、よく利用するサイトを例外ドメインとして設定して利用 例外ドメインに追加したくはないけどアドホックにJavaScript有効で見たいページは共有メニュー(インテント)からFirefox Focusで開いている。この運用で今のところ不便さは感じてない。ただデスクトップ環境に関しては今の所は何もしてない。 昔々IEコンポブラウザと呼ばれるものが流行っていた頃のkiller featur
Go、Python、Kotlin、Rust、TypeScript の5つの言語について「並列処理、並行処理の手法」というテーマに絞り解説する「並列処理をGo/Rust/Kotlin/Python/JSで解説!思想の違いを体感しよう」。JavaScript編では橘氏が登壇。JavaScriptが疑似的な非同期処理をどう実現しているのかと、JavaScriptの非同期処理の歴史について紹介します。 橘氏の自己紹介 橘ゆう氏(以下、橘):よろしくお願いします。風邪でめちゃくちゃ顔が死んでいるので、カメラオフでいきます。橘です。今日は「JSの非同期処理パターン Promise、async/awaitを理解する」というテーマについて話していきたいと思います。 簡単な自己紹介ですが、もともとDeNAにいて事業統合でそのままGOに移り、今は森下さん(森下篤氏)と同じチームで、主にサーバーサイドやMLOp
🇺🇸人同僚が「ヒーローズで流行った『やったー』を聴いてみたい」と言ってきたので「私は中国人の『アイヤー』を聞きたい」と国際交流が始まった
あひるさん🇺🇸 @5ducks5 2002年に渡米。アメリカの日常生活を面白おかしく切り取って、毎日が楽しくなる愉快なことを中心につぶやいてます。リンク先はAmazonみんなで応援プロジェクト。アイコンは本人ではありません。 amazon.co.jp/b?ie=UTF8&node… あひるさん🇺🇸 @5ducks5 🇺🇸人同僚が「昔ドラマのヒーローズで流行った『やったー』を生で一度聴いてみたい」と私に言ってきたので「私は中国人の『アイヤー』を生で一度聴いてみたい」とその場にいた中国人同僚に伝えたら彼女は「私は🇺🇸人の『Great Scott!』を生で一度聴いてみたい」と3人の利害が一致してみんな感動できた。
「とほほのWWW入門」管理人の杜甫々氏が、これまでの経歴と、「とほほのWWW入門」執筆時に気を付けていること、自身の趣味について話しました。全2回。前回はこちらから。 今まで勉強してきた言語 杜甫々:今日はYAPC、Perl(のイベント)なので、プログラミングに関してのことをちょっとしゃべります。 (スライドを示して)今までこんな言語の勉強だけしてきました。よく使う言語はC言語が最初で、C++、そこから掲示板を作っていた頃はPerl。そこからPHPに移って、今はPython、JavaScriptが多いですかね。あとはたまにAWKをまだ使っています。 Perlの好きなところ、今後サポートしてほしいところ (スライドを切り替えて)えっとー…。謝ります(笑)。 (会場拍手) ずいぶん昔にPerl入門を書いたんですが、ほったらかしになっていて。今回このお話をいただきまして「それじゃあ、やはりいかん
フジコ @ogoogoyakitori ここはあたくしのインターネット。FM814アナウンサー。株式会社オリオン代表取締役。折紙サイクロン氏のスポンサーになりたくて起業しました。カフェオリオン @cattimenara オーナー。推しハーブティー通信講座。ライター。大和出版よりエッセイ発売中。北海道釧路市出身。 amazon.co.jp/b?ie=UTF8&node… フジコ @ogoogoyakitori 以前在籍していた職場はサービス残業がすごく多くて 新人時代に私が定時退社しようとしたときに「もう帰るの?」と聞かれたので「今日すき焼きなので!」と答えたら「すき焼きじゃ仕方ないかぁ…」みたいな空気になって その後「すき焼きなので!(帰ります)」って早く帰る人増えたんですよね 2024-03-06 17:08:35 フジコ @ogoogoyakitori もうほとんど忘れてたんですが、な
February 05, 2024 · 26 mins · 4727 words Discussion on HackerNews. Last September I hopped on board with Wallapop as a Search Data Scientist and since then part of my work has been working with Solr, an open-source search engine based on Lucene. I’ve got the basics of how a search engine works, but I had this itch to understand it even better. So, I rolled up my sleeves and decided to build one fr
らーめん再遊記・第98杯
pWKD7oKBDAtqRNg1BNp6MDnBqNsl17iE pWKD7oKBDAtqRNg1BNp6MDnBqNsl17iE 19a16118a3941a1069a74483bb51988a
奥田幸雄 @yukiookuda Hospital unisex toilets risk infection as men fail to wash their hands, says new study independent.ie/irish-news/hea… 男性が手を洗わないため、病院の男女共用トイレは感染の危険性があると新たな研究が指摘 2024-05-05 15:05:04
物理の本ではよく, 「反変ベクトルとは~~という変換則をもち, 共変ベクトルは・・・という変換則をもつものとして定義される」と説明がなされますが, 初学者にとってはなぜ唐突にこのような定義がされるのか非常にわかりにくいと思います. そこでこのページでは数学的によりシンプルな定義を採用し, 一点の曇りなく自然に反変ベクトルと共変ベクトルが導入されることを説明します. さらに2つの拡張としてテンソルが自然に導入されることもみていきます. 以下では$${\left(e_i\right)_{1\leq i\leq n}}$$を$${n}$$次元実ベクトル空間$${V}$$の基底とします. 複素ベクトル空間の場合も以下の$${\mathbb{R}}$$を$${\mathbb{C}}$$に変えるだけで全て上手く成り立ちます. このページと同じ内容のPDFも用意していますので適宜ご利用ください. 前提知
昔、クロネコヤマトのブックサービスというのがあったのを覚えているだろうか。 まだインターネットが普及するずっと前から、電話FAXで本を注文できるというサービスだった。 実は楽天になっているその後、どうなっているかというと、実は楽天に買収されている。さらに楽天が取次の大阪屋と栗田を買収して合併させ、今は楽天ネットワークという会社になっている。 ただ、楽天ネットワークはリアル書店向けの取次から事実上の撤退をしていて、ネット書店向けの取次業務専業になっている。 さて、その中で旧ブックサービスのサービスはどうなっているかというと、一般向けに事実上楽天ブックスに統合されているのだが、実は出版社向けのサービスは現在も生き残っている。 そのサービスというのが、出版社→書店向けの急配サービスである。出版社の代わりに注文を受けて、出版社から本をピックアップし、宅配便の配送網で届けると言うサービスだ。 手数料
Intro Referrer-Policy は、送信される Referer の値を制御することが可能だ。 このヘッダの副次的な効果をよく理解していないと、「no-referrer にして送らないのが最も安全だ」という誤解を生むことになる。 では、複数あるポリシーの中でどのような観点で、どのディレクティブを採用するのが良いのだろうか? 前提として前回の記事の「リクエストの出自をチェックすることは現代の実装のベースプラクティスである」という点を踏まえて考えてみる。 令和時代の API 実装のベースプラクティスと CSRF 対策 | blog.jxck.io https://blog.jxck.io/entries/2024-04-26/csrf.html Referer とアナリティクス Referer は、リクエストに対してその前のページの URL を送るところから始まった。 GET / H
Windowsに「デフォルトのブラウザをMicrosoft Edgeから変更できないようにするドライバー」が配信されていたことが判明
Microsoftは、Google Chromeのダウンロードを中止するように促すメッセージを出したり、チャットAI「りんな」を動員したりと、Microsoft Edge以外のブラウザを使おうとするユーザーをなりふり構わず引き留めることで知られています。そんなMicrosoftが、Windows 10とWindows 11のデフォルトブラウザの設定を変更できないようにするドライバーを、2024年2月のWindows更新プログラムで導入していたことが発覚しました。 UserChoice Protection Driver – UCPD.sys – the kolbicz blog https://kolbi.cz/blog/2024/04/03/userchoice-protection-driver-ucpd-sys/ Windows UserChoice Protection Drive
皮膚が残る2億8000万年前の化石がねつ造された偽物だったことが判明
うろこ状の皮膚などの軟組織の痕跡を残し、恐竜出現前の初期の爬虫(はちゅう)類の姿を現代に伝える大変貴重な標本とされてきた古生物の化石が、「岩を掘ってから焼いた骨で作った塗料を塗ったねつ造品」だということが判明しました。保存状態はよくないものの、塗料の下の骨格の一部は本物の可能性があることから、科学者らは最新技術を使った化石の分析に望みをかけています。 Forged soft tissues revealed in the oldest fossil reptile from the early Permian of the Alps - Rossi - 2024 - Palaeontology - Wiley Online Library https://onlinelibrary.wiley.com/doi/10.1111/pala.12690 Latest News and Views
TL;DR 楽しかった! 本編 おはようございます。手札事故(twitter:@hand_accident)と申します。 Ruby知識ゼロから初参加したRubyKaigi 2024レポート、略してルゼロ*1という感じでやっていきたいと思います。 < Day 0 自己紹介でもしとくか。生まれ育った愛媛県松山市*2に帰って非IT企業でパソコン係をやっている過程で、すべてが個人開発の労働環境で趣味全ブッパ技術選定をした結果HaskellとNimを書くようになりました。すこしSvelteもします。 Rubyは名前を聞いたことがあるしちょっとニッチなPythonライブラリ探そうとしたら時々検索にgemが引っかかってそちらにはあるのねえという感想を抱くなどしていましたが何の因果か触ってみるには至らず、沖縄に来て初めてコードを見たまであります。 愛媛県松山市で趣味の音楽ゲーム(DDR)に高じていたところ
linux kernelでのFPU, MMX, SSEについて 本記事では、linux kernel 2.6.11でのFPU(Float Point Unit)やMMX, SSEがどう設定、使用されているのかを確認する。FPU, MMX SSE命令を使用する際は、使用する際に意図的に#NM(Interrupt7: Device not available exception)を出し、各種フラグを切り替え(特にcr0.TS flagをOFFにして)、これらの命令を使えるようにしている。(後述の通り、Kernel Modeでは、kernel_fpu_begin, kernel_fpu_endにてフラグの切り替えをおこなっている1ため、この限りでない。) プログラミング言語の例外処理はパフォーマンスを落とすものとして一般に嫌われているが、ハードウェア(この場合x86)のレイヤでは、例外をあえて意
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「清潔になりたい男たちへ」に倣っておすすめアイテム書くよ
新しい🇺🇸人上司はやたらと褒めてくれるので「今までで1番お世辞が上手だ」と言ったら、生粋の人たらしな反応をされた
なぜブラウザエンジンは 1 つではダメなのか? または Ladybird への期待 | blog.jxck.io
鬼っていつからこんな風になっちゃったの?(追記・ツノ、肌角)
「Firefox」興亡史:一時代を築いたブラウザーの歴史と衰退
jQuery 4.0.0 BETA! | Official jQuery Blog
JR東日本「みどりの窓口」削減凍結 デジタル戦略の誤算 - 日本経済新聞
In 2024, please switch to Firefox
BrowserStack:テスト自動化有料ツールの決定版
「あなたの一番古い記憶は?」人は覚えていても2歳以前の記憶にアクセスできなくなっている - ナゾロジー
AWS、MariaDBの最上位スポンサーになったと発表。なぜMariaDBの大口スポンサーに?
ボールペンを電子顕微鏡で観察したらその精密さに驚いた「その精度でボールを作ってこの価格で提供できるなんて」
日本語勉強中のアメリカ人がなんか面白い問題ないかと言うのでこの文を読んで、と見せた結果発狂「冷静に考えるとイカれてるな」
最近はJavaScriptをデフォルト無効化してブラウジングしてる
ブラウザ上のJavaScriptでの非同期処理を、今までどのように実現してきたか 「コールバック地獄」なども乗り越えてきた歴史
「X」(Twitter)のインプレゾンビを駆逐しろ! スパッと報告+ブロックできるアドオンが登場/「Google Chrome」用、「Microsoft Edge」でも利用可能【やじうまの杜】
葬ったはずでは!? 「Internet Explorer」が蘇るゼロデイ脆弱性、Kasperskyが注意喚起/Windows 10/11の最新パッチを適用しておこう【やじうまの杜】
「説明サイトとリファレンスサイトの両立を目指したい」 「とほほのWWW入門」管理者・杜甫々氏が執筆時に気をつけていること
サービス残業の多い職場で新人時代に定時退社しようとしたら『もう帰るの?』と聞かれ『今日すき焼きなので!』と言ったらこうなった
A search engine in 80 lines of Python
【悲報】男性がトイレで手を洗わないせいで病院の男女共用トイレが感染症の塊だと話題に
テンソルが意味不明な物理学習者へ: 共変ベクトルと反変ベクトルからテンソルまで|vielb
ブックサービスのいま 又は ネット書店・大手書店の仲卸事業
Referrer-Policy の制限を強めると安全になるという誤解 | blog.jxck.io
Ruby知識ゼロから初参加したRubyKaigi 2024レポート - 共沸
linux kernelでのFPU, MMX, SSEについて - 私のひらめき日記