Webサービス公開前のチェックリスト
個人的に「Webサービスの公開前チェックリスト」を作っていたのですが、けっこう育ってきたので公開します。このリストは、過去に自分がミスしたときや、情報収集する中で「明日は我が身…」と思ったときなどに個人的にメモしてきたものをまとめた内容になります。 セキュリティ 認証に関わるCookieの属性 HttpOnly属性が設定されていること XSSの緩和策 SameSite属性がLaxもしくはStrictになっていること 主にCSRF対策のため。Laxの場合、GETリクエストで更新処理を行っているエンドポイントがないか合わせて確認 Secure属性が設定されていること HTTPS通信でのみCookieが送られるように Domain属性が適切に設定されていること サブドメインにもCookieが送られる設定の場合、他のサブドメインのサイトに脆弱性があるとそこからインシデントに繋がるリスクを理解してお
スキル0から1年間でマルウェア解析を習得した学習方法 - the_art_of_nerdのブログ
みなさん、こんちにはmです。 今回は私が1年の期間でマルウェア解析のスキル0から習得するまでに取り組んだ方法をまとめました。 初めに開始時のスキルや1年間でかけたコスト、スケジュールなどを共有します。 開始時のスキルなど 表層解析、動的解析、静的解析の違いもあまり理解していない プログラミングはPythonを学び始めた程度 低レイヤーの知識なし アセンブリの知識なし Windowsアプリケーション開発の経験なし SOCアナリストとしてブルーチームの知識は多少 脆弱性診断の経験も(深くはないが)多少 エンジニア歴7、8ヶ月目くらい ざっくりですが、このようにマルウェア解析に絡んでくる知識はほぼ0でした。 学習にかけたトータルコスト 書籍:約5万円 オンライン教材:12万円 約17万円近く1年間に使いましたが、お金で直接スキルは買えないので必要経費です。 なお、オンライン教材の12万円について
序文 WebKit と Gecko の内部オペレーションに関するこの包括的な入門情報は、イスラエルのデベロッパー Tali Garsiel 氏による多くの研究の成果です。数年にわたり、ブラウザ内部に関するすべての公開データを確認し、ウェブブラウザのソースコードを読むことに多くの時間を費やしました。彼女は次のように書いています。 ウェブ デベロッパーは、ブラウザ操作の内部構造を学ぶことで、より的確な意思決定を行い、開発のベスト プラクティスの背後にある理由を知ることができます。これはかなり長いドキュメントですが、時間をかけてじっくり読むことをおすすめします。やったら嬉しいよ。 Chrome デベロッパー リレーションズ、Paul Irish はじめに ウェブブラウザは、最も広く使用されているソフトウェアです。この入門編では その仕組みを解説しますアドレスバーに「google.com」と入力し
","naka5":"<!-- BFF501 PC記事下(中⑤企画)パーツ=1541 -->","naka6":"<!-- BFF486 PC記事下(中⑥デジ編)パーツ=8826 --><!-- /news/esi/ichikiji/c6/default.htm -->","naka6Sp":"<!-- BFF3053 SP記事下(中⑥デジ編)パーツ=8826 -->","adcreative72":"<!-- BFF920 広告枠)ADCREATIVE-72 こんな特集も -->\n<!-- Ad BGN -->\n<!-- dfptag PC誘導枠5行 ★ここから -->\n<div class=\"p_infeed_list_wrapper\" id=\"p_infeed_list1\">\n <div class=\"p_infeed_list\">\n <div class=\"
CSRF 対策はいまだに Token が必須なのか?
CSRF 対策は One Time Token を form なりに付与して、サーバ側でチェックすれば良い。 それをデフォルトでサポートしてるフレームワークなどもあるし、なくてもライブラリでいくらでも対応できる。 どうせ完全にステートレスなサービスはなかなかないので、サーバ側に redis や memcache を用意するのも別に大変じゃない。 なので、 CSRF 対策として Token を付与するのは、最も安全で推奨できる方式ではある。 っていうのを踏まえた上で、もう SameSite=Lax デフォルトだけど、今でも Token 必須なの?みたいなのがたびたび話に出るので、いい加減まとめる。 前提 この話は、スコープがどこなのかによって話が多少変わるので、そこを絞る。 今回は Passive ではなく Active に対策していく場合を考えるので、前提をこうする。 SameSite=l
あひるさん🇺🇸 @5ducks5 新しい🇺🇸人上司がやたらと「君の仕事はいつも完璧だ。何か困ってないか?必要なものはないか?」と褒めてくる。 毎回最後に「昇給と休み以外ならなんでも言ってくれ」と付け足すけど。 先日も歯が浮くようなセリフでまた持ち上げられたので「今までのボスの中で1番お世辞が上手だよ」と返したところ、彼はほんの少し真面目な顔をして 「これはお世辞じゃない。仕事を部下にやってもらってるわけだから褒めて感謝するのは当たり前だ。」と言った。続けて 「そうすることで『嫌々やらされてる仕事』は『やりたい仕事』になるんだ。そして皆に気持ちよく働いてもらうのが私の仕事だ。昇給と休み以外はなんでも実現させる」と言ってきた。この人は生粋の人たらしのようだ。 これは組織形成や部下の教育だけの話でなく、子供の教育にも通じるなと思った。 私もとにかく子供を褒め続ける主義なのでうちの子は掃除
日本語は外国人話者にとって難しすぎるので、新しい簡易日本語「Japhalbet」をAIに作ってもらった(CloseBox) | テクノエッジ TechnoEdge
仮想的なシステムであり、実際の普及は想定されていない。 言語学習や異文化コミュニケーションのツールとしての可能性がある。 結論ローマ字運動とJaphalbetは、どちらも日本語の表記をラテン文字化する試みという点で共通していますが、その目的、アプローチ、そして想定される使用範囲に大きな違いがあります。ローマ字運動が日本の近代化と識字率向上を主眼としていたのに対し、Japhalbetは国際的な日本語学習とコミュニケーションの促進を目指しています。 また、ローマ字運動が日本語の文法構造をほぼそのまま維持したのに対し、Japhalbetはより大胆な文法の簡略化を提案しています。これは、Japhalbetが非日本語話者にとっての理解のしやすさを重視しているためです。 結果として、ローマ字運動は日本社会に一定の影響を与え、特に技術分野での応用を見出しましたが、Japhalbetは現時点では理論的な提
Intro Ladybird は、他のブラウザエンジンをフォークせず、企業との取引に頼らず、寄付だけで作ることを宣言した新しいブラウザエンジンだ。 Ladybird https://ladybird.org/ これがいかに価値のある取り組みなのか、 Web を漫然と眺めてきた筆者による N=1 の妄言を書いてみる。 ブラウザエンジンとは ブラウザは、「ブラウザ UI」と「ブラウザエンジン」と、大きく二つの構成要素に分けて考えることができる。 ブラウザエンジンとは、いわゆる Web 標準の技術を片っ端から実装した、ブラウザの土台となるものだ。 ビルドすれば、入力した URL からネットワーク経由でリソースを取得し、パースしてレンダリングして表示できる。そのための IETF RFC や WHATWG HTML や ECMAScript が実装されている、標準技術の結集だ。 その上に、例えばタブ
真・全国ないものねだり
純粋の他46地域には存在する、ガチのないものねだりは太字で記載する また10地域ないものについては記載しないので勝手に連合を組んでください (ジョイフル、デニーズ、ロイヤルホスト、バーミヤン、いきなりステーキ、かっぱ寿司、ホビーオフ、AOKI、はるやま、コナカ、エディオン、くまざわ書店、紀伊國屋書店、三菱UFJ銀行、Amazon Hub、QBハウス)都道府県ないもの備考北海道本家かまどや デイリーヤマザキ ウエルシア JA-SS(ホクレンSSで代用) ナビ個別指導学院 河合塾マナビスでっかいどうの端っこでは何もないというツッコミは不可避青森ジョリーパスタ やよい軒 まいどおおきに食堂 本家かまどや ビアードパパ(過去に存在) ウエルシア(ハッピー・ドラッグで代用) Zoff サイクルベースあさひ 4℃ スーモカウンター はんこ屋さん21 住友林業 フジテレビ系列岩手やよい軒 ヨックモック
","naka5":"<!-- BFF501 PC記事下(中⑤企画)パーツ=1541 -->","naka6":"<!-- BFF486 PC記事下(中⑥デジ編)パーツ=8826 --><!-- /news/esi/ichikiji/c6/default.htm -->","naka6Sp":"<!-- BFF3053 SP記事下(中⑥デジ編)パーツ=8826 -->","adcreative72":"<!-- BFF920 広告枠)ADCREATIVE-72 こんな特集も -->\n<!-- Ad BGN -->\n<!-- dfptag PC誘導枠5行 ★ここから -->\n<div class=\"p_infeed_list_wrapper\" id=\"p_infeed_list1\">\n <div class=\"p_infeed_list\">\n <div class=\"
イスラエル政府の言うような "human animals" なんかじゃない。彼ら・彼女らの言葉を伝える翻訳ハッシュタグ - Hoarding Examples (英語例文等集積所)
【「日本国際ボランティアセンター (JVC)」さんの緊急支援要請】 ガザ地区での活動実績がしっかりしている日本のNGOです https://www.ngo-jvc.net/news/news/202310_gaza.html 起きたことに、衝撃を受けすぎて、言葉にならない、ということは、日常にあふれている。ネットなどでよく、「語彙力をなくす」というスラングで描写されるあれである。 10月7日の出来事は、その最たるものだった。 Twitterのログを見返したが、そのときのものは何もない。最近はMastodonに切り替えつつあるのでMastodonに書いたかと言えば、そっちにもない。速報としてスマホに配信されてきた短い文面を見て、「え」と声に出したことは覚えている。そのあとは「マジで?」と思い、BBC Newsの速報を一読して「何これ」と思い、もう一度読んで「は?」と思った。 そして「いやいや
全都道府県にあるチェーン店等の一覧とは (ゼントドウフケンニアルチェーンテントウノイチランとは) [単語記事] - ニコニコ大百科
全都道府県にあるチェーン店等の一覧単語 ゼントドウフケンニアルチェーンテントウノイチラン 9.7千文字の記事 71 0pt ほめる 掲示板へ 記事編集 概要一覧全都道府県に進出できない理由関連動画関連リンク関連項目掲示板全都道府県にあるチェーン店等の一覧とは、すべての都道府県に1つ以上立地しているチェーン店などの施設のリストである。 概要 いわゆる「全国チェーン」と言ってほぼ差し支えないと思われる店舗たち。 ただし、全都道府県にあったとしても、一部の地方都市や山間部、離島など、当然存在しない地域もある。当記事ではあくまでそれぞれの都道府県に1つでも存在していれば「全都道府県にある」として扱う。 当記事では「ロケスマ」から初版執筆者が目視で確認を行って作成(一部は掲示板の投稿から新しい店・施設について追記している)ため、見落としを含む可能性が十分に考えられる。また、時間が経つと店の開業・閉業
![全都道府県にあるチェーン店等の一覧とは (ゼントドウフケンニアルチェーンテントウノイチランとは) [単語記事] - ニコニコ大百科](https://cdn-ak-scissors.b.st-hatena.com/image/square/5bd1fac8d544d19340796767c18bdf23d7d3493d/height=288;version=1;width=512/https%3A%2F%2Fdic.nicovideo.jp%2Fimg%2Fog_b.jpg)
節分なので聞きたいんだけど ブルアカ https://pbs.twimg.com/media/Es3iE3pU0AMJoz7.jpg モンスト https://cdn.wiki.famitsu.com/files/attachment/000/057/660/full_upload.png FGO https://arcade.fate-go.jp/news/assets/servant/introduce-SyutendoujiAssassin.png VTuber https://static-cdn.jtvnw.net/jtv_user_pictures/a1e0e231-3e4c-47f6-9fff-faf54eb49658-profile_image-300x300.png まだまだいるけど最近の鬼キャラ、みんなツノが肌の延長みたいに境目があいまいで長くて大体グラデーションがかか
S3経由でXSS!?不可思議なContent-Typeの値を利用する攻撃手法の新観点 - Flatt Security Blog
はじめに セキュリティエンジニアの齋藤ことazaraです。今回は、不可思議なContent-Typeの値と、クラウド時代でのセキュリティリスクについてお話しします。 本ブログは、2024 年 3 月 30 日に開催された BSides Tokyo で登壇した際の発表について、まとめたものです。 また、ブログ資料化にあたり、Content-Type の動作や仕様にフォーカスした形で再編を行い、登壇時に口頭で補足した内容の追記、必要に応じた補足を行なっています。 また、本ブログで解説をする BSides Tokyoでの発表のもう一つの題である、オブジェクトストレージについては、以下のブログから確認をすることが可能ですので、ご覧ください。 blog.flatt.tech なぜ今、この問題を取り上げるのか? 従来のファイルアップロードにおいて、Content-Type の値を任意の値に設定すること
Cookie2 とは何か | blog.jxck.io
Intro タイトルを見て「Cookie の新しい仕様か、キャッチアップしよう」と思って開いたのなら、以降を読む必要はない。 Cookie History 2000 年に発行された Cookie の仕様である RFC 2965 では、仕様中に Set-Cookie2/Cookie2 (以下 Cookie2) という 2 つのヘッダが定義されている。しかし 2011 年に改定された現行の RFC 6265 ではそれらヘッダは deprecate されており、実際の Web でこれらのヘッダが交換される場面を、少なくとも筆者は見たことがない。存在すら知らない開発者も多いだろう。 筆者はずっと、この仕様がどのように出てきて、どうして消えていったのかが気になっていた。 Web 上にも情報が少なく、「歴史上の理由で」とか分かったようなことを言ってる人がたまにいるくらいだ。四半世紀前のことなので経緯を
技術士ハンドブック(第2版) | Ohmsha
1章 安全工学 1.1 概要 1.2 機械安全 1.3 電気と制御の安全 1.4 機能安全 1.5 人間機械協調システムの安全 1.6 子どもの安全 1.7 リスクアセスメント 1.8 ヒューマンエラー 1.9 労働災害と安全 1.10 安全に関する主要な用語と定義 2章 環境 2.1 概要 2.2 環境問題の歴史 2.3 環境の現状と対策 2.4 自然共生社会と生物多様性 2.5 低炭素社会と地球温暖化 2.6 循環型社会と廃棄物 2.7 環境アセスメント 2.8 環境測定技術 2.9 環境教育と協働 2.10 環境と経済 2.11 環境関連法規 2.12 技術士と環境 3章 エネルギー 3.1 エネルギー概論 3.2 原子力エネルギー 3.3 省エネルギー 3.4 再生可能エネルギーとエネルギー利用面での技術革新 4章 経営/生産マネジメント 4.1 経営戦略 4.2 マーケティング
CSSの最新トレンドにおける現状のまとめ、よく使用する新機能やプロパティや疑似クラス、人気のフレームワークや検証ブラウザなど
CSSの進化は速く、ここ1,2年はさらに速くなりましたね。その要因の一つがIEのサポート終了で、現在はエバーグリーンのブラウザ(自動で最新版にアップデートするブラウザ)となり、モダンCSSの機能がたくさん使用できるようになりました。 2023年、CSSの現状調査をおこなった結果をまとめた「State of CSS 2023」を紹介します。今年は例年より早いですね。 State of CSS 2023 State of CSS 2023は、State of CSSでおこなわれたアンケートの調査結果(9,190人分)をまとめたものです。 まずは、アンケートに回答された人の属性。 世界中の人がアンケートに参加しており、日本人も参加しています。年齢は25-44才が多く、性別は男性が多めです。
Netscapeと米司法省は、Microsoftの「Windows」と「Internet Explorer(IE)」が独占禁止法に違反していると訴えた裁判では勝利したが、Netscapeは結局救われなかった。かつては最も人気のあるブラウザーであったNetscapeの運命は尽きた。同社の初期の従業員だったJamie Zawinski氏は当時、コードの公開に関して、「瀕死のプロジェクトに『オープンソース』という魔法の粉をかけたところで、魔法のようにうまくいくようなことはない」と語っている。 それでもNetscapeのコードが公開されたことは事実であり、Mozilla Projectは、そのソースコードを元に、インターネットのさまざまなアプリケーションに利用できる汎用クライアントを作った。また2002年には、そのクライアントが純粋なウェブブラウザーである「Firefox」に生まれ変わった。この年
","naka5":"<!-- BFF501 PC記事下(中⑤企画)パーツ=1541 -->","naka6":"<!-- BFF486 PC記事下(中⑥デジ編)パーツ=8826 --><!-- /news/esi/ichikiji/c6/default.htm -->","naka6Sp":"<!-- BFF3053 SP記事下(中⑥デジ編)パーツ=8826 -->","adcreative72":"<!-- BFF920 広告枠)ADCREATIVE-72 こんな特集も -->\n<!-- Ad BGN -->\n<!-- dfptag PC誘導枠5行 ★ここから -->\n<div class=\"p_infeed_list_wrapper\" id=\"p_infeed_list1\">\n <div class=\"p_infeed_list\">\n <div class=\"
jQuery 4.0.0 has been in the works for a long time, but it is now ready for a beta release! There’s a lot to cover, and the team is excited to see it released. We’ve got bug fixes, performance improvements, and some breaking changes. We removed support for IE<11 after all! Still, we expect disruption to be minimal. Many of the breaking changes are ones the team has wanted to make for years, but co
JR東日本のデジタルトランスフォーメーション(DX)戦略が岐路に立っている。チケットレス化を前提にみどりの窓口の削減に取り組んできたが、移行は想定通りに進捗していない。有人の切符販売窓口では混乱が頻発し、削減計画は凍結を余儀なくされた。使い勝手の悪いネット販売システムの改修を怠ったまま拙速に取り組んだ結果の「デジタル戦略の誤算」で、顧客目線に立った改善が欠かせない。「インターネットを使ってチケ
This December, if there’s one tech New Year’s resolution I’d encourage you to have, it’s switching to the only remaining ethical web browser, Firefox. According to recent posts on social media, Firefox’s market share is slipping. We should not let that happen. There are two main reasons why switching is important. “Red Panda” by Mathias Appel is marked with CC0 1.0. 1. Privacy Firefox is the only
アイルランド銀行でシステムの設定ミスが原因となり、口座にお金がない顧客でもATMからお金を引き出せる状態になってしまったと報じられています。これによって、アイルランド中のATMに大行列ができて街中は大混乱になったとのことです。 Bank of Ireland IT blunder allows customers who have no money get access to cash at ATMs | Independent.ie https://www.independent.ie/business/personal-finance/bank-of-ireland-it-blunder-allows-customers-who-have-no-money-get-access-to-cash-at-atms/a510070628.html 地元メディアのIndependent.ieに
","naka5":"<!-- BFF501 PC記事下(中⑤企画)パーツ=1541 -->","naka6":"<!-- BFF486 PC記事下(中⑥デジ編)パーツ=8826 --><!-- /news/esi/ichikiji/c6/default.htm -->","naka6Sp":"<!-- BFF3053 SP記事下(中⑥デジ編)パーツ=8826 -->","adcreative72":"<!-- BFF920 広告枠)ADCREATIVE-72 こんな特集も -->\n<!-- Ad BGN -->\n<!-- dfptag PC誘導枠5行 ★ここから -->\n<div class=\"p_infeed_list_wrapper\" id=\"p_infeed_list1\">\n <div class=\"p_infeed_list\">\n <div class=\"
フロントエンドの移り変わりは早すぎるのか
インターネットでは毎日のように言われることですが、私はそこまでではないと考えています。 ネットでよくそう言われる理由として考えられるものと、それを踏まえてどう向き合っていくとよさそうか、個人的な考えをまとめてみます。 なぜ言われるのか 言語が実質的にJavaScript一択 バックエンド、というかサーバサイドでは技術選定に「言語の選択」が入りますが、フロントエンドでは実質的にはJavaScriptにほぼ固定されます(TypeScriptも別言語ではないので、ここではJavaScriptに含めます) サーバサイドと比較して「技術の移り変わりが早すぎる」と評される場合、多くはその人の使用しているとある言語と比較されているように思われます。 実質的に言語が固定なので、比較するならすべてのサーバサイドの変化の総量と比較するのが妥当でしょう。 PHP + Python + Ruby + go + J
KeyTrap (CVE-2023-50387)を検証してみた - knqyf263's blog
DNSは趣味でやっているだけですし有識者のレビューを経ているわけでもないので誤りを含むかもしれませんが、DNS界隈には優しい人しかいないのできっと丁寧に指摘してくれるはずです。 追記:めちゃくちゃ丁寧にレビューしていただいたので修正いたしました。森下さんほどの方に細かく見ていただいて恐れ多いです...(学生時代に某幅広合宿で森下さんの発表を見てDNSセキュリティに興味を持った) 4万文字を超える大作、おつかれさまです。わかりやすく書けていると思いました。 ざっと読んで、コメントしてみました。ご参考まで。https://t.co/bVj5WeFHQr https://t.co/ku5NOx6ua8— Yasuhiro Morishita (@OrangeMorishita) 2024年2月19日 要約 背景 詳細 DNSSECとは? DNSSECの可用性 鍵タグの衝突 攻撃内容 SigJam
","naka5":"<!-- BFF501 PC記事下(中⑤企画)パーツ=1541 --><!--株価検索 中⑤企画-->","naka6":"<!-- BFF486 PC記事下(中⑥デジ編)パーツ=8826 --><!-- /news/esi/ichikiji/c6/default.htm -->","naka6Sp":"<!-- BFF3053 SP記事下(中⑥デジ編)パーツ=8826 -->","adcreative72":"<!-- BFF920 広告枠)ADCREATIVE-72 こんな特集も -->\n<!-- Ad BGN -->\n<!-- dfptag PC誘導枠5行 ★ここから -->\n<div class=\"p_infeed_list_wrapper\" id=\"p_infeed_list1\">\n <div class=\"p_infeed_list\">
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ブラウザの仕組み | Articles | web.dev
祖国のため死ぬのは「道徳的」 河村市長が改めて強調、専門家は批判:朝日新聞デジタル
新しい🇺🇸人上司はやたらと褒めてくれるので「今までで1番お世辞が上手だ」と言ったら、生粋の人たらしな反応をされた
なぜブラウザエンジンは 1 つではダメなのか? または Ladybird への期待 | blog.jxck.io
(増幅の先に:1)越境した憎悪、拡散瞬く間 在日クルド人装い、1人で180件投稿:朝日新聞デジタル
鬼っていつからこんな風になっちゃったの?(追記・ツノ、肌角)
「Firefox」興亡史:一時代を築いたブラウザーの歴史と衰退
小池氏が先行 蓮舫氏追う 石丸氏は苦戦 都知事選 朝日情勢調査:朝日新聞デジタル
jQuery 4.0.0 BETA! | Official jQuery Blog
JR東日本「みどりの窓口」削減凍結 デジタル戦略の誤算 - 日本経済新聞
In 2024, please switch to Firefox
銀行で「口座がスッカラカンでもATMからお金を引き出せる」障害が発生、街中のATMに大行列ができて警察が出動する事態に
JAXAに複数回サイバー攻撃、機密流出か NASA、トヨタ情報も:朝日新聞デジタル
最低賃金「引き上げ競争を憂慮」 日商会頭、支払い能力の重視求める:朝日新聞デジタル