画像出典: https://www.ipa.go.jp/files/000017316.pdf こんにちは。株式会社Flatt Security セキュリティエンジニアの奥山です。 本稿では、独立行政法人 情報処理推進機構(以下、IPA)が公開している資料「安全なウェブサイトの作り方」を紹介します。 「安全なウェブサイトの作り方」は、無料で公開されているにも関わらず、Webセキュリティを学ぶ上で非常に有用な資料です。これからWeb開発やセキュリティを勉強したいと考えている方はもちろん、まだ読んだことのない開発者の方々にも、ぜひ一度目を通していただけたらと思います。 一方、「安全なウェブサイトの作り方」では、一部にモダンなアプリケーションには最適化されていない情報や対象としていない範囲が存在します。それらについても本記事で一部、触れていきたいと考えていますので、資料を読む際の参考にしていただ
セキュリティエンジニアが本気でオススメする開発者向けコンテンツ 20選 - GMO Flatt Security Blog
画像出典: 書籍...記事中に掲載した販売ページ / Webサイト...スクリーンショット はじめに こんにちは。株式会社Flatt Securityの @toyojuni です。 突然ですが、弊社Flatt Securityは「開発者に寄り添ったセキュリティ」を標榜しています。Webアプリケーションなどに脆弱性がないか調査する 「セキュリティ診断」 においても、セキュアコーディング学習プラットフォーム 「KENRO」 においても、いかに開発者フレンドリーなサービスを提供できるかという点を大事にしています。 そんな弊社はお客様からさまざまな開発におけるセキュリティのアドバイスを求められることも多いのですが、その中で「開発に役に立つセキュリティ」という切り口では、なかなかまとまっているリファレンス集がないという課題に気付かされました。 そこで、社内でアンケートを実施して「開発者にオススメのセ
GA4がよくわからん。となってしまう5つの理由。
GA4、導入しないといけないと思っていても、さっぱりわからんからやる気がしなくてどうしよう?ってなる時がありますよね。私も数か月前まではそんな感じでした。正直なところギリギリまで逃げ回りたかったんですが、そうもいかなくなったので勉強することに。 ではなんで「わからん」となってしまうのでしょうか?そこがわかれば対応もできるので「わからん」理由と解消法をまとめてみました。 「Google アナリティクス」と名乗っているところ ここがわからなくしている一番の原因です。Google アナリティクスと名乗っているので、今までのGoogle アナリティクスの延長線上にあるものだと思ってしまうんですが、全くの別物で生まれも育ちも違っています。 今までのGoogle アナリティクス UrchinはGoogleアナリティクスの元となった製品。グーグルに買収されGoogleアナリティクスがリリースされた後も、
はじめに 「Typescriptの次はRustかもしれない」という記事がバズってるのを見かけました。 なかなか面白くて、PAとしてのWASMとRustを比較している記事です。ちょうど最近「レガシーおじさん、SPAを始めてみた。そして限界を知る」でも書いた通り最近SPAに手を出してみたのですが、いろいろやろうとするとSSRのためのBackend for Frontend (BFF)等が必要になるとわかり「これJSでやる必要なくない?」とも感じていたのでちょうど良かったです。 こういうのを見るとRIAやGWTのように似たアプローチで廃れた技術や、登場が早すぎたMeteor、今も頑張ってるMSのBlazorなど色々頭をよぎります。といわけで歴史を俯瞰する意味でHTML + JavaScriptとそれ以外の技術のせめぎ合いの歴史やMSのBlazorやRustのyewなどWebassemblyを使う
Webフルスタックエンジニアになるためのチェックリスト Zennでの投稿にあたって この記事は、2020/03/22に自分のgithubリポジトリで公開していた内容を、Zennのgithubリポジトリ連携機能を用いて一般公開したものです。 投稿にあたって、Zennの記事連携フォーマットに準拠する以外の修正は加えておりませんので、一部Zennというプラットフォームの方針や雰囲気に合わない内容などあるかもしれません。あらかじめご了承ください。 はじめに 日本のWeb開発業界で「フルスタックエンジニア」になるために必要な知識を、個人的経験からまとめました。 フルスタックエンジニアの定義ですが、ここでは、 企業で開発リーダー/テックリードとして、Webブラウザアプリケーションを前提としたサービスの立ち上げからリリース、運用まで面倒を見られる。 というロールと仮定し、前提条件としては、どちらかという
Firebase Authentication 7つの落とし穴 - 脆弱性を生むIDaaSの不適切な利用 - Flatt Security Blog
はじめに こんにちは、株式会社 Flatt Security セキュリティエンジニアのぴざきゃっと (@pizzacat83) です。 認証機構を自作せずに導入できる Firebase Authentication は様々なアプリケーションにて利用されていますが、その特性を十分に理解せずに導入すると、実は不具合や脆弱性が生じることがあります。そこで本稿では Firebase Authentication を利用するうえで、注意しなければ不具合や脆弱性に繋がりうる 7 個の「落とし穴」について解説します。 はじめに IDaaS の利点と欠点 落とし穴 1. 自己サインアップ リスク 対策 落とし穴 2. ユーザーが自身を削除できる 対策 落とし穴 3. 他人のメールアドレスを用いたユーザー登録 リスク リスク 3-1. メールアドレス誤入力によるユーザー乗っ取り リスク 3-2. 他人にメー
「Firebase は安いし楽だしマジ最高」という一心で技術選定してしまったプロダクトが成功して見えてきた課題、割高なコスト・権限管理・カスタマイズ性、そして (特性やスキルセット的に)RDB 製品が適していたのに無理やり Firestore を採用したことによるデータ不整合。 その結果チーム内で Firebase を抜ける機運が高まるも、Firebase べっとりなアプリケーションすぎて移行しづらいといった問題に出会うかもしれません。 そのような場合に備え、Firebase の存在を隠蔽して開発することに挑戦してみましょう。 注意: Firebase を剥がしているときに「俺、次は絶対そうするわ」と感じたものを書いているだけであり、まだ実際にはこのパターンでプロダクション導入していません。 あくまで個人開発で試してみていけそうと思ったので、提案しますという体です。 また Firebase
SIerの輪廻から解脱するための技術|はまあ
モチベーション最近「SIer界の輪廻からどうやって解脱したらいいですか?」 という話をちょくちょく耳にすることが増えた。 それに対する"解答"というわけではないのだけど、輪廻からの解脱を目指すにあたり、どんな要素技術を学ぶべきかについてはある程度指針を示せると思ったので今回は、選ぶべき技術と、その理由について解説していきます。 SIer界で輪廻転生を繰り返したい人はジャバ言語のラムダ式を禁止にすべきか議論するほうが大事だと思うので、こんな記事にクソリプする前にさっさと帰って、どうぞ。 TypeScript解脱への第一歩は、なにはともあれTypeScriptだろう。 正直、この言語だけ覚えておけば、FaaS(Lambda, Cloud Functions)も書けるし、ReactによるSPAとか、なんならReact Nativeでアプリも書けるし、モダンな開発環境に必要なスキルセットがすべてま
ここのところ雑にWebサービスをリリースする機会が減って最近はFlutterでネイティブアプリばかり書いてるのでWebの最新に追いつけてない。 最近の流行りのWebサービス開発について自分の必要そうな範囲でちょっと調べてみる。 自分の場合、フロントエンドはTypeScript+(Vue or Nuxt)でやって、サーバーサイドはRailsで書いちゃうことがまだ多い。 これでもなんとかなるけど、もうどうせならJSで一気通貫でフロントエンドとサーバーサイドを書ければ楽なのにと思いつつある。 パッと思いつくのはTypeScriptでフロントエンドをNext,Nuxtあたりでやって、バックエンドAPIをexpressとかサーバーレスAPIを適当に書くとかだけど、今だともっと良い方法ありそう。 本当はDartでサーバーサイド、FlutterでwebまでいければDart統一時代になって願ったり叶ったり
AWS 診断を事例としたクラウドセキュリティ。サーバーレス環境の不備や見落としがちな Cognito の穴による危険性 - Flatt Security Blog
こんにちは。本ブログに初めて記事を書く、株式会社 Flatt Security セキュリティエンジニアの Azara(@a_zara_n)です。普段は Web やプラットフォームの診断やクラウド周りの調査、Twitter ではご飯の画像を流す仕事をしています。よろしくお願いします。 クラウドサービスが発展し続ける今日この頃、多くの企業がパブリッククラウドやプライベートクラウドなどを駆使し顧客へサービス提供しているのを目にします。そのような中で、サービスが利用するクラウドにおいて設定不備や意図しない入力、構成の不備により顧客情報や IAM をはじめとする認証情報が脅かされるケースが多々あります。 本記事では、そのような脅威の一例をもとにクラウドサービスをより堅牢で安全に利用する一助になればと、攻撃手法や対策などについて解説をしていきます。 また、私の所属する 株式会社 Flatt Secur
政府情報システムにおける 脆弱性診断導入ガイドライン 2022(令和 4)年 6 月 30 日 デジタル庁 〔標準ガイドライン群ID〕 DS-221 〔キーワード〕 セキュリティ、脆弱性、脆弱性診断 〔概要〕 政府情報システムの関係者が脆弱性診断を効果的に導入するための基準及 びガイダンスを提供する。 改定履歴 改定年月日 改定箇所 改定内容 2022年6月30日 - 初版決定 1 目次 1 はじめに ......................................................... 2 1.1 目的とスコープ .............................................. 2 1.2 適用対象 .................................................... 3 1.3 位置づけ ...
各SNSやメールなどで退職報告をしたところ、周りから反響がそれなりに大きく、同じような質問をいくつか受け取ったので簡単によくある質問への回答と簡単な自己紹介と伴に退職記事として書いてみます。 2年半くらい勤めたマッキンゼーを退職してきた。抽象的な問題を具体化してフレームワーク化しつつ詳細を言語に落とし込むのは、ソフトウェアの設計•開発に似ていて楽しい経験ばかりだった。エンジニアリングは引き続き伸ばしつつ、次も自分の目標達成のために選り好みせずに飛び込んでいきたいー pic.twitter.com/o96gjMX3Xl — Daijiro Wachi☔ (@watilde) August 31, 2020 内容に入る前に、冒頭で伝えたいことが2点あります。 1. 退職した会社に対しては100%ポジティブな印象 楽しかった、の一言に尽きます。ある程度の質・量を伴ったアウトプットを出してきたソフ
Firestoreセキュリティルールの基礎と実践 - セキュアな Firebase活用に向けたアプローチを理解する - Flatt Security Blog
こんにちは、株式会社Flatt Security セキュリティエンジニアの梅内(@Sz4rny)です。 本稿では、Cloud Firestore (以下、Firestore) を用いたセキュアなアプリケーション開発を行うためのアプローチについて説明するとともに、そのアプローチを実現するセキュリティルールの記述例を複数取り上げます。 本稿を読むことで、そもそも Firestore とは何か、どのように Firestore に格納するデータの構造を設計、実装すればセキュアな環境を実現しやすいのか、また、Firestore を利用するアプリケーションにおいてどのような脆弱性が埋め込まれやすいのかといったトピックについて理解できるでしょう。 なお、本稿は以前に投稿した記事と共通する部分があります。理解を補強するために、こちらの記事も適宜ご覧ください。 flattsecurity.hatenablo
Apple系デベロッパーの人たちがSwift普及のいかんともしがたい現状について話していたので考えてみた。 サーバーサイド用途 サーバーサイドSwiftは現状あまり利用したいケースが見当たらず、モバイルアプリ開発組織のマイクロサービス開発の共通化においてはJVMが枯れているのでKotlinの方に傾きがち。 WindowsやVSCodeやIntelliJ系の非Xcode系開発環境のサポートのハードルも越えるぐらいモチベーションが必要である。 ただユーザー規模はそこそこあり、DenoやDartやHaskellが有効な程度にはWeb開発用途には使えると思われる。苦労しそうだけど。 Wasm化 Wasmにしてブラウザサイドでコードを動かそうという向きもある。拡張用途では周辺ツールの多いRustやCのライブラリ資産のポートもありレッドオーシャンであることは変わりないが、Swiftに限らずWasmアプ
CNCF(Cloud Native Computing Foundation)におけるサーバーレスの定義 CNCFでは、サーバーレス・コンピューティングのホワイトペーパーを公開しています(2018年)。 ここでは、以下のように定義されています。 A serverless computing platform may provide one or both of the following: Functions-as-a-Service (FaaS), which typically provides event-driven computing. Developers run and manage application code with functions that are triggered by events or HTTP requests. Developers deploy
【感想】『りあクト! Firebaseで始めるサーバーレスReact開発』: #りあクト でmBaaSへ - Rのつく財団入り口
表紙は親密度の上がった笑いあう二人。尊い…(違) 技術同人誌の『りあクト!』3部作と続編も読んだので、5作目を読みました。 今回はこれまでのReact開発の知見を活かし、BaaSあるいはmBaaSの代表格Firebaseにバックエンドをお任せし、世の中に公開していく実際のサービスをサーバーレスで開発していく本となっています。今回もまたまた本文は会話形式で読みやすいです。 表紙は親密度の上がった笑いあう二人。尊い…(違) 第1章 プロジェクトの作成と環境構築 第2章 Seed データ投入スクリプトを作る 第3章 Cloud Functions でバックエンド処理 第4章 Firestore を本気で使いこなす 第5章 React でフロントエンドを構築する 第6章 Firebase Authentication によるユーザー認証 まとめ:Firebaseを使ったサーバーレス開発がわかる本
0→1のWeb開発においてRDBMSを使った方がその先につながりやすく、Railsが復権したのがSaaS時代のトレンド - algonote
プロダクトの変遷でアーキテクチャーがどう変わったか 前口上 Web開発においてとりうるアーキテクチャーにはいくつかパターンがあります。 サーバー構成をモノリスかマイクロサービスかで分ける場合もありますし、データベースを内製で持つか外部のmBaaSに任せるかで変わる場合もあるでしょう。認証部分をOAuthに切り出したり、全文検索部分だけ外部サービスを使うこともありますね。 とある時は新しい技術Aを使うことがいけてるという時があれば、少し経つとその技術が終わったことにされる場合もあります。 こういった技術のトレンドにはその時にビジネスチャンスが広がったプロダクトのトレンドに影響されていることも多く、サーバー・クライアント比率の観点で見るとうまく整理できることに気づいたのでまとめてみます。 System of RecordとSystem of Engagement のっけから人様の資料で恐縮です
Web3アプリを作ったまとめ
Student FacuetというDapp(Web3アプリ)を作成したら結構人気が出たので、技術面から運用面までを軽くまとめました。わかりやすくするために多少語弊がある表現ある場合がありますが、ご了承ください。 Githubリポジトリ: https://github.com/inaridiy/AStar-Student-Faucet 自己紹介 Crypto Age所属のinaridiyというものです。 Web歴は2年、Web3歴は3ヶ月の高校2年生です。普段はハッカソンに出たり、個人開発をしています。 Faucetとは 現状、ブロックチェーン間で資産を移動させたい場合、移動元のガス代と移動先のガス代がかかります。つまり、資産を動かす前に移動したいチェーンの通貨が必要になります。 これはかなりUXを損なう行為ですし、仮想通貨取引所を開設できない未成年などは、そもそも資産を移動することができな
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? 本内容は、技術書典7 合同本『機械学習の炊いたん2』収録の、「エッジで機械学習」記事を公開したものです。内容は2019年9月時点の調査等に基づきます。 最近Raspberry Pi 4の検証結果などをみていると、エッジ、かつCPUでもそれなりの速度で動くケースもみられます。またこの後にM5StickV(K210)などを触りましたが、専用チップも使い所があります。今後、それらの動きもできれば補足したいと思います。 9/12-22に開催された技術書典9では、新刊『機械学習の炊いたん3』を頒布しました。私は、「AIエンジニア、データサイエンテ
個人開発でゲームレビューアプリ「clip-games」 をリリースしました! 今回の記事はサービスの紹介と技術周りの話をまとめたいと思います。 同じように個人開発している人の参考になったり、モチベーションを上げられたりすると嬉しいです! リリースしたサービス ダウンロードはこちら: iOS: Android: 何が出来るの? 自分が遊んだゲームの感想・レビューを残すことが出来ます。 ファミコンからPS5まで、5000本近くのタイトルからあなたが遊んだゲームのレビューを残すことが出来ます。 他の人のレビューやそのゲームの評価も見ることが出来ます。 遊びたいと思ったゲームや気になっているゲームをクリップすることが出来ます。 クリップしたゲームはいつでもプロフィールからすぐに確認できるので、ふとゲームがやりたくなったときにすぐに思い出すことが出来ます。 書いたレビューはSNSでシェアすることが出
AI Agent Hackathon with Google Cloud の応募記事です。TODOMaker というアプリを作りました ところで確定申告シーズンですね 作ったもの TODOMaker というモバイルアプリを作りました。iOS・Androidで動作するFlutterアプリです。 TODOMaker は、「やりたい」「なりたい」「やらないと」、そういった感情を思い浮かべる出来事をAIに教えることでTODOリスト化してくれるモバイルアプリになっています。例えば以下のようなユースケースが考えられます やりたい: 結婚の手続き なりたい: プログラマーになる方法 やらないと: 確定申告のやりかた このような「知らない」「わからない」から調べるのも大変、手をつけるのも億劫。特に確定申告。そういったハードルを下げるために自動でWebから情報を収集し、TODOリストまで落とし込んでくれます
「Offersエージェント」では、業界で活躍するプロフェッショナルがあなたの転職を徹底サポート。CxO経験者を含む現役エンジニア・デザイナー・プロダクトマネージャーが在籍し、職種に特化した専門的なアドバイスをご提供・非公開求人の紹介も可能です。 →【かんたん30秒】無料登録で転職相談する 開発スピードを向上させるFirebase ーー:早速ですが、まずは村本様とFirebaseの関わりについてお伺いしてよろしいでしょうか。 村本:もともと、いくつかの会社でアプリエンジニアとして働いており、現在は独立して複数の企業の技術顧問を勤めています。特にFirebaseのコンサルティングに力を入れていますね。 日本最大のコミュニティグループである Firebase Japan User Groupを立ち上げ、オーガナイザーとしても活動しています。 ーー:既存のプラットフォームで開発するのと比べて、Fi
こんにちは。株式会社Flatt Securityセキュリティエンジニアの志賀(@Ga_ryo_) です。 本記事では、最近公開されたCVE-2021-20181の技術的な解説をしていきたいと思います。本脆弱性は、自分が発見し、Zero Day Initiative を経由してベンダーに報告しました。本記事は、脆弱性の危険性を通知する目的ではなく、あくまで技術的観点での学びを共有する事を目的としています。 読む前に 概要 前提条件 影響 Virtioとは VirtFSとは QEMU Coroutine 各種スレッド メッセージハンドラの呼ばれ方 Coroutineの利用 VirtFSにおけるファイル共有 V9fsFidState構造体 reclaim unreclaim clunk 脆弱性解説 PoC概要 修正 まとめ おわりに 参考 読む前に 事前に言っておくと、権限昇格のExploitは
重複したIAM、拒否と許可どっちが優先?アクセス制御の特性をAWS・Google Cloud・Azure・Firebaseそれぞれについて理解する - Flatt Security Blog
はじめに こんにちは、セキュリティエンジニアの@okazu_dm です。 突然ですが、皆さんは以下のクイズに自信を持って回答できるでしょうか。これはSRE NEXT 2023で弊社が出題したクイズなのですが、それぞれのポリシーに存在するAllow, Denyのうちどれが優先されるかがポイントになります。 クイズの答えはここをクリック クイズの正解は......「④なし」でした。AWSのIAMポリシーは拒否(Deny)優先です。しかし、それは他のクラウドサービスでも果たして同じでしょうか? 今回の記事では、各種クラウドサービスにおけるアクセス制御について焦点を当てます。具体的には「それぞれのアクセス制御は拒否優先なのかどうか」を調査しました。 リソースに対するアクセス制御は、クラウドサービス上でシステムを構築する際のセキュリティの根幹となる要素です。特に近年のクラウドサービスは、IAM(Id
AWS Amplify ConsoleでSSRアプリの複数環境(Multi Environment)を作ってみよう - 前編 - NRIネットコムBlog
はじめまして、古田です。アプリ中心にシステムアーキテクト的なお仕事をしています。 先日、Amplify ConsoleのSSR(Server Side Rendering)アプリ対応が社内で話題になっていました。そこで今回は、Amplifyって何?という方にも解るようにAWS Amplifyの概要の説明と、実際のアプリ環境を例にAmplify Consoleという機能にスポットを当ててご紹介したいと思います。 (そしてさらに、新機能を用いてSSRアプリの構築を試していくのですが、長くなってしまったのでそちらは後編で続けたいと思います。) AWS Amplify について 開発 配信 管理 Amplify Console でできること フロントエンドの自動ホスティング バックエンドの自動構築 ポイント まとめ AWS Amplify について Amplifyはモバイル・ウェブアプリ向けの開発
Cysharpの河合様をゲスト講師にお招きしてゲームサーバーに関する社内勉強会を開催しました! | DevelopersIO
データアナリティクス事業本部の貞松です。 今回はデータ分析でも機械学習でもない話です。 細かい経緯はさておき、ゲーム開発におけるクライアントサイド(主にUnityを想定)だけでなく、サーバーサイドまで一貫してC#で開発することを想定した場合の知見を蓄積する為の社内タスクフォースが発足しました。 その活動の一環でCysharpの河合様とコンタクトを取らせていただき、ゲームサーバーに関する勉強会を実施していただくことになりました。 本記事は、上記勉強会のまとめ的な内容と個人的に重要だと感じたポイント、またゲームサーバーの開発を加速するCysharp製のライブラリについて記載します。 2020.9.16更新 : 当日のスライドをシェアいただいたので追加しました! 株式会社Cysharpについて 今回の勉強会で講師をしていただきました河合様が代表取締役を務められているCysharpのコーポーレート
業務効率化・品質向上をエンジニアリングする - Flatt Security のセキュリティ診断プラットフォーム「ORCAs」 - GMO Flatt Security Blog
はじめに こんにちは、株式会社 Flatt Security セキュリティエンジニアの梅内(@Sz4rny)です。 突然ですが、読者の皆様はセキュリティ診断(脆弱性診断)を提供するようなセキュリティベンダーがどのような体制で業務を行っているか、すなわち「サービスの裏側」を知る機会はあまりないのではないでしょうか。 本稿では、Flatt Security において独自に開発しているセキュリティ診断プラットフォームである ORCAs (オルカス) に焦点を当て、その概要や開発の経緯、開発チームが技術的に興味深いと感じている点について紹介します。 本稿を通して、Flatt Security がどのように本プラットフォームを活用してセキュリティ診断に取り組んでいるのか、また、なぜセキュリティベンダーとして診断サービス等だけではなく、このようなプロダクト開発にも注力しているのかについてお伝えできれば
この記事では、Unityを使って1人で開発したツールアプリ『リモートダイス3D』で対応したことや、使ったアセット・ライブラリなどをひたすら列挙していきます。 このアプリ特有の話はあまり出てこないので、ダイス系のアプリを触ったことがない方(が圧倒的に多いですよね)でも参考になるでしょう。いろいろな技術要素が含まれています。 「そんなアセット・ライブラリもあるんだ」「それは自分のアプリでも対応してみようかな」と知見を広げるきっかけになれば幸いです。 僕には売れるアプリの作り方は分かりませんがプロダクトを完成させる知識と技術だけはありますので、技術面を中心とした内容になっています。 各項目は詳しく説明しているものもあれば物足りない感じに留めているものも多いので「このあたりもうちょっと詳しく知りたい」というものがあればTwitterでシェアして頂くか、はてブのコメントを付けてもらえれば詳細記事が出
Firebase Authenticationのバリデーション等を新機能「blocking functions」を用いて拡張する - Flatt Security Blog
こんにちは。 セキュリティエンジニアの@okazu-dm です。 この記事は、Firebase Authenticationに2022年7月ごろに追加されたblocking functions という機能についての紹介です。 詳細は後述しますが、blocking functionsはFirebase Authenticationの登録、サインイン処理を拡張するための機能で、この記事では、blocking functionsの概要やリリースされた経緯を紹介し、実際のユースケースも一部サンプルコードと共に例示します。 また、Flatt SecurityではFirebaseで構築されたサーバーレスなアプリケーションへの効果的な脆弱性診断メニューを提供しています。 ご興味のある方はぜひ事例インタビューをご覧ください。 blocking functionsについての概要 blocking funct
あなたのプロダクトにも脆弱性が!? Flatt Securityが「Firebase」のセキュリティを重要視するワケ
バックエンドの構築を最短化することができることで有名な、GoogleのFirebase。 煩わしいサーバーの構築をスキップし、目的のウェブアプリケーションやモバイルアプリケーションを構築できるmBaaS(mobile Backend as a Service)と呼ばれる類のクラウドプラットフォームです。 しかし、その便利さの陰で見逃されがちなのが、セキュリティ。 手軽な開発を進められるその裏で、世に生み出されたプロダクトにはFirebase特有の脆弱性が大量に潜んでいることをご存知でしょうか? 今回はFirebaseにまつわる脆弱性や、Firebaseを用いるうえで実際に気を付けるべきセキュリティについて、Flatt Securityにて執行役員を務める豊田恵二郎さん、セキュリティエンジニアの梅内翼さん・ぴざきゃっとさんの3名へお話を伺いました。
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? Supabase とは いわゆる BaaS (Backend As A Service) で、シンガポールを拠点とするスタートアップによって 2020 年から提供されています。 Firebase Alternative(Firebase の代替)と謳われているので、BaaS と聞いてもピンと来ない人は Firebase に近いものだと想像してください。 代替というのはクローンではなくて、一部プロダクトの代わりになり得るだけです。 データベースは DBMS の種類すら異なるので扱い方が全く違いますが、クライアントから直にアクセスできる点は
Firebaseの新機能「Cross-service Rules」でCloud Storageのアクセス制御をスマートに実装しよう - Flatt Security Blog
こんにちは。株式会社Flatt Security セキュリティエンジニアの梅内 (@Sz4rny) です。 本稿では、2022年9月に Cloud Storage for Firebase に新たに導入された Cross-service Rules という機能について、前提知識をおさらいしつつ、実例を交えながらその概要や利用方法、メリットなどを紹介します。 また、Flatt Securityのセキュリティ診断(脆弱性診断)ではFirebaseを用いたサーバーレスなアプリケーションも診断可能です。 「料金を自分で計算できる資料」を無料公開中ですので、ご興味のある方は是非ダウンロードしてみてください。 前提知識のおさらい Firebase とは Firestore の概要 Cloud Stroage の概要 Cross-service Rules が解決する課題 課題 事例1. ロールに基づく
昨年、籍を入れ1月の3連休(先週)に友人だけの披露宴を開催しました その余興として、Flutter Webを使って簡単なあみだくじアプリケーションを作った話になります 製作期間は、お正月から流行りのAIツール(GPTやClaude)を活用しながら進め、約1週間でした(結婚式の前日まで作業していました) 経緯 妻「なんか余興やりたい その余興で新婚旅行のお土産を渡したい クイズとかは?」 僕「うーーん」 プランナーさん「(なんか色々と提案してくれたけど忘れた)こういうのどうですか?」 妻「どうしよ、まあ何をやるかはあんまこだわりなくて、尺作りと新婚旅行のお土産を景品として友達に渡したいな」 僕「あれ? 会場のモニターにあみだくじのサイト映してやればいいんじゃね?」 「なんか、世の中に公開されている無料のWebアプリとかでないかな?」 ・・・・ 僕「んー、入力項目多いし、披露宴当日に生きている
Google I/O 2024で発表されたFirebase App HostingでNext.jsのSSRを試す
先日のGoogle I/O 2024でFirebaseの新機能が発表されました。 これを読んでいて気になったのが、App Hostingという機能です。どうやらAngularとNext.jsのSSRをサポートしてくれるようになったようです。 自分はboobyというOSSコントリビュートしやすそうなリポジトリを探せるサービスを過去にリリースしています。 これのホスティング先として最初に検討していたのがFirebase Hostingでした。が、「?SSRどうやって動かすんだ?」と思いながらデプロイのための調査をしていたところ、どうやらCloudRunなどのサーバーサイドランタイムも使いながらでなければ動かせないということに行きつきました。 これまでやってきたCSRのHostingと異なり色々と手間が増えるなという結論に至り、結果初期構築が楽なVercelにデプロイすることにしました。当時の奮
#japanpm Japan.pm 2021でhotwireをMojoliciousから使うLTをしてきました - ぱいぱいにっき
久しぶりに勉強会発表して緊張したなということで。 yapcjapan.connpass.com これに参加<してきました。 参加の感想 型や(静的|動的)解析に関連する話が多く、Perl型マニアとしてはとても満足するトークばかりでした。 scrapbox.io Perlでも関数の型をチェックしたい - Speaker Deck scrapbox.io データ解析ツールを作った話やAWS CDKの解説、InnoDBクラスタの仕組みなど、実世界に寄った話も盛り上がり、裏トークも合わせて聞くと深く知見を得られた気がしてよかったです オフラインにあって、オンラインカンファレンスではなかなか成立しにくいものとして、セッションの間の時間での廊下での交流や、会の後の懇親会がありますが、それに似たような体験を得るために会の後に、交流会と称してDiscord内にボイスチャットグループを話題別にたくさんつ
削除する Google Service TGカルチャー アプリケーション開発 コンサルティング セミナー テックブログ デザイン デジタルプロダクト開発 開発実績 ニュース 2025年の崖(1) 5G(1) AI(39) AI Hub(1) AI Platform(1) AlloyDB(12) AlloyDB for PostgreSQL(6) AlphaZero(1) Analytics HUB(1) Android(11) Android アプリ(1) Anthos(6) API(12) API エコノミー(1) APP(2) App Engine(2) App Maker(2) AppServer(1) AppSheet(3) arduino(1) Authentication(1) AutoML(4) AWS(12) AWS (Amazon Web Services)(1) AWS
iOSのPush通知でAPNsとの連携を証明書と認証キーでそれぞれやってみた - つばくろぐ @takamii228
iOSアプリのPush通知を実現するには、APNs(Apple Push Notification Service)と連携する必要があります。この連携方式について調べてみたので備忘録としてまとめておきます。 APNsとの連携方式 APNsとの連携はPush通知を受け取るアプリケーションとの連携と、アプリケーションにPush通知を送るようにAPNsへ依頼するアプリケーションとの連携 の2種類行う必要があります。 Apple Developer Documentation 前者のPush通知を受け取る側の設定についてはiOSのアプリケーションのApp IDをApple Developer Console上で発行するときにPush Notificationsを有効にし、APNsの証明書と紐付けることで実現できます。証明書の発行の手順はやや複雑ですが、ググればいろんな記事がヒットします。 qiit
Security-JAWS 第20回レポート #secjaws #secjaws20 #jawsug #サイバーセキュリティは全員参加 | DevelopersIO
こんにちは、臼田です。 Security JAWS 第20回が開催されましたのでレポート致します。 Security-JAWS 【第20回】 勉強会 2021年2月18日(木) - Security-JAWS | Doorkeeper 動画 当日のアーカイブが公開されました。合わせて見てください。 レポート 挨拶 NISCのサイバーセキュリティ月間に協力しています! みんなで叶えるセキュリティ! Session1: 「AWS re:Invent 2020 Security re:Cap」 アマゾン ウェブ サービス ジャパン株式会社 桐山 隼人さん いつも2月に喋っている ぜひ来年もご登壇ください(編集注) セキュリティのリーダーシップセッション re:Invent 2020でCISOのStephen Schmidt氏の登壇内容 ゼロトラスト AWSでどうやって行くか アイデンティティの防
はてなブログでJavaScriptを動かす人デビュー!参考記事をご紹介! - メイケロの自宅カフェ
これまではてなブログでは、おぼつかないHTMLだけでなく、CSSでフォントや文字装飾など勉強させてもらいました。(ささやかながら、当ブログの『はてな』のカテゴリーでもその還元をしています)そして、なんと、ついにJavaScriptを動かせるようになったので、その参考になった記事のご紹介です。 まずこちら、FinTech Diaryさん。JavaScriptでポップアップウィンドウを立ち上げて、計算結果を表示するプログラムを以前見たことを記憶していました。こちらのプログラムは『ダッシュボード』→『HTML編集』にソースコードを貼り付けるとそのまま動きます。 fintechdiary.hatenablog.com はてなブログでは『編集見たまま』モードでは下のようなコードが追加されてしまってJavaScriptが動きません。 //<![CDATA[ // ]]> <script> funct
こちらの記事は先日開催された Google Cloud INSIDE Games & Apps でのセッションの内容をまとめたものになります。 アーカイブが公開されているので是非そちらもご覧ください。 こんにちは。2020 年新卒入社の海老沼といいます。現在はこれから紹介する社内ゲームサーバー基盤 Takasho を利用したゲームサーバーの開発や運用をしています。 先日、『東方ダンマクカグラ』という東方Project初の公認スマホ向けリズムゲームをリリースしました。 今回はそんな『東方ダンマクカグラ』などのゲームを支える DeNA 内製のゲームサーバー基盤 Takasho の紹介と、 Takasho を利用したゲームサーバー開発/運用でどのように Google Cloud を活用しているか紹介します。 Takasho とは Takasho とは、DeNA 内製のゲームサーバー基盤です。 開
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Web開発者はもっと「安全なウェブサイトの作り方」を読むべき - Flatt Security Blog
WASMとRustはVue.js/React.jsを打倒するのか? - JSへの侵略の歴史
Webフルスタックエンジニアになるためのチェックリスト
Firebaseの存在をフロントエンドから隠蔽するために
最近のモダンなWebサービス開発の構成について調べるメモ
政府情報システムにおける 脆弱性診断導入ガイドライン
ソフトウェアエンジニアとして2年半くらい勤めたマッキンゼーを退職しました
Swiftがこの先生きのこるには - laiso
サーバーレスの理解とメリット・デメリット(2020年版) - Qiita
エッジで機械学習ってなんだろう -ブラウザ、スマホ、IoT機器での推論を概観する- - Qiita
【Flutter】個人開発でゲームレビューアプリをリリースした話
煩雑なよくわからん手続きを自動でTODOリストにしてくれるTODOMakerを開発しました
Firebaseの導入を躊躇しているのはなぜ?モバイルファーストの考え方とは | Offers Magazine
CVE-2021-20181 の技術的解説 - GMO Flatt Security Blog
スマホ向けオンラインツールアプリ開発で対応したこと・アセットなど総まとめ【Unity】|アマガミナブログ
飛躍的に伸びているBaaS「Supabase」の概要と所感 - Qiita
結婚式の余興向けで、Flutter Webを使ったあみだくじアプリを短期間で作った話
代表取締役の逝去に関するお知らせ(訃報) | 株式会社G-gen(旧 株式会社トップゲート)
社内ゲームサーバー基盤 Takasho とは | BLOG - DeNA Engineering