CloudFront + Lambda Function URLs + Hono + htmx でPOST/PUTリクエストに対応させる
現状、Lambda Function URL を安全に使う方法は Cloudfront の OAC と組み合わせるのが良さそうです。 ただし、GET リクエストだけであれば問題ないのですが、ヘッダーにペイロードのハッシュ値のないPOST/PUTリクエストが許可されていない問題があります。 Note If you use PUT or POST methods with your Lambda function URL, your users must include the payload hash value in the x-amz-content-sha256 header when sending the request to CloudFront. Lambda doesn't support unsigned payloads. Lambda Function URL で PO
はじめまして。IIJにてメールサービスの開発業務をしているYASです。 個人メールサーバを構築して実際に他人に対してメールを送ってみたいと考える人がいるかもしれません。 しかし個人でメールサーバを建てたところで通常は直接インターネットに接続できないので、どこかのプロバイダのメールサーバを経由してメールを送信することになるでしょう。 この時プロバイダのメールサーバに対してSMTP認証をすることが考えられます。 メールを扱う上でSMTP認証というのをよく聞くとは思います。 SMTP認証(SMTP-AUTH)は元々SMTPというメール送信プロトコルに送信した人の認証機能がなかったことから生まれた、認証に関するSMTPの拡張です。 このことからユーザ認証のイメージがあるかもしれませんが、MTA間での認証という側面での利用でも一般的に使われています。 今回は勉強として有名なMTAであるSendmai
はじめに 前回、OAuthサーバを自作してみました。 せっかくなのでOIDCの機能を追加してOIDCサーバとしても振る舞えるようにしたいと思います。 コードは以下になります。 準備 jwtを作るときの署名用にopensslコマンドでキーペアを作成しておきます。 pemファイルはmain.goと同じフォルダに置いておきます。 $ openssl genrsa > private-key.pem $ openssl rsa -in private-key.pem -pubout -out public-key.pem 実装 追加・変更した個所を説明していきます。 まずOAuthサーバに2つエンドポイントを追加しました。 /certs 公開鍵をJWKで返すエンドポイント /userinfo Userプロファイルを返すエンドポイント /certsエンドポイントでは作成したJWKをJSONで返します
AppStoreのプロモーションオファーを触ってみた
これは? App Store上のアプリのサブスクリプション商品について期間限定の割引などができるプロモーションオファーの実装をしてみたのでやったことを下記する プロモーションオファーはサブスクリプションオファーとも呼ばれていることもある フロー 公式から抜粋 App Store Connect上の設定 App Store Connect側でいくつかの設定が必要 プロモーションオファーを作成 サブスクリプション商品 -> サブスクリプション価格 -> プロモーションオファーのタブ -> プロモーションオファーを作成する アプリ内課金キーを取得 ユーザとアクセス -> 統合 -> アプリ内課金でアプリ内課金キーを生成し、ダウンロード(p8ファイル)する。アプリ内課金のページでキーID(あとで使う)も確認できる。 iOSアプリ側の実装 StoreKit1 SKPaymentDiscount でプ
Node.js — Node v23.10.0 (Current)
2025-03-13, Version 23.10.0 (Current), @aduh95 Notable Changes Introducing --experimental-config-file With the introduction of test runner, SEA, and other feature that require a lot of flags, a JSON config flag would improve by a lot the developer experience and increase adoption. You can have a node.config.json containing: { "$schema": "https://nodejs.org/dist/v23.10.0/docs/node-config-schema.jso
はじめに こんにちは、5G&IoT部/IoTサービス部門の下地です。SIMのAppletを活用したサービスの企画・開発に取り組んでいます。 IoT (Internet of Things) デバイスの普及に伴い、セキュリティの重要性が高まっていますが、GSMA規格のIoT SAFE (IoT SIM Applet For Secure End-to-End Communication) は、この課題に対するソリューションとして注目されています。 今回はそのIoT SAFEとAWS IoT Coreを連携させてみます。 はじめに IoT SAFEの特徴 試してみた 構成概要 ATコマンド利用設定 セルラー接続の設定 IoT SAFE連携用パッケージをインストール CSRの作成と確認 CA証明書の作成 クライアント証明書の作成 AWS IoT Coreへの登録・設定 CA証明書の登録 クライア
はじめに こんにちは。京都大学大学院情報学研究科修士1年の上田蒼一朗と申します。 私はCloud Infrastructure本部NetDev部というところで、6週間のインターンシップに参加しました。本レポートでは、私のインターンシップでの取り組みである、L4ロードバランサのQUICサポートについて紹介します。 背景 LINEヤフーのプライベートクラウドはLBaaS、つまりロードバランサをサービスとして社内に提供しています。L4ロードバランサはLBaaSの中の1つで、TCPやUDPなどのトランスポート層までの情報を元にパケットを複数のサーバーに振り分けるものです。 L4ロードバランサの一部はLinuxのXDPという機能で実装されています。XDPとはLinuxカーネル内に実装されたパケット処理機構で、ユーザーが独自に実装したパケット処理のプログラムをカーネル内に組み込むことができます。また、
Fakenet-NG 単体で証明書エラー無くHTTPS通信の復号をやらせるまで - 切られたしっぽ
TL;DR Fakenet-NG を改造して、証明書のエラーなく任意の通信先に対して HTTPS の通信を行わせるための備忘録です 実質 MitM をさせる Proxy を作るための話になります TL;DR はじめに 環境構築 0. 事前準備 1. 通信先情報の取得 ドメイン(ホスト名) IPアドレス 2. 自己署名証明書の作成 3. Proxy Listener への組み込み 4. テスト おわりに はじめに マルウェア解析の動的解析環境(Sandbox 環境)を構築する際、TLS/SSL を用いた HTTPS 通信をどのようにして取得して分析可能とするかというのは一つの至上命題です。マルウェアがC2サーバと通信する際に TLS/SSL を使う場合はもちろんそのやりとりの中身を記録したいですし、解析環境検知のためにメジャーなWebサービスに対して HTTPS でダミー通信を発する場合もあ
Node.js — Node v22.8.0 (Current)
2024-09-03, Version 22.8.0 (Current), @RafaelGSS New JS API for compile cache This release adds a new API module.enableCompileCache() that can be used to enable on-disk code caching of all modules loaded after this API is called. Previously this could only be enabled by the NODE_COMPILE_CACHE environment variable, so it could only set by end-users. This API allows tooling and library authors to en
Earlier this year we announced our intention to introduce short-lived certificates with lifetimes of six days as an option for our subscribers. Yesterday we issued our first short-lived certificate. You can see the certificate at the bottom of our post, or here thanks to Certificate Transparency logs. We issued it to ourselves and then immediately revoked it so we can observe the certificate’s who
夏の自由研究連載2024 の5日目です。 はじめにTIG 真野です。 夏といえばコード生成というわけで、HTTP API仕様を定義するOpenAPIの security schemes(認証認可を定義するための箇所)で、Bearer/OAuth2/OpenID Connect (OIDC) 認証を設定すると、各コードジェネレータはどういったコード生成をしてくれるかを調べました。 なお、OpenAPIについてはOpenAPI Specification v3.0.3のコーディング規約を公開しましたの記事も参考ください。 この記事で利用した openapi.yaml や生成したサーバサイドのコードは以下のリポジトリにまとめています。 https://github.com/ma91n/summer2024 コード生成の対象 Go言語のみ サーバサイドのみ(※クライアントコードは対象外) 比較ツー
Snowpipe StreamingとAmazon Data Firehoseを使用してSnowflakeにストリームデータをロードする #ベッテク月間 - LayerX エンジニアブログ
こんにちは。バクラク事業部 機械学習・データ部 データグループの@civitaspoです。みなさんは「人生で一番美味しいと思ったキムチ」に出会ったことはありますか?キムチって美味しいですが、あまり強い感情は抱かないですよね。ところが先日、近所のスーパーの駐車場の端っこに、謎のプレハブ小屋があるのを発見しました。興味本位で中を覗いてみると、そこはキムチ屋でした。そのキムチ屋が販売する自家製キムチは絶品で、私にとって「人生で一番美味しいと思ったキムチ」でした。みなさんも「人生で一番美味しいと思ったキムチ」を探してみてください。 さて、先週に引き続き、Snowflakeに関する記事を書こうと思います。先週は『Don’t Use Passwords in Your Snowflake Account』というタイトルで、Snowflakeのアカウントレベルでパスワード認証を禁止する方法を紹介しました
HTTP/3 has been in development since at least 2016, while QUIC (the protocol beneath it) was first introduced by Google way back in 2013. Both are now standardized, supported in 95% of users' browsers, already used in 32% of HTTP requests to Cloudflare, and support is advertised by 35% of websites (through alt-svc or DNS) in the HTTP Archive dataset. We've developed a totally new version of HTTP,
Versions 5.6.0 and 5.6.1 of the XZ compression utility and library were shipped with a backdoor that targeted OpenSSH. Andres Freund discovered the backdoor by noticing that failed SSH logins were taking a lot of CPU time while doing some micro-benchmarking, and tracking down the backdoor from there. It was introduced by XZ co-maintainer "Jia Tan" — a probable alias for person or persons unknown.
DigiCertの記載不良のあるEV証明書の失効措置が2024年5月12日に予定されているとの告知を受け、ChromeとOpenSSLを利用したEV証明書の記載不備の判定を試みてみました。 2024年5月8日、デジタル証明書の大手ベンダー Digicert社 より、表記誤りのあるEV証明書の報告と、その失効措置が2024年5月12日に予定されている旨の案内がありました。 2023年 9月から同年12月中旬までに発行しているEV TLS/SSL証明書のうち、Subjectに記載のBusiness Category フィールド(subject:businessCategory)の表記に誤りがある証明書が失効の対象となります。 当該フィールドは以下のどれがの値を含む必要がございますが、これらについては大文字小文字が以下の表記のままである必要があります。 Private Organization
3月13日、HTTPのデバッグツールを開発するHTTP Toolkitが「HTTP/3はどこにでもあるが、どこにもない(HTTP/3 is everywhere but nowhere)」と題した記事を公開し、大きな話題を呼んでいる。この記事では、HTTP/3とQUICの標準化・普及状況の現状と課題について詳しく紹介されている。 3月13日、HTTPのデバッグツールを開発するHTTP Toolkitが「HTTP/3はどこにでもあるが、どこにもない(HTTP/3 is everywhere but nowhere)」と題した記事を公開し、大きな話題を呼んでいる。この記事では、HTTP/3とQUICの標準化・普及状況の現状と課題について詳しく紹介されている。 HTTP/3は「どこにでもある」が「どこにもない」 HTTP/3はQUICを基盤とし、TCPベースのHTTP/2よりも接続やデータ転送の
On May 12th 13th, 2008, Debian Linux announced the discovery of a severe security vulnerability in its OpenSSL package. A patch in Debian's and Ubuntu's OpenSSL packages broke the random number generator, effectively limiting the number of possible keys to a few ten thousand plausible variations. To celebrate the sixteenth anniversary of this discovery, I am hereby disclosing that many DKIM setups
Lambda zipアーカイブデプロイを深堀りしてコールドスタートを速くしよう - KAKEHASHI Tech Blog
ここ最近のトレンドとして、Vercel, Cloudflareとサーバレスにおけるコールドスタート高速化周りでしのぎを削っており Lambdaも様々な取り組みがなされています。それでもLambdaはシェアが大きいこともあり、コールドスタートが話題になることは多いです。この記事では、あまり語られないファイルサイズの観点からコールドスタート高速化にアプローチします。 zipアーカイブに着目するモチベーション Cold Start時はS3からコード一式をダウンロードするため、サイズが小さいほうがCold Startが短くなります。 また、解凍後のファイルサイズが250MBまでという制限もあります。こちらは上限緩和不可能です。なお直接アップロードする場合はzipのサイズは50MBまでで、これ以上だとS3バケットを準備してそちらにアップロードする必要があります。 とにかく不要なものを削ればCI/CD
Node.js — Node v22.5.0 (Current)
2024-07-17, Version 22.5.0 (Current), @RafaelGSS prepared by @aduh95 Notable Changes [1367c5558e] - (SEMVER-MINOR) http: expose websockets (Natalia Venditto) #53721 [b31394920d] - (SEMVER-MINOR) lib: add node:sqlite module (Colin Ihrig) #53752 [aa7df9551d] - module: add __esModule to require()'d ESM (Joyee Cheung) #52166 [8743c4d65a] - (SEMVER-MINOR) path: add matchesGlob method (Aviv Keller) #528
Noble Numbat Release Notes Table of Contents Introduction New features in 24.04 LTS Known Issues Official flavours More information Introduction These release notes for Ubuntu 24.04 LTS (Noble Numbat) provide an overview of the release and document the known issues with Ubuntu and its flavours. For details of the changes applied since 24.04, please see the 24.04.2 change summary. Support lifespan
グーグル、AIを使い20年以上存在した重大なセキュリティ上の問題を発見 | Forbes JAPAN 公式サイト(フォーブス ジャパン)
Chromeブラウザの脆弱性が見つかったり、Gmailユーザーが攻撃を受けたりするたびに、グーグルのセキュリティ対策の不備を批判するのは簡単だ。しかし、実際のところグーグルはセキュリティ研究の最前線に立っており、これらの脆弱性の多くはグーグルの高度に専門化されたチームによって発見されている。 たとえば、グーグルの「Threat Analysis Group(脅威分析グループ)」は、グーグル製品におけるゼロデイ脅威(ソフトウェアの未知の脆弱性を悪用した攻撃)を明らかにすることで知られており、「政府支援のハッキングやグーグルおよびそのユーザーに対する攻撃に対抗する」任務を持っている。また、「Jigsaw(ジグソー)ユニット」は「開かれた社会に対する脅威を探求する」役割を果たしている。 今回、新たにAIを防御に活用する能力を持つ別のセキュリティ専門家集団が加わった。それがグーグルの「OSS-Fu
Summary(Warning, this is a long article. I got carried away.) After one year of trying uv, the new Python project management tool by Astral, with many clients, I have seen what it's good and bad for. My conclusion is: if your situation allows it, always try uv first. Then fall back on something else if that doesn’t work out. It is the Pareto solution because it's easier than trying to figure out w
Real World 時雨堂 Erlang/OTP
Erlang R12B からお金を稼ぐ道具として Erlang/OTP を使ってきた 感謝はすれど愚痴は特にない 好きな環境で開発しろ Erlang VM は偉大だから安心しろ。 依存ライブラリは可能な限り最小にしろ Erlang/OTP のようなマイナー言語のライブラリはよほどのことがない限り、メンテナンスされない。 継続してメンテナンスされるライブラリほぼない。利用するのは企業が開発している OSS のみに絞れ。 ライブラリは自作できないなら Erlang/OTP は使うな 自分たちで作れなければ Erlang/OTP を使うのは止めろ spawn 使うな gen_server 使え。 何でもかんでも Erlang/OTP でやるな 色々遅いから頑張るな、ネットワークサーバーを作るのにだけ使え。 遅いのは覚悟しろ C++/Rust と比べて 2 倍以上は遅い。 NIF は使うな C/C
The Rustls TLS library can now be used with Nginx via an OpenSSL compatibility layer. This means that Nginx users can switch from OpenSSL to Rustls with minimal effort - users can simply swap in a new TLS library without needing to modify or recompile Nginx. We have targeted Nginx versions greater than 1.18 on Ubuntu 22.04 or newer for initial support. Here's how easy it is to get going on x86_64
Steven J. Vaughan-Nichols (Special to ZDNET.com) 翻訳校正: 川村インターナショナル 2024-06-26 07:30 「Linux」とクラウドネイティブソフトウェアのグローバルリーダーであるSUSEは、ベルリンで開催の「SUSECON」において、自社のLinuxディストリビューションファミリー全体の大幅な強化を発表した。これらの新機能は、価値実現までの時間短縮と運用コストの削減に重点が置かれ、現在の複雑なIT環境における選択の重要性が強調されている。 今回のアップグレードの中心にあるのは、「SUSE Linux Enterprise Server 15 Service Pack 6」(SLES 15 SP6)だ。このアップデートでは、新しい「Long Term Service(LTS)Pack Support Core」により、ITワークロ
OpenWrtでメッシュを組もうとすると、かつてはチップセットとドライバの組み合わせを選ぶとか、WPA3を有効にするための事前作業が必要だとかで若干クセがあったのだけど、近頃はすごく簡単になっていたので手順をメモ。端的にはwpadを入れ替えてメッシュアクセスポイント作るだけ。要点しか書いてないので、細かい作業手順は公式を参照していただきたい 最初に:メッシュWifiについて勘違いしやすいこと メッシュWifiの実装は色々ある。市販のルーターでメッシュ対応云々と謳われている場合、かつてはベンダー各社の独自実装が多く、ほとんどは他社製品との互換性はなかった。近頃はWiFi Allianceという団体が策定しているEasyMeshという規格の採用率が上がっていて、異なるベンダ同士でのメッシュを組めるようである。このブログではEasyMeshではなく802.11sという規格でのメッシュの話をする。
OpenSSLに任意のコード実行につながる脆弱性、注意を
JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は5月30日、「JVNVU#96872634: OpenSSLにおける解放済みメモリー使用(user-after-free)の脆弱性(Security Advisory [28th May 2024])」において、OpenSSLに脆弱性が存在すると伝えた。この脆弱性を悪用されると、攻撃者によって任意のコードを実行される可能性がある。 JVNVU#96872634: OpenSSLにおける解放済みメモリー使用(user-after-free)の脆弱性(Security Advisory [28th May 2024]) 脆弱性に関する情報 脆弱性に関する情報は次のページにまとまっている。 openssl.org/n
はじめに こんにちはエンジニアの見形です。 早いもので10月にログラスにジョインしたなーと思ったらあっという間にアドベントカレンダーの時期になっていました。 何を書こうか迷ったのですが、ログラスの経験がまだ浅いのでこれまでの経験談からチップス的な話をしようと思います。 私はシステムの基盤の構築をする機会が多いのですが、複数のツールを連携させるケースが多いのでうまく動かない場合は原因の調査が一苦労です。 何がうまくいっているか・うまくいっていないか、整理しながら調査していきますが、先入観で遠回りしたなーという経験も数多くあります。 その中から今でも頭の片隅に置いている失敗談があるので、こちらを紹介しようと思います。 原因は最後に記載するので、読みながら原因に気づけるか試してみてください。 何がおきていたのか その時はオンプレミスのKubernetes上のArgoCDとGitHubのリポジトリ
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
SendmailでMTA間のSMTP認証をしてみた | IIJ Engineers Blog
自作したOAuthサーバを拡張してOIDC機能を追加してみる
IoT SAFEを試してみた - NTT Communications Engineers' Blog
LBaaSにおけるQUIC-LBの実装と検証(インターンレポート)
We Issued Our First Six Day Cert
OpenAPIでOAuth認可周りのサーバサイドコード生成を比較 | フューチャー技術ブログ
HTTP/3 is everywhere but nowhere
How the XZ backdoor works [LWN.net]
DigicertのEV証明書2024年5月12日の失効対象か調べてみた | DevelopersIO
【海外記事紹介】HTTP/3はなぜ普及しないのか、を考察した記事が話題に
16 years of CVE-2008-0166 - Debian OpenSSL Bug
Ubuntu 24.04 LTS (Noble Numbat) Release Notes
A year of uv: pros, cons, and should you migrate
Rustls Gains OpenSSL and Nginx Compatibility
SUSEのLinux製品群がアップグレード--「SLES」のサポート期間は19年に
OpenWrtで802.11sベースのWifiメッシュネットワークを組む - 溜池の南側
リポジトリと接続・切断を繰り返す 気まぐれなArgoCD!?