by Sansec Forensics Team Published in Threat Research − June 25, 2024 The new Chinese owner of the popular Polyfill JS project injects malware into more than 100 thousand sites. Update June 28th: We are flagging more domains that have been used by the same actor to spread malware since at least June 2023: bootcdn.net, bootcss.com, staticfile.net, staticfile.org, unionadjs.com, xhsbpza.com, union.m
とてもニッチな用途で使えるコンポーネントですがその場のiframeのデバックができるReactコンポーネントを作ってみました! まずはこちらのポストをご覧ください! このポストではChromeのデベロッパーツールを開いているわけではなく、ブラウザー内に直接デベロッパーツールが埋め込まれています! 今回はこのようなReactコンポーネントを作ってみたので、どのように作ったかをご紹介したいと思います。 デモページ こちらのページで実際にデモを試すことができます。 https://react-embed-devtools.vercel.app/ なぜ作ったか Reactをオンラインで学習できるサービスmosya Reactを先日リリースしました。 このサイトではオンライン上でコードを書いてその場で書いたコードがプレビューできるようになっています。 詳しい開発記事はこちらをご覧ください! ただ、プ
[AWS CDK] 一撃でCloudFrontとS3を使ったWebサイトを構築してみた | DevelopersIO
パッと静的Webサイトを用意したい こんにちは、のんピ(@non____97)です。 皆さんはパッと静的Webサイトを用意したいなと思ったことはありますか? 私はあります。 AWS上で静的Webサイトを構築するとなると思いつくのは「CloudFront + S3」の構成です。しかし、OACの設定をしたりアクセスログの設定をしたりと意外と設定する項目が多く大変です。そのため、検証目的で用意する際には手間がかかります。 毎回都度用意するのも面倒なので、AWS CDKを使って一撃で構築できるようにしてみました。(Route 53 Public Hosted Zoneを作成する場合は二撃です) AWS CDKのコードの紹介 やっていること AWS CDKのコードは以下リポジトリに保存しています。 やっていることは以下のとおりです。 Route 53 Public Hosted Zoneの作成 また
![[AWS CDK] 一撃でCloudFrontとS3を使ったWebサイトを構築してみた | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/a7f5a127e5201674dfcf5fd03efa1e4666981653/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2023%2F08%2Famazon-cloudfront.png)
Intro Referrer-Policy は、送信される Referer の値を制御することが可能だ。 このヘッダの副次的な効果をよく理解していないと、「no-referrer にして送らないのが最も安全だ」という誤解を生むことになる。 では、複数あるポリシーの中でどのような観点で、どのディレクティブを採用するのが良いのだろうか? 前提として前回の記事の「リクエストの出自をチェックすることは現代の実装のベースプラクティスである」という点を踏まえて考えてみる。 令和時代の API 実装のベースプラクティスと CSRF 対策 | blog.jxck.io https://blog.jxck.io/entries/2024-04-26/csrf.html Referer とアナリティクス Referer は、リクエストに対してその前のページの URL を送るところから始まった。 GET / H
いくら下にスクロールしても強制的に巻き戻されてしまいます。 こちらが実際に採取したコードです。長いので折りたたみに入れていますが、別に全部読む必要はないです。 採取した HTML <!-- Generated by まとめくす (https://2mtmex.com/) --> <div class="article_mid_v2"> <div id="article_mid_v2"> <script type="text/javascript"> (function(){ var ua = window.navigator.userAgent; var android_reg = /android/i; var android_rand = Math.floor(Math.random() * (100)) + 1; var ios_rand = Math.floor(Math.rand
WebKit Features in Safari 17.4
Just like Safari 15.4 and Safari 16.4, this March’s release of Safari 17.4 is a significant one for web developers. We’re proud to announce another 46 features and 146 bug fixes. You can experience Safari 17.4 on iOS 17.4, iPadOS 17.4, macOS Sonoma 14.4, macOS Ventura, macOS Monterey, and in visionOS 1.1. Architectural improvements It’s always exciting to ship new features that you can use while b
Private Browsing 2.0
When we invented Private Browsing back in 2005, our aim was to provide users with an easy way to keep their browsing private from anyone who shared the same device. We created a mode where users do not leave any local, persistent traces of their browsing. Eventually all other browsers shipped the same feature. At times, this is called “ephemeral browsing.” We baked in cross-site tracking preventio
こんにちは、うしろのこです。直近1年ではVueから離れて、maja と呼ばれる組織管理基盤の新規プロダクトの開発をしていました。 プロダクトの話はこちら(maja)↓ note.st.inc 今回は、0->1における技術選定や開発中の工夫、結果どうだったかなどを書きます。 技術選定 初めに、前提条件は以下のような感じでした。 メンバーはReactの経験が豊富、フロントを触るのは多くて3,4人くらい 常にユーザー認証された状態で操作されるため、FE用のmiddleware的な層があるとうれしい toBアプリケーション せっかくなので使ったことのないものを使ってみよう、ということで、すでにWAFでの導入が進んでいたCloudflareの技術の採用をFEでも検討しました。少し触った感じではdeploy体験がよく、ローカル開発環境であるwranglerの出来も申し分なかったため、Cloudflar
The last year has been a great one for WebKit. After unveiling Safari 17 beta at WWDC23, we’ve shipped six releases of Safari 17.x with a total of 200 new web technologies. And we’ve been hard at work on multiple architectural improvement projects that strengthen WebKit for the long-term. Now, we are pleased to announce WebKit for Safari 18 beta. It adds another 48 web platform features, as well a
概要 元サイトの許諾を得て翻訳・公開いたします。 英語記事: Advanced Usages of Devise for Rails | AppSignal Blog 原文公開日: 2023/08/02 原著者: Aestimo Kirina | AppSignal Blog 日本語タイトルは内容に即したものにしました。 本シリーズ記事のパート1では、サンプルアプリを用いてDeviseを導入し、モジュール、ヘルパー、ビュー、コントローラー、ルーティングを探りました。 このパート2では、Deviseのさらに高度な利用法として、OmniAuthやAPI認証、Authtrailの使い方を探求します。 さっそく始めましょう! 🔗 OmniAuthで認証する 最近のWebアプリケーションは、TwitterやFacebookなどのSNSからGoogleやGitHubなどに至るさまざまな認証プロバイダ
CloudFront Hosting Toolkitを使って静的Webサイト環境を作ってみた | DevelopersIO
手間をかけずにCloudFrontを使った静的Webサイトを作りたい こんにちは、のんピ(@non____97)です。 皆さんは手間をかけずにCloudFrontを使った静的Webサイトを作りたいなと思ったことはありますか? 私はあります。 過去にAWS CDKを使ってこの思いを実現したことがありますが、一からAWS CDKを作り込むのはなかなか大変でした。 そんな苦労はCloudFront Hosting Toolkitを使用すると少し解消されるかもしれません。 CloudFront Hosting ToolkitはCLIまたはAWS CDKでフロントエンドのホスティングとCI/CDパイプラインを用意するツールです。 今だとAmplifyを使えば良いのではないか? という声も聞こえてきますが、細かいカスタマイズを行いたい場合にCloudFront周りを直接操作したい場合があります。そうい
いつもご視聴ありがとうございます。 今回は、殆どの人が知らない神機能を持ったWebサイトをご紹介します。 【お役立ちシリーズ動画は他にも出してます!】 オススメですので是非見て下さい! https://youtu.be/HmneQuRm1Dk https://youtu.be/oHsWWDK6Hio https://youtu.be/7GQBH2GmNac ↓今回紹介したサイト集↓ 【Send Anywhere】 デバイスやOS関係なくデータをやり取りする事ができるサイト https://send-anywhere.com/ja/ (IOS)https://apps.apple.com/app/apple-store/id596642855 (Android)https://play.google.com/store/apps/details?id=com.estmob.andro
DevTools の 5つのTips
こんにちは、株式会社スマートショッピングでエンジニアをしているrobjamです。 デベロッパーツール(DevTools)には便利な機能が盛り沢山です。今回はその中から一部の機能をご紹介したいと思います。今回は主にChromeのDevToolsを使いますが、他のbrowserでも同じような機能が提供されております。 簡単な例文をローカルで試せるようにrepoを準備しました。 こちらをcloneしてセットアップいただければと思います。 1. タブの並べ替え タブの並び替えは、キラーフィチャーではないかもしれませんが、ご存知の方が少ないかもと思って共有します。タブの並び替えができます!動画をみていただければイメージがつかめると思います。 2. xhrリクエストの再送信 たまにプログラム的にリクエストを送信したい時があります。例えば、体験のrepoにあるcounterのエンドポイントを20回送信し
Typo traps: analyzing traffic to exmaple.com (or is it example.com?)
Typo traps: analyzing traffic to exmaple.com (or is it example.com?)09/22/2023 A typo is one of those common mistakes with unpredictable results when it comes to the Internet’s domain names (DNS). In this blog post we’re going to analyze traffic for exmaple.com, and see how a very simple human error ends up creating unintentional traffic on the Internet. Cloudflare has owned exmaple.com for a few
Amazon Influencer Sign Up
Embedding external content on a website in the current enshittocene period is more annoying than ever, so here is a copy-pasteable snippet to embed a youtube video while reducing its tracking and nuisance capabilities as much as possible: <iframe credentialless allowfullscreen referrerpolicy="no-referrer" sandbox="allow-scripts allow-same-origin" allow="accelerometer 'none'; ambient-light-sensor '
フランク・ステラが美術史に残したものとは何か。「見ること」を追求したアーティスト今年5月に87歳でこの世を去った現代美術の巨匠、フランク・ステラ。抽象表現主義を牽引した作家の功績を、『絵画の解放: カラーフィールド絵画と20世紀アメリカ文化』著者で東京大学大学院総合文化研究科教授の加治屋健司が振り返る。 文=加治屋健司 フランク・ステラ Photo by ullstein bild (C)getty images 2024年5月4日、20世紀アメリカを代表する画家フランク・ステラが亡くなった。享年87歳。抽象絵画を極限まで押し進めて、絵画の形態と構造に関する様々な課題に挑戦し続けた画家であった。 ステラは、1936年マサチューセッツ州ボストン市郊外で生まれた。名門フィリップス・アカデミーを卒業後、プリンストン大学で歴史学を専攻しつつ、美術史と美術を学んだ。大学では、後に美術史家・美術批評家
CSRF攻撃の仕組みと対策
脆弱性が蔓延し、絶えず増え続ける今日、ユーザーのセキュリティとプライバシーの保護は、これまで以上に重要視されています。脆弱性を見過ごせば、評価が失墜したり、高額な制裁金を科されたり、顧客や訪問者からの信頼を失ったりする可能性が高まります。 ウェブサイトやウェブアプリケーションは、常にマルウェアやスパムなどの攻撃の危険に晒されています。今回は、そんな攻撃の1つであるCSRF(クロスサイトリクエストフォージェリ)に焦点を当てます。CSRF攻撃は、気づかない間に発生する可能性があり、特に問題視されています。また悪意のある要求は正しい要求と区別が難しく、開発者やサイト運営者が発見しづらいというのも厄介です。 この記事で、CSRF攻撃の概要と仕組み、そして対策について学びましょう。 CSRF攻撃について動画での解説もご用意しています。 CSRF攻撃とは クロスサイトリクエストフォージェリは、略してC
CloudFrontのアクセスログをS3シンボリックリンクを利用してAthanaで効率的に解析してみた。(Lambdaレス版) | DevelopersIO
CloudFrontのアクセスログをS3シンボリックリンクを利用してAthanaで効率的に解析してみた。(Lambdaレス版) CloudFrontの標準のアクセスログ、Athenaで効率的な解析を実現するため、CloudShellを利用した簡単な加工を試みてみました。 CloudFront のアクセスログを S3への保存する設定のみを実施していた環境で、 直近のアクセスログを対象とした、ログ解析を行う必要がありました。 Athenaによるフルスキャンにより発生する S3、Athena費用を抑制するため、 CloudShellを利用して、調査対象のアクセスログを反映したシンボリックファイルを用意。 Athenaのパーティション投影に対応した形式でS3に設置し、解析する機会がありましたので紹介させて頂きます。 S3にフラットに配置してしまったログも大丈夫!シンボリックリンクを利用してスキャン
AWS Transfer Family 接続時のPermission Denied等のエラーに対して、AthenaでS3 アクセスログを分析してみた | DevelopersIO
AWS Transfer Family 接続時のPermission Denied等のエラーに対して、AthenaでS3 アクセスログを分析してみた はじめに AWS Transfer Familyへの接続時に、Permission Deniedになる連絡を受けた際、S3のアクセスログからリクエストの詳細を調査してエラー解決することができますので、その手順をまとめました。 Transfer Familyでは、標準設定でCloudWatch Logsに以下のようにログを出力されます。 { "path": "/S3バケット名/test.py", "activity-type": "ERROR", "resource-arn": "arn:aws:transfer:ap-northeast-1:xxxx:server/s-aacfeafc8f2840b9a", "message": "Acces
GA4のコンバージョン(キーイベント)の登録方法と設定すべきイベント3選【GTM&GA4】 | Web改善のレシピ
GA4のコンバージョン(キーイベント)設定の方法がわからない イベントとコンバージョンの違いがわからない コンバージョンイベントはGTMで設定した方が良い? このような疑問に答える記事です。 GA4の設定の中で最も重要なものの1つがコンバージョン(キーイベント)設定です。しかし、設定は難易度が高いという方も多いことでしょう。 実は、GA4のコンバージョン設定自体はとても簡単です。以下の画像のように、イベント一覧画面で「コンバージョンとしてマークをつける」というチェックボックスをオンにするだけだからです。 ただ、「そもそもコンバージョンとして記録したいイベントが設定されていない」という方も多いのではないでしょうか? そうです。難しいのはコンバージョン設定そのものではなく、「イベント設定」の方なのです。コンバージョンとは、「コンバージョンイベント」のことです。 ですが、肝心のイベント設定につい
"),t.close()),!t)throw Error("base not supported");var r=t.createElement("base");r.href=i,t.getElementsByTagName("head")[0].appendChild(r);var n=t.createElement("a");return n.href=o,n.href}finally{e&&e.parentNode.removeChild(e)}}():o)||""),e=function(){if(!("defineProperties"in Object))return!1;try{var e={};return Object.defineProperties(e,{prop:{get:function(){return!0}}}),e.prop}catch(s){return!
はじめに ページA → ページB → ページC → ブラウザバックしてページB のような画面遷移を行ったと想定します。 この時に、ページBでブラウザバック直前のページであるCのurlを取得したいです。 document.referrerでは取得出来ない? 遷移元のurlを取得するにはdocument.referrerを使用すれば取得可能です。 しかし、ブラウザバック直後では想定しているurlは取得出来ません。 ページA → ページB → ページC → ブラウザバックしてページBにおいて。 ページBでdocument.referrerからリファラを取得すると、ページAのurlが取得されてしまいます。 【解決】 sessionStorageに保存する ページCで現在のurlをsessionStorageへセットし、ページBでそれを取得します
YouTube Embeds are Bananas Heavy and it’s Fixable – Frontend Masters Boost
YouTube Embeds are Bananas Heavy and it’s Fixable July 1, 2024 TL;DR: YouTube Embeds are like 1.3MB in size with no shared resources between multiple embeds. Using a <lite-youtube> Web Component is more like 100k, does share resources, and sacrifices no functionality. You can put a YouTube video on any website. They help you do it. Under the Share menu right on youtube.com there is an option to <>
In its lifespan, Mozilla's HTTP Observatory tool has scanned over 6.9 million websites, providing useful, actionable insights into how developers can improve web security and guard their sites against would-be attackers. The HTTP Observatory tests website compliance with security best practices, mainly concerning the correct usage of HTTP headers. When a scan is complete, it provides a report to t
Node v21.2.0 (Current) | Node.js
2023-11-14, Version 21.2.0 (Current), @targos Notable Changes [e25c65ee2f] - doc: add MrJithil to collaborators (Jithil P Ponnan) #50666 [f2366573f9] - doc: add Ethan-Arrowood as a collaborator (Ethan Arrowood) #50393 [eac9cc5fcb] - (SEMVER-MINOR) esm: add import.meta.dirname and import.meta.filename (James Sumners) #48740 [7e151114b1] - fs: add stacktrace to fs/promises (翠 / green) #49849 [6dbb28
SPA(シングルページアプリケーション)向けのGA4の公式タグ設定ドキュメントが更新され、updateという見慣れないパラメータについての記述が追加されました。updateパラメータの利用は必須ではありませんが、今後新たにSPA計測設定を行うときには便利な選択肢の一つです。 本記事ではupdateパラメータを利用したオススメのGA4タグSPA計測設定とupdateパラメータの役割をご紹介します。 GA4の自動SPA計測設定は万能ではない updateパラメータを使ったオススメのSPA計測設定 拡張計測機能「ブラウザの履歴イベントに基づくページの変更」をオフ Google設定タグに必要なパラメータを設定 page_viewイベントを計測するGA4イベントタグを作成 Google設定タグとGA4イベントタグに適切なトリガーを設定する updateパラメータの機能 updateパラメータを利用す
![[GTM] Googleタグ版GA4のSPA向けタグ設定 | アユダンテ株式会社](https://cdn-ak-scissors.b.st-hatena.com/image/square/e407ece5be70b763fe8ae9abec2202779aaa0a9f/height=288;version=1;width=512/https%3A%2F%2Fayudante.jp%2Fwp-content%2Fuploads%2F2022%2F11%2FGA4.png)
Improved Cloudflare Workers testing via Vitest and workerd
Improved Cloudflare Workers testing via Vitest and workerd03/15/2024 This post is also available in Español. Today, we’re excited to announce a new Workers Vitest integration - allowing you to write unit and integration tests via the popular testing framework, Vitest, that execute directly in our runtime, workerd! This integration provides you with the ability to test anything related to your Work
Ruby on Rails 7.1.0がリリースされました。 2021年12月に7.0.0がリリースされて以来以来ほぼ2年ぶりの大きな更新です。 Rails 7.1: Dockerfiles, BYO Authentication, More Async Queries, and more!https://t.co/c32MdUifNs — Ruby on Rails (@rails) October 5, 2023 リリース情報: Ruby on Rails — Rails 7.1: Dockerfiles, BYO Authentication, More Async Queries, and more! 英語版Changelogをまとめて見るにはGItHubのリリースタグ↓が便利です。v7.1.0タグの日付は2023/10/05 17:29(日本時間)です。 Release 7.1.
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Polyfill supply chain attack hits 100K+ sites
ブラウザーにChromeのデベロッパーツールを埋め込めるReactコンポーネントを作ってみた
Referrer-Policy の制限を強めると安全になるという誤解 | blog.jxck.io
悪名高きスクロール妨害広告を解析する - Qiita
Remix x Cloudflare Workersで0->1 - STORES Product Blog
News from WWDC24: WebKit in Safari 18 beta
Rails: Deviseを徹底理解する(2)応用編(翻訳)|TechRacho by BPS株式会社
【ほとんど知られていない】こんなに便利なWebサイトを知らないのは勿体ないぞ!【プロ御用達サイト】
Amazon インフルエンサープログラムに申し込む
Youtube video embedding harm reduction
フランク・ステラが美術史に残したものとは何か。「見ること」を追求したアーティスト
Kanji for heart ejable - AOL Search Results
ブラウザバック直前の遷移元のurlを取得したい - Qiita
Introducing the MDN HTTP Observatory | MDN Blog
[GTM] Googleタグ版GA4のSPA向けタグ設定 | アユダンテ株式会社
Rails 7.1.0 がリリースされました|TechRacho by BPS株式会社