見ているサイト上に露出している機密情報(APIトークン、IPアドレスなど)を見つけるブラウザ拡張を作りました SecretlintというAPIトークンなどの機密情報がファイル内に含まれているかをチェックできるツールを書いています。 Secretlintはコマンドラインツールとして動くので、主にCIやGitのpre-commit hookを利用して、リポジトリに機密情報が入るのを防止できます。 SecretlintでAPIトークンや秘密鍵などのコミットを防止する | Web Scratch 一方で、実際のウェブサービスなどは機密情報がファイルにハードコードされているわけではなく(Secrelint自体がこういうハードコードを防ぐツールです)、環境変数やDatabaseに保存していると思います。 このような場合にも、コードのミスなどによって公開するべきではない情報(秘密鍵、APIトークン、Sl
CSRF対策のやり方、そろそろアップデートしませんか / Update your knowledge of CSRF protection
PHPerKaigi 2024 • Day 1での登壇資料です。 https://phperkaigi.jp/2024/ https://fortee.jp/phperkaigi-2024/proposal/0d0f8507-0a53-46f6-bca6-23386d78f17f ※ Authorizationヘッダーを利用したBearerトークン等の活用については言及していません。
こんにちは。 マネーフォワードの新卒Railsエンジニア、きなこ と申します。 マネーフォワードX という組織で、日々プロダクトの開発に勤しんでおります😊 突然ですが皆さんは JWT という技術をご存知でしょうか? 私は趣味でCTFというセキュリティコンテストに出場するのですが、最近ホットだと感じるのがJWTに関連する攻撃です。 今年の1月に初めてJWTを題材にした問題に遭遇し、その後JWTの出題頻度が強まっていると感じ、社内に向けてJWTにまつわる攻撃を通して学ぶための記事を書いたところ、たくさんの反応をいただきました。 今回の記事はその内容を社外向けにアレンジし、ハンズオンを通して実際にJWTを改竄し、受け取るAPIを攻撃することでJWT自体を学べるようにしたものです。 本記事はJWTに興味があるWeb開発者を想定していますが、そうでない方も楽しんでいただけるようにハンズオンを用意し
iCARE Developer Meetupは、月次で開催している株式会社iCAREが主催するエンジニア向けのLT勉強会です。18回目の今回は、Ruby on Railsをテーマに行いました。サーバーサイドエンジニアの越川氏からはToken認証機能について。 Rails APIモードで開発するときの認証用のトークンはどこに保存すればいいの問題 越川佳祐氏:私からは、「Rails APIモードにおけるToken認証機能について」というテーマでLT(ライトニングトーク)をしようと思っていたんですが、スライドを作っていて「あれ、これ別にRailsだけの話じゃなくない?」と思ってしまいました。みなさんの中にも、そう思う方がいるかもしれないんですが、もうこれで作っちゃったのでご了承ください。 私は株式会社iCAREで、サーバーサイドエンジニアをしている、越川と申します。Twitterは@kossy0
私が愛用するオンライン開発ツール インターネット上には、フロントエンド開発者の生活を楽にしてくれる素晴らしいツールが沢山あります。この記事では、私が開発の仕事で頻繁に使っている11のツールについて簡単に説明します。 1. CanIUse Web APIが特定のブラウザで互換性があるのか、モバイルブラウザで使用できるのか、分からないことはありませんか?このオンラインツールを使えば、ブラウザの互換性についてWeb APIを簡単にテストできます。 Can I use―HTML5、CSS3などの対応表。 「Can I use」は、デスクトップとモバイルにおけるフロントエンドWebテクノロジーを支援する、最新のブラウザ対応表を提供します。 caniuse.com Web Share APIのnavigator.share(...)に対応しているブラウザとバージョンを知りたいとします。 結果を見てくだ
【認証】JWTについての説明書
はじめに この記事を読んでいるあなたはJWTについて知っているだろうか?JWTは、認証されたユーザを識別するために最も一般的に使用される。JWTは認証サーバから発行されて、クライアント・サーバで消費される。 今回の記事では、Webアプリケーションの認証方法として最も利用されているJWT認証を簡潔に解説する。 本記事の読者の対象 JWT認証について知らない人 JWTのメリット・デメリット、仕組みについて詳しく知りたい人 アプリケーションの認証方法について詳しく知りたい人 JWTとは JSON Web Token(JWT)とは、クライアント・サーバの間で情報を共有するために使われる規格の1つである。JWTには、共有が必要な情報を持つJSONオブジェクトが含まれている。さらに、各JWTはJSONのcontentsがクライアントあるいは悪意のあるパーティによって改ざんされないように、暗号(ハッシュ
Token CSS
Token CSS is a work-in-progress. Bugs, missing features, and breaking changes are expected! Token CSS is a new tool that seamlessly integrates Design Tokens into your development workflow. Conceptually, it is inspired by tools like Tailwind, Styled System, and many CSS-in-JS libraries that provide tokenized constraints for your styles—but there's one big difference. Token CSS embraces .css files a
おはようございます。ritou です。 5月下旬ぐらいにチーム内勉強会としてJSON Web Token(JWT)についてわいわいやりました。 その際に作成した資料に簡単な説明を添えつつ紹介します。 このブログではJWTについて色々と記事を書いてきましたが、その範囲を超えるものではありません。 ちょっとだけ長いですが、ちょっとだけです。お付き合いください。それでは始めましょう。 JSON Web Token boot camp 2020 今回の勉強会では、JWTについて概要、仕様紹介という基本的なところから、業務で使っていくにあたって気をつけるべき点といったあたりまでカバーできると良いなと思っています。 JSON Web Token 概要 まずは概要から紹介していきます。 JSON Web Tokenの定義とはということで、RFC7519のAbstractの文章を引用します。 JSON W
私はパスワードやトークンなどを 1Password に保存しています。これらを環境変数として利用したい場合、クリップボードにコピーして set か export して環境変数にセットするか、頻繁に利用するものであれば envchain を利用していました。 envchain はとても便利なのですが、私は Mac と Linux、それから Windows もたまに使っているため、 keychain や Gnome Keyring でそれぞれ保存するのが手間に思っていました。どうせ 1Password に保存しているので、そこから取得してしまえば良いと思い、 openv というツールを作りました。 GitHub - mrtc0/openv: A tool that uses the credentials stored in 1password as an environment variab
Apple’s OLED iPad Pro may come packing an M4 chip and an emphasis on AI
はじめに インターンでお世話になっている、コウゲと申します。現在担当させていただいている仕事は業務で使用している管理画面のマイクロサービス化です。 マイクロサービス間をつなぐ認証機能が必要だったので、認証プラットフォームとして使いやすそうな 「Auth0」で どんなことができるのか、実現したいことは可能なのかを検証してみることになりました。 なぜAuth0なのか ダッシュボードの設定 + 少ないコード で認証機能が簡単に実装できる。 Auth0専用ライブラリやSDKが多数存在し、目的に応じてそれを利用することで 簡単にログイン機能を実装することができる。 実現したいこと 発表 ありがたいことに、調べた結果を社内で発表する場を設けていただきました。 ブログの内容より少し詳しく書いています。読んだら即実装できるようなスライドを心がけて作りました! speakerdeck.c
GoでSMTPを使用したメール二段階認証ページを作ってみた Goでユーザー名/パスワード認証とワンタイムパスワードを使用した二段階認証を作ってみました。イメージをつかむためのテストとして作成したものでそのまま使用できるようなものではありませんが、ご参考になればと思います。 また、駆け出しなのでプログラムのミスや単語の誤用があるかと思いますので、コメントにてご指摘頂けると嬉しいです。 開発環境 OS Microsoft Windows 10 エディタ Visual Studio Code Go SDK go1.20 windows/amd64 SMTPサーバーについて SMTPサーバーは何でもよいのですが、試験的に使うものなのでGmailを利用しました。GmailのSMTPサーバー機能を使用する場合、以前は普段のログインと同じパスワードが使用できたのですが、現在はアプリパスワードを取得する必
ある調べものをしていたところ、Canarytokensというサービスがあることを知った。 canarytokens.org Canarytokensはカナリアトークンを生成するサービスであり、無料で利用できるほか、githubでソースコードやDockerfileが公開されているため自分でサービス稼働環境を構築できる。カナリアトークンとはターゲット(被害者)がWebページ、電子メール、ファイルなどのリソースにアクセスする操作をしたときに、そのアクセスした事実やターゲットの環境情報(IPアドレス、UserAgent、ユーザ名など)を攻撃者に通知するための仕掛けである。 このサービスを知った時は、アクセス解析で使われるようなWebページに極小の透明画像やiframeを埋め込むような方式を想像したが、ドキュメントを読んでいると他にも様々な方式をサポートしていることがわかった。そこで、実際にどういっ
I saw @VictorTaelin's tweet recently on increasing the effective context window for GPT-* by asking the LLM to compress a prompt which is then fed into another instance of the same model. This seemed like a neat trick, but in practice presents some issues; the compression can be lossy, crucial instructions can be lost, and less characters != less tokens. I set out to build a more usable version of
OpenAI API
An API for accessing new AI models developed by OpenAI
Design Tokens Format Module Draft Community Group Report 24 July 2023 Latest published version: https://tr.designtokens.org/format/ Editors: Daniel Banks Donna Vitan James Nash Kevin Powell Louis Chenais Feedback: GitHub design-tokens/community-group (pull requests, new issue, open issues) Abstract This document describes the technical specification for a file format to exchange design tokens betw
2021年2月に、大手電気自動車メーカーのテスラが「近いうちに製品代金の支払い方法としてビットコインの受入を開始する予定」と発表するなど、支払い方法としての暗号資産は今後ますます普及していくと期待されています。そんな暗号資産でモノやサービスを売買する上で重要な「非代替性トークン(Non-Fungible Token:NFT)」という概念について、大手暗号資産取引サービス「Coinbase」でプロジェクトマネージャーを務めた経歴を持つLinda Xie氏が解説しています。 A beginner's guide to NFTs — Mirror https://linda.mirror.xyz/df649d61efb92c910464a4e74ae213c4cab150b9cbcc4b7fb6090fc77881a95d NFTとは、イーサリアムなどのブロックチェーン上で所有権が追跡されている
概要 クライアント↔サーバ間の認証・認可情報としてのトークン管理はWebサービスとしては必ずつきまとうものですが、一方できちんと実装しないとセキュアに管理はできません。 今回はそのトークン管理方法の一例を紹介します。 要件 今回の主な要件は以下です。 AuthサーバとResourceサーバは別で管理する(負荷特性が異なるので) 認証するとAuthサーバはrefresh tokenとaccess tokenを返す access tokenはJWT形式 access tokenはクライアントのオンメモリで管理する access tokenの期限は短く(1時間以内) refresh tokenを使ってaccess tokenを発行できる refresh tokenはrevoke可能である 認証情報に変更があれば(パスワード変更など)refresh tokenをrevokeできる Resource
[GitHub]secrets.GITHUB_TOKENで実行できる権限について簡単ながらマッピングしてみた | DevelopersIO
はじめに Workflow内でREST APIをsecrets.GITHUB_TOKENと共に実行していたところ、Resource not accessible by integration というメッセージに遭遇しました。権限がないということです。 APIを実行する場合に渡すTokenとしては secrets.GITHUB_TOKEN Personal Access Token の2つと、GitHub App tokenがあります。これはGitHub Appを元にTokenを生成するというものです。 権限のスコープ面からみると以下の通り。 - メリット デメリット
![[GitHub]secrets.GITHUB_TOKENで実行できる権限について簡単ながらマッピングしてみた | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/d1762eaf81b2855f2648b259156f5cb9c7592542/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F07%2Fgithub-eyecatch.png)
Know. Before it matters
Azure Service Principal certificate that alerts when used to login with.
How to Token Economics 設計
こんにちは DeFi/GameFi/SocialFiのTEの解析と設計、アドバイザーをしているnakata です。 この記事では、複数のプロジェクトでTEの設計をして得た知見/経験をベースに Web3プロジェクトを開始するときに必要だと感じたTE設計の基礎知識を記載します。 人類の誰も正解を知らないTEについて 設計、議論をする上での叩き台になれば非常に嬉しく思います。 はじめに Not Financial Advice 税務/法務面は必ず税理士/弁護士の方にご相談下さい いまやTEはWeb3プロジェクトにとって「プロダクト」「マーケティング」と並ぶ重要要素だと考えています。 TEは経営やプロダクト設計に密接に関係するものであり、TEの専門家、設計者でなかったとしてもWeb3プロジェクトのFounderはある程度の理解が必要です。 一度設計すれば完了するわけではなく、プロジェクトのライフサ
[GitHub] Personal Access Tokenの有効期限を設定できるようになっていました | DevelopersIO
こんにちは、CX事業本部 IoT事業部の若槻です。 今までは有効期限を無期限でしか発行できなかったGitHubのPersonal Access Token(アクセストークン)ですが、2021/07より任意の有効期限を設定できるようになっていました。 Expiration options for personal access tokens | GitHub Changelog 期限付きのトークンを発行してみる https://github.com/settings/tokens/newより新規アクセストークンの発行画面を開きます。 [Expiration]メニューがありますね。既定の有効期限は30日間となっています。 リストメニューを開くと、有効期限は下記が選択可能となっています。 7日間 30日間 60日間 90日間 Custom No expiration(無期限) Customを選択
GPT-3のトークン数制限(text-davinci-003: This model's maximum context length is 4097 tokens) - 朝から昼寝
概要 API経由でGPT-3を利用していると、"This model's maximum context length is 4097 tokens,…"というエラーが返ってきました。 本記事では、このエラーについてまとめておきます。 本記事の目的 GPT-3のAPIを使用する際のトークン数制限について理解する。 概要 エラー概要 GPT-3のtext-davinci-003モデルは4097トークンまで 対処は、promptを短くするか、max_tokensを小さくすること 補足事項 トークンとは Tokenizerの動作確認ツール 扱えるトークン数の上限(context length) 制限値は4097か4096か4000か まとめ 参考情報、関連記事等 エラー概要 Googleスプレッドシートにて、GAS経由でGPT-3のAPIにリクエストした際、以下のエラーが返ってきました。 Thi
GitHub - streaak/keyhacks: Keyhacks is a repository which shows quick ways in which API keys leaked by a bug bounty program can be checked to see if they're valid.
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
ホーム | ethereum.org
イーサリアムへようこそイーサリアムは、暗号通貨Ether (ETH) 、何千もの分散型アプリを可能にするコミュニティにより運用されているテクノロジーです。 イーサリアムの探索
NFT(ノンファンジブルトークン)、ガバナンストークン、ファントークン…など、Web3.0の隆盛に伴い、「◯◯トークン」という言葉をよく耳にするようになりました。 本記事で解説するのは、Web3.0の世界における「トークン」です。言い換えると、企業または個人により、既存のブロックチェーン技術を用いて発行された独自の通貨のことを指します。 一方で、「トークン」という言葉自体は、暗号資産やWeb3.0の世界のみで使われているものではなく、その原義から派生して様々な業界や意味合いで使われるため、文脈に応じた解釈が必要です。 今回は「トークン」について、その定義から歴史、混合しやすいキーワードとの違いから、その分類までを徹底解説いたします。ぜひ最後までご覧ください。 <目次> 「トークン」の定義とは?その原義と歴史 混同しやすい「暗号資産」と「トークン」の違いとは? 数多く存在するトークン、どう分
![Web3.0世界の「トークン」8種類を徹底解説!定義や歴史、暗号資産との違いもご紹介 | SELECK [セレック]](https://cdn-ak-scissors.b.st-hatena.com/image/square/906e7b530f31885cb1eb0c998a41e33795024c61/height=288;version=1;width=512/https%3A%2F%2Fdpd29bjwmgbr8.cloudfront.net%2Fwp-content%2Fuploads%2F2022%2F07%2F23204853%2Fa01d1e5af9d5b189175749fe16ac1553.jpeg)
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
ファントークンとは スポーツ・エンタテインメントの領域において、NFT(Non Fungible Token)が注目を集めていることについては前回のブログ記事「NFTに関する法的考察~アート、ゲーム、スポーツを題材に~」(以下「NFTに関するブログ記事」といいます。)で解説しましたが(注1)、同様にファントークンというブロックチェーン技術を使った資金調達方法が、主にスポーツクラブ・団体(以下「クラブ等」といいます。)において、注目されています。 ファントークンとは、クラブ等が発行するブロックチェーン技術を用いたトークンで、その保有者はクラブ等が設定する特別な特典(典型的にはクラブ等が設定する項目に対する投票権、トークン保有者に限定して与えられるノベルティグッズやマーチャンダイズの獲得権、VIPシートの利用等のリアルな体験ができる権利等が考えられます。以下「保有メリット」といいます。)を手に
東京文化財研究所、「斎藤たま 民俗調査カード集成」を公開
2021年2月1日、東京文化財研究所が、「斎藤たま 民俗調査カード集成」を公開したと発表しています。 民俗学者の斎藤たま氏(1936年~2017年)が民俗探訪の旅で採集し作成した調査カードを、同研究所の無形文化遺産部デジタル化し、調査の対象や地域、キーワードなどによって検索できるようにしたものです。 約4万7,000枚のカードのうち、現在、約6,000枚のカードに関する情報が公開されており、今後も作業が完了したカードから順次公開を進めていく予定としています。 「斎藤たま 民俗調査カード集成」の公開について(東京文化財研究所,2021/2/1) https://www.tobunken.go.jp/info/info210201/index.html 斎藤たま 民俗調査カード集成(東京文化財研究所) https://www.tobunken.go.jp/materials/saito-tam
【超かんたん】STEPN(ステップン)の始め方・稼ぎ方|NFTスニーカーの選び方から稼ぐコツまで徹底解説!
歩くだけで仮想通貨が稼げるって聞いたんですけど本当ですか? STEPNってのが有名みたいだけど、どうやって始めるの? STEPNの始め方を分かりやすく教えてください!
Introduction Imagine having a machine that prints money — we’d all be rolling in riches! Alas, as adults we realize that this dream we had as children is simply not feasible, due to the principle of inflation. When the money in circulation increases, the cost of goods and services increases accordingly. The principle that a burgeoning money supply causes high inflation is one of the basic laws of
TechCrunch
Welcome, folks, to Week in Review (WiR), TechCrunch’s regular newsletter that recaps the week that was in tech. This edition’s a tad bittersweet for me — it’ll be my last (for a wh While the venture world is abuzz over generative AI, Dayna Grayson, a longtime venture capitalist who five years ago co-founded her own firm, Construct Capital, has been focused on comparatively borin
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
見ているサイト上に露出している機密情報(APIトークン、IPアドレスなど)を見つけるブラウザ拡張を作りました
攻撃して学ぶJWT【ハンズオンあり】 - Money Forward Developers Blog
認証用トークン保存先の第4選択肢としての「Auth0」
フロントエンド開発者のための便利なオンラインツール11選 - Qiita
2020年版 チーム内勉強会資料その1 : JSON Web Token - r-weblife
1Password に保存しているクレデンシャルを環境変数として利用するためのツールを作った
Engadget | Technology News & Reviews
Auth0を使ってSPA(Vue.js, Python)の認証機能を作ってみた - JX通信社エンジニアブログ
GoでSMTPを使用したメール二段階認証ページを作ってみた - Qiita
Canarytokensサービスを試してみた - こんとろーるしーこんとろーるぶい
CompressGPT: Decrease Token Usage 70%
Design Tokens Format Module
デジタルな概念に唯一無二の価値を与える「非代替性トークン(NFT)」とは一体何なのか?
セキュアなトークン管理方法 - Carpe Diem
Web3.0世界の「トークン」8種類を徹底解説!定義や歴史、暗号資産との違いもご紹介 | SELECK [セレック]
GitHub - tokencss/tokencss
ファントークンの利活用とその法的留意点 | ブログ | Our Eyes | TMI総合法律事務所
Tokenomics at STEPN