個人的に「Webサービスの公開前チェックリスト」を作っていたのですが、けっこう育ってきたので公開します。このリストは、過去に自分がミスしたときや、情報収集する中で「明日は我が身…」と思ったときなどに個人的にメモしてきたものをまとめた内容になります。 セキュリティ 認証に関わるCookieの属性 HttpOnly属性が設定されていること XSSの緩和策 SameSite属性がLaxもしくはStrictになっていること 主にCSRF対策のため。Laxの場合、GETリクエストで更新処理を行っているエンドポイントがないか合わせて確認 Secure属性が設定されていること HTTPS通信でのみCookieが送られるように Domain属性が適切に設定されていること サブドメインにもCookieが送られる設定の場合、他のサブドメインのサイトに脆弱性があるとそこからインシデントに繋がるリスクを理解してお

中間管理職は限界なのか？本記事は、本日2024年7月1日21:00にNewsPickで放映される【2Sides:中間管理職は不要か？】という番組に関連した記事となります。 動画については、『罰ゲーム化する管理職』など、数々の名著を生み出していらっしゃる、パーソル総合研究所の小林祐児さんとMCの加藤浩次さんとのセッションであり、最終的には明るい内容でまとまっています。 本記事については、本動画で提唱している「マネジメント民主化モデル」について解説しつつ、坂井の会社でエンジニア採用を開始することに伴い、「なぜ坂井が本事業をやっているのか？」についても触れていきたいと考えています。(※採用情報は末尾となります) 形骸化する管理職研修昨今、小林祐児さんの『罰ゲーム化する管理職』に代表されるように、「管理職の過剰負荷問題」が騒がれるようになりました。 実際に、坂井も企業のマネジメント基盤の支援をする

For many SaaS applications, product designers need to design permission systems due to privacy concerns and data safety, or in order to make it more efficient and relevant for different types of users. It could be a challenge to set up the structure and continue scaling it as your product evolves. Let me share some concepts and ideas based on my experience designing permissions for an enterprise d

スパム防止などのためのレート制限を行うアルゴリズムは多数存在しています。さまざまなアルゴリズムの特徴をアニメーションでわかりやすくまとめたブログ記事をChatGPT関連のサービスsmudge.aiが開発ブログにて公開しました。 rate limiter – smudge.ai blog https://smudge.ai/blog/ratelimit-algorithms 配信のチャット欄にスパムが出現するという状況において、レート制限がない場合にはスパマーは短時間のうちに多数の投稿を行ってチャット欄を一人で埋め尽くしてしまいます。 左上の「Enable rate limiting」にチェックを入れるとレート制限を加えた場合の挙動が確認できます。レート制限が加わったことで、スパマーの投稿のほとんどをブロックしてチャット欄に与える影響を下げることができました。このとき、状況に応じて適切なアル

定期的に更新・追加していきます。 セキュリティガイドライン、フレームワーク集 サイバーセキュリティガイドラインやフレームワーク等を参照することは、自組織でのセキュリティステータスを把握し、実際にセキュリティ施策を打つうえで非常に重要となります。 ただ、これらの文書の要件を満たすような施策を実施するためには、 1. 自組織が適用（組織・技術的に対策）したい各種ガイドラインやフレームワーク等を選定する 2. これら文書における抽象的な要件を具体的な要件へ落とし込む 3. 具体的な要件を満たすために最適なセキュリティ策を実施する のような流れを踏む必要があります。 2、3についてはセキュリティ策や技術動向に精通したセキュリティ専門家による対応が求められますが、1については自組織が目指す目的に依存するため専門家の手を借りずともある程度は対応することができます。 また、業界や技術等の軸で存在感のある

Linearのリニューアル記事がすごく良かった。 A design reset (part I) How we redesigned the Linear UI (part Ⅱ) その記事の中で「LCHカラースペース」について書かれていた。知らなかったので調べてみると、以下の記事を見つけた。 この記事の内容を抜粋しながら、自分用に簡易なメモとしてまとめる。 LCHとは？LCHは簡単に言うと、異なる色相でも同じコントラストに見えるように構成されたカラースペース。 1976年に国際照明委員会 (International Commission on Illumination, CIE) によって最初に定義された色空間であるため、CIELAB とも呼ばれている。 LCH は、Lightness（明度）、Chroma（彩度）、Hue（色相）の略。 HSL と LCH の違いLightness（明度

最近「ああ、これ前職でも前々職でもやったことあるなぁ」という仕事があった。データエンジニア(やその関連職種)として働き始めて約5年、3社でフルタイムとして働いてきて「このスキルは業界や組織規模が変わってもデータエンジニアとしてスキルを求められることが多いな」と感じたものをまとめてみることにした。棚卸し的な意味はあるが、特に転職用などではないです。 前提 どこでも必要とされたスキル データマネジメントに関する概要レベルの知識と実行力 セキュリティや法令に関する知識 事業ドメインに関する興味関心 他職種とのコミュニケーション能力 コスト管理 / コスト削減のスキル ソフトウェアエンジニアとしてのスキル DataOpsやアラートのハンドリング能力 分析用のSQLを書く力 古いテーブルやデータパイプラインを置き換えていくスキルや胆力 あるとやりやすいスキル 関連部署の動きを何となく把握しておく力

2023年10月にGoogleとYahoo!がメール送信者向けのガイドラインを更新してから早3か月。いよいよ適用開始の2024年2月が近づいてきました（ドキドキ）。 私は昨年から本件の対応を進めていて、地味に大変だな、と感じています。多くの企業では自社ドメインから様々なメールを送信していると思います。利用しているツール・サービスも様々で、たとえば、Sendmail/Postfix/Eximのサーバを立てている、Google WorkspaceやMicrosoft 365を使っている、といった他に、CRMであるSalesforce、マーケティングツールのHubspotやAccount Engagement(旧Pardot)、メール送信用のAmazon SESやSendGridを使っているなど、多くのツール・サービスを併用している企業が多いのではないでしょうか。 そういった状況では自社のどこか

私は大学の理工系の学部で、PythonとGit/GitHubを教えています。Pythonが学部2年生、Git/GitHubが学部3年生向けで、どちらも必修です。 これらの講義の中で、私は「今日は重要な回だから集中して聞いて欲しい」「今日はあまり重要でない回だから気軽に聞いて欲しい」と重み付けをしています。その中で、「今日やることはこれからの人生で全く役に立たないから、気軽に聞き流して欲しい」と言う回があります。Pythonでは「Pythonが動く仕組み」という回で、Pythonが入力されたプログラムを抽象構文木を経由してバイトコードに変換して、それがスタックマシンとしてVMで実行される様子を学びます。Gitでは「Gitの中身」と題して、Gitのコマンドが裏で実際になにをやっているのか、特にコミットオブジェクトやブランチがどのように実装されているのかを学びます。 PythonでもGitでも、

この記事は、株式会社カオナビ Advent Calendar 2023の２日目です。 カオナビでは2022年9月からArchitecture Decision Record（以下ADR）を導入開始しました。本記事ではADRを導入し実際に一年間運用して見た経過をご報告しつつ、導入のポイントや注意点について紹介します。 ADRをなぜ導入したのか？ まずADRについて簡単に説明すると、「アーキテクチャー設計の記録をドキュメントとして残すこと」 です。Michael Nygardのブログ記事が初出のようです。 ソフトウェア開発を行っていく間には、途中で様々な設計決定をする必要があります。例えばウェブアプリケーションであれば、データベースはMySQLにしようとか、キャッシュはRedisを使おうとかという実行環境の決定の話から、実際のプログラムの基本構造といったところまで様々です。 この設計決定は、口

ブックサンタという企画で、ジュール・ヴェルヌの『十五少年漂流記』を寄付してきました。年末ですね。 スターフェスティバル Advent Calendar 2023 の2日目の記事です。よろしくお願いします。 スターフェスティバルに入社して4年が経とうとしています。昨年まではソフトウェアエンジニアとして開発に従事しておりましたが、今年からはロールが替わって Kitchen Success プロジェクトのプロジェクトリーダーとなりました。経験の枯渇しないことでお馴染みのスタフェスです。大変ありがたいことです。それにしても、プロジェクトリーダーってなんだ。 勢い込んでアドベントカレンダーの枠をいただいたものの、ネタがなにも浮かびません。二年間の休暇でも貰うことができるなら、なにかいい感じのトピックを捻り出せそうなものなんですが。あいにくそんな時間はありません。 だから今回はふりかえり記事のようなも

最小限のコードで動く最も汚いコードから始める 2023.09.02 コードを書く際の重要な要点は、読みやすく他人に理解される「良いコード」を書くことです。しかし、完璧を目指して最初から書こうとすると行き詰まります。代わりに、荒削りながらも動くコードを作成し、徐々にリファクタリングして完成度を高めます。型エラーやリントエラーを無視しても構わないので、まずは動くものを作成しましょう。それからリファクタリングして「良いコード」を作成できます。 コードを書くときに最も大切なことってなんだろう？聡明な読者諸君ならご存知だろうが、コードは書く時間よりも読む時間のほうが長い。だから他人に読まれることを意識して、読みやすい「良いコード」を書かなくっちゃならない。コンポーネントは適切な粒度で分割されていて、適切な名前がつけられている。型システムに安全性だって守られてるし、最新のなんとかアーキテクチャにも準拠

プロジェクトのキックオフ前後に作成する要件定義書。確認の抜け漏れを最小限に抑えるには、どのようなことを記載しておくべきか。そして、メンバーへのスムーズな共有と、その後の円滑なプロジェクト進行のための、良い要件定義書とはどのようなものだろう。自分たち用のメモも兼ねて「Webサイト制作プロジェクトの要件定義書」の確認項目をnoteに整理してみます。 1. プロジェクト概要1-1. 背景プロジェクトを発案するに至った背景です。現状の課題、ビジネス要件の変化、ユーザーの変化、社会的要請など、プロジェクトの存在意義や必要性を記載します。 1-2. ゴールゴールとは「完了条件」です。何を達成すれば終わるのか、どこに行けば終わるのかを記載します。通常は5W1Hのうち、WHATやWHEREをゴールとします。 1-3. 目的プロジェクトを何のために進めるのかという意図です。ゴールよりも広い視野で捉えます。5

相続で成り行き上賃貸マンションの大家になり10年が経った。約100部屋を自主管理している。年は50代。場所は関東のどこか、とだけ。 この仕事クッソつらい。 家賃が振り込まれてくるのを待つだけのカンタンな仕事じゃないのかよ。 この10年で失敗しまくってきた。そしてこの仕事のコツは「入居させてはいけない客」を入居審査で落とすことに尽きると痛感した。 一度入居させてしまったら追い出すのは基本的には不可能。 これから絶対に入れてはいけない客を書いていく。これから賃貸マンションの大家でもやろうとしてる酔狂な人がいたら参考にしてくれ。 ●タトゥー入れてる奴 経験上、100％ハズレ。 性別、職種は問わない。仮にそいつが公務員だったとしてもタトゥーが入ってるってわかったら入居審査で落とせ。家賃滞納、騒音、ゴミを分別しない、勝手なところに車を停める等、やって欲しくないことを全部やる。 客付けの不動産屋から「

賃貸マンションに入れてはいけない客 https://anond.hatelabo.jp/20230609174500 賃貸マンションに入れてはいけない客・外国人と老人編 https://anond.hatelabo.jp/20230612003129 コメントくれた人ありがとう。書いてもらってたコメントの中から一般的なものをいくつかピックアップして答えたい。 ●管理会社に任せないの？ いい業者を紹介してくれええええええ！ 頼む！！！！！管理会社に任せたい！！ 実は相続したての頃は管理任せてたが、役に立たないので契約切った。あいつら表向きの対応をするだけで、ガチでヤバイ案件は大家に投げるんだよ。何のために管理任せてんだよ。 俺がお願いしてた業者が特別ダメ業者だったのか？もしそうならクソみたいな客でも投げ出さずに最後まで面倒見てくれる管理業者を紹介してほしいマジで。そういう大家さん同士のネット

learning-webrtc_2023-05.md 時雨堂 WebRTC 入門 (講師資料) v2023-05 これは時雨堂が開催しているオンラインイベントである WebRTC 入門の 講師用 の資料であり、 参加者用の資料ではありません。 時雨堂 WebRTC 入門 オンラインイベント 概要 ChatGPT がある今、学ぼうと思えば好きなだけ学べる時代がきています。 ただ「正しい情報」をなんとなく知っている事はとても重要だと考えています。 進め方 今回の WebRTC 入門はまず最後まで大まかに話をしていきます。 その後、残り時間を利用して、細かく話をしていきます。 資料表示用の画面と iPad を画面共有してホワイトボード的な使い方をしていきます。 お願い 是非 Discord にメモを残していってください。 後から振り返るとき、参加者の皆に有用だと思います。 ライセンス Creat

会食の本質は「店選び」ではない「今度〇〇社と会食セッティングするから店選びとロジよろしく！」 上司からの依頼。何度聞いても心臓の奥で嫌な汗が出るような、この瞬間。そう、会食はビジネスパーソンにとってできる限り避けたい「雑務」である。 単に店を選べばいいだけかと思ったら、大間違いだ。少し考えるだけでも気が重くなる調整とビジネスパーソンとしての機微が求められる。 上司がクライアントと会食をセッティングする背景の理解 -相手の役職やビジネス背景、会食で達成したい目的を踏まえてどのような価格帯/立地の店にすべきか 上司やクライアントの食の好みの理解 -肉料理希望と言われたがステーキ/焼肉/肉割烹/メインが肉のフレンチやイタリアン、どれを選ぶべきか 個室が必要か不要か -オープン席の場合は席間隔はどのくらい空いた店にすべきか 二次会のロジ -二次会があるかわからない上に人数が未確定の状態で店の予約を

Developers Summit 2023 登壇資料 https://event.shoeisha.jp/devsumi/20230209/session/4171/ overflowは、副業・転職サービス「Offers(オファーズ)」の開発、運用を行っています。 サービスの提供を開始してから3年。サービスの拡大に合わせ、組織も比例して成長してきました。 その中で、組織の成長に伴い、どのように生産性指標を開発に取り入れていったか。 取り入れていった結果、状態把握から逸脱し何が起きたか。そして、その後どのようにして改善していっているかご紹介します。 私達が行ってきたことを例に(反省として)、数値に踊らされずに正しく運用する方法を考えるきっかけになれば幸いです。 ▼関連リンク Offers：https://offers.jp/ Offers MGR（オファーズマネージャー）：https://