Webサービス公開前のチェックリスト
個人的に「Webサービスの公開前チェックリスト」を作っていたのですが、けっこう育ってきたので公開します。このリストは、過去に自分がミスしたときや、情報収集する中で「明日は我が身…」と思ったときなどに個人的にメモしてきたものをまとめた内容になります。 セキュリティ 認証に関わるCookieの属性 HttpOnly属性が設定されていること XSSの緩和策 SameSite属性がLaxもしくはStrictになっていること 主にCSRF対策のため。Laxの場合、GETリクエストで更新処理を行っているエンドポイントがないか合わせて確認 Secure属性が設定されていること HTTPS通信でのみCookieが送られるように Domain属性が適切に設定されていること サブドメインにもCookieが送られる設定の場合、他のサブドメインのサイトに脆弱性があるとそこからインシデントに繋がるリスクを理解してお
どうしてもドメインを永久保持できない企業向け 企業はどうドメインを捨てるべきか - Web > SEO
コロナ禍中に取得された地方自治体のドメインがオークションで高値売買され、中古ドメインとして悪用されるなど、公的機関のドメイン放棄問題が注目されています。 11月25日のNHKニュース7でドメイン流用の件が報じられました。私も取材を受け少しご協力をしています。 www3.nhk.or.jp 公的機関のドメイン放棄問題の理想の解決は、今後は lg.jp、go.jp などの公的機関しか使えないドメインだけを使うようにすることです。 ただ今回の問題はコロナ禍初期の大混乱時、非常にスピーディにサイト立ち上げが求められていた時の話です。 信頼が求められる lg.jp などのドメインの利用には厳格なルールがあるのも当然です。あの混乱時期にルール改定も難しかったと思います。新規ドメインが選ばれた事は仕方がない事と思っています。 ただ、コロナ禍が落ち着いた今、無責任に放棄されるのは明らかな問題です。 今回の
最近のWeb3への雑感
Web3とは何であったか トークンとコントラクトと誰からでも見える台帳を使ってなんか出来そうなことないっすかねくらいの思想または活動 自動販売機で金入れたら人を解さずにジュースが買えるような感じで、トークンを支払ったら人を解さずにトークンが買えたり付与したりできる仕組みを作れるスマートコントラクトというのがあり、これなんかに応用できないっすかみたいなことだけだったはず NFTとかDAOとかもその応用例の一つなだけにすぎない トラストレスとか分散性みたいな話はEthereumのDocsには一部記述があるがあくまで理想論として語ってるだけ。会社がvisionをHPに書いてるようなもん。 Internetの技術が置き換わるとかBigTechを打倒するみたいな対立構造を煽るような話では全く無い そもそも既存のインターネットの上に成り立っているし、分散されたそのノードはどこのサーバーで動いているんだ
ロシア情勢が Web / Internet / Tech に与えた影響の記録 2022年3月
令和4年3月24日 経済産業省 総務省 警察庁 内閣官房内閣サイバーセキュリティセンター 現下の情勢を踏まえたサイバーセキュリティ対策の強化について(注意喚起) (本文中の「参考」セクション引用) これまでの注意喚起 2月 23 日 経済産業省「昨今の情勢を踏まえたサイバーセキュリティ対策の強化について(注意喚起)」 https://www.meti.go.jp/press/2021/02/20220221003/20220221003-1.pdf 3月1日 経済産業省、金融庁、総務省、厚生労働省、国土交通省、警察庁、NISC 「サイバーセキュリティ対策の強化について(注意喚起)」 https://www.nisc.go.jp/press/pdf/20220301NISC_press.pdf ランサムウェア対策 ストップ! ランサムウェア ランサムウェア特設ページ STOP! RANSOM
Private Relay と IP Blindness による Fingerprint 対策 | blog.jxck.io
Intro iOS15 がリリースされたため、 Private Relay のベータを試すことができた。 このようなサービスが提供されるようになった背景を踏まえ、挙動を簡単に確認しつつ、解説する。 背景 そもそも、なぜこのようなサービスが出てきたのかを理解するには、現在のインターネットが抱える問題の背景を理解する必要がある。 特に Web において問題になっている「トラッキング」を防ぐために、法的な規制や業界団体の自主規制による対策は長いこと行われてきたが、それでも看過できないインシデントなどが目立ったために、 Apple の ITP を皮切りに 3rd Party Cookie の制限が始まった。 ここで重要なのは、「本来防ぎたいのは 3rd party Cookie という技術ではなく Tracking というユースケースだ」という点だ。 この前提が伝わっていない場合、トラッキングのユ
Public Suffix List の用途と今起こっている問題について | blog.jxck.io
Intro Public Suffix List (PSL) は、現在の Web プラットフォームの一端を支えている非常に重要な要素だ。 実はこれが、少数のボランティアにより GitHub でメンテナンスされた、単なるテキストリストであることは、あまり知られていないかもしれない。 最近、このリストへの追加リクエストがあとを絶たず、問題になっている。 そもそも PSL とは何であり、今どのような問題が起こっているのかについて解説する。 Public Suffix List とは何か PSL を解説するには、まず関連する用語について整理する。 Top Level Domain (TLD) 例えば、このブログのドメインは blog.jxck.io であり、これは筆者が取得したドメイン jxck.io のサブドメインだ。 jxck.io は、 .io という TLD のサブドメインを販売しているレ
Web における技術の解釈とエコシステムによる合意形成プロセスについて | blog.jxck.io
Intro 「ユーザが意図する挙動」とは何か。技術的に可能であるが「やらない方が良いこと」は、誰がどう決めるのか。 Web には仕様、実装、デプロイ、そしてユーザの利用とフィードバックによって、そうした合意がゆるやかに形成されていく仕組みがあると筆者は考えている。 しかし、これは明文化されているわけでもなく、その全体像を把握するのは一般には難しいだろう。 今回は、ちょうど何度目かの議論が再発している ping 属性を例に、この合意形成の概観について解説を試みる。 リンクの ping 属性 <a> には ping という属性があり、以下のように URL を指定する。 <a href=https:example.com ping=/path/to/report>example.com</a> HTML Standard - ping Attribute このリンクは、クリックすると https
Webアプリケーションにおける正しいキャッシュ戦略 - Sansan Tech Blog
こんにちは。プロダクト開発部のサーバサイドエンジニアの荒川です。普段はSansanのスマホアプリのAPIの開発をしています。 今回扱うテーマは皆さん大好きキャッシュ(Cache) です。 Webアプリケーションを開発するエンジニアである以上、キャッシュの存在からは逃れられないでしょう。 例えばパフォーマンスを向上させる手段として、キャッシュを仕込むことは往々にしてあるかと思います。 キャッシュを使えばパフォーマンスが向上しそう、というイメージも強いため安易に選択する戦略になりがちですが、正しく扱うことは本質的に難しいです。 しかしキャッシュを上手に使えば、ユーザ体験を圧倒的に向上させることができます。 そんな諸刃の剣キャッシュ💰について考慮するべきこと、その戦略を改めてまとめてみました。 今回の対象 今回の対象は、アプリケーションレベルでのキャッシュ戦略を取り扱います。 いわゆるキャッシ
W3C、パスワードを不要にする「Web Authentication」(WebAuthn)を勧告として発表。Chrome、Firefox、Androidなど主要ブラウザですでに実装済み
W3C、パスワードを不要にする「Web Authentication」(WebAuthn)を勧告として発表。Chrome、Firefox、Androidなど主要ブラウザですでに実装済み W3Cは3月4日、FIDOアライアンスのFIDO2仕様の中心的な構成要素であるWeb認証技術の「Web Authentication」(WebAuthn)が勧告になったことを発表しました。 W3Cが策定する仕様はおもに、草稿(Working Draft)、勧告候補(Candidate Recommendation)、勧告案(Proposed Recommendation)を経て正式仕様となる「勧告」(Recommendation)に到達します。今回、WebAuthnが勧告となったのに合わせて、W3CとFIDOアライアンスはWebAuthnの仕様が正式版になったことも発表しました。 WebAuthnは2018
Webの健全性を守る主役は果たして誰なのか - WebStudio
もずはっく日記(2018年11月) 2018年11月19日 Webの健全性を守る主役は果たして誰なのか 初回投稿日時: 2018年11月19日04時09分19秒 最終更新日時: 2018年11月19日21時49分43秒 カテゴリ: 雑談 SNS: Tweet (list) 前々から書かなきゃと思っていたことを書こうと思います。なんでこんな大仰な記事のタイトルなのか。中二病? そうかもしれません。でも多分当事者の方々はおそらく自分達の持っている社会的な重要性を自覚されていない、そう思っているので書くことにしました。 ブラウザ界隈を長く観察している人ならご存知かと思いますが、Mozillaが非営利(実際には私含め、スタッフのために金を稼いではいますが、それはさておき)でブラウザを開発し続けているのはWebのユーザのためです。ですが、そういった錦の御旗を掲げているMozillaも含め、私は特
Webサイトで使われている技術を解析するツール「Wappalyzer」 - JavaScript勉強会
Webサイトをどうやって作っているか?を調べるツールがありました。 「Wappalyzer」というツールです。 www.wappalyzer.com Wappalyzerは、ChromeやFirefoxのプラグインとして提供されており、インストールすると使えます。 ブラウザーでWebサイトを閲覧したとき、Wappalyzerのアイコンをクリックすると、そのWebサイトで使われているソフトやサービスなどが表示されます。 (例)はてなブックマークを見たときは、以下のような内容が表示されました。 Webサーバーソフトは「Nginx」、キャッシュソフトには「Varnish」を使っていることなどが分かります。 これでいろんなWebサービスを調査してみれば、Webサイト制作の参考になりそうですね! Wappalyzerの参考情報 forest.watch.impress.co.jp www.leon-
仮想通貨マイニング(Coinhive)で家宅捜索を受けた話 - Webを楽しもう「ドークツ」
表題の通り、お恥ずかしい限りではありますが、人生ではじめて警察(神奈川県警!)のお世話になる運びとなりました。 罪状としては「不正指令電磁的記録 取得・保管罪」、通称ウイルス罪とのことで、まさに青天の霹靂の思いです。 以下ではこの度起こったことを可能な範囲でありのまま共有できればと思います。 この記事の目的まず、この記事を公開した目的は「他のクリエイターの人に同じ経験をして欲しくない」という一点に尽きます。 手前味噌ではありますが、私はこれまで多くの尊敬するクリエイターの方々と同じように「良いクリエイターであろう」と腐心し、できうるかぎりの努力をしてきたつもりです。 今回の件に関しても決して私利私欲のためではなく、あくまでユーザーのためにできることを、と模索した結果でした。 それがこのような形で取り沙汰されることとなり、残念という他ありません。 忸怩たる思いではありますが、この件から何かし
エンジニアなら知っておきたい、絵で見てわかるセキュア通信の基本 - Qiita
TLS 1.3は現在策定中ですが、 前方秘匿性 の問題から RSAのみ を用いた鍵委共有が禁止になる見込みです。(詳細は後述します) HTTPSとは 次に、HTTPSです。 HTTPS - Wikipedia HTTPS(Hypertext Transfer Protocol Secure)は、HTTPによる通信を安全に(セキュアに)行うためのプロトコルおよびURIスキームである。 厳密に言えば、HTTPS自体はプロトコルではなく、SSL/TLSプロトコルによって提供される セキュアな接続の上でHTTP通信を行うこと をHTTPSと呼んでいる。 とのことです。 HTTPの説明を割愛するとすれば、「SSL/TLSでセキュアにHTTPをやる」というだけの説明で済んでしまいます。 最近では個人情報等の観点から全てのサイトをHTTPSにするような動きが見られますが、元々HTTPSが使われやすかった
ウェブアクセシビリティ方針 | Accessible & Usable
ウェブアクセシビリティ方針 Accessible & Usable (以下、当サイトといいます) は、ウェブアクセシビリティの普及および一般化を、社会の要請として捉えており、すべてのウェブサイトおよびそのコンテンツは、十分なアクセシビリティを備えているべきであると考えています。 当サイトでは、ウェブアクセシビリティ関連情報を発信するという立場からその規範となるべく、「JIS X8341-3:2016 高齢者・障害者等配慮設計指針 — 情報通信における機器、ソフトウェア及びサービス — 第3部 : ウェブコンテンツ」を遵守し、アクセシビリティの向上に積極的に取り組みます。 対象範囲 Accessible & Usable (https://accessible-usable.net) 以下すべてのページ 目標とする適合レベルおよび対応度 JIS X8341-3:2016 の適合レベル AA
モダンWeb:たった今と、ほんの少し未来のはなし~「de:code 2016」セッションレポート~
モダンWeb:たった今と、ほんの少し未来のはなし~「de:code 2016」セッションレポート~ 佐川 夫美雄(Ashiras, inc.) この記事は、「de:code2016」のセッションレポート、日本マイクロソフトエバンジェリスト物江修氏による「モダンWeb:たった今と、ほんの少し未来のはなし」です。講演内容を再現していますが、ニュアンス等伝えきれない場合があるかもしれません。ご了承ください。 モダンWebとは 昨今、様々なところで「モダンWeb」という言葉を聞くが、その定義は曖昧で意味するところの範囲が広範囲に及んでいるためではないかと考える。多くの場合、「モダンWeb」という文脈で語られている内容は次の4つの事柄で語られている。 モダンなWebシステム モダンな開発手法 モダンな標準機能 モダンなアプリケーション 単にモダンWebアプリケーションと言った場合にはこれらいろいろな
Webエンジニアが転職を成功させるには?6つのステップで解説
Webエンジニアが転職活動を成功させる6つのステップ Webエンジニアが転職活動を始める際の準備を成功させる6つのステップを紹介します。また、各ステップで登場する準備のコツについても抜粋し、「Webエンジニアが転職活動を成功させる準備のコツ」としてまとめています。 関連記事:フロントエンドエンジニアの仕事内容とは?スキルや年収も解説 STEP1. 転職活動の流れと準備にかける時間を把握する ─まずはざっくりした転職活動の流れと、準備にどれくらい時間をかけるべきなのか、教えていただけますか? Webエンジニアの転職の流れについては、情報収集をしたり成果物をまとめたり、必要な書類を作成したりと、準備を約2~3週間かけて行い、そこからはどういう手段で転職活動をするかによって異なります。 求人サイトを利用するなら、サイトに登録後、そこから企業へ直接応募して、書類選考、面接と進んでいきます。また、エ
はてなで新しくWebサービスを作るときのインフラの作り方 - Hatena Developer Blog
この記事ははてなデベロッパーアドベントカレンダーを始めます - Hatena Developer Blogの17日目の記事です.昨日は id:yashigani_w の Promiseを学ぶためにSwiftでPromiseを実装してみた話 - yashigani?.days でした. こんにちは、はてなの id:wtatsuru です。はてなのインフラ全般をみています。 はてなでは、しばしば新サービスを構築する機会があります。正式サービスもあれば、はてラボ のような実験的サービス、内部の Microserviceの一部になっているものなど多種多様なものがあります。新規サービスのインフラを構築する際は、最小構成でありつつ後のスケールやメンテナンスを考えた仕組みを作っていくことになります。この記事では、2015年12月現在のはてなでの標準的な構成を紹介していきます。 新サービスの最小構成 こち
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Webパフォーマンス高速化とこれからのアーキテクチャ
R-style