noteの独自ドメインセッションの脆弱性について報告した件
note_vuln.md noteの独自ドメインセッションの脆弱性について報告した件 文責: mala 前置き note.com (以下note) に2020年に報告した脆弱性(現在は修正済み)を解説する 個人の活動として行っており所属組織とは関係がない 自分がnote社に対して、問題があると指摘していたのは主に広報対応についてですが、この記事は技術的な知見を共有することを目的とするため、技術的な解説を中心にします。 公開にあたってはnote社に対して確認の上で行っています。note社による修正対応は2021年までに実施されていますが、その修正内容が適切であるかどうかについて保証するものではありません。(網羅的な確認や追加の検証をしていません) note社のサービスに他の脆弱性が無いことを保証するものではありません。 経緯 2020年9月30日に公開されたnote社の記事で https:/
【新卒】育成担当に言われ続けた、たった一つのこと - Qiita
この記事はうるるAdvent Calendar 2022の21日目の記事です。 こんにちは! 今年バックエンドエンジニアとして新卒入社した、期待の大型新人(物理)の八巻です! 今回は私が業務を行う上で日々意識している、思考法について共有させて頂きます! 拙い文章だとは思いますが、最後まで読んで頂けると幸いです はじめに 「このタスクの目的ってなんだと思う?」 この言葉は配属直後から業務を行う際、必ずと言っていいほど育成担当の方に聞かれた言葉です。案外わかっているつもりでも、見失いがちである目的。目的を意識せず、ガムシャラに手を動かしても、求めていた成果は出ないことを身に染みて感じました。 ではそもそも「目的」とは何か?から順にまとめていきます。 「目的」とは何か 目的とは、「何のためにやるのかに対する答え」 です。 「何のためにMTGをするのか」 ex) ナレッジの共有、日々の業務の進捗共
第三者検証からQAに転職してみて - Qiita
はじめに はじめまして、株式会社LITALICOでQAグループ所属の@yamahiro2022です。 9月半ばに転職してから、QAとしては駆け出しの身ですが、 今まで経験してきた第三者検証としての仕事と、 今行っているQAの仕事の違いなどを記載させていただけたらと思っています。 QAとはそもそも何ぞや? 自分の中でも、何となくわかっているようでフワッとしたイメージしかなかった状態でした。 調べてみると、「QA(Quality Assurance)とは、システムやソフトウェアの品質を保証する仕事です。」と出てきます。 ここで疑問が… 保証って、どこまで保証する? 混在されがちなQC(Quality Control)との違いについて考えてみます。 ・期間:QC は、開発期間の要件定義~リリースまでを対象としているのに対して、 QA は、企画段階から参画し、リリース後も対象としている ・責任範囲
ぼくがテストを書く理由 - Qiita
この記事は株式会社ビットキー Advent Calendar 2022 24日目の記事です。 ソフトウェアエンジニアの @tshiraki が担当します。 はじめに おはようございます。みなさんテストコード書いてますか。 最近、ふと自分がなんのためにテストを書いているのか考えることがありました。それについて、この機会に色々と書いてみようと思います。ついでに最後のほうで、テストで工夫していることを少しだけ紹介したいと思います。 なぜテストコードを書くのか テストに対する向き合い方は、自社サービス、OSS、受託開発など、対象や立場によって大きく変わるので、ここでは自社サービスのテストコードを書くことを考えることにします。そしてテストコードと言ったときにまず単体テストを思い浮かべることが多いと思うので、まずは単体テストについて考えてみます。 そもそもサービスを提供するためには、テストをする必要が
実例から考えるUIの情報設計|usagimaru
情報設計とは、端的に言うと「情報に関する混乱を整えて、理解しやすい形にする行い」です。情報設計というとなんとなくWebデザインやUIデザインに関する専門的な分野として認識されることが多いかもしれませんが、“情報” に関することなので、情報があるところには基本的にどこにでも通用します。 情報設計の専門書を漁ってみると、“ふわっとした” 話か、Webサイト設計の話に終始するものが多いのですが、本来はWebサイト設計以外の分野にも通用する考え方です。今回はiOSなどのアプリケーションデザインに焦点を当てて、UIの情報設計というものを考えてみたいと思います。 この資料では、「情報設計としてのUIの組み立て方と考え方」をテーマとし、すでにあるようなUIの実例を用いて情報設計視点でのUIデザインの解説を試みます。UIの具体イメージと結果から設計の意図というものをクイズ形式で考えられる内容となっています
【Stripe】モバイルアプリでWeb上決済を導入する
キーワード Flutter(もしくは、iOS, Android, Web) Firebase Dynamic Links Cloud Functions Stripe checkout サブスクリプション(定期決済) Stripe と Firestore との連携 対象の読者 決済には興味があるが、あまり実装のイメージがつかめないと感じている方 実装のコストを抑えて決済機能を導入したい方 時間がない方へ 実装の目的やメリット・デメリットについて書いています。記事自体かなり長いので、この記事の以下のあたりを見ておくと良いと思います。 はじめに ご覧いただきありがとうございます。ganです。 この記事を通して、モバイルアプリに”Web上で行う”決済の導入方法を知っていただけたらと思います。実際に導入することを意識して書きました。その部分も注目していただけると幸いです。またクライアント側にはFl
Redisを使って検証環境を再起不能にした話 - NFLabs. エンジニアブログ
この記事は、NFLaboratories Advent Calendar 2022 4日目の記事です。 こんにちは、ソリューション事業部セキュリティソリューション担当の大沢です。 前回、NFLabs. エンジニアブログに『OpenCTIの日本語化にあたって』というタイトルで脅威インテリジェンスプラットフォームOpenCTIの話をさせていただきました。 今回はそのOpenCTIの検証中に検証サーバーをスクラップにした話をしようと思います。 教訓、あるいは TL;DR 『本番環境でやらかしちゃった人 Advent Calendar』を読もう! 作業前のスナップショット作成は大事 Redisは自身のデータ領域以下のファイル・ディレクトリの所有者を全て UID=999 に変えてしまう ことの始まり OpenCTIは以下のリポジトリを git clone し、READMEに従って変数などを設定した後
Metaが作ったソースコントロールシステムのSaplingを触ってみた - Mitsuyuki.Shiiba
日曜日の午後の気分転換にちょっとSaplingを触ってみる Sapling? https://sapling-scm.com/ Meta(旧Facebook)が作ったソースコントロールシステム。Meta社内で使われてる ユーザビリティとスケーラビリティに重点を置いてる 仮想ファイルシステム(まだ公開されてない)と合わせて使うと巨大なリポジトリも扱える GitHubと連携して使うことも可能 へー。コマンドが色々ユーザーフレンドリーみたい。モノレポに対して使いやすい感じなのかな?個人的にはコードレビューの仕組みが気になる。じゃ、見てみよう Getting Started Macなのでbrewでインストールして ❯ brew install sapling Getting Startedを見ながらやってみる https://sapling-scm.com/docs/introduction/ge
【インフラ】障害事例から学ぶ設計/手順レビューの勘所 - Qiita
はじめに 設計書や手順書のレビューって最後まで残る 属人化・人のスキル次第の領域ですよね。 私の属人的知識を共有し、それを活用して2人分の属人化知識に 昇華する人が現れ、がどんどん回っていくことを願い、 The属人知識を公開します。 インフラ屋さんなので完全インフラ向け 障害事例を詳細に出すことはできないのでざっくりとした 事例紹介になりますが悪しからず。(一部抽象化してます) 事例①:性能問題 これはやっぱり外せない性能問題です。 事例としてはこんな作業で!?ってものをご紹介 <事例> ある日ロードバランサでSSL証明書の有効期限が来たので更新しました。 今回からセキュリティ強化で前回より強度の高い鍵を使うことに。 ⇒結果、性能劣化が発生し慌てて切り戻しの末路を辿ることに・・・ ポイント: ・更新した鍵はサポートされており利用に問題はなかった ・カタログスペックを見ても特に性能上限には引
WebAssemblyの歴史について
はじめに 最近、Node.jsとDenoの開発者であるRyan DahlさんがJavaScript Containersという記事を書いていることを知った。 Webとの親和性の高さがサーバーサイドで求められる中、JavaScriptがユニバーサルスクリプトとして活躍するだろう。そして、コンテナランタイムがLinuxコンテナの抽象レイヤーとしてあるように、JavaScript界隈では既存のWebAPIそのものが抽象化の手助けとなるであろう、みたいな趣旨の内容だった。 彼がChromeのV8 JavaScript Engineを使ってNode.jsを誕生させた同じ頃、JavaScriptの可能性を信じて方法を模索した人がいる。Alon Zakaiさんだ。 Alon(以降、敬称略)はWebAssemblyやその考えの元になった asm.js 、 JavaScriptコンパイラ Emscripte
【ReactUnity】ReactでUnityのUI実装を行なってみた - Qiita
はじめに メリークリスマスイブ! こちらは「QualiArts Advent Calendar 2022」 24日目の記事になります。 株式会社QualiArtsでUnityエンジニアをしています吉成です。 ReactUnityというフレームワークを用いるとReactでUnityのUI実装を行えるとのことで、面白そうなので触ってみました。 今回は実際に動かしてUI実装を行なってみました的な内容を記事にします。 ReactUnity ReactUnityはUnityUIおよびUIToolkit用のReactとHTMLのフレームワークです。 ReactUnityを用いることでReactでUIを構築し、Unity内での表示を行うことができます。 TypeScript、redux、i18next、react-routerなどのパッケージと一緒に利用でき、CSS機能のサブセットとFlexboxレイア
Web APIを手作りする時代は終わった?
::: message info これは[フィヨルドブートキャンプ Advent Calendar 2022 Part.1](https://adventar.org/calendars/7760)の25日目の記事です。 昨日の記事は:@shujiwatanabe:shujiwatanabeさんの[質問しながら出来るようにしていく](https://shu91327.hatenablog.com/entry/2022/12/24/091025)と:@saeyama:saeyamaさんの[Rails/Vue 編集時に画像をD&Dで入れ替えした時のActive Storageの保存方法](https://saeyama.hatenablog.com/entry/2022/12/24/000123)でした。 ::: ↓こういうのを職人が丹精込めて一つ一つ手作りする時代は終わりました。 ```sh
2022年に読んで「良い」と思ったソフトウェアテスト関連本 - テストウフ
この記事はソフトウェアテストのカレンダー | Advent Calendar 2022 - Qiitaの23日目です。 毎年のことながら「何を書こう・・・」と悩んでいてTwitterに助けを求めたところ、@teyamaguさんからネタをいただきました(ありがとうございます) 案1:今年読んだ中で最も役に立ったor読んで良かった本 案2:今年で見た中で最もイケていた自動テストシステム とかどうでしょうか? — teyamagu (@teyamagu) December 6, 2022 最も役に立った、だとなかなか決めかねる部分があり、「読んでよかった本」をつらつらと書いていこうかと思います。 私が2022年に読んだというだけで、今年発売された本には限らない点ご注意ください。また、熟読した本ばかりではなく、ポイント読みやざっと流し読みした本も含めます。(意志薄弱 The BDD Books -
UnityでKTX Compressed Texturesを使ってみる - Qiita
お詫び:この記事のベースを用意しだしたのが今年の1月ぐらいからだったのでKTX/Unityのパッケージ導入手順が古く最新版ではないことに最後に実機ビルドをしていたら気づきました。 古いバージョンと新しいバージョンでは破壊的変更がありソースコードもかなり異なる上、今の手順ではUnity2021.2以降のUnityでWebGLビルドが通らないです。 ただこれから予定がある為記事と技術調査をする時間がないので非最新な状態であることを承知で一旦投稿とさせていただきます。 大変申し訳ございません。 後日修正します... この記事は去年落とした環境構築部分の補足になります 去年の記事 アドベンドカレンダーの投稿時間までにこの項が書ききれなかったので別記事で追記という形で出したいと思います。 去年この記事で取り上げたKTXフォーマット周りの実運用について別記事を書くって言ってましたが結局書かないまま1年
GeneratedRegexで遊ぶ - Qiita
[GeneratedRegex]とは System.Text.RegularExpressions.GeneratedRegexAttributeは.NET 7で導入された属性で、これを指定すると正規表現に相当するコードをコンパイル時に生成してくれます。 RegexOptions.Compiledと違い初期化処理に時間が掛からず、Native AOTでも機能してくれます。 使い方は簡単。こんな感じです。 using System.Text.RegularExpressions; public partial class Sample { [GeneratedRegex(@"Hello,? World\!?")] private static partial Regex _reg_helloworld(); } 具体的には、 実装するクラスにpartialを付ける。 これは部分クラスと言い、
Androidでミュートの解除/設定をする - Qiita
はじめに この記事はAndroid Advent Calendar 2022 24日目の記事です。 やりたかったことはAndroidで強制的に音を鳴らすことだったのですが、ミュート解除周りでハマったのでその時の話を書きます。 コードからミュートを解除する adjustStreamVolumeを使う コードからミュートを解除するにはAudioManagerのメソッドであるadjustStreamVolumeを使うとできます。このメソッドは音量を調節するためのメソッドですが、ミュートとアンミュートを指定することができます。 第一引数には使用したいストリームを指定します。今回はアラーム音のためのストリームであるSTREAM_ALARMを使用します。第2引数には音量を上げるか下げるかを指定することができます。この第2引数にADJUST_UNMUTEを指定すると、ミュートを解除することができます。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
GitHub ActionsでMySQLのcharacter setを変更する - 清水川のScrapbox
「インボイス制度」で税負担が増える!? 年商1000万円以下の個人事業主への影響を考える 【インボイス制度に備える】
ドット絵 Advent Calendar 2022 - Adventar
https://twitter.com/O_Y_G/status/1606756601473310720
WSL2でzshが遅い件を解決する - Qiita