ゴールデンウィークのはじめ(4月29日)に投稿された以下のツイートですが、5月7日20時において、1,938.8万件の表示ということで、非常に注目されていることが分かります。 我が名はアシタカ!スタバのFreeWi-Fiを使いながら会社の機密情報を扱う仕事をしてたら全部抜かれた。どうすればよい! pic.twitter.com/e26L1Bj32Z — スタバでMacを開くエンジニア (@MacopeninSUTABA) April 29, 2023 これに対して、私は以下のようにツイートしましたが、 これ入社試験の問題にしようかな。『スタバのFreeWi-Fiを使いながら会社の機密情報を扱う仕事をしてたら全部抜かれた』と言う事象に至る現実的にありえる脅威を説明せよ。結構難しいと思いますよ。 https://t.co/LH21zphCTV — 徳丸 浩 (@ockeghem) April
Intro Cookie は、ブラウザに一度保存すれば、次からその値を自動的に送ってくるという、非常に都合の良い仕様から始まった。 State Less が基本だった Web にセッションの概念をもたらし、今ではこれが無ければ実現できないユースケースの方が多い。 冷静に考えればふざけてるとして思えないヘッダ名からもわかるように、当初はこのヘッダがこんなに重宝され、 Web のあり方を変えるかもしれないくらい重要な議論を巻き起こすことになるとは、最初の実装者も思ってなかっただろう。 そんな Cookie が今どう使われ、 3rd Party Cookie (3rdPC) の何が問題になっているのかを踏まえ、これからどうなっていくのかについて考える。 Cookie のユースケース Web にある API の中でも Cookie はいくつかの点で特異な挙動をする 一度保存すれば、次から自動で送る
「未経験文系から3ヶ月でデータサイエンティストになって一発逆転」はここで終わり (2020/7/31 更新) - todo-mentor’s diary
データサイエンティストを生業にする手段と実態について述べる。 途中、具体例・境界値の例として私個人の話もするが、なるべく一般性のある話をする。 この記事で言いたいことは具体的には4つだ。 プログラミングスクールをディスるなら代わりの入門方法を提供しようよ。 もう「未経験文系から3ヶ月でデータサイエンティストで一発逆転物語」を止めろ。*1 おじさんは人生逆転したいなら真面目にやれ。 若者はワンチャンじゃなくて、ちゃんと化け物になれよ。 この記事についてはパブリック・ドメインとして転載・改変・リンク記載を自由にしてよいです。 (続き書いた) a. 入門は辛いが… b. 思考停止でプログラミングスクールに通うな。 なろう系・始めてみよう系資料一覧 (最速・最短ルート用) まずは動かしてみよう。強くてニューゲームが体験出来るぞ! 入門以前の本 一般向け業界本 (AI業界と展望がわかる本) 技術者入
三行説明 アメリカ英語の発音について説明するよ!発音とかリスニングの役に立てばいいね! アクセント・シュワー・リンキングや個別の母音・子音についての知識が重要だと思っている(ので幅広く説明する)よ! 個人的に大事だと思っているところから順に説明していくし、大事だと思ってるトピックはなるべく網羅するよ! 目次 三行説明 目次 前置き この記事の目的 想定読者 筆者の英語力について 発音 全体的な話 アクセントに関係する現象 アクセントとリズム 日本語のアクセントとリズム 英語のアクセント アクセント周りの発音記号 英語のリズム (アクセントの等時性) アクセントのない母音の中和 シュワー ハイシュワー r音性母音 /i/ /jʊ/ シュワーとハイシュワーの使い分け 助動詞、前置詞、冠詞などの弱形 母音のないところに母音を付け足さない 日本語の母音の無声化 リンキング 開放させない子音 閉鎖は
HTML5のLocal Storageを使ってはいけない(翻訳)|TechRacho by BPS株式会社
概要 原著者の許諾を得て翻訳・公開いたします。 英語記事: Randall Degges - Please Stop Using Local Storage 原文公開日: 2018/01/26 著者: Randall Degges 日本語タイトルは内容に即したものにしました。 画像は元記事からの引用です。 初版公開: 2019/10/19 追記更新: 2024/04/05 -- リンク情報を記事末尾に移動しました 本気で申し上げます。local storageを使わないでください。 local storageにセッション情報を保存する開発者がこれほど多い理由について、私にはさっぱり見当がつきません。しかしどんな理由であれ、その手法は地上から消えてなくなってもらう必要がありますが、明らかに手に負えなくなりつつあります。 私は毎日のように、重要なユーザー情報をlocal storageに保存す
【はじめに】 「山で熊に襲われる」 それは山に入る人なら誰もが意識したことはある”最悪の事態”の1つである。でもそんな経験をしたことがある人はほぼいない。それどころか自分の周囲に熊に襲われたことのある人がいる、という人さえほぼいないだろう。期せずしてレアな体験をした。 今回この体験を書こうと思ったのは「熊に襲われた人しか知らないこと」という発見がたくさんあったからだ。たとえば… 『至近距離で熊に出会ったら熊スプレーは無意味』 『熊に襲われて大怪我をすると実名報道される』 などなど… そして何より重要なのは今回の熊被害は防げた可能性があるということ。登山やキャンプ、釣りなどで山に入る皆さんが僕のように熊に襲われることのないよう、どうすべきだったか反省と熊に襲われて分かった事を記しておく。 【熊に襲われてこうなった】まずはじめに、熊に襲われた結果どうなったか。結論を書いておこう。 ①大怪我で1
攻撃に立ち向かうイヌさんThe English version is available here. タイトル訂正: 「自作サービス『に』→『が』DDoS攻撃された話」「それはDDoSではない」という指摘に関して末尾に追記 (6/18)SaaSを開発していると本当にいろんな事が起こります。それらは時に開発者に喜びや悲しみ、怒り、感謝、落胆や興奮をくれます。思い返してみれば結局はみんないい思い出になるものです。先週末に、拙作の小さなウェブサービスがDDoS攻撃を受けました。言わずもがな、悪い出来事です。本稿ではこの事故がどんなものだったのか、どうやって対処したのかについてお話します。 どうもTAKUYAです。僕はInkdropというクロスプラットフォームなMarkdownノートアプリを独りで3年以上開発・運用しています。ユーザ数2万人以下のとてもニッチなSaaSで、僕はこのサービスで生計を立
真鍋大度の履歴書|前人未到の場所こそ、リスクが少ない #ぼくらの履歴書 - ぼくらの履歴書|トップランナーの履歴書から「仕事人生」を深掘り!
※この記事は2019年5月に取材・撮影した内容です 世界最高峰の音楽フェスとの呼び声も高いコーチェラ・フェスティバル*1。出演者のPerfumeは米ローリングストーン誌の「ベストアクト16」に選ばれ、リアルタイムで配信を観ていたファンから「AR技術がヤバい」「これを一発勝負でやるのはすごい」などと、驚きの声が上がりました。 演出技術の開発を担当したライゾマティクスリサーチを率いるのが、インタラクションデザイナーやプログラマ、DJなど複数の顔を持つアーティスト、真鍋大度(まなべ・だいと/ Daito Manabe )さんです。ビョーク(Björk)とのコラボレーションやケイティ・ペリーのオープニングライブの演出、NHK紅白歌合戦でのPerfumeとのコラボレーションなどで、「誰も観たことのない景色」を音楽と数学を軸に表現しつづけています。 国際的広告賞「カンヌライオンズ」グランプリをはじめ国
Intro CSRF という古の攻撃がある。この攻撃を「古(いにしえ)」のものにすることができたプラットフォームの進化の背景を、「Cookie が SameSite Lax by Default になったからだ」という解説を見ることがある。 確かに、現実的にそれによって攻撃の成立は難しくなり、救われているサービスもある。しかし、それはプラットフォームが用意した対策の本質から言うと、解釈が少しずれていると言えるだろう。 今回は、「CSRF がどうして成立していたのか」を振り返ることで、本当にプラットフォームに足りていなかったものと、それを補っていった経緯、本当にすべき対策は何であるかを解説していく。 結果として見えてくるのは、今サービスを実装する上での「ベース」(not ベスト)となるプラクティスだと筆者は考えている。 CSRF 成立の条件 例えば、攻撃者が用意した attack.examp
0から始めるNode.jsパフォーマンスチューニング
近年の Node.js は API のサーバとしてはもちろん、Nuxt.js や Next.js といった SSR や BFF などフロントエンドのためのバックエンド言語としての人気が高まっています。 フロントエンドエンジニアがコンテキストスイッチ少なくバックエンドの整備ができることは非常に大きな利点です。 ですが、フロントエンド(ブラウザ側)とバックエンド(サーバ側)ではパフォーマンスチューニングで見るべき点が大きく違います。 しかし Node.js アプリケーションのパフォーマンスイシューの見つけ方などがまとまっている資料は少ないです。 そこで、本記事ではフロントエンドエンジニアが Node.js でパフォーマンスイシューを見つけ、改善するため自分が普段パフォーマンスチューニングを依頼されているときにみている基礎的なポイトをまとめていきます。 1. 計測ステップlink Node.js
(令和5年2月更新版)何故ロシアによるウクライナ侵攻は長期化したのか~戦史に残る軍事的大惨事~|botamoti´・⊿・`日本怪文書開発機構(CV.ゆっくり魔理沙(Softalk:女性2))
1.ウクライナ紛争っていう2014年から続く紛争があるんですけど背景情報~ソ連とかいうクソデカ国家の崩壊~ 昔々あるところに、ソヴィエト社会主義共和国連邦っていうクソデカ国家(東京ドーム479093145四億七千九百九万三千百四十五個分の大きさ)がありました。 デェェェェェェェェェン♪ この国家は我々西側との競争の結果崩壊してバラバラになっちゃったんですけど、どれぐらいバラバラになったかというと15個に割れました。 連邦っていう位なので構成国家が独立しちゃって構成国家がゼロになったんですね。 ソ連崩壊(イメージ) で、今回の紛争は偉大なるソ連の復活を目指す第一位と、過去と決別し新たな道を歩みたい第二位との間で行われた『ソヴィエト崩壊 round2』みたいなモンだと解釈していだだければ良いと思います。今回はコレについてお話をしていこうと思います。ゆっくりしていってね! クリミア併合という軍
「令和に発売してたらめちゃくちゃ怒られそうな曲」に、誰かに怒られる前に無理矢理キレておきましたので安心してください 関白宣言 お前を嫁にもらう前に 言っておきたいことがある 「お前」って言うのやめてください「嫁」もやめてください「もらう」とか物扱いしないでください。そんな失礼な人間の話は聞くに値しませんよ? 「この度、婚姻届を提出し、◯◯さんを(ちゃんと名前で呼んでください)続柄上の妻とさせていただく際に、説明しなければならないことがいくつかございます…かなり失礼な内容も含まれておりますので気分を害してしまうかもしれませんが、どうか最後まで聞いていただけると幸いです…御礼として金一封をお渡しさせていただきます」 に変更してください 残酷な天使のテーゼ 残酷な天使のように 少年よ 神話になれ なんで少年だけ特別扱いするんですか?少女は神話にはなれないって言うんですか?じゃあ大人は?人間以外は
サマリ DNSリバインディングが最近注目されている。Google Chromeは最近になってローカルネットワークへのアクセス制限機能を追加しており、その目的の一つがDNSリバインディング対策になっている。Googleが提供するWiFiルータGoogle Nest WiFiはデフォルトでDNSリバインディング対策機能が有効になっている。 DNSリバインディング対策は、攻撃対象アプリケーションで行うべきものであるが、ブラウザ、PROXYサーバー、リゾルバ等でも保護機能が組み込まれている。本稿ではそれら対策機能の状況と対策の考え方について説明する。 DNSリバインディング(DNS Rebinding)とは DNSリバインディングはDNS問い合わせの時間差を利用した攻撃です。DNSのTTL(キャッシュ有効期間)を極めて短くした上で、1回目と2回目の問い合わせ結果を変えることにより、IPアドレスのチ
今回は個人的に以前から気になっていた事について書いてみたいと思います。 きっかけは2022年に音楽メディア、Pitchforkが発表した「The 150 Best Albums of the 1990s」というこちらの企画でした。 1990年代にリリースされたアルバムの中で重要な意味を持つ、優れた作品を150枚選びランキング形式で発表するというこちらの記事。 実はPitchforkは2003年に同じ企画を行っていて、その時のラインナップと上位の顔ぶれがガラッと変わっていた事が当時話題になり、ネットやSNS上では様々な意見が見受けられました。 その当時自分もその変化ぶりに驚きつつも、時代の流れとはそういうものだよなと感じていたんですが、自分が思っていた以上に否定的な意見があった事も記憶しています。 「Pitchforkらしくない」とか、「ポップなラインナップ過ぎて面白くない」とか、「都合良く
ゴールデンウィークのはじめ(4月29日)に投稿された以下のツイートですが、5月7日20時において、1,938.8万件の表示ということで、非常に注目されていることが分かります。 我が名はアシタカ!スタバのFreeWi-Fiを使いながら会社の機密情報を扱う仕事をしてたら全部抜かれた。どうすればよい! pic.twitter.com/e26L1Bj32Z — スタバでMacを開くエンジニア (@MacopeninSUTABA) April 29, 2023 これに対して、私は以下のようにツイートしましたが、 これ入社試験の問題にしようかな。『スタバのFreeWi-Fiを使いながら会社の機密情報を扱う仕事をしてたら全部抜かれた』と言う事象に至る現実的にありえる脅威を説明せよ。結構難しいと思いますよ。 https://t.co/LH21zphCTV — 徳丸 浩 (@ockeghem) April
こんにちは。 マネーフォワードの新卒Railsエンジニア、きなこ と申します。 マネーフォワードX という組織で、日々プロダクトの開発に勤しんでおります😊 突然ですが皆さんは JWT という技術をご存知でしょうか? 私は趣味でCTFというセキュリティコンテストに出場するのですが、最近ホットだと感じるのがJWTに関連する攻撃です。 今年の1月に初めてJWTを題材にした問題に遭遇し、その後JWTの出題頻度が強まっていると感じ、社内に向けてJWTにまつわる攻撃を通して学ぶための記事を書いたところ、たくさんの反応をいただきました。 今回の記事はその内容を社外向けにアレンジし、ハンズオンを通して実際にJWTを改竄し、受け取るAPIを攻撃することでJWT自体を学べるようにしたものです。 本記事はJWTに興味があるWeb開発者を想定していますが、そうでない方も楽しんでいただけるようにハンズオンを用意し
サマリ ハッキングAPI―Web APIを攻撃から守るためのテスト技法(2023年3月27日発売)を読んだ。本書は、Web APIに対するセキュリティテストの全体像と具体的なテスト方法を記載している。ペンテスターは、APIの検出、APIエンドポイントの分析、攻撃(テスト)を行う必要があり、そのために必要な情報がすべて記載されている。また、実習のためのツールと「やられサイト」を複数紹介し、具体的なトレーニング方法を解説している。単にツールやサイトの使い方の説明にとどまらず、本格的なペネトレーションテストの考え方を説明している。 本書の想定読者はAPIのペネトレーションテストを実施するペンテスター及びペンテスターを目指す人であるが、API開発者やウェブアプリケーション脆弱性診断員にとっても有益な内容を多く含む。 重要事項説明 本書の監修者の一人(洲崎俊氏)と評者は知人関係にある 評者が読んだ書
0 issue "letsencrypt.org" 0 issuewild "letsencrypt.org" 0 iodef "mailto:yourmail@example.jp" §OS再インストール さくらVPSのコントロールパネルから、OSを再インストールするサーバを選ぶ。 www99999ui.vs.sakura.ne.jp §OSのインストール操作 Ubuntu 22.04 LTS を選ぶ。 OSインストール時のパケットフィルタ(ポート制限)を無効にして、ファイアウォールは手動で設定することにする。 初期ユーザのパスワードに使える文字が制限されているので、ここでは簡単なパスワードにしておき、後ですぐに複雑なパスワードに変更する。 公開鍵認証できるように公開鍵を登録しておく。 §秘密鍵と公開鍵の作成 クライアントマシン側で生成した公開鍵を ~/.ssh/authorized_k
いいね!Hokudai - #122 新型コロナ対策、研究と政策現場での6ヶ月~西浦博教授ロングインタビュー~
#122 新型コロナ対策、研究と政策現場での6ヶ月~西浦博教授ロングインタビュー~ 2020年07月31日 新型コロナウイルスによる感染症COVID-19は今現在も終息することなく、日本だけでもこれまでに約26,000名で感染が確認されています。本学の西浦博さん(医学研究院 教授)は中国で感染症が発生した直後の1月上旬から研究を開始し、厚生労働省のクラスター対策班の一員としても対応にあたりました。 次々と発生する危機的な状況のなかでデータをかき集め、COVID-19の特徴を徐々に明らかにしていく。そしてそれは直ちに国や自治体の政策へ反映されていく。このような科学と政策のあわいにある感染症の数理疫学は、じっくりと取り組む科学研究、純粋で確実な成果を論文で発表する科学研究というイメージからは遠いかもしれません。しかし、応用重視のオペレーション研究と言われるような分野もまた研究の実際の姿です。
Log4jで話題になったWAFの回避/難読化とは何か
はじめに 2021年12月に発見されたLog4jのCVE-2021-44228は、稀に見るレベル、まさに超弩級の脆弱性となっています。今回、私はTwitterを主な足がかりとして情報収集を行いましたが、(英語・日本語どちらにおいても)かなりWAFそのものが話題になっていることに驚きました。ある人は「WAFが早速対応してくれたから安心だ!」と叫び、別の人は「WAFを回避できる難読化の方法が見つかった。WAFは役に立たない!」と主張する。さらにはGitHubに「WAFを回避できるペイロード(攻撃文字列)一覧」がアップロードされ、それについて「Scutumではこのパターンも止まりますか?」と問い合わせが来るなど、かなりWAFでの防御とその回避方法について注目が集まりました。 実はWAFにおいては、「回避(EvasionあるいはBypass)」との戦いは永遠のテーマです。これは今回Log4jの件で
戦後から続く長寿番組「NHKのど自慢」で、衝撃のチャンピオンが誕生した。2022年12月11日放送回で、人気ヒップホップグループ・SOUL'd OUT(ソウルドアウト)の代表曲「ウェカピポ」を歌唱した男性が優勝し、ネット上で大きな話題を呼んだ。 歌うのが難しいことで知られている同曲を、なぜ歌おうと思ったのだろうか。歌唱した本人に話を聞いた。 作詞者の元メンバーも祝福「おめでとちゃんです」 NHKのど自慢は毎週日曜昼にNHK総合で放送されている参加型の音楽番組。毎週日本各地を舞台に、地域住民たちがその歌声を競い合う。太平洋戦争終戦直後の1946年からラジオ放送がはじまり、53年以降はテレビで放送されている長寿番組だ。 12月11日放送回では長崎県諫早市を舞台に、19人の参加者が出場した。7番目に登場したのが、ヒップホップ系のファッションに身を包んだシステムエンジニアの男性。選んだ曲は、200
【2019年】CTF Web問題の攻撃手法まとめ (Web問題のwriteupぜんぶ読む) - こんとろーるしーこんとろーるぶい
CTF Advent Calendar 2019 - Adventarの25日目の記事です。 1つ前は@ptr-yudai氏の2019年のpwn問を全部解くチャレンジ【後半戦】 - CTFするぞでした。 はじめに 対象イベント 問題数 読み方、使い方 Cross-Site Scripting(XSS) SVGファイルを利用したCSPバイパス GoogleドメインのJSONPを利用したCSPバイパス サブリソース完全性(SRI)機能を利用した入力チェックバイパス Chrome拡張機能のパスワードマネージャーKeePassの悪用 HTML likeコメントを使用したコメントアウト jQuery.getJSONのJSONP機能を使用したスクリプト実行 DOM Clobberingによるコードハイジャック Service Workerを利用したスクリプト実行 XSS Auditor機能のバイパス
FF16の海外評価が発売前から爆発している件について、今後の日本の『情報通な引きこもり戦略』を考える。|倉本圭造
FF16の海外評価が発売前から爆発している件について、今後の日本の『情報通な引きこもり戦略』を考える。 6月22日に発売になるFFの7年ぶりのナンバリングタイトル、「ファイナルファンタジー16」の『体験版』が、発売2週間前から公開されてるんですけど、めっっっちゃ国内外の評価が高いらしい。 ファイナルファンタジー16 Twitterみてて凄い国内の評判が高いのを知ったんですが、それで海外評価の感じも知りたいな…と思ってYouTube検索したら、なんかこんなに「発売前なのに大絶賛の嵐」みたいな事ってある?みたいな感じで驚きました。 ・「ゲームの体験版」として人生で一番印象的だった ・最初の二時間については過去の人類史上最高のゲームと言っても過言ではない ・正直FFなんて終わったシリーズだと思ってたけど、体験版プレイ後即注文してしまった ・J-RPGのダメなところを全部排除して一番美味しい部分だ
基本的アルゴリズム(幅優先探索など)から応用(経路復元、拡張ダイクストラなど)まで、最短経路問題に関するアルゴリズムを総特集しました。 基本的なグラフ理論の用語については、次を参考にしてください。 グラフ理論 用語集 queueなどのデータ構造の用語については、次のスライドの後半を参考にしてください。 C++ STL講習会 by @e869120 最短経路問題とは 一般的に、次のような問題とされます。 $V$ 頂点と $E$ 辺からなるグラフが与えられる。頂点 $u$ と 頂点 $v$ を結ぶパスのうち、重みの総和が最も小さいものはどれか。 始点を固定して他のすべての頂点との対について最短経路問題を解く場合や、任意の2頂点の対について解く場合などが実際には多いです。 実社会とも強く密着した問題のため、古くからたくさん効率的な解法が考えられてきました。 今回はそれらを紹介しつつ、細かいテクニ
一番星はてのがなるべく非建設的なコメントをしないように判定を強化しました - 一番星はての開発ブログ
一番星はてのがなるべく非建設的なコメントをしないように判定を強化しました。 これまでもある程度そのような仕組みを入れていましたが、コメント全文と文単位でGoogle Perspective APIで判定し建設的でない場合は一定回数までコメント生成をリトライするようにしました。 Perspective APIについて perspectiveapi.com Perspective APIはテキストの次のような属性への該当度合いを0~1の数値で判定してくれます(1に近づくほど有害判定となる)。日本語対応もしています。 OpenAIにも同じようなポリシーに準拠しているかどうかを判定するmoderations APIがありますがこちらは2023年6月現在では日本語対応は限定的です。 TOXICITY(失礼な発言) IDENTITY ATTACK(アイデンティティへの攻撃的な発言) INSULT(侮辱
イスラエル政府の言うような "human animals" なんかじゃない。彼ら・彼女らの言葉を伝える翻訳ハッシュタグ - Hoarding Examples (英語例文等集積所)
【「日本国際ボランティアセンター (JVC)」さんの緊急支援要請】 ガザ地区での活動実績がしっかりしている日本のNGOです https://www.ngo-jvc.net/news/news/202310_gaza.html 起きたことに、衝撃を受けすぎて、言葉にならない、ということは、日常にあふれている。ネットなどでよく、「語彙力をなくす」というスラングで描写されるあれである。 10月7日の出来事は、その最たるものだった。 Twitterのログを見返したが、そのときのものは何もない。最近はMastodonに切り替えつつあるのでMastodonに書いたかと言えば、そっちにもない。速報としてスマホに配信されてきた短い文面を見て、「え」と声に出したことは覚えている。そのあとは「マジで?」と思い、BBC Newsの速報を一読して「何これ」と思い、もう一度読んで「は?」と思った。 そして「いやいや
私が所属する東京大学理学部情報科学科では三年の冬学期に CPU 実験という実験授業が開講されています。本稿ではその簡単な説明をした後、その実験の一環として約一ヶ月ほど取り組んだ「Linux が動作する RISC-V CPU を自作するプロジェクト」で何をしたか、またどのような成果を得たかについて紹介したいと思います。 本稿を読むその前に 弊学科では「XX 年度に教養学部から理学部情報科学科に進学してきた学生」を「XXer」と呼ぶ文化があります。本稿ではこの表現を断りなく用います1。また私は普段 Web が好きでもっぱら Web セキュリティに関することを追いかけているだけのしがない学部 3 年生なので (私についての情報は ここ に大体まとまっています)、こういう低いレイヤのことは未だによく分かっていません。あくまで素人の記事だとご理解いただけると嬉しいです。誤りの指摘や質問があれば、ここ
概要 要約 詳細 背景 前提 インターネット上に公開されたdnsmasq LAN内のマシンが攻撃者の支配下にある LAN内のマシンに攻撃者管理のWebサイトを閲覧させることができる 影響 中間者攻撃 汚染拡大 DDoS/Reverse DDoS CVE-2020-25684: ポートの多重化 CVE-2020-25685: 脆弱なCRC32の利用 CVE-2020-25686: 同一ドメイン名に対する複数クエリ発行 DNSフォワーダにおけるレスポンスの未検証 組み合わせる ドメイン名の登録 ソースIPアドレスの偽装 CRC32の衝突 攻撃の流れ ブラウザからの攻撃 検証端末 攻撃の成功確率 PoC fowarder cache attacker 大量クエリの送信 偽装レスポンスの送信 高速化の話 実行 対策・緩和策 余談 まとめ 概要 先日DNSpooqという脆弱性が公開されました。 ww
(第三者)検証可能な形で情報の非改ざんを保証することブロックチェーン技術の登場により、「情報が改ざんされずに検証できる形で残る」という機能が注目を集めている。しかし、ブロックチェーン技術の文脈でこの機能との関係を考える時に、多くの議論において技術史を踏まえない曖昧な議論が散見され、これが様々な場面で無用なディベートを生み出しているように見られる。そこで、この機能についての歴史を紐解きながら、「いわゆるブロックチェーン」をどう理解したらいいのかを述べたい。 この節のタイトルのように、第三者検証可能な形で情報の非改ざんを保証すること、という要請はもちろん古くから存在する。その多くは、信頼される第三者機関が、ある時点で文書が存在したことを証明するというもので、日本では法務省が所轄する公証制度が存在する[1]。[1]では、公証制度のことを以下のように書いている。 公証制度とは,国民の私的な法律紛争
外国人「何故アニメやマンガを英題ではなく日本語タイトルで呼ぶ人が多いのか」海外の反応 : 暇は無味無臭の劇薬
Comment by fatalotaku 何で日本語タイトルの使用を好む人が多いのか こんなことを尋ねると腹を立てる人もいるだろうけど純粋に疑問。 日本語タイトルをあまり追えない自分としてはなんでみんなが英題よりも日本語タイトルの使用を好むのかが不思議。 最近見かけた例だと「Ascendance of a Bookworm」の動画のソースを尋ねてる人に対するレスの大半が「Honzuki no Gekokujou: Shisho ni Naru Tame ni wa Shudan wo Erandeiraremasen」というものだった。 確かにそれなら正確な回答だろうけど一々打つのは大変だろうし、興味を持った人もそれじゃ後で検索しようと思った時に思い出すのが難しいかもしれない。 要するに僕は日本語タイトルを使用すべきではないと言ってるわけではなくて、ただアニメの議論をする時に英題ではなく
プリキュアとかポケモンは見る人は見るだろうし見ない人は見ないだろうから省略 あやかしトライアングル放送延期されまくった影響で6話までしか放送されなかった。それはそれとしてTS主人公が可愛いハレンチなアニメとして良いよ! イジらないで、長瀞さん 2nd Attack長瀞さんの二期。長瀞さんは一期でもうデレてるので、全体的に一期より甘くイチャイチャしてる回が多かった。 まだ付き合ってないけどもし三期があるなら絶対くっつくだろうな…と思った。 犬になったら好きな人に拾われた。15分アニメ。とにかくエロい、あやトラよりハレンチなアニメ。原作がまだ完結してないのか俺達の戦いはこれからだ!エンドだったけど、エロいアニメが見たいならおすすめ。 英雄王、武を極めるため転生す ~そして、世界最強の見習い騎士♀~おじいちゃんはおしまい!とネタにされてた奴。前世で滅茶苦茶強かったお爺ちゃん国王が美少女に転生して
訳文;「そこにはなんの報酬もありません。このゲームが何を為していてどう機能しているのか、ただただ見ていたかったのです」ジェンキンズ、カーソン、ホッキング、『Outer Wilds』へつづく2,3の論考 - すやすや眠るみたくすらすら書けたら
翻訳の秋が今年もきました。また去年みたく面白い記事をいくつか見つけて勝手に紹介したいところです! 去年アップした『訳文;「"好奇心駆動型の冒険"とでも言うべき特殊なタイプの冒険に報酬を与えるゲームをつくりたい、それが『Outer Wilds』の主目的です」A・ビーチャム氏の論文より』で翻訳紹介した論考のなかで、参照文献として挙げられていた文献のうち2つ、ヘンリー・ジェンキンズ著『GAME DESIGN AS NARRATIVE ARCHITECTURE(物語による建築物としてのゲームデザイン)』とボニー・ルバーク取材『Clint Hocking Speaks Out On The Virtues Of Exploration(クリント・ホッキングが語る冒険の美徳)』。別記事1つ、ドン・カーソン著『Environmental Storytelling: Creating Immersive
HTTP/3とQUICはなぜ必要になり、どのように標準化されてきたのか? 現代のプロトコル設計とインターネットの課題|ハイクラス転職・求人情報サイト AMBI(アンビ)
ハイクラス求人TOPIT記事一覧HTTP/3とQUICはなぜ必要になり、どのように標準化されてきたのか? 現代のプロトコル設計とインターネットの課題 HTTP/3とQUICはなぜ必要になり、どのように標準化されてきたのか? 現代のプロトコル設計とインターネットの課題 IETFで標準化が進められているWebの新しい通信プロトコルQUICとHTTP/3について、現在のインターネットが抱える課題やプロトコル設計での議論を中心に、ASnoKaze blogの後藤ゆき(@flano_yuki)さんに執筆いただきました。 2021年、Webに新しい通信プロトコルが登場しました。RFC 9000として標準化されたQUICと、その上で動作するHTTP/3です。HTTP/3はまだドラフト版ですが出版準備段階となっており、すでに実際のWeb通信でも広く使われています この2つのプロトコルは、現在のWebやイン
はじめに 弊社では、最近BEC(ビジネスメール詐欺)のインシデント対応を行いました。この事案に対応する中で、マイクロソフト社(*1)やZscaler社(*2)が22年7月に相次いで報告したBECに繋がる大規模なフィッシングキャンペーンに該当していた可能性に気づきました。マイクロソフトによると標的は10,000 以上の組織であるということから、皆様の組織でもキャンペーンの標的となっている可能性や、タイトルの通りMFA(多要素認証)を実施していたとしても、不正にログインされる可能性もあり、注意喚起の意味を込めてキャンペーンに関する情報、および実際に弊社での調査について公開可能な部分を記載しています。 *1: https://www.microsoft.com/security/blog/2022/07/12/from-cookie-theft-to-bec-attackers-use-aitm
検出不可能なゲームのチートが発表、今後のオンラインゲームのデザインはこのチートを前提に設計しなければならない
PCILeechというソフトウェアスタックがある。 ufrisk/pcileech: Direct Memory Access (DMA) Attack Software これはPICeデバイスを使ってターゲットコンピューターのメモリをDMAで読み取るためのPCIeデバイスのFPGAの実装とその操作のための一連のソフトウェア群だ。 原理は簡単だ。ターゲットコンピューターのPCIeスロットにつないだPCIeデバイスからDMAをするだけ。これによりターゲットコンピューターのメモリ領域を読み取ることができる上、ターゲットコンピューターからは検出不可能だ。なぜならばDMAはCPUを介さずに行われる上、ターゲットコンピューターにカーネルスペース/ユーザースペースともに追加のコード実行を必要としないからだ。 PCILeechを作って作られたゲームのチートに、CSL:GOのチートがある。これはマップ上の
ゲームには、「プレイヤーにストレスを与えない」工夫がさまざまに導入されている。『Dishonored 2』や『LoL』などの工夫 - AUTOMATON
インディースタジオGesinimo Gamesの設立者Salman Shurie氏は3月9日、「プレイヤーには気づかれていない、ゲームをプレイしやすくする工夫」について、Twitter上でゲーム開発者に対して尋ねた。SNS上での開発テクニックの共有はこれまでにも時折おこなわれており、Shurie氏はそれに触発されたようだ。本稿では、寄せられた工夫をいくつか紹介する。 Shurie氏はまず自身が導入した工夫のひとつとして、ステルスアクションゲーム『Fistful of Nothing』の例を紹介。武装した敵が徘徊する建物からの脱出を目指す同作では、敵は画面内にいる時にしか攻撃しないという。プレイヤーの見えない場所から撃たれて、訳も分からず死ぬフラストレーションを排除しているそうだ。 in my game Fistful of Nothing, made every enemy only ab
2023年冬開始の新作アニメ一覧
放送・配信中のアニメの終わりが近づき、新作の開始時期が近づいてきました。2022年の年末から2023年の年始を中心とした時期に始まるアニメの数は60本以上、配信限定作品や配信作品の地上波初放送を合わせると70本に近い本数で、これまで以上に取捨選択が大変です。 この多数の中で、漫画や小説などが原作ではなく続編ものでもない新規のオリジナルアニメは、P.A.WORKSの手がけるバディもの「Buddy Daddies」、河本ほむら&武野光&トムス・エンタテインメントによる「HIGH CARD」、DMM.comと旭プロダクションによる「アルスの巨獣」、太田垣康男の描き下ろしを原作とする「MAKE MY DAY」、ゲーム実況者・キヨが自らの役を演じる「きよねこっ」、ミュージカルとのメディアミックスプロジェクト「「FLAGLIA」~なつやすみの物語~」や、ソニーミュージックによるアイドルプロジェクトのア
『シン・ウルトラマン』(2022)/オタ臭さと性的シーンが多く人を選ぶがウルトラマンのこれ以上無い程の善性や楽しい展開、好きでした✨ - gock221B
企画・脚本・制作:庵野秀明 監督:樋口真嗣 監督補:摩砂雪 音楽:鷺巣詩郎 主題歌:米津玄師「M八七」 原作監修:隠田雅浩 デザイン:前田真宏、山下いくと 原作:『ウルトラマン』(1966) ウルトラマン&禍威獣&外星人のオリジナルデザイン:成田亨 製作:円谷プロダクション・東宝・カラー 配給:東宝 製作国:日本 上映時間:113分 シリーズ:『ウルトラマン』映画シリーズ。シン・ジャパン・ヒーローズ・ユニバース(SJHU) 特撮TVドラマ『ウルトラマン』(1966)のリブート作。 そして、 『シン・ゴジラ』(2016)、『シン・エヴァンゲリオン劇場版:||』(2021)、本作、そして来年公開の『シン・仮面ライダー』(2023)からなる”シン・ジャパン・ヒーローズ・ユニバース”(SJHU)とかいうシネマティック・ユニバースの3作目という事が本作公開の少し前に明らかになった。このユニバースにつ
“GAFA”じゃなくて、もっとカッコいい呼び方ないの? Google、Apple、Facebook、Amazonひっくるめて何と呼ぶか問題
独占的なサービスを通じて世界中で膨大な量の個人情報を握るようになったGoogle、Apple、Facebook、Amazon。この4社をひっくるめて何と呼ぶのか。日本のメディアは4社の頭文字を並べた「GAFA」をよく使うけれど、実はこの言葉、英語のメディアではほとんど見かけない。 例えばこの4社のCEOが7月に米議会の公聴会にオンライン経由で出席し、独禁法違反疑惑を追及されたというニュース。「Big Tech CEOs questioned over antitrust concerns」というUSA TODAYの記事は、こんな風に伝えていた。 The big four tech CEOs whose companies dominate our daily lives came to Washington via teleconference Tuesday to testify bef
AWS IAM セキュア化の取り組み
鍵がいっぱいあるよこの記事は Eureka Advent Calendar 2021 の 13日目の記事です。 はじめにこんにちは、エウレカ SREチーム のハラダです! 2020年頃から今年にかけて、 エウレカのSREチームとSecurityチームではAWS IAMのセキュア化を注力ポイントのひとつとして、継続的に取り組んできました。 本記事では、その実践から学んできたIAM管理で守るべき大原則および、具体的にどうやってセキュアな理想像に近づけてきたか、今後の方向性などを話したいと思います。 Why “IAM” so important ?そもそもなんでIAMが注力ポイントなの?と疑問に思われる方もいるでしょう。 クラウドの大きな強みである「すべてをAPI経由で操作できる」という性質ゆえに、IAMは大きなAttack Surfaceでもあります。 Gartner社の予測によると、2023
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
フリーWi-Fiを使ったら秘密情報を抜かれる経路にはどのようなものがあるか - Qiita
牧歌的 Cookie の終焉 | blog.jxck.io
英語の発音について概説する - Amosapientiam
『山で熊に襲われました。』 ~格闘&血だらけ逃走レポート~|トリカラ
自作サービスがDDoS攻撃された話 - 週休7日で働きたい
令和時代の API 実装のベースプラクティスと CSRF 対策 | blog.jxck.io
「令和に発売してたら怒られそうな曲」に先にキレました - kansou
DNSリバインディング(DNS Rebinding)対策総まとめ
この20年間で再評価された90年代のアルバムって何?|hashimotosan
フリーWi-Fiを使ったら秘密情報を抜かれる経路にはどのようなものがあるか - Qiita
攻撃して学ぶJWT【ハンズオンあり】 - Money Forward Developers Blog
[書評] ハッキングAPI ―Web APIを攻撃から守るためのテスト技法
Ubuntu 22.04 LTS サーバ構築手順書
ラップ超難曲で「NHKのど自慢」優勝 SOUL'd OUT歌唱男性が話題...本人驚き「ネタ枠だと思っていた」
最短経路問題総特集!!!~BFSから拡張ダイクストラまで~ - Qiita
Linux が動作する RISC-V CPU を自作した (2019 年度 CPU 実験 余興)
DNSpooqの脆弱性詳細と攻撃コード解説 - knqyf263's blog
タイムスタンプの再発見と「いわゆるブロックチェーン」
2023年冬アニメが不作とか言われてたので「それは違うだろ~」と感想を書いてみる。
MFA(多要素認証)を突破するフィッシング攻撃の調査 | セキュリティ研究センターブログ