すぐに役に立つものはすぐに陳腐化してしまうから方法ではなく設計の本を読む - API Design Patterns の読書感想文 - じゃあ、おうちで学べる
あなたがさっきまで読んでいた技術的に役立つ記事は、10年後も使えるでしょうか。ほとんどの場合でいいえ この問いに真正面から殴られたのは数か月前、リリース前夜の「とりあえずこれで走らせよう」が翌朝に別サービスを巻き込む事故になったときでした。Slackで「なんで昨日の変更でメトリクスが暴れてるのか」と聞かれ、胃がキリキリしたまま休日をつぶす羽目に。目先のテクニックだけで乗り切った仕事は、想像より早く自分を噛みに来る。だから設計そのものの筋肉を付けたい、という切実さを忘れないうちに本を開きました。 ただし、先に言っておきます。Design Patternsは設計そのものではありません。 パターンを知っているだけで良い設計ができるわけではない。10年前の「RESTが正義」という原則は、GraphQLやgRPCによって相対化されました。原則も陳腐化します。それでも原則を学ぶ価値があるとすれば、「不
はじめに 対象イベント 読み方、使い方 Remote Code Execution(RCE) 親ディレクトリ指定によるopen_basedirのバイパス PHP-FPMのTCPソケット接続によるopen_basedirとdisable_functionsのバイパス JavaのRuntime.execでシェルを実行 Cross-Site Scripting(XSS) nginx環境でHTTPステータスコードが操作できる場合にCSPヘッダーを無効化 GoogleのClosureLibraryサニタイザーのXSS脆弱性 WebのProxy機能を介したService Workerの登録 括弧を使わないXSS /記号を使用せずに遷移先URLを指定 SOME(Same Origin Method Execution)を利用してdocument.writeを順次実行 SQL Injection MySQ
防衛省サイバーコンテスト 2025 writeup - st98 の日記帳 - コピー
2/2に12時間というちょうどよい競技時間で開催された。21時終了だったけれども、11時45分ぐらいに最速で全完して1位🎉 第1回以来4年ぶりの優勝だ。昨年大会の第4回ではヒントの閲覧数で優勝を逃してしまって悔しい思いをしたので、雪辱を果たすことができ嬉しい。開始直後からずっと1位を独走できており、510名のプレイヤーがいる中で圧勝だったのも嬉しい。 昨年度や一昨年度はバルクが作問を担当していたが、今回はAGESTが担当していた。これまでの問題と比較すると全体的に易化したように思うが、解くにあたって発想の大きな飛躍を必要とするいわゆる「エスパー要素」のある問題はごく一部を除いて存在しておらず*1、よかったと思う。また、昨年度・一昨年度に引き続きwriteupは公開可能というのもよかった。 戦略というほどの戦略は立てていなかったけれども、とりあえずWebを見た後は全カテゴリを上から見ていき
KeyTrap (CVE-2023-50387)を検証してみた - knqyf263's blog
DNSは趣味でやっているだけですし有識者のレビューを経ているわけでもないので誤りを含むかもしれませんが、DNS界隈には優しい人しかいないのできっと丁寧に指摘してくれるはずです。 追記:めちゃくちゃ丁寧にレビューしていただいたので修正いたしました。森下さんほどの方に細かく見ていただいて恐れ多いです...(学生時代に某幅広合宿で森下さんの発表を見てDNSセキュリティに興味を持った) 4万文字を超える大作、おつかれさまです。わかりやすく書けていると思いました。 ざっと読んで、コメントしてみました。ご参考まで。https://t.co/bVj5WeFHQr https://t.co/ku5NOx6ua8— Yasuhiro Morishita (@OrangeMorishita) 2024年2月19日 要約 背景 詳細 DNSSECとは? DNSSECの可用性 鍵タグの衝突 攻撃内容 SigJam
優秀と噂なCohere社のCommand R+でRAGチャットボットを簡単に構築して体験しよう! - Qiita
1. はじめに Cohere社が最近リリースしたLLMのCommand R+がGPT4に迫る性能を発揮していたり、RAG利用での性能で話題となっています。 そのCommand R+でRAGを体験できるチャットアプリの実装がLightningAIにてチュートリアルが公開されています。 これを身近な環境で動かしてみたいと思います。 このチャットボットでCohere社の以下のモデルが使われています LLM: Command R+ Embed: embed-english-v3.0 / embed-multilingual-v3.0 Reranker: rerank-english-v3.0 / rerank-multilingual-v3.0 以下の動画のようにブラウザでPDFファイルをアップロードしてチャットで問い合わせができます。 2. 必要なもの 以下の2つを準備しましょう。 Cohere
[PG] 縮めるだけじゃダメ [PG] 暗算でもできるけど? [PG] formjacking [PG] loop in loop [NW] 頭が肝心です [NW] 3 Way Handshake? [NW] さあ得点は? [NW] decode [WE] 簡単には見せません [WE] 試練を乗り越えろ! [WE] 直してる最中なんです [WE] 直接聞いてみたら? [WE] 整列! [CY] エンコード方法は一つじゃない [CY] File Integrity of Long Hash [CY] Equation of ECC [CY] PeakeyEncode [FR] 露出禁止! [FR] 成功の証 [FR] 犯人はこの中にいる! [FR] chemistry [FR] InSecureApk [PW] CVE-2014-7169他 [PW] 認可は認証の後 [PW] formerL
CTO室SREの @sinsoku です。 ドキュメントをテックブログとして書いておくと一石二鳥なことに気づいたので、ここに書きます。 GitHub Appsが必要なユースケース GitHub Actions で使用できる secrets.GITHUB_TOKEN には以下の制限があります。 secrets.GITHUB_TOKEN を使用した操作では新しいワークフローが実行されません Actions で作成したプルリクで Actions のテストが動かない 他リポジトリのコードを参照できません プライベートリポジトリのgemやnpmの取得ができない この問題を回避するため、GitHub Appsで一時的なアクセストークンを生成して使用します。 なぜ Personal Access Token(PAT)を使うべきではないか? PATを使用することは以下の理由から推奨していません。 PATを
Deno標準モジュール解説[前編] ~Deno標準モジュールの概要と、モジュール解説(Archive~FMT) Deno標準モジュールを、前編と後編の2回に分けて解説します。本記事は前編です(後編はこちら)。 はじめに Deno標準モジュールはDenoコアチームによって開発・メンテナンスされているモジュール群です。Denoを使って様々なプログラムを作成する上で必要となる基本的な機能を提供しています。 標準モジュールを使う際には以下の例のようにhttps://deno.land/std名前空間から必要な機能をインポートして使います。たとえば、HTTPサーバーを使用する例は以下のようになります。 import { serve } from "https://deno.land/std@0.170.0/http/server.ts"; serve(() => new Response("he
![Deno標準モジュール解説[前編] ~Deno標準モジュールの概要と、モジュール解説(Archive~FMT) | gihyo.jp](https://cdn-ak-scissors.b.st-hatena.com/image/square/1274a9a43757d82466f2e50254ebdf5a7b7665d3/backend=imagemagick;height=288;version=1;width=512/https%3A%2F%2Fgihyo.jp%2Fassets%2Fimages%2FICON%2F2023%2F2017_deno-standard-modules-01.png)
Agent Skills対応Agentを作ろう|はち
1. はじめに2025年末にAnthropicがAgent Skillsという機能をオープンスタンダード化し、Xなどでもよく話題になっていると思います。MCP然りでAnthropicはこういったスタンダード化をするのが上手いなと感心させられます。 色々議論されていると思いますが、Agentの開発を行っている私的にAgent Skillsのメリットは以下の2点だと考えています。 再利用性:1度作ったSkillを別エージェントでも使いやすい。 段階的開示(progressive disclosure):そのSkillが必要になったときだけその詳細やスクリプトについてAgentが読み込むことができる。(プロンプトの圧縮につながる。) AnthropicとしてはあくまでClaude CodeやClaude APIでできることを増やしたいがためのオープンスタンダード化ということなのか、自作Agent
はじめに Web開発やスマホアプリ開発をしていると、様々な"変換作業"や"ちょっとした処理"が必要となりますよね? Base64エンコード/デコード、カラーコードの変換、日時フォーマットの変更、QRコード生成など、これらの作業をスッとできると、開発効率がちょっと良くなると思います。 それが、VS CodeのGitHub Copilotで「やりたいこと」を投げるだけで、ツールが自動選択され、結果が返ってくると便利かなーと思いました。 ただ、こういった "計算" や "変換" をAIにしてもらうのはまだ不安があるので、流行りのMCPを作ることにしました。 そんな思いからできたのが web-development-toolbox-mcp です。 このMCPサーバーの紹介と、MCPサーバー作るときのTipsなどを書き残しておきます。 提供機能 このツールボックスには以下の機能が実装されています:
2025.11.19 の AWS CLI のアップデートで aws login というコマンドが追加された。 Simplified developer access to AWS with ‘aws login’ | AWS Security Blog Login for AWS local development using console credentials - AWS Command Line Interface ブラウザでログインしている AWS マネジメントコンソールのセッションから CLI の一時クレデンシャルを直接取得する機能を提供する。 その他、認証情報をキャッシュしたり、profile 切り替えをサポートしたり、リモート環境向けの拡張などが含まれている。 正直、過剰な機能なども存在しており、単に AWS マネジメントコンソールのセッションを CLI で使いたいだけの用
Introducing Amazon Nova foundation models: Frontier intelligence and industry leading price performance | Amazon Web Services
AWS News Blog Introducing Amazon Nova foundation models: Frontier intelligence and industry leading price performance April 23, 2025: Post updated to include benchmark evaluations for the understanding models at the time of launch. Today, we’re thrilled to announce Amazon Nova, a new generation of state-of-the-art foundation models (FMs) that deliver frontier intelligence and industry leading pric
Introducing default data integrity protections for new objects in Amazon S3 | Amazon Web Services
AWS News Blog Introducing default data integrity protections for new objects in Amazon S3 Update on December 2, 2024: Updated SDKs with default integrity protections will be available in the coming weeks. At Amazon Web Services (AWS), the vast majority of new capabilities are driven by your direct feedback. Two years ago, Jeff announced additional checksum algorithms and the optional client-side c
Shai Hulud Strikes Again (v2)Another wave of Shai-Hulud campaign has hit npm with more than 500 packages and 700+ versions affected. Update: November 26, 2025 PostHog has published a detailed post mortem describing how one of its GitHub Actions workflows was abused as an initial access vector for Shai Hulud v2. An attacker briefly opened a pull request that modified a script executed via pull_requ
Microsoft Office files (and other file types commonly used for delivering malware, including binary files, documents, scripts, and archives) are supported in Intezer for both on-demand sandboxing and automated alert triage. Phishing attacks are one of the three primary ways attackers get access to organizations according to Verizon’s 2023 Data Breach Investigations Report… and many phishing attack
We hacked Google’s A.I Gemini and leaked its source code (at least some part)
We hacked Google’s A.I Gemini and leaked its source code (at least some part) Mar 27, 2025 RONI CARTA | LUPIN gemini, llm, google, source code, leak, bug bounty, hack Back to Vegas, and This Time, We Brought Home the MVH Award ! In 2024 we released the blog post We Hacked Google A.I. for $50,000, where we traveled in 2023 to Las Vegas with Joseph "rez0" Thacker, Justin "Rhynorater" Gardner, and my
Secure Payment Confirmation
Secure Payment Confirmation W3C Candidate Recommendation Draft, 14 August 2025 More details about this document This version: https://www.w3.org/TR/2025/CRD-secure-payment-confirmation-20250814/ Latest published version: https://www.w3.org/TR/secure-payment-confirmation/ Editor's Draft: https://w3c.github.io/secure-payment-confirmation/ Previous Versions: https://www.w3.org/TR/2025/CRD-secure-paym
Exploiting Authentication in AWS IAM Authenticator for Kubernetes
Exploiting Authentication in AWS IAM Authenticator for Kubernetes Amazon Elastic Kubernetes Service (Amazon EKS) is a managed service that helps you to create, operate, and maintain Kubernetes clusters. Amazon EKS has several deployment options including AWS cloud and on-premises (Amazon EKS Anywhere). Amazon EKS uses IAM to provide authentication to the cluster through the AWS IAM Authenticator f
Large Text Compression Benchmark Matt Mahoney Last update: Mar. 25, 2026. history This competition ranks lossless data compression programs by the compressed size (including the size of the decompression program) of the first 109 bytes of the XML text dump of the English version of Wikipedia on Mar. 3, 2006. About the test data. The goal of this benchmark is not to find the best overall compress
I'm working on a flowchart editor that runs in the browser, and I wanted a way for people to use it without having to sign in, or store any data on our server. I wanted to give them control over their data and to be able to store it locally to open and edit later. And also easily share it with other people. It's easy to do this by supporting file upload/download, but I wanted something simpler, li
FoggyWeb: Targeted NOBELIUM malware leads to persistent backdoor | Microsoft Security Blog
Microsoft continues to work with partners and customers to track and expand our knowledge of the threat actor we refer to as NOBELIUM, the actor behind the SUNBURST backdoor, TEARDROP malware, and related components. As we stated before, we suspect that NOBELIUM can draw from significant operational resources often showcased in their campaigns, including custom-built malware and tools. In March 20
ブラウザ操作系のAIエージェントが複数出てきたので、実装方法と動作の振る舞いを比較してみました。 computer-useについて ※紹介するのはAzureから提供されているcomputer-useモデルです。 2025年3月に登場した新しい生成AIモデルで、視覚要素を解釈し、画面上のコンテンツに基づいてアクションを実行するAIエージェントです。 このモデル単体で動くわけではなくて、Response APIを使用します。 ユーザーからの指示とスクリーンショットをcomputer-useに送信することで、取るべき「アクション」を推論し返却してきます。 そのアクションをコード上でPlaywrightを使って実行することで、ブラウザを操作します。 computer-useモデルがアクションまで全てを行うわけではなくて、アクション自体の実行はエンジニアがコードで定義しないといけない点が注意です。
文字起こしAI Whisperモデルの更なる活用形 ~ 「負の遺産」とならないために | IIJ Engineers Blog
フロントエンド部分はPHP、バックエンドはPythonで構成していますが、これとは別にジョブスケジューリングにはSlurm Workload Managerを活用しています。 SlurmはGPU排他制御で必要になってくるもので、これによりそれぞれ実行された履歴はジョブとして管理することができる点がうれしいポイントです。 内部で動作するモデルはOpenAI/Whisperです。Whisperがリリースされたときは大変な盛り上がりを見せてたなぁというのをいまだ覚えてまして、このモデルに私もかじりついて一生懸命内部構造を調べてたりしたなーと。 今やすっかりクローズなイメージが固定してしまったOpenAIですが、当時はその境目の時代ということもあり、DALL-E2で使われてたCLIPや書き起こしモデルWhisperはオープンモデルとして、かの有名なGPT-3や画像生成モデル本体であるDALL-E2
Investigating a backdoored PyPi package targeting FastAPI applications | Datadog Security Labs
Introduction FastAPI is a highly popular Python web framework. On November 23rd, 2022, the Datadog Security Labs team identified a third-party utility Python package on PyPI related to FastAPI, fastapi-toolkit, that has been backdoored by a malicious actor. The attacker inserted a backdoor in the package, adding a FastAPI route allowing a remote attacker to execute arbitrary python code and SQL qu
Announcing three new capabilities for the Claude 3.5 model family in Amazon Bedrock | Amazon Web Services
AWS News Blog Announcing three new capabilities for the Claude 3.5 model family in Amazon Bedrock November 4, 2024: Anthropic’s Claude 3.5 Haiku was announced as “coming soon” when this article originally published. It became available in Amazon Bedrock on Nov. 4. Four months ago, we introduced Anthropic’s Claude 3.5 in Amazon Bedrock, raising the industry bar for AI model intelligence while maint
GitHub - ComfyUI-Workflow/awesome-comfyui: A collection of awesome custom nodes for ComfyUI
ComfyUI-Gemini_Flash_2.0_Exp (⭐+172): A ComfyUI custom node that integrates Google's Gemini Flash 2.0 Experimental model, enabling multimodal analysis of text, images, video frames, and audio directly within ComfyUI workflows. ComfyUI-ACE_Plus (⭐+115): Custom nodes for various visual generation and editing tasks using ACE_Plus FFT Model. ComfyUI-Manager (⭐+113): ComfyUI-Manager itself is also a cu
Pythonだけでフロントエンド経験ゼロから爆速でGUIアプリケーションを構築する【Flet】 - アダコテック技術ブログ
こんにちは!AIエンジニア兼バックエンドエンジニア兼プロダクトオーナーを担当している植草です! 突然ですが、皆さんPython使っていますか?画像処理や機械学習を実装する場合、ライブラリが充実しているPythonはサクッと実装できて便利ですよね。Pythonだけで良い感じのGUIを構築できる Flet を紹介します! 3行で FletはPythonでイケてるGUIを手軽に作成できるライブラリだよ Pythonなので、潤沢な機械学習や画像処理のライブラリの恩恵をフルに得られるよ FletとRembgというライブラリを使ってAI(学習済みモデル)を用いた簡単なGUIアプリを作る例を紹介するよ はじめに: Fletとは? flet.dev FletはPythonでGUIを構築できるライブラリです。私が触ったことのあるライブラリは PySimpleGUI Streamlit Flet の3種ですが
[SWIFT] When I renew the certificate with CircleCI × fastlane, I get an exit status: 65 error.
[SWIFT] When I renew the certificate with CircleCI × fastlane, I get an exit status: 65 error. Background At the current site, circleCI moves at the timing when it is committed to the develop branch, Fastlane moves, and it is uploaded to deployGate. When I renewed the certificate, for some reason fastlane crashed with ʻExit status: 65`. When I sshed to CircleCI and looked at the log, it seemed tha
What’s New In Python 3.13
What’s New In Python 3.13¶ Editors: Adam Turner and Thomas Wouters This article explains the new features in Python 3.13, compared to 3.12. Python 3.13 was released on October 7, 2024. For full details, see the changelog. Summary – Release Highlights¶ Python 3.13 is a stable release of the Python programming language, with a mix of changes to the language, the implementation and the standard libra
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
【2020年】CTF Web問題の攻撃手法まとめ - こんとろーるしーこんとろーるぶい
防衛省サイバーコンテスト 2025 Writeup - はまやんはまやんはまやん
GitHub Appsの作成とOrgへの所有権の委譲手順 - メドピア開発者ブログ
Deno標準モジュール解説[前編] ~Deno標準モジュールの概要と、モジュール解説(Archive~FMT) | gihyo.jp
Web開発者のための便利ツールを集めたMCPサーバーを作って公開した
AWS CLI に追加された aws login コマンドを読み解いて最小機能を抜き出す
Shai Hulud Strikes Again (v2) - Socket
How to Analyze Malicious Microsoft Office Files
Large Text Compression Benchmark
How to store your app's entire state in the url
Computer-useとBrowser-useとPlaywright-MCPを比較