IETFに『Secure shell over HTTP/3 connections』という提案仕様が提出されています。 これは、HTTP/3コネクション上でSSHを実行するプロトコルを定義しています。なお、"SSH3"という名称を仕様中で使用していますが、あくまで提案段階ですので今後変わる可能性もあります。 SSH3ではHTTP/3を使うことにより以下の特徴を持ちます QUICのメリットが享受できる(例えばIPアドレスが変わってもコネクションを維持できる) HTTPの認証方式をサポートする(Basic認証、OAuth 2.0、Signature HTTP Authentication Scheme) SSH通信の秘匿 (第三者からするとただのHTTP通信にみえる) エンドポイントの秘匿 (Signature HTTP Authentication Schemeを使うことで、そこでサービス
GitHub - modelcontextprotocol/servers: Model Context Protocol Servers
Official integrations are maintained by companies building production ready MCP servers for their platforms. 21st.dev Magic - Create crafted UI components inspired by the best 21st.dev design engineers. ActionKit by Paragon - Connect to 130+ SaaS integrations (e.g. Slack, Salesforce, Gmail) with Paragon’s ActionKit API. Adfin - The only platform you need to get paid - all payments in one place, in
DMARCレポートの可視化ダッシュボードを作りました - LIVESENSE ENGINEER BLOG
はじめに そもそもDMARCって何? Googleの発表によってDMARC対応が必要に SaaSの検討 OSSの検討・選定 構成 動作 GmailからGoogle Driveへ格納する XMLをパースしてOpenSearchに格納する Google Driveからコンテナ内にダウンロードする パースと格納 可視化 苦労した点 Gmailの仕様とparsedmarcの相性が悪い OpenSearch突然データが全部消えた 作ってみてよかったこと 今後の運用 はじめに インフラGの鈴木です。ガールズケイリンアニメことリンカイ!の放映が近くなってきましたね。 最近小倉にギャンブル旅行にいったのですが、北九州競輪には等身大パネルがありました。本気(マジ)度が伝わってきます。アニメの放映日が楽しみです。 ところで、今回はDMARCの可視化基盤を作った話をします。なかなか大変1でしたので、共有したいと
PacketProxyで探るGemini CLIのコンテキストエンジニアリング 〜AIエージェントを信頼できる相棒に〜 | BLOG - DeNA Engineering
2025.07.18 技術記事 PacketProxyで探るGemini CLIのコンテキストエンジニアリング 〜AIエージェントを信頼できる相棒に〜 by akira.kuroiwa #gemini-cli #ai #security #aiエージェント #コンテキストエンジニアリング #packetproxy 「なんかよく分からないけど、すごい」で終わらせないために こんにちは、DeNA セキュリティ技術グループの 黒岩 亮 ( @kakira9618 ) です。 AIエージェント、とくに Gemini CLI のようなコーディングを支援してくれるツールは非常に強力で、私たちの開発体験を大きく変えようとしています。しかし、その一方で、こんな風に感じたことはありませんか? 「このファイルの情報、勝手にAIに送られたりしない? 大丈夫かな?」 と、情報管理・セキュリティ面で漠然とした不安を
情報発信に便利で軽量なActivityPubサーバー「Takahē」[後編] ~基本的なアーキテクチャと特徴的なコンポーネントの紹介と、サーバーの構築方法 前編では、ActivityPub/FediverseサーバーTakahē(タカヘー)の特徴(特に、他のActivityPubサーバーでサポートされていないマルチドメインサポート)と、クライアントアプリElkとともに使用する方法について紹介しました。 後編の記事では、Takahēサーバーの基本的なアーキテクチャや、Takahēの特徴的なコンポーネント、内部で使われている面白いライブラリなどを紹介します。記事の最後では、docker-composeを使って実際にTakahēサーバーをコンテナで起動し、手元で試してみます。 Takaheの基本的なアーキテクチャ Takahēは、主に3つのコンポーネントから作られています。メインのTakah
![情報発信に便利で軽量なActivityPubサーバー「Takahē」[後編] ~基本的なアーキテクチャと特徴的なコンポーネントの紹介と、サーバーの構築方法 | gihyo.jp](https://cdn-ak-scissors.b.st-hatena.com/image/square/093b16e36a0f1a3fecd8f47af27237eab149c802/height=288;version=1;width=512/https%3A%2F%2Fgihyo.jp%2Fassets%2Fimages%2Farticle%2F2023%2F09%2Ftakahe-02%2Fogp-02.png)
Nginx, a versatile web server pivotal to numerous internet infrastructures, has held a dominant market share since its inception in 2004, with widespread adoption across websites and Docker containers. This article delves into the intricacies of Nginx, focusing on the location and alias directives that are central to how Nginx handles specific URLs. We also explore potential vulnerabilities arisin
GitHub - octelium/octelium: A next-gen FOSS self-hosted unified zero trust secure access platform that can operate as a remote access VPN, a ZTNA/BeyondCorp architecture, API/AI gateway, a PaaS, an infrastructure for MCP & A2A architectures or even as an
Octelium is a free and open source, self-hosted, unified platform for zero trust resource access that is primarily meant to be a modern alternative to remote access VPNs and similar tools. It is built to be generic enough to operate as a zero-config remote access VPN (i.e. alternative to OpenVPN Access Server, Twingate, Tailscale, etc...), a ZTNA platform (i.e. alternative to Cloudflare Access, Te
環境 第1章 Deviseをはじめよう 001 Deviseを使ってみよう 002 ヘルパーを使ってみよう 第2章 モジュールを使う 003 モジュールとは? モジュールの種類 モジュールのカラム モジュールのルーティング モジュールのコントローラーとビュー モジュールのメソッド モジュールのメール送信 モジュールの設定 004 Registerableモジュール コントローラーとルーティング 設定 参考 005 Database Authenticatableモジュール コントローラーとルーティング カラム 設定 メソッド メール 参考 006 Rememberableモジュール カラム 設定 メソッド 参考 007 Recoverableモジュール コントローラーとルーティング カラム 設定 メソッド メール 参考 008 Validatableモジュール バリデーション項目 設定 参
こんにちは。メルカリのweb platformチームの@urahiroshiです。 この記事は、Mercari Advent Calendar 2021 の9日目の記事です。 今回は、メルカリWeb版のアプリケーションの開発に利用している検証環境の実現方法について記載します。 メルカリWeb版の開発では、フロントエンドアプリケーションのリポジトリに対してPull Requestを作成すると、そのコードベースの検証環境(以下ではPR環境と記載します)が自動で構築され、変更箇所に対するマニュアルテストや自動テストに利用されています。 ステージング環境やInternalリリース(https://engineering.mercari.com/blog/entry/2019-10-30-105936/ に記載しているTrialリリースに相当します)を用いた本番環境でのテストも実施しているのですが、
こんにちは、Google Cloud でプリセールスエンジニアをしている有賀です。 TL; DR表題に関して、いい感じの方法はありません 😥強いて言えば(VM なりサーバーレスサービスなりで作った)プロキシを使うことで実現できますロードバランサーへのアクセス自体も制限してよければ VPC Service Controls も選択肢に入ります目次問題定義Compute Engine、Cloud Run などをプロキシにした IAM アカウントベースのアクセス制限Cloud Storage 閲覧用サービスアカウントの作成Cloud Storage バケットとオブジェクトの用意ファイアウォール ルールでロードバランサーからの VM へのアクセスを許可gcsfuse を使う方法NGINX をプロキシとして使う方法gcs-proxy-cloud-run を使う方法Envoy Proxy を使う方法
Resecurity | EvilProxy Phishing-as-a-Service with MFA Bypass Emerged in Dark Web
Back EvilProxy Phishing-as-a-Service with MFA Bypass Emerged in Dark Web Cybercrime Intelligence 5 Sep 2022 MFA, Dark Web, Phishing, PhaaS, ATO, BEC, PyPi, supply chain Following the recent Twilio hack leading to the leakage of 2FA (OTP) codes, cybercriminals continue to upgrade their attack arsenal to orchestrate advanced phishing campaigns targeting users worldwide. Resecurity has recently ident
概要 テレワークが良い感じに流行ってきて、社内のユーザしか繋げないような社内ツールのアクセス管理ってみなさんどうされてる感じでしょうか。 多少大きな会社とかだと、業務ネットワークから出て行くIPアドレスが固定されていて、そのアドレスでしか繋げないようにして、アクセス制限をよろしくやったりすると思います。ただ、テレワークで家とか公衆無線LANみたいないろんな経路からアクセスするとなるとそうはいかなくて、VPNを構築したり、場合によっては諦めてBasic認証で開けてしまうとかあると思います。 問題もあってIPアドレス制限だと経路が複数あると管理が大変、VPNだと接続をするのが面倒、Basic認証は認証情報使い回しがち...みたいなちょっとずつ困ったなぁみたいなことあると思います。 このとき、GCPだったりするとサービスを構築しているとCloudIAPというサービスで良い感じに認証してProxy
1. はじめに こんにちは、morioka12 です。 本稿では、CTFtime のイベントに記載されている2021年に開催された CTF のイベントで、Cloud に関する問題をピックアップして攻撃手法やセキュリティ視点での特徴について紹介します。 また、同様に Hack The Box の Lab で Cloud に関する問題は、以下のブログで紹介しているので、良ければこちらもご覧ください。 scgajge12.hatenablog.com 1. はじめに 1.1 調査対象 1.2 Public Cloud Service 2. AWS (Amazon Web Services) 2.1 Amazon EC2 (Amazon Elastic Compute Cloud) 問題1 CTF event (writeup) reference 2.2 Amazon S3 (Amazon Si
Noble Numbat Release Notes Table of Contents Introduction New features in 24.04 LTS Known Issues Official flavours More information Introduction These release notes for Ubuntu 24.04 LTS (Noble Numbat) provide an overview of the release and document the known issues with Ubuntu and its flavours. For details of the changes applied since 24.04, please see the 24.04.2 change summary. Support lifespan
The Model Context Protocol (MCP) is gaining traction as a mechanism to connect Large Language Models (LLMs), like GPT, Gemini, or Claude, to external tools and APIs in a standardized, secure, and reusable way. What is MCP?Think of MCP as a universal translation layer that offers APIs to LLMs in the form of tools/functions. Although LLMs excel at language, they don't natively understand the specifi
GitHub - taishi-i/awesome-ChatGPT-repositories: A curated list of resources dedicated to open source GitHub repositories related to ChatGPT and OpenAI API
awesome-chatgpt-api - Curated list of apps and tools that not only use the new ChatGPT API, but also allow users to configure their own API keys, enabling free and on-demand usage of their own quota. awesome-chatgpt-prompts - This repo includes ChatGPT prompt curation to use ChatGPT better. awesome-chatgpt - Curated list of awesome tools, demos, docs for ChatGPT and GPT-3 awesome-totally-open-chat
GitHub - go-pkgz/auth: Authenticator via oauth2, direct, email and telegram
This library provides "social login" with Github, Google, Facebook, Microsoft, Twitter, Yandex, Battle.net, Apple, Patreon, Discord and Telegram as well as custom auth providers and email verification. Multiple oauth2 providers can be used at the same time Special dev provider allows local testing and development JWT stored in a secure cookie with XSRF protection. Cookies can be session-only Minim
こんにちは。あなただけの彦星になりたい、鹿児島が生んだ三大Hikoの一人、和彦こと、P山 です。 今日はデータ基盤チームで利用しているワークフロー管理プラットフォームのApache Airflow(以降Airflow) で利用しているDAGのCI環境をクラウドネイティブな技術を利用して、リニューアルした実装を紹介します。 DAGというのは Directed Acyclic Graph の略で有向非巡回グラフと訳されます。Airflowではそれぞれのタスクをまとめたものを1つのDAGとして定義します。 多くの方になじみのない言葉でしょうから、この記事内においては「プログラムコード」と脳内変換していただければ読みやすいです。 リニューアル前 データ基盤チームではAirflowの実行基盤としてGCPのCloud Composer を利用しています。 自動テストを行うために、GitHub Acti
Taiga 30min Setup
This is the easiest and **recommended** way to run Taiga in production. This document explains how to deploy a full Taiga service for a production environment with **docker**. If you’re already using taiga-docker, follow this migration guide to use the new .env based deployment. Note: You can access the older docker installation guide for documentation purposes, intended just for earlier versions
[Public] Passkeys Hackathon Tokyo event report Please send any inquiry about this event or document to Eiji Kitamura (agektmr[at]google.com). This article was authored in collaboration with the staff members of the hackathon from FIDO Alliance (kokukuma, Kosuke Koiwai, Kento Goro, Kotaro Oi, Yoshinori Matumoto, Naoyuki Shiraishi, Hideaki Furukawa, Vaibhav Kumar and Koichi Moriyama). In June 2024,
Account hijacking using "dirty dancing" in sign-in OAuth-flows - Labs Detectify
Account hijacking using “dirty dancing” in sign-in OAuth-flows Combining response-type switching, invalid state and redirect-uri quirks using OAuth, with third-party javascript-inclusions has multiple vulnerable scenarios where authorization codes or tokens could leak to an attacker. This could be used in attacks for single-click account takeovers. Frans Rosén, Security Advisor at Detectify goes t
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
HTTP/3コネクション上でSSHを実行するSSH3プロトコル - ASnoKaze blog
情報発信に便利で軽量なActivityPubサーバー「Takahē」[後編] ~基本的なアーキテクチャと特徴的なコンポーネントの紹介と、サーバーの構築方法 | gihyo.jp
Hunting for Nginx Alias Traversals in the wild
Devise入門 64のレシピ - 猫Rails
メルカリWeb版のPull Request環境の構築方法について | メルカリエンジニアリング
Google Cloud Storage をロードバランサーのバックエンドにしつつ、直接はアクセスさせたくない場合
PomeriumをECS上に構築して社内ツールProxyを実現する
CTF Cloud 問題の攻撃手法まとめ(2021年版) - blog of morioka12
Ubuntu 24.04 LTS (Noble Numbat) Release Notes
An Introduction to MCP and Authorization | Auth0
ワークフロー管理プラットフォームのCI環境をクラウドネイティブへ - Pepabo Tech Portal
[Public] Passkeys Hackathon Tokyo 2024 event report