SPAのログイン認証のベストプラクティスがわからなかったのでわりと網羅的に研究してみた〜JWT or Session どっち？〜JavaScriptRailsJWT認証React SPAのログイン周りについて、「これがベストプラクティスだ！」という情報があまり見当たらないので、様々な可能性を模索してみました。 いろいろな状況が想定され、今回記載する内容に考慮の漏れや不備などがありましたら是非コメントでご指摘いただきたいです！特に「おすすめ度：○」と記載しているものに対しての批判をどしどしお待ちしております！ この記事でおすすめしているものであっても、ご自身の責任で十分な検討・検証の上で選択されてください。 前提 想定しているAPIは、 ログイン外のAPIにはPOST/PUT/DELETEのものがなく、GETのみ GETのAPIにはDBを更新するなどの操作がない とし、そのためログイン外では

pwa-auth in action: fast, frictionless successive sign-ins using new web APIsWe’re releasing pwa-auth, a new open source web component that lets your users sign-in through Microsoft, Google, Facebook, or Apple. Try it here. It’s modern: using new web APIs to speed through sign-in It’s flexible: using Web Components and CSS shadow parts so you can use it anywhere and customize it to your heart’s co

TL;DR iOS 12.2 の Update でジャイロがデフォルト Kill されていて、ユーザーが自ら設定を変えないと WebVR も WebAR も機能しないことへの言及を完全に忘れていた、ありとあらゆるユーザーにこの設定を変えてもらう所作を求めるのはなかなか厳しいから WebVR/AR を用いたマーケ施策ちょっと面倒になりそう pic.twitter.com/XR2YvaTkSa — いっこう / ikkou @4/20はxRTechTokyo (@ikkou) 2019年4月13日 更新履歴 2019/04/17 8th Wallの事例に見る対応方法を追記しました 2019/09/04 パブリックベータを見る限り iOS 13 でどのような状態になるか既にわかっていますが、例によって NDA の絡みがあるのでまだ具体的なことを Qiita に書けません。近々に控えているであろう

All slide content and descriptions are owned by their creators.

For #webpackaging_study Feb 23, 2018 https://web-study.connpass.com/event/78978/Read less

Intro 以前、本ブログでも紹介した Foreign Fetch が、仕様から削除される方向で進んでいる。 Foreign Fetch による Micro Service Workers | blog.jxck.io これは、 Safari などが進めている Cookie の double keying が影響しているらしいので、現状についてまとめる。 Foreign Fetch Foreign Fetch は、簡単に言えば 3rd Party Origin の Service Worker が、その Origin に向けた Fetch をハンドルできるようにするという仕様である。 これによって、 Origin 単位での Service Worker の責務が分離できるため、以下のような設計が期待できた。 サブドメインごとに SW の責務を分離でき、更新などのライフライクルを変えられる

ここまでガバガバなサービスも珍しいですね… 【2018/02/01 20:47 追記】Osushi公式アカウントからメンテナンス・改修に関する公式なツイートがなされたため追加しました。 【2018/03/07 16:36 追記】Osushiがリニューアルされてサービスを再開しました。このまとめで指摘されているような問題点がほぼ全て修正されており、法的に問題がなければ期待できそうです。

2. アジェンダ • 最近の侵入事件に学ぶ – メルカリ CDNキャッシュからの情報漏えい – WordPress REST API の脆弱性 – GMOペイメントゲートウェイのクレジットカート情報漏洩事件 – 日本テレビの侵入事件 – パイプドビッツ WebDAVの設定不備による情報漏洩 – イプサ クレジットカード情報漏洩事件 • まとめ Copyright © 2012-2017 EG Secure Solutions Inc. 2 3. 徳丸浩の自己紹介 • 経歴 – 1985年 京セラ株式会社入社 – 1995年 京セラコミュニケーションシステム株式会社(KCCS)に出向・転籍 – 2008年 KCCS退職、HASHコンサルティング株式会社（現EGセキュアソリューションズ株式会社）設立 • 経験したこと – 京セラ入社当時はCAD、計算幾何学、数値シミュレーションなどを担当 –

CSRF, HTML Form Protocol Attack, Cross-protocol scripting attackについて

本日コーポレートサイトでお知らせした通り、Web版のメルカリにおいて一部のお客さまの個人情報が他者から閲覧できる状態になっていたことが判明しました。原因はすでに判明して修正が完了しております。また、個人情報を閲覧された可能性のあるお客さまには、メルカリ事務局より、メルカリ内の個別メッセージにてご連絡させていただきました。 お客さまの大切な個人情報をお預かりしているにも関わらず、このような事態に至り、深くお詫びを申し上げます。 本エントリでは技術的観点から詳細をお伝えさせていただきます。 2017年6月27日　CDNのキャッシュの動作について、CDNプロバイダと仕様について確認し検証を行いました。その結果一部記述に実際と異なる箇所があり、加筆修正いたしました。 概要 メルカリWeb版のコンテンツキャッシュをしているCDNのプロバイダ切り替えを行いました。 その際本来キャッシュされるべきでない