x-runtime は消すべきなのか - Qiita
Rails などの WAF の中にはサーバでの処理時間を x-runtime ヘッダとしてクライアントに返すものがありますが、セキュリティ上の観点から x-runtime ヘッダを消すことを奨励していることも多いです。それはなぜでしょうか。 Nginxでレスポンスヘッダの一部を隠蔽する方法 - Qiita Nginxセキュリティ設定 - Qiita Timing Attack なぜ x-runtime を消すのか。逆にいえば x-runtime を残すとどういうセキュリティ上のリスクがあるのか。 参照した記事に説明がないので推測でしかありませんが、 x-runtime を使って Timing Attack が可能になることを根拠にしているように思います。 Timing Attack とはサイドチャネル攻撃の一種で、 x-runtime の値をヒントにしてサーバ内のセキュアな情報を盗むことが
ウェブ制作の面倒をズバリ解決!オススメChrome拡張機能23個まとめ
ウェブサイトやグラフィック制作をより快適にし、生産性をアップさせてくれるChrome拡張機能をまとめてご紹介します。ウェブ制作に携わる、すべての人にオススメです。 便利なオンラインツールを一緒に活用して、自分だけの爆速Web制作スタイルを目指しませんか。 What Font ウェブサイトで使われている、フォントの種類を知りたいと思ったことはないでしょうか。これまではFirebug や Webkitなどを利用していましたが、What Font を使えば、気になる書体をマウスクリックするだけで確認できる、シンプルさが便利なツール。 Fontface Ninja Fontface Ninja は、ウェブサイトで使われているフォントをカーソルを合わせるだけで確認できるだけでなく、その場で購入までできます。ウェブデザイナーは持っておきたい拡張機能のひとつ。 Window Resizer Window
[53選]国内注目のWebサービス・アプリを大調査! プログラミング言語、フレームワーク、アーキテクチャの一覧【2017年】|ハイクラス転職・求人情報サイト AMBI(アンビ)
[53選]国内注目のWebサービス・アプリを大調査! プログラミング言語、フレームワーク、アーキテクチャの一覧【2017年】 星の数ほど存在するWebサービスやアプリ。その裏側を覗いてみると、開発当時のトレンドや開発者の設計思想が見えてきます。53サービスのフレームワークやアーキテクチャ、開発効率化ツールを集めました。 国内だけでも星の数ほど存在するWebサービスやアプリ。その裏側を覗いてみると、開発当時のトレンドや開発者の設計思想が見えてきます。 今回は53サービス(追記を含む)のフレームワークやアーキテクチャ、開発効率化ツールを集めました。選定理由もお答えいただけたサービスについては、アーキテクチャを選んだ理由も紹介していきます。 C2C、コマース メルカリ、ココナラ、BASE、Tokyo Otaku Mode、STORES.jp、Snapmart、IQON 情報サービス グノシー、価
![[53選]国内注目のWebサービス・アプリを大調査! プログラミング言語、フレームワーク、アーキテクチャの一覧【2017年】|ハイクラス転職・求人情報サイト AMBI(アンビ)](https://cdn-ak-scissors.b.st-hatena.com/image/square/f07c10a17f0270380a44bd4cf15d1f085144b173/height=288;version=1;width=512/https%3A%2F%2Fen-ambi.com%2FimageFile%2Fuser%2Fglobal%2Fogp_01.png)
2017年のAPIの動向 | gihyo.jp
新年明けましておめでとうございます。zigorouです。 今回も昨年の特集に引き続き、2016年を振り返りながら2017年のAPIに関わる技術動向などを予想していきます。 サーバーレスとフルマネージドサービスの台頭 これまではオンプレミスの環境やAmazon Elastic Compute Cloud(EC2)を代表とする仮想サーバーやECS(EC2 Container Service)など、サービスの実行環境は少なからずインフラによる運用を意識した構成にすることがほとんどでした。しかし、AWS API Gateway+AWS Lambdaの組み合わせによるFunctions as a Service(FaaS)や、Google App EngineによるPlatform as a Service(PaaS)のようなフルマネージドサービスを使ったサーバーレスアーキテクチャが、現実のプロダク
TalkieのスライドをPDF化するツール作った - blog::wnotes.net
お世話になったお礼に ここ最近ちょろちょろを小さな勉強会で話をさせて頂く機会があり、かといってスライドに時間を割けなかったので、 サクッとHTMLでスライドを作るのに @ahomu氏のTalkieを使わせてもらっていました。 ahomu / Talkie これほんと便利。さっくりいい感じにスライドが作れる。しかもVimで。 でも、PDFでSlideShareにアップしたりするのにPDF化するツールがなかったようなので(以前はあったらしい)、何か貢献できたらなーってことで思いついてから一日でさっくり作った。あとElectron使ってみたかったのもある。できたのがこちら。 ysugimoto / resumify npmでインストールして、スライドのあるディレクトリ、またはどっかにアップしてるスライドのURLを指定してコマンド実行すると、Electronが起動してパシャパシャとスクリーンショッ
Talkie.js - Web Components Based Presentation Library
# Talkie.js Web Components Based Presentation Library Go to [repository](https://github.com/ahomu/Talkie) ## Feature - Markdown supported - Code highlighting - Responsive scaling - FullScreen mode - Vertical Scrolling - Progress indicator - Accessibility supported ## 機能 (Japanese) - Markdown 書けるよ (੭ु˵>ヮ<)੭ु⁾⁾ - ハイライトばっちり _:(°ω° 」∠):_ - レスポンシブだよ (^з^)-☆ - フルスクリーン対応 (。•̀ᴗ-)✧ - 縦方向にスクロールできるよ (*´▽`) -
Why Infield Top Aligned Form Labels Are Quickest to Scan
How easy is it for users to scan your form? If your form is hard to scan, it could take longer than expected for users to complete it. This leads to form abandonment and loss of potential sign ups. The way to avoid this is to make your fields quick to scan when users first see them and after they fill them out. Scanning Pre-fill & Post-fillWhen users first see a form, they scan it to size up the a
優れたフォームをデザインする
サインアップのフローであれ、マルチビュー・ステッパーであれ、ありきたりのデータ入力であれ、「フォーム」はデジタル・プロダクト・デザインにおいて最も気を遣わなければならないものの1つです。 そこで、今回は一般的にフォーム・デザインで何をやり、何をやらざるべきかについてお話したいと思います。あくまで一般的なガイドラインですので、そのようなものとしてご理解頂いた上で、皆さんの参考になれば幸いです。
複数の外部JSファイルを読み込む時の実行順序について|もっこりJavaScript|ANALOGIC(アナロジック)
検証概要 検証1:ネットワークからのレスポンス速度の違うJSファイルの実行タイミング 検証2:ファイルサイズの違うJSファイルの実行タイミング 検証3:外部JSファイル、インラインスクリプト、スクリプト以外のタグの混在時の実行順序 まとめ これまであまり意識してこなかったのですが、JavaScriptコードを外部ファイルとして作成し、それらのファイルをHTMLに読み込む際、外部ファイルに記述されたコードはいつどのようなタイミングで実行されるのか?と、ふと疑問に思いました。 大きなプロジェクトであればあるほど、肥大化したJavaScriptコードを機能毎に別ファイルに切り出し、体系的にJavaScriptコードを管理した方がメンテナンスもし易くなると思いますが、そいうったケースでは複数の外部JSファイルをHTMLファイル内に読み込むことになると思います。 そのような場合、JSファイル間で依存
How speeding up your mobile site can improve your bottom line
Marketing is at an inflection point. Here’s why that’s an opportunity
Cookie の仕様とセキュリティ | yunabe.jp
このドキュメントの目的は Cookie とは何かを一から説明することではないので、そもそも Cookie とは何で何に使えるのかといった話はWikipedia の Cookie の記事などを参考にして下さい。 ここでは Cookie がどういうものかは大体理解しているという前提で、仕様の確認をしていきます。 目次 Set-Cookie ヘッダを使って Cookie を保存する Cookie を参照する JavaScript を使って Cookie を保存・参照する Cookie の属性 domain 属性 path 属性 max-age と expire secure httponly その他 クッキーと port 番号 Cookie が絡むセキュリティ関係の問題 通信路上でのクッキーの漏洩 クロスサイトスクリプティング (Cross Site Scripting, XSS) Set-Co
選択子
W3Cの勧告候補平成13年11月13日 この版: http://www.w3.org/TR/2001/CR-css3-selectors-20011113 最新の版: http://www.w3.org/TR/css3-selectors 前の版: http://www.w3.org/TR/2001/WD-css3-selectors-20010126 編者: Daniel Glazman (Netscape/AOL) Tantek Çelik (Microsoft Corporation) Ian Hickson Peter Linss (former editor, formerly of Netscape/AOL) John Williams (former editor, Quark, Inc.) 摘要 CSS(段階スタイルシート)は、HTML及びXMLの文書の、画面上、紙面上、音
Shibuya.XSS techtalk #7 アウトラインメモ
Shibuya.XSS techtalk #7に参加してきたのでメモ 超絶技巧 CSRF - mala スライド: 超絶技巧CSRF / Shibuya.XSS techtalk #7 // Speaker Deck CSRFについて クロスサイトでリクエストを強制する脆弱性 書き込み パスワードの削除 未だによくある XSSは正しく書いていれば防げる CSRFは未だによくある CSRFは事後対処になりやすい 投票とか掲示板とか事後対処になりやすい リスクの高いCSRFの紹介 アカウント乗っ取り 危険なCSRF パスワードの変更 メールアドレスの変更 連携アカウント追加 OAuth2.0 + stateパラメータで防げる いろんなものにCSRFする JSONやXMLを送る form enctype=text/plainを使う CSRFでmemcached protocolとして解釈可能なも
Web API: The Good Partsを読んだので「レスポンスデータの設計」についてまとめた - Qiita
はじめに APIの勉強のために、Web API: The Good Partsを読みました。平易な日本語で書いてあるので、読みやすかったです。 とはいえ、何度も本を読み返すのは大変なので、自分用まとめも兼ねて書こうと思った次第です。 1個1個まとめていくと結構な量があるので今回は「レスポンスデータの設計」についてまとめました。 本でいうと3章に書いてあります。 この記事も参考に Web API: The Good Partsの他のまとめ記事もここに載せておきます。 2.2: Web API: The Good Partsを読んだので「良いURI」についてまとめた 2.6: Web API: The Good Partsを読んだので「OAuthの仕組み」についてまとめた 4章: Web API: The Good Partsを読んだので「HTTPの仕様」についてまとめた 5章: Web AP
Diagramly - Draw Diagrams Online
Flowchart Maker and Online Diagram Software draw.io is free online diagram software. You can use it as a flowchart maker, network diagram software, to create UML online, as an ER diagram tool, to design database schema, to build BPMN online, as a circuit diagram maker, and more. draw.io can import .vsdx, Gliffy™ and Lucidchart™ files . Loading... Please ensure JavaScript is enabled.
2016年 独りで新規WEBサービスを開発・運用した際の知見 - Qiita
私が新規WEBサービス立ち上げ時に取り組んだ内容についてWEBエンジニア向けにまとめた記事です。 例えばNginxの設定でHTTPヘッダーが正しく設定されているかを確認できるGoogleDevelopers PageSpeed Insights を知っていると大変有利です。もちろんPageSpeed Insightsを知らなくてもWEBサービスを公開・運用可能ですがユーザに意図せず不利益を与えていたり、知らず知らずのうちにモバイルフレンドリーでないとGoogleから検索ペナルティを加えられている可能性があります。この記事は独りで新規WEBサービスを立ち上げた際のノウハウと取り組んだ内容について記述しています。 1. 概要(5行くらいで) スマホ対応は必須。トラフィックの50%はスマホから発生する。 速度は武器!速いサイトはそれだけで価値がある。 SEOの内部対策は内部リンク整備とPageS
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Nginx入門 松江高専2014年度テキスト
Placehold.it - Quick and simple image placeholders
ウェブ初心者も安心して作成できる、無料HTMLテンプレート素材24個まとめ - PhotoshopVIP
月額2650円でDBアクセス込み秒間214リクエスト捌くWebサーバ構築事例 - Qiita
