GitHub Actions には暗号化されたシークレットを保存できます。この値は一度設定すると、ブラウザや GitHub CLI から確認することはできません。 公式ドキュメントの "Encrypted secrets" のページを読むと、シークレットの値は Sodium を使ってクライアント側で暗号化され、ワークフローで使用されるまで暗号化されていることが保証されています。なので、ブラウザや GitHub CLI から確認できないのだと思います。 GitHub uses a libsodium sealed box to help ensure that secrets are encrypted before they reach GitHub and remain encrypted until you use them in a workflow. ワークフローの中でシークレット

こちら↓ JavaScript: プラグインシステムとプロトタイプ汚染攻撃 - Qiita のコメント欄で、「Node.js でサンドボックスを作るなら vm モジュールおすすめだぜ！」 と言うような主旨のコメントをしたのですが、 色々と注意が要る機能でもあるので、補足がてらにちょっとまとめてみます。 vm モジュールを利用したサンドボックス化 Node.js の vm モジュール を使うと、 新規コンテキスト下で任意のスクリプトを実行することができます。 const vm = require('vm'); // 新規コンテキストを作成 const context = vm.createContext({ // コンテキスト内のグローバル変数・関数 x: 10 }); // 作成したコンテキスト下で実行 const result = vm.runInContext("x + 2", con

この投稿では、JavaScriptで実装されたプラグインシステムにおいて脅威になりうる、プロトタイプ汚染攻撃の手法を説明します。 対策についてはまだ検証中なので説明しませんが、プラグインシステムを設計するにあたって、プロトタイプ汚染攻撃が脅威であることを一度整理しておきたかったので記事にしました。 プロトタイプ汚染攻撃とは プロトタイプ汚染攻撃(prototype pollution attack)とは、ざっくり言うと、攻撃者がJavaScriptオブジェクトのプロトタイプを書き換えることで、情報を盗んだり、オブジェクトの振る舞いを変更したりする攻撃のことです。 JavaScriptの言語的特徴を巧妙に悪用した手口 JavaScriptでは、オブジェクトを生成すると、プロトタイプオブジェクトと呼ばれる生成元のオブジェクトへの関連を持つことになります。 例えば、Fooオブジェクトを定義した場