CookieのSameSite属性と4つの勘違い(2022-10版) - セキュアスカイプラス
こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 最近 Fetch API*1 や XMLHttpRequest*2 を使ってクロスサイトのCookieを送る・送らないの実験をする機会がありました。 そこで自分の勘違いが複数発見され、改めて「今のクロスサイト Cookie って難しいな」と感じました。 セキュリティエンジニアのみならず、開発者の方にも参考になるかと思いましたので、自分の勘違いを紹介していきたいと思います。 なお本記事では「サイト」という単語を Cookie における Same-Site の定義に沿って扱います。 Understanding “same-site” and “same-origin” 使用したWebブラウザ: Chrome(burp 同梱のChromium) 106.0.5249.62
Goのテストに使える手作りモックパターン - Money Forward Developers Blog
こんにちは。 京都開発拠点でGoエンジニアをしています @yoskeoka です。 Goを中心技術として性能改善やプロダクト間を横断するような機能の設計、実装を行うKTAチーム (京都開発本部 テクニカルアーキテクトチーム) 所属です。 突然ですが、皆さんはGoでテストを書いているでしょうか。 我々はテストを書くことが中長期的なスピードアップに繋がると信じて日々テストを書くようにしています。 KTAではGoの実装をする際にClean Architectureの考えに基づいたpackage分けを行っていますが、packageを分けたり、インターフェースを定義したりとしていくと、テストを書くのが難しい部分というのが出てきます。 そんな場合に使えるモック作りテクニックを今回は紹介したいと思います。 Clean Architectureはテストしやすくなると言うが Clean Architectu
Introducing fine-grained personal access tokens for GitHub
AI & MLLearn about artificial intelligence and machine learning across the GitHub ecosystem and the wider industry. Generative AILearn how to build with generative AI. GitHub CopilotChange how you work with GitHub Copilot. LLMsEverything developers need to know about LLMs. Machine learningMachine learning tips, tricks, and best practices. How AI code generation worksExplore the capabilities and be
プロダクトマネージャーの難しさは「なかなか話が通じない」こと エムスリー山崎氏が語る、“プロフェッショナルなプロダクトマネージャー”の要素
“プロフェッショナルなプロダクトマネージャー”には何が必要か? プロダクトマネージャーの難しさは「なかなか話が通じない」こと エムスリー山崎氏が語る、“プロフェッショナルなプロダクトマネージャー”の要素 日本でも注目を集めつつ、まだまだ必要なスキルなどが確立されていないプロダクトマネージャー。今回はエムスリー株式会社で執行役員VPoP/CTOとして活躍されている山崎氏に、“プロフェッショナルなプロダクトマネージャー”になるために必要な視点やスキルについてうかがいます。まずは山崎氏の経歴と、プロダクトマネージャーになって体験した難しさについて。 学生時代からCTO的立場についていた山崎氏 エンジニアに楽しんでもらって、自分も楽しみたい プロダクトマネージャーの難しさは「なかなか話が通じない」こと プロダクトマネージャーの“8対2の法則” 学生時代からCTO的立場についていた山崎氏 ――まず簡
人事制度ハンドブック - kaneda blog
2022年5月6日 人事制度 人事制度ハンドブック 22年1月から開始したブログ。 人事制度の設計・運用に関する記事のまとめです。 人事制度を設計する際のハンドブックとして、随時更新(記事を追加)しています。 ■書籍:スタートアップのための人事制度の作り方 ■ブログ本体:https://kaneda3.com/ Pickup スタートアップにおける組織づくりの鉄則 今年、何パーセント昇給しましたか?(昇給率の話) 「売上が上がらないことよりも、人が辞める方がつらい」という本音 人事制度を使って、入社時に「期待」を伝える方法 等級の中に「サブグレード」をつくってはいけない 等級制度と評価制度の違い 降格・降給は、「カルチャー」である 【スライド公開】スタートアップにおける等級別の報酬レンジ 報酬水準に関する公開資料_ver5.0 サインアップボーナスを支払う目的とは? 昇格に、メリットはある
三井住友カードからの脱出先の検討メモ - 職業プログラマの休日出勤
月曜の朝から、とっっっても重いニュースが流れてきました。 www.nikkei.com www.itmedia.co.jp www.smbc.co.jp 自分の購買情報や財務情報にさほど価値があるとは思っていませんが、CCCのような姿勢の企業の利益獲得に協力する形になるのは、まっぴら御免です。 という訳で、Vポイントの付与等の対象となっている三井住友カードを解約して他のカードに乗り換えることを真面目に検討しています。 私は三井住友銀行にも口座がありますが、ここではVポイントへの「おまとめ」の設定を私は実施していないので、今回のSMBCによる発表の各種資料をざっと見る限りにおいては、三井住友銀行の口座を急いで閉鎖する必要は無さそうです。それでもいつまで安全なのかは不明なのと、そもそもCCCとの提携(しかもopt-in方式ではなさそう)を真面目に検討している経営陣が居る会社のサービスを利用する
もっと早くデザイナーに声をかけろ
SIerのインハウスデザイナーとして働いてるんだけど、うちの会社の業務フローがクソすぎてストレスが溜まっている。 あの、PMのみなさん、ていうか我が社の開発標準つくってるみなさん。 外部設計とか機能設計とか、「設計」ってついてる工程にデザイナーをアサインしてください。 デザインって「設計」っていう意味なので。 別に、知識マウントとか偉ぶってるとかでもなんでもないです。 外部設計も機能設計も社内のエンジニアがエクセルで作っているけど、なんでデザイナーを呼んでくれないんですか? あなたたちがやってるそれ、デザインですよね? そのくせエンジニアは、自分が設計書を作っていても「デザイン」をしているという自覚は全くない。 それどころか「自分にはセンスが無いから〜!」と変にデザイナーを持ち上げてくるんだけど、あなたたちのやってることもデザインですよ。 なのに、自分たちだけですっかり外部設計とか機能設計
Interop Tokyo 2022 〜4K低遅延ライブ配信〜 - NTT Communications Engineers' Blog
はじめに イノベーションセンターの松下です。 NTTコミュニケーションズ株式会社 (以下、NTT Com) は、Interop Tokyo 2022のShowNetにおいて、 低遅延ライブ配信プラットフォームSmart vLiveによる4K低遅延ライブ配信を展示しました。 この記事では、ShowNetでの展示の模様をお伝えします。 Smart vLive Smart vLiveは、1秒未満の遅延で映像をライブ配信できるサービスです。 ブラウザでの通話やWeb会議に用いられる技術であるWebRTCをライブ配信に応用することで、既存の技術では難しかった1秒未満の遅延を実現しています。 これまでWebRTCを用いたライブ配信では同時視聴者数に制約がありましたが、Smart vLiveはライブ配信に特化したシステムとして設計され、視聴者数が1万人を超える大規模なイベントにも対応できます。 また、複
モデリングはキラキラ技術より地味だが役に立つ / modeling-over-shiny-tech
# Event データモデリングとデータ基盤の構築・運用 (第14回ちゅらコラボ)CARTA HOLDINGS x ちゅらデータ 合同イベント https://churadata.connpass.com/event/254417/ ぼくのかんがえる最高のレポーティング基盤 https://speakerdeck.com/pei0804/hokufalsekankaeruzui-gao-falserehoteinkuji-pan-at-awsdeshi-jian-analytics-modernization ディメンションモデリングモデリング https://zenn.dev/pei0804/articles/dimensional-modeling スタースキーマ https://zenn.dev/pei0804/articles/star-schema-design コンフォ
全リージョン、複数AWSアカウントのAWS Security Hubのコントロールをコードで統制・管理する - Pepabo Tech Portal
こんにちは。技術部技術基盤チームの@k1LoWです。 FUJI ROCK FESTIVAL '22のライブ配信で観ることができた Hiatus Kaiyote のアクトは最高でした。 また、配信はされなかったものの#fujirockのTwitter TLで知ることができた SMTK をヘビーに聴いています。最高です。 さて、本エントリーではGMOペパボにおけるAWS Security Hubのコントロールの統制・管理の取り組みについて紹介します。 AWS Security Hubのセキュリティ標準とコントロール AWS Security Hubとは、公式ドキュメントによると次のように紹介されています。 AWS Security Hub では、AWS のセキュリティ状態を包括的に把握することが可能で、セキュリティ業界標準およびベストプラクティスに照らした環境チェックを行うのに有効です。 Se
Redis Explained
Redis (“REmote DIctionary Service”) is an open-source key-value database server. The most accurate description of Redis is that it's a data structure server. This specific nature of Redis has led to much of its popularity and adoption amongst developers. 👋🏾 You are reading Architecture Notes! Crave some byte-sized bites of this? Join me on Twitter. If it's not completely burned down by now. 😬 R
アジャイル開発とデータベース設計 - 変化に対応するシンプルな実装のために必要なこと - Agile Journey
はじめまして。そーだい(@soudai1025)です。私は普段は技術コンサルティングや受託開発を請け負う合同会社HaveFunTechの代表として、また、予防治療の自社サービスを展開する株式会社リンケージのCTOという二足の草鞋を履き、日々、さまざまなWebサービスの開発に携わっています。 これまでの開発経験のなかで、データベース設計に関わるさまざまな問題に遭遇してきましたが、本稿ではとくに、アジャイル開発時に発生しやすい問題とその対処についてお伝えしたいと思います。開発の現場で目にしやすい実装におけるアンチパターンを示しつつ、アジャイルという指針を維持しながら、対処となるデータベース設計についてご紹介します。 会員登録のアンチパターンと処方箋 イージーな実装とシンプルな実装 Userと言う名の罠 拡張と破綻 データベースは変化に弱い 仕様変更とテーブル変更 Addで変化に追従する 正規化
第718回 needrestartで学ぶパッケージのフック処理 | gihyo.jp
Ubuntu 21.04から、サーバー版に「needrestart」というパッケージが最初からインストールされるようになりました。これはパッケージの更新時に再起動が必要なデーモンを通知してくれる仕組みです。便利ではあるものの、パッケージの更新を開始して放置したら、最後のほうでメニューが出て止まっていたということも起こりえます。そこで今回はneedrestartの設定方法と、どういう仕組みで動いているのかを解説しましょう。 needrestartの基本 glibcなど特定のライブラリパッケージに脆弱性が見つかり、対応が行われたとき、そのパッケージの更新だけではまだ対応が完了したとは言えません。実際にはそのライブラリを利用しているプロセスが一通り再起動し、ライブラリを再読込することでようやく脆弱性が解消されるのです。 しかしながらどのパッケージが更新され、そのパッケージに属するライブラリファイ
従業員向けセキュリティ教育のネタ
情報セキュリティマネージメントというと、必ずやらないといけないのが従業員教育。 しかし、古めかしいe-learningツールで、nextボタンをポチポチしつつ、つまらない動画を見る教育コンテンツは、はっきり言って意味ないと思うし、苦痛でしかない。とはいえ、カスタマイズして数百人の従業員にデリバリーするほど工数も割けない。 自分の会社の場合、KnowBe4というプラットフォームを契約して、オンボードや年次の必須教育をデリバリーしているが、これらは、なるべく苦痛にならない程度のボリュームのものを選んで、宿題でやってもらう感じにしています。事前に読んでチェックしなければいけない利用規程(Acceptable Use Policy)を読ませて、読みましたチェックを押してもらう、などもKnowBe4でやっています。しかし、さすがに全部のエッセンスが入ったコンテンツを割り当ててしまうと、普通に1hとか
俺のワンタイムパスワードはいつ当たりが出るのか
$ time node index.js 1 *100k searched.. 2 *100k searched.. - snip - 20 *100k searched.. 21 *100k searched.. Found in 21 *100k + 25484 Fri Aug 09 2024 13:22:25 GMT+0900 (日本標準時) 1723177345522 777777 real 1m7.435s 再来年の8月か...楽しみだなぁ... Googleカレンダーに入れなきゃ。 安全性 なんでこんな簡単で面白い事をみんなやらないの?というのは当然の疑問かもしれない。 アカウントとセキュリティ 当然、 ↑で使ったSecretは本物ではなくてデモサイト( https://rootprojects.org/authenticator/ )で生成したものを使っている。このため、仮に
サッカー選手が倒れて痛いアピールするアレ
サッカー選手がほんのちょっとした接触で、場合によっては接触していないにもかかわらず、大袈裟に倒れて痛いアピールしてファール判定をもらおうとするあの一連の仕草。 (1)サッカー選手自身はアレかっこいいと思ってやってるんですか? (2)「ここでアピールしてファール取れれば戦況有利になるからひと芝居やったるか!」って思ってやってるんですか? (3)それとも本気で痛がってるんですか? (4)アレの仕草を練習したりするんですか? (5)小学生くらいからサッカー始めたとして、何歳くらいからああいう大袈裟に倒れて痛いアピールするようになるんですか? (6)最初にやったときはやはりちょっぴり恥ずかしかったりするんですか? (7)試合後、監督とかチームメイトから「なかなかよかったよ」的な言葉をかけられたりするんですか? (8)アレにまつわるトリビアがあれば教えてください。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Datadog combines its cloud monitoring with real-time diagrams by acquiring Cloudcraft
デイリースクラムいらなくなくなくなーい!?
資生堂パーラー
AWS サポートケースの履歴を自動で Wiki にナレッジ化する - Qiita
