<script>alert(1)</script>のお求めはAmazon CDストア - Qiita
本記事は脆弱性"&'<<>\ Advent Calendar 2015の15日目の記事です。 11/18にAmazonがリリースしたAmazon Musicというサービスに関連するXSSを2つ発見・報告したのでそのお話です。 1. Amazon MusicにあったXSS このページから "><_><script>alert(document.domain)</script>と検索すると alertが出ました。 画面右側のペイン内にて、aタグのhref attribute内に検索クエリを出力している箇所にあるバグに起因しています。この文字列は本来何らかの処理を通じてエスケープされていたのですが、適当に<hoge>のような文字列を一つ挟むとaタグのhref attributeから漏れて出力されていました。 11/19に発見・報告し、11/26に修正されました。 何故かAmazonのセキュリティ
IoTスタートアップにおけるプロダクトマネジメントについて - Qiita
株式会社Photosynthの@koichi222です。 Akerunというスマートロックのサービスを提供しています。 自分自身の主なロールとしては、Webサービス側のプロダクトマネジメントですが、 ハードウェアとソフトウェアを組み合わせたサービスを生み出す中で、プロダクトマネージャの役割についての学びを書かせていただければと思います。 体験を中心に設計する Iot製品開発で最も重要なのは、ソフトウェアとハードウェアが組み合わさった時のユーザ体験です。 そして1番のリスクは、この体験の検証が製品開発の1番最後のタイミングで行われることです。仕様書のスペックと、実際の体験は、感じ方に大きなギャップがあります。そのギャップを埋めるためおすすめしたいのは、プロジェクトの初期に体験の検証のためのプロトタイプを作ることです。 体験の検証のためのプロトタイプとは、量産性、コードのメンテナンス性などは無
スタートアップはお金を払ってでも使うべきプロダクト14選 - Qiita
2020年最新版をnoteの方に公開しました! スタートアップはお金を払ってでも使うべきプロダクト12選 2020 下記は以前のものです。ご注意ください。 株式会社スピカは女性向けのネイル写真共有サービス「ネイルブック」を運営しているスタートアップです。 弊社もそうですが、どこのスタートアップでもリソースは足りない状態だと思います。ヒト・モノ・カネ、全てが貴重なリソースです。 少しでもお金を倹約したいフェーズなので、有料サービスを契約するのは抵抗があるかもしれません。 しかし、素晴らしいプロダクトはあなたの会社の成長を助けてくれます。 素晴らしいプロダクト使うことでメンバーから無駄な業務をはがすことができ、あなたの会社を成長させるために優先して取り組むべき課題に集中することができます。 ということで私が「お金払ってよかったなー」と思ったサービスをご紹介します。 社内システム Google
Vim で引き籠る - Qiita
2015年総括 今年も沢山、良い Vim プラグインが誕生しました。 また皆さんからも幾度か vim-jp に vim の不具合報告を頂き、vim-dev にパッチとして還元する事が出来ました。本当にありがとうございました。さらに個人的には技術評論社出版の「Software Design」で連載記事「Vim の細道」を執筆させて頂く事になり1、自他共にビムビムしい1年だったと思います。 しかし今後も皆さんが使うテキストエディタは皆さん自身が考えて良くしていく、そういう気持ちを持ちながら引き続き Vim 活動を続けて行きたいと思います。 さて 2015年は如何だったでしょうか。Vimmer になりたいと思っている人たちは Vimmer になれたでしょうか。Vimmer の世間一般のイメージと言えば vimrc ばかり弄っている プラグインばかり作っている 現代でも vim が最強だと思ってる
Safari 9.0 の JS で「同じ関数を繰り返し実行しただけで返り値が変わる」という強烈なバグが発見されてる - Qiita
Webkit の Bugzilla で強烈なバグが報告されていると、同僚に教えて頂いた。 あまり話題になっていないものの、単純ゆえに強烈なバグだと思ったので Qiita にも公開しておく。 https://bugs.webkit.org/show_bug.cgi?id=151354 にそのバグ報告が上がっている。 最初に Google+ でやりとり があった模様。 URL のクエリ文字列から値を取り出す関数が正常に動作していないことから発覚したようだ。 その後は、簡単なテストケースに落とし込まれ jsfiddle というサイトにテストケースが公開されている。 Safari でこのページを開くと、実際に JavaScript を実行して確認できるようになっている。 続報 (2015.12.14) この記事を上げてすぐに Bugzilla の方で進展があった。 Yusuke SUZUKI さん
こわくないHaskell入門(初級) - Qiita
手続き型に慣れた人にもやさしい、こわくないHaskell入門記事です。 「なぜHaskellを学ぶと良いか」も参考にしていただければ幸いです。 まえがき Haskellと聞いて、何を思い浮かべますか? モナド 関数型 遅延評価 第4世代Intel Coreプロセッサ アライグマ いろいろ思い浮かべるかもしれませんが、Haskellがすばらしいのはモナドを利用しているからでも、遅延評価型の純粋関数型言語だからでもありません。 いろいろな「Haskellらしさ」が集まって、その結果Haskellにしかないすばらしい魅力を提供してくれます。 それは、決していままでのパラダイムと対立するものではなく、 手続き型 構造化プログラミング オブジェクト指向 のようなこれまでの便利な道具をうまく抽象化しながら統合して作り上げられたものです。 PHP javascript C++ Java などにあなたが費
Swiftを使ってモダンなWeb APIクライアントを爆速で開発する - Qiita
iOS Advent Calendarの13日目を担当します@giginetです。 APIクライアントを作りたいなあと言う気概になったので、APIクライアントをライブラリ化するまでの方法をご紹介します。 なお、この記事は執筆時点の最新の環境で検証しています。 Xcode7.2 Swift 2.1.1 Carthage 0.11.0 今回使用するAPI 今回は、APIクライアントが見当たらなかったので、WakaTimeという、エディタからデータを送り、自分のプログラミングについてのデータを集積してくれるサービスのAPIクライアントを作って、自分の1週間のコーディングを管理できるようにしてみました。 完全自動で、自分のプログラミング「作業ログ」を収集して可視化する「WakaTime」が素晴らしい件! | シェアしたくなる最新のWebサービス・ITニュース情報をチェック! APPGIGA!!(ア
Scala入門時に役立つ情報まとめ - Qiita
はじめに Scalaの勉強を始めた時にJavaやRubyと比べると情報量が少なく苦戦したので、今まで調べたことや経験者から聞いた情報などをまとめてみようと思います。 私自身まだまだ初心者ですが、これからScalaやってみようかなと思っている人の参考になれば幸いです。 WEBサイトで勉強する ScalaのインストールやHelloWorldなどは検索するとすぐ見つかるので割愛します。 Scala特有の記法や概念などを勉強するのに以下のサイトが参考になりました。 技術系 ひしだま's 技術メモページ - Scala Qiita - やってみよう Scala!(Fringe81社) Scala Cookbook Scala の省略ルール早覚え Scala School! Scala School 意訳一覧(瀬良和弘さんによる日本語訳) Effective Scala はてな教科書 - Scalaに
Golangで静的ファイルをバイナリに含めるライブラリを書いてみた - Qiita
概要 Go言語の大きな魅力の一つが「シングルバイナリ」だと思います。実行ファイルが他のファイルに依存せずに単体で完結するので、デプロイがファイルのコピーで済み、非常に楽です。 しかしWebアプリケーションの場合、そうはいかないというのが個人的に大きな誤算でした。静的ファイルが実行ファイルに含まれるものと思っていたらそんなことはなく、実行時にも静的ファイルを置いておく必要があります。 有名なライブラリにgo-bindataというものがありまして、それを使えば実行ファイルに静的ファイルを含めることはできます。ですが、go-bindataは静的ファイルをgo言語のソースコードに翻訳するもので、バージョン管理システム上の管理が難しく、個人的に好みではありませんでした。 それを解決するためにzgokというライブラリを書いてみました。 Windows/Linuxの実行ファイルは、ファイルのヘッダで実行
RPGツクールMVのメモリ事情 - Qiita
Pixi.jsの二つのモード Pixi.jsはWebGL、Canvasの二つのモードで動きます。 そのどちらが使われるか、によって、メモリ事情が異なってきます。 Canvasモードの場合、メモリマネジメントの結構な部分をブラウザが行ってくれますが、WebGLモードの場合は、ほとんどこちら(JavaScript)まかせです。 どちらのモードを使うかは、環境によって決定されていて、 モバイルの場合ー>強制的にCanvasモード それ以外の場合ー>可能ならばWebGLモード となっています。 現状のRPGツクールMVのエンジンには、メモリ管理にまつわる問題を二つ抱えています。 メモリブロート(メモリをため込む)問題 Canvasモード:影響度はブラウザ依存 WebGLモード:深刻 ImageManagerには、一度読み込んだ画像は使いまわす、キャッシュの仕組みがあるのですが、それを空にするメソッ
Photon kitを使ってネイティブっぽい綺麗なUIを試した - Qiita
Electronを使って簡単にデスクトップアプリを作成できるようになったのはいいんですが デスクトップアプリのUIが劣化してしまうのはユーザーとしてはきっと辛いはず そこでPhotonKit(以降はPhoton)ならOSXのネイティブっぽいUIを提供してくれます。 OSXユーザーなら親しみやすくWindowsユーザーも「あっiTunesっぽい」と思ってくれるのではないかなと思います。 ダウンロード PhotonのGetting startedの右側にあるDownloadからzipをダウンロードします ダウンロードしたPhotonのフォルダー構成は以下のようになっています。(v0.1.2の時点では) photon/ ├── css/ │ ├── photon.css │ ├── photon.min.css ├── fonts/ │ ├── photon-entypo.eot │ ├── p
いかにしてぼくがnvimを使うようになったか。また、現在のNeovimの様子とターミナル周りの知見 - Qiita
前半は、詩です。 Neovim情報がお求めでしたら下から読みましょう。 その昔 自分のGitHubのプロフィールを参考にするとJoined on Jan 10, 2014とあるので、その頃からプログラミングを始めたらしい。 github.com/zchee それまでの10年ぐらいはWindowsだったのもあって、コードは書いたことがなかった。ブラウジングのみの生活。 その後、WordPressのテーマをひたすらいじくる仕事についたのがきっかけで、ここでMacを初めて使うことになる。 ターミナルなんてものには触ったことがなく、正直人間がGUI以外で何かをすることは異常なのではないか、と思っていた… 初めのエディタは、フロントエンドの皆さんにはおなじみSublime Text。 プラグインが豊富で、エディタのテーマも豊富で、本業のデザイナーがデザインしたAtomからポートされたかの有名なSet
BigQueryで150万円溶かした人の顔 - Qiita
※ かなり前の記事ですが、未だに引用されるので一応追記しておきます。タイトルと画像がキャッチーなのはちょっと反省していますが、これを見てBigQuery使うのを躊躇している人は多分あまり内容を読んでいないので気にする必要はないです。自分は当時の会社でも今の会社でも個人でも普通にBigQuery使っていて解析用データなどはBigQueryに入れる設計をよくしています。また、アドベントカレンダーだったのでネタっぽく書きましたが事前に想定できる金額です。 ※ 代役:プロ生ちゃん(暮井 慧) 巷のBigQueryの噂と言えば「とにかく安い」「数億行フルスキャンしても早い」などなど。とりわけ料金に関しては保存しておくだけであれば無視できるほど安く、SQLに不慣れなプロデューサーがクエリを実行しても月数ドルで済むなど、賞賛すべき事例は枚挙に暇がありません。 しかし、使い方によってはかなり大きな金額を使
Emacsに mrubyを組み込んでみた - Qiita
[1 2 "fizz" 4 "buzz" "fizz" 7 8 "fizz" "buzz" 11 "fizz" 13 14 "fizzbuzz" 16 17 "fizz" 19 "buzz"] (let ((mrb (mruby-init))) (mruby-send mrb -10 'abs)) ;; => 10 (let ((mrb (mruby-init))) (mruby-send mrb "hello WORLD" 'swapcase)) ;; => "HELLO world" (let ((mrb (mruby-init))) (mruby-send mrb [1 [2 3] [4 [5 6]]] 'flatten)) ;; => [1 2 3 4 5 6] 仕組み Emacs 25で実装予定の Dynamic module機能を使って実現しています(なので実際のところ, 組み
すごく長い行を読む場合の注意点 - Qiita
Goで 1行 1行読み取って処理をしたいときは, bufio.Scannerを使うのが推奨されています. しかし bufio.Scannerにはひとつ欠点があり, 長すぎる行が読めないという問題があります. 最長で MaxScanTokenSize(64 * 1024)バイトしか読めず, これ以上長い行を読ませようとするとエラーが返ります. この値は constで定義されているため変更できません. また NewScanner的な関数の引数にサイズを与えて独自のバッファサイズを設定するということもできません. そのため長い行を読む場合は今のところ bufio.Scannerを使うことはできません. 追記 開発版には bufio.Scanner.Buffer()メソッドが追加され, ユーザ定義のバッファが Scannerに設定できるようです. これを使えば上限がわかる場合は Scannerだけ
Cloud Vision APIの凄さを伝えるべくRasPi botとビデオを作った話
(この記事はGoogle Cloud Platform Advent Calendar 2015の12月3日分の記事です) Cloud Vision APIと私 Googleに入ってからまもなく5年、Google Cloud Platformのデベロッパーアドボケイト(エバンジェリストみたいな役割)の仕事に就いてから1年が経ちました。仕事の半分はアジア地域向けの開発者コミュニティ支援で、残り半分はGCPの新製品ローンチの支援をグローバル向けに行っています。 特にここ半年は、TensorFlowをはじめ、GCPの機械学習系プロダクトのローンチ支援にフォーカスしています。TensorFlowはその序章で、公開前からAlphaカスタマー向けのスライドを作ったり説明やデモしたりしていました。 そうしたGCPの新しい機械学習系サービスのひとつが、Cloud Vision APIです。これはGoogl
スタートアップの「つながる」無線に必要な5つのこと - Qiita
こんにちは。村☆☆☆ハンターの @sugitak です。freee ではインフラ的なことをしていて、個人では一年に一度くらいbundlerの記事書いています。あとCONBUとか参加してます。 freeeでは日々様々な革命が行われていますが、革命にはパンがつきものです。パン、すなわち無線です。革命家にパンが必要なように、エンジニアが自由に働くためには無線が必須なのです。有線ではいかんのです。 ということで、今回はfreee Engineers Advent Calendar 2015 5日目の記事では、スタートアップのオフィス無線を良くするにあたって大事な 5 つのポイントについて説明したいと思います。 アクセスポイント(AP)の収容端末数を気にしよう さて、まずは「収容端末数」について説明します。 10人以下のオフィスでは、ヨ○バシで売っている buffal○ や I○DATA など、普段
初心者エンジニアにおすすめしたい「進捗どうなった?」と言われないための仕事の進め方 - Qiita
はじめに 初心者エンジニアのあなたは、 **先輩エンジニアに「進捗どうなった?」や「なんでこの作業にこんな時間かかってるの?」**といったことを言われたことはありませんか? また、 作業見積もりやタスク分解をちゃんと行なわないで、いきなりコードを書き始めているということはありませんか? 勝手にコードを書き始めて、ほとんど手戻りになって1からコードを書き直しになるという経験もあるかと思います。 僕は徹底的に仕事のやり方を叩きこまれましたが、周りの話を聞いていると、こういったことができていない人もいるのかなと思い書こうと思った次第です。 またエンジニア向けには書いていますが、どんな仕事にも普遍的に使える考え方だと思っているので参考になれば幸いです。 アジェンダ 以下のとおりです。どこから読んでもらっても大丈夫ですが、上から読んでいったほうが流れが分かりやすいと思います。 ツールはGithub,
仮想DOMで魂が震えてから一年、仮想DOMとFluxの今 - Qiita
なぜ仮想DOMという概念が俺達の魂を震えさせるのか から一年、みなさまどのようなフロントエンドをお過ごしでしょうか。 僕はひたすら過去資産をリファクタしています。 需要の雰囲気 色んな所に書きましたが、去年僕が仮想DOM AdventCalendar をやったのは、「僕自身がproductionで使いたい」ので、「Reactまあいいよね」的な雰囲気を作って外堀埋めるのが目的でした。そして、その目的はおおよそ果たされたと言ってもいいでしょう。ご協力ありがとうございました。 僕自身はKobito for Windows でReactを使ってみて、そのノウハウを公開したり、今年前半は色々とアウトプットをしていましたが、後半はSpecificなアプリケーションドメインを記述することが多くて、あまりアウトプットする内容がなくなってました。 取り敢えずは、新規のプロダクトなら採用してもよい、という雰囲
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
今まで知らずに損してたauthorized_keysの書き方 - Qiita
