SPA + WebAPI でアプリケーションを構築するときの CSRF 対策についてのメモ
モノリス(MPA)だと、CSRF 対策として CSRF トークンを置いて検証するのが主流で、だいたいフレームワークに実装されてる機能を使うけど、SPA だと HTML は静的にビルドされるので、トークンを埋め込むことができない 埋め込むなら SSR をすることになるけど、BFF と API サーバーは一般に別なので、トークンの管理が大変 セッションを管理したいのは API サーバー (CSRF トークンはセッションに置いて API 呼び出し検証する必要があるので) だけど、CSRF トークンを set-cookie できるのは BFF のサーバーなので色々大変。考えたくない まずもって(他の理由で SSR する必要があるならともかく) SSR もしたくないし 埋め込みではなく、ページロード後に API サーバーに CSRF トークンを問い合わせる案 一応できなくはないけど、読み込み時の状態
Node.js の進化に伴い不要となったかもしれないパッケージたち
tl;dr はじめに 2024 年の 4 月 24 日に Node.js 22 がリリースされました。ESM を 条件付きで require する機能や、--run フラグによる npm スクリプトのパフォーマンス改善などが v22 で追加され、2009 年に Ryan Dahl が Node.js をリリースしてから 15 年が経つ今も、Node.js は進化を続けています[1]。 こうして Node.js 自身が強化されていくにつれ、以前はサードパーティーのパッケージを使用して実現することが一般的であった機能が Node.js のみで実現可能となり、当該パッケージが不要となるような場合があります。冒頭に引用した Ben Holmes の動画では、そのように不要となったパッケージとして dotenv node-fetch chalk mocha が挙げられていますが、この記事では「これら
スレッドとプロセスの違いを完全に理解する
はじめに こんにちは、FarStep です。 プログラミングを学ぶ中で、「プロセス」と「スレッド」という言葉を耳にしたことがある方は多いと思います。 しかし、これらの違いを明確に説明できる自信がない方も多いのではないでしょうか。 本記事では、プロセスとスレッドの違いについて、エッセンスを抽出して 解説します。 説明を簡潔にしましたので、本記事は 5 分程度で読み終えることができます。 本記事の内容を自分の言葉で説明できるようになれば、プロセスとスレッドの違いの理解は十分でしょう。 それでは、始めます 🚀 プログラムとは プロセスとスレッドの違いを理解する前に、まずは「プログラム」について理解しましょう。 プログラムとは、プログラミング言語で書かれた一連の命令 のことです。 プログラミング言語の例としては、以下のようなものがあります。 C 言語 Java Python Ruby JavaS
令和時代の API 実装のベースプラクティスと CSRF 対策 | blog.jxck.io
Intro CSRF という古の攻撃がある。この攻撃を「古(いにしえ)」のものにすることができたプラットフォームの進化の背景を、「Cookie が SameSite Lax by Default になったからだ」という解説を見ることがある。 確かに、現実的にそれによって攻撃の成立は難しくなり、救われているサービスもある。しかし、それはプラットフォームが用意した対策の本質から言うと、解釈が少しずれていると言えるだろう。 今回は、「CSRF がどうして成立していたのか」を振り返ることで、本当にプラットフォームに足りていなかったものと、それを補っていった経緯、本当にすべき対策は何であるかを解説していく。 結果として見えてくるのは、今サービスを実装する上での「ベース」(not ベスト)となるプラクティスだと筆者は考えている。 CSRF 成立の条件 例えば、攻撃者が用意した attack.examp
天下一品のロゴ、ホンダ車が「進入禁止」と再び誤認識 | 自動運転ラボ
出典:Flickr / Tatsuo Yamashita (CC BY 2.0 DEED)ホンダのADAS「Honda SENSING(ホンダセンシング)」による「天一騒動」が再燃しているようだ。ホンダセンシングが、ラーメンチェーン「天下一品」の企業ロゴを「車両進入禁止」の道路標識に誤認識してしまう案件だが、ローソンが「天下一品こってりフェア」を開催したことで「遭遇率」が高まり、再び話題となっているようだ。 この誤認識による本質的なトラブル事例は出ておらず、あくまで「ネタ」としてトピック化されているわけだが、こうした事案が自動運転レベル3以降で発生すると厄介だ。 ■天下一品のロゴが車両進入禁止標識に酷似している件標識認識機能が「ネタ」に……天下一品の企業ロゴは、赤い丸枠に筆で描いたような「一」の字が白抜きで刻まれたものだ。このロゴが、赤い丸枠に白抜きで横線を入れた「車両進入禁止」の標識と酷
ぼくのかんがえたさいきょうのGo HTTPサーバー起動方法
これまで何度か HTTP Server の Graceful Shutdown について記事を書きました。 Go 言語で Graceful Restart をする Go 言語で Graceful Restart をするときに取りこぼしを少なくする Go1.8 の Graceful Shutdown と go-gracedown の対応 最終的に Go 1.8 で Server.Shutdown が導入され、この件は解決を見ました。 しかし、最近「あれ?本当に正しく Server.Shutdown 使えている?」と疑問に思い、少し考えてみました。 というか ↑ の記事もまだ考慮が足りない気がする。 ぼくのかんがえたさいきょうの Go HTTP サーバー起動方法 とりあえず完成形のコード。 package main import ( "context" "log" "net/http" "os
IPA高度資格「情報処理安全確保支援士」暗記すべき用語を体系整理 - Qiita
はじめに ◆この記事は何? IPA高度資格「情報処理安全確保支援士」のシラバスに掲載されている用語の備忘録です ◆対象は? 情報処理安全確保支援士の試験勉強をされる方 ◆この記事のねらい 試験範囲の用語の階層を整理します 試験勉強の一助となれば幸いです ◆この記事について シラバスの用語を参考書等を読みながら自分なりに整理した私の暗記用のノートです 試験に向けて高頻度で更新しています ご助言、誤り等あればご指摘いただけると幸いです 試験範囲全体 試験範囲の分解 暗号 認証 ネットワークセキュリティ データベースセキュリティ クライアントセキュリティ httpセキュリティ メールセキュリティ 攻撃と対策 注目技術 ※参考文献の目次をベースに、試験範囲を分解 暗号技術 共通鍵暗号方式 ブロック暗号 ECBモード CBCモード CTRモード(Counterモード) ストリーム暗号 公開鍵暗号方式
謝罪文や反省文を弁護士が作文することについて
今は刑事事件やっていないが、登録してから数年は国選を年20件くらいやった。最初の就職地は首都圏ではあるが支部管轄だったので国選がかなり回ってきて、民事が手薄な新人には重要な収入源だった。 被疑者国選のほとんどは自白事件なので情状弁護をすることになるが、過去は変更できないから犯情事実でできることは少なく、したがって理論上は量刑に与えるインパクトが最も小さい一般情状の、さらにその中でも示談・環境調整・反省が仕事の中心になる。示談によって被害の回復を図り、環境調整と反省によって再犯防止を図り、これらの事情を起訴・不起訴の判断や量刑に反映させるのが仕事である。 謝罪文や反省文というのは、被害者を慰撫して示談の可能性を高めるツールであると同時に、本人の反省の深化・具体化を促すとともにそれを証拠化するツールでもある。というか、すばらしい謝罪文があるから示談できたなどということはまず無いので、主な目的は
ブラウザからDBに行き着くまでただまとめる
はじめに あなたはブラウザからデータベース(DB)に情報が行き着くまでにどんな技術が使われているか説明できますでしょうか? どのようなプロトコルが用いられ、どの技術を駆使してサーバと通信しているのか、Webサーバでは何が行われ、どのようにして負荷が分散されているのか、トランザクションはどのように管理されているのか、そしてデータベースではシャーディングや負荷対策のためにどのような対策が取られているのか… なんとなくは理解しているものの、私は自信を持って「こうなっている!!」とは説明ができません。 そこで今回は「大規模サービス」を題材としてブラウザからデータベースに至るまでの、情報の流れとその背後にある技術について、明確かつ分かりやすく解説していきたいと思います。 対象としてはこれからエンジニアとして働き出す、WEB、バックエンド、サーバーサイド、インフラ、SREを対象としております。 1.
65536 - Wikipedia
65536(六万五千五百三十六、ろくまんごせんごひゃくさんじゅうろく)は、自然数また整数において、65535の次で65537の前の数である。 性質[編集] 65536は合成数であり、約数は1, 2, 4, 8, 16, 32, 64, 128, 256, 512, 1024, 2048, 4096, 8192, 16384, 32768, 65536である。 約数の和は131071。 65536 × σ(65536) = 8589869056 約数の和と元の数との積が完全数になる6番目の超完全数である。1つ前は4096、次は262144。(オンライン整数列大辞典の数列 A019279) 約数を17個もつ最小の数である。次は43046721。 約数を n 個もつ最小の数とみたとき。1つ前の16個は120、次の18個は180。(オンライン整数列大辞典の数列 A005179) 65536 = 2
「三体」劉慈欣の短編「流浪地球」無料公開中。4月7日まで | テクノエッジ TechnoEdge
株式会社KADOKAWAは、SF小説「三体」作者、劉慈欣さんの短編小説「流浪地球」の無料試し読みをWebマガジン「カドブン」において4月7日まで実施中です。 流浪地球は、同社が1月に文庫版を発売した同名の短編集に収録の一編。舞台は太陽の膨張が目前に迫る地球。人類は岩石を燃料とした「地球エンジン」を構築し、星ごと太陽系外へ脱出する計画を立て、実行に移した先の時代が描かれています。カドブンの試し読みサイトでは本編を8分割して掲載。 本作は中国では2000年発表で、邦訳が初めて発表されたのは2008年。2019年には「流転の地球」として映画化しており、Netflixなどの配信サービスで視聴できます。 3月22日公開の映画「流転の地球 -太陽系脱出計画-」は「流転の地球」の前日譚にあたり、今回の試し読み企画も本作の日本公開記念して実施した企画です。 直近の関連トピックとしては21日にNetflix
データベースの在庫の持ち方をビットで管理してる話 - 一休.com Developers Blog
こんにちは、一休.comスパ(以下、「スパ」)の開発を担当しているshibataiと申します🙏 今回はスパのデータベースの在庫の持ち方で試行錯誤した話をさせていただきます。 背景 2024-03-29追記: 一休.comスパにおける在庫の特徴について 一休.comスパが扱う「在庫」は、「ある日付の特定の時間に対する空き枠」です。以降の説明では、スパ施設ごと、日付ごと、また時間ごとに増えていく「在庫」をいかに効率よく扱うかについて説明しています。 詳細については次のスレッドも参照してください! https://t.co/Y0SPmDE4yZ この記事のコメントみてると、少し我々のシステムの要件が伝わってないというかそこの説明が記事に不足しているように思った。ので以下その補足— naoya (@naoya_ito) March 29, 2024 現在の実装 スパは予約を受け付けるために在庫の
見えない人はWebをどう閲覧? 本紙サイトの課題にがくぜん、求められる「不十分と認める勇気」【動画も】:東京新聞 TOKYO Web
見えない人はWebをどう閲覧? 本紙サイトの課題にがくぜん、求められる「不十分と認める勇気」【動画も】
MySQL(InnoDB)のSQLパフォーマンスチューニングのエッセンス
はじめに MySQL(InnoDB)でSQLのパフォーマンスチューニングをするときに役に立つ知識をエッセンスとしてまとめました。結合(JOIN)やB-treeインデックスの探索の仕組み、実行計画の基本的な見方を紹介します。 想定する読者は、SQLのパフォーマンスを改善する必要があるが実行計画をみてもいまいちピンと来ない方です。インデックスの作成の経験や、複合インデックスやカーディナリティの知識があることを前提にしています。目標は、実行計画の内容がよく分からない読者が、実行計画をみただけでクエリが実行される様子をイメージでき、自信を持ってクエリの改善にあたることができるようにすることです。 ストレージエンジンはInnoDBを前提としています。また、インデックスはB-treeインデックスを想定しています。全文検索の転置インデックスや空間検索のR-treeインデックスについては触れません。 イン
事業に失敗しつづけた末に編み出した「IR1000本ノック」が、かなり効果的だった話|黒崎 俊 / プレックス代表取締役
僕は2018年にPLEXという会社を立ち上げました。それから5年、メンバーは200人を超え、今期の売上は30億円を見込んでいます。資金調達は今のところしていませんが、新規事業への投資ができるぐらいの利益も出ています。 まだまだ「大成功!」とまではいえませんが、この先の大きな成長を見据えられるぐらいには、安定して伸びてきました。 ただ、僕自身は決してビジネスセンスがあるタイプではありません。実は学生時代も含めると4つほど、「なんとなくいけそう」と感覚で事業を作っては、伸びずに潰してしまったんです。 だからこそ、今回は事業を立ち上げる前に入念な「事前準備」をしました。徹底的にリサーチをして、ビジネスの成功パターンを学んで、仮説を検証する。そのうえで事業を立ち上げた。 その結果気づいたのが、 事業づくりにはちゃんと「やり方」があって、実は誰でもできるレベルまで落とし込める ということです。 起業
「UIの色を変えただけで大量のクレームを頂戴してしまった話」の何が問題か?|moutend
結論話題の記事「UIの色を変えただけで大量のクレームを頂戴してしまった話」を読みました。ユーザーを軽視した内容に驚愕したのですが、それよりも記事が批判されている原因を理解できていない様子の方が存在することに衝撃を受けました。 現職のデザイナーあるいはデザイナーを目指している方々にお伝えしたいことは以下の3点です。 具体的な不都合を訴える問い合わせは無益なクレームではなく有益なフィードバックです。プロダクトの価値向上につながる貴重な意見ですから無視するべきではありません。 時間の経過でユーザーがUIに慣れることはありません。問い合わせをしても無駄だと学習して離脱したパターンを疑いましょう。受け入れられる場合も含めて画面の変更はユーザーに負担を強いているのだと自覚してください。 色覚特性や色とコントラストについて学びましょう。色だけで情報を伝えるデザインはアンチパターンですから避けてください。
ガードレールにイヤホンをつないでラジオを聞く
そこらへんの金網でラジオが聞けた、という記憶 一部のAMラジオ局が今月から暫定的に止まる、というニュースを聞いて思い出したのだ。 以前こどもとゲルマニウムラジオを手作りしたときに、うまく聞こえなくて送信所の近くまで行ったら聞こえたことがあった。で、試しにイヤホンをそこらへんの金網に直接つけてみたらそれでも聞こえたのだ。なんだこれでいいじゃん、となった記憶がある。 この機に、それが本当だったのか試してみたい。 思い出の場所に行く さっそく現地にやってきた。 埼玉県川口市にある、文化放送のラジオ送信所だ。駅から30分歩いてやってきた。 記憶では、ここに見えているあらゆる金属にイヤホンをくっつけたらラジオが聞こえたのだ。金網とか、ガードレールとか。 ちなみにくっつけるイヤホンはこんなやつだ。 クリスタルイヤホンといいます 弱い電流でもうまく音に変換してくれるイヤホンだ。両端がクリップになっている
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Cookieを扱う|伸び悩んでいる3年目Webエンジニアのための、Python Webアプリケーション自作入門
User login and consent flow | Ory
『Tailwind CSS実践入門』 出版記念基調講演
