Webサービスにおけるログイン機能の仕様とセキュリティ観点 - Flatt Security Blog
はじめに こんにちは。株式会社Flatt Securityセキュリティエンジニアの村上 @0x003f です。 本稿では、Webアプリケーション上で実装される「ログイン機能」の実装パターンをいくつか示し、その「仕様の中で起きうる脆弱性」とその対策について解説していきます。 「ログイン機能」はToB、ToC問わず多くのWebアプリケーションで実装されている機能で、XSSやSQL Injection、Session Fixationといったような典型的な脆弱性の観点については、なんらかの解説を見たことのある方も多いと思います。 しかし、「仕様の脆弱性」というのはあまり多く語られていない印象です。今回はそのようなタイプの脆弱性についての解説を行います。なお、IDaaSを用いずに自前でログイン機能を実装しているケースを複数パターン想定しています。 はじめに ログイン機能の仕様パターンとセキュリティ
高校生の頃に知っておきたかったこと | MHsPage
ここ数年で日本の高校生と交流する機会が何度かありました。多くはオンラインでのやり取りでしたが、勉強とか、研究とか、進路とか、そういう場で話していることを今日は書きたいと思いました。話していることの多くは私が高校生の頃に知っておきたかったことです。私の仕事である研究の話を基にしています。なので万人受けはしませんが、一般的に通じる内容もあるかもしれません。勉強とか進路とかで窮屈に感じている高校生がいたら何か届けばと思います。質問があれば聞いてください。 ーーー 勉強とは 私は大学の教員で、研究をするのが仕事です。大学の教員や研究者をやっているというと、勉強が好きなんですね、と言われることがあります。まずはこの点から話したいと思います。勉強が好きかと言えば、好きな科目もあったけど、興味が持てない科目もありました。関連して勉強ができるかと言えば、高校生の頃も今も、自分より勉強ができる人にいつも囲ま
コードより先にコミットメッセージを書く
これは、フィヨルドブートキャンプ Advent Calendar 2021(Part 1) 13日目の記事です。 未経験からフィヨルドブートキャンプでプログラミングを勉強し、2021年3月から Tebiki 社でエンジニアとして働いている masuyama13 です。 入社当初、PR(プルリクエスト)を作成する際にコミットの整理に毎回かなり時間がかかるのが悩みでした。試行錯誤の結果、この悩みを解消することができたので紹介します。 それが、コードより先にコミットメッセージを書くという方法です。 コミットメッセージを先に書くやり方まず、タスクを分解して TODO リストを作ります。これから作業する内容がイメージできたら、コミットメッセージを一つ考えます。エディタなどにコミットメッセージを入力します。コミットメッセージが書けたら、それを常に意識しながらコーディングを進めます。作業中にコミットメッ
システム開発で曖昧な要望を形にしていく方法 - arclamp
このブログはグロースエクスパートナーズ Advent Calendar 2021の10日目です。 社内メンバーから要望があったので、僕自身がどのようにシステム開発の初期段階において、どのように要望を整理し、形にしていっているのかについて書きたいと思います。 なお内容は弊グループの案件を前提にしているので、システム開発は以下のような状況が一般的です。 クライアントは直接契約(プライム) 要望を出すのはクライアント企業内で事業運営側の人で、システム開発にかかわった経験がないことがある 対象システムはSoE/mode2で、一般消費者や取引先などの外部ユーザーと、社内で業務を回す内部ユーザーがいる 相手の話を整理するフレーム まず、相手から得られる情報を4つの階層にわけて整理する必要があります。 目的:達成すべきこと 戦略:目的を確実・効率的に達成するためのシナリオ 戦術:戦略を実行するための具体
【Python/pydub】mp3, wavの相互変換
mp3・wavの相互変換(pydub) Pythonモジュール「pydub」では、sound.exportメソッドで音声ファイルの形式(拡張子)を変換できます。 インストール(pip) pip install pydub サンプルコード サンプルプログラムのソースコードです。 ■wav→mp3 # -*- coding: utf-8 -*- import pydub sound = pydub.AudioSegment.from_wav("input.wav") sound.export("output.mp3", format="mp3") ■mp3→wav # -*- coding: utf-8 -*- import pydub sound = pydub.AudioSegment.from_mp3("input.mp3") sound.export("output.wav", for
「不機嫌で人を支配しようとする人」の気持ちがわかった話
とある経験を経て、「不機嫌で人を支配しようとする人」の気持ちとその発生機序がだいぶ分かった気がしたので、ちょっとそれについて書かせてください。 まず前提として、しんざき家には、「察してもらうな、察するな」「どんなことでも言葉にしよう」という家訓があります。 して欲しいこと。して欲しくないこと。嬉しいこと。嫌だと思ったこと。賛成、反対、不満、満足、喜怒哀楽。 どんなことであれ、とにかく言葉にしましょう、と。全部言語化して、遠慮なく相手に伝えましょう、と。 パパもママもエスパーではないのだから、君が考えることを何も言われずに察することは出来ません、と。 君にエスパーであることを期待もしませんから、パパもママも言いたいことは全部口にします、と。 そういうコンセプトです。 ことあるごとに「とにかく言葉に」と言ってます。これについてはかなり徹底していると思います。 「言わないで気付くのを待つ」という
設計に悩みすぎる前に手を動かしてみる話
私がソフトウェア開発において心がけていることの一つに「設計に悩み始めたらとりあえず手を動かす」というものがあります。今まで深く考えずにそう心がけていましたが、この記事で自分がなぜそうしているのか整理して言語化してみたいと思います。 話のスコープ ここでいう「手を動かす」とは「コードを書く」ことです。設計と聞いて人によって思い浮かべるものが違いますが、ここでは「一人のソフトウェアエンジニアが四半期程度かけて開発する規模の機能の設計」を想定しています。何人ものソフトウェアエンジニアが長期に渡って行うような大規模開発には当てはまらないです。 本題 次のような経験はないでしょうか? 設計を考えながらデザインドキュメントを書いていたら細部の粗が見えてきて無限に悩み続けてしまった。考えなきゃいけないことがどんどん膨らんでいって、いつまでも実装に手を付けられなかった。 これに対して私は「設計に悩み始めた
洪水被害にあったらやること
住人(特に持ち家をもっている人)にとって、洪水は水がひいてからが真の戦いになる。 うちは避難所ではなく自宅2階に避難した。周囲が3mの水深、床上1.5mの浸水。今回は自宅避難メインで災害後にやったことを記録しておく。 被災後は呆然としてしまう。頭がまっしろになって、なにから手を付けたらいいかわからなくなる。だから結構細かく書いた。全部つめこんだから長いけど、読み飛ばしてもらって構わない。もしもの事態に遭ってしまったときに、この記事を思い出してもらえたらとても嬉しい。 前の記事:避難は早いうちにしたほうがいいことを書いたやつ→https://anond.hatelabo.jp/20210814184153 とにかくまず被災写真を撮る被害にあった場合、まずはとにかく写真を撮る。撮りまくる。可能なら水深が一番あるときの室内の写真も撮っておきたい。また、床下浸水であったとしても写真をとっておくこと
ゲームの個人開発者が細かいこと気にせず広告出してみた結果→大赤字になった実録漫画がためになる
広告を打てば俺のゲームだってヒットするのでは? と思い立って実行した個人ゲーム開発者が、その失敗談を漫画化。「分かりやすくてためになる」と好評を博しています。 広告を打てば集客は見込める……ただし利益が出るかどうかは別問題 作者は2019年にスマホゲームアプリ「バッティングヒーロー」をリリースした、Maroru Games(@MaroruGames)の中の人。より多くの集客を求めて、Google広告での宣伝を決めました。 かかる費用は1日につき最低でも1万円。しかも最初の1~2週間はAIの学習に食われるため、効果を望むには1カ月はかかると先方は言います。つまり最低でも30万円の出費。 それでも大枚をはたく分のリターンはあるはずだと、作者は出稿を決めます。しかしその時点で既に、大きなミスをしていたと振り返ります。バッティングヒーローの売上しか見ず、マーケティング上で重要な数値を全く把握してい
子どものゲームやスマホの使い方に迷ったときに/井出草平 - SYNODOS
『ゲーム・ネットの世界から離れられない子どもたち 子どもが社会から孤立しないために』(吉川徹)は、現在のところ、ゲーム障害やネット依存症についての最良の本である。多くのゲーム障害やネット依存症の本は人々の不安を煽り立てるが、具体的な解決策については記載の乏しいものが多い。しかし本書にはそういった心配はない。バランスよく研究を紹介した上で、実際にどのように対応すればよいかということを教えてくれる。 わが子がゲーム障害かも?ネット依存症かも?と思っている親や保護者にとっても有益な情報が多いが、子育てをしているほとんど親や保護者にとっても参考になる情報が多い。「子どもがゲーム機を欲しがっているのだが買ってよいものか」「ゲームはどのくらい遊ばせてよいもののだろうか」「子どもがスマホを欲しいと言ったが、買い与えていいものか」「スマホ使用のルールを作りたいが、どうしたらいいのだろうか」。こういった悩み
メルカリが検索に「売り切れ品」を置く理由、初期のLINEが友だち追加を「電話番号マッチング」に絞った理由など、アプリのマーケティング施策まとめ30|アプリマーケティング研究所
2017年〜2020年(+α)に取材した記事から、今でも参考になりそうな施策などまとめてみました。※ 数値等はあくまで取材当時のものです。 1、フリマアプリの検索結果に、あえて「売り切れ商品」を表示している理由(メルカリ)フリマアプリの「メルカリ」では、検索をかけると販売済みになっている、「売り切れ品」も表示されるようになっている。 あるとき邪魔ではないかと、検索結果から「売り切れ品」を消してみたら、あらゆる数値(継続率・購入率など)が悪化してしまった。 実は「売り切れ品」を置いておくことが、ユーザーに「これ買いたかった」「マメにチェックしとこう」と思ってもらう、うまい演出として機能していたのが理由。 2、コメント欄のタイムラグを小さくすると、コメント率が改善されて荒れにくくなる(ミラティブ)配信アプリの「ミラティブ」では、コメント欄のタイムラグを小さくしたところ、コメント率が改善されたと
【サービス終了・お焚き上げ会場】slideship は何故うまくいかなかったのか|Takahiro Ikeuchi
みなさんこんにちは。一段と寒くなって参りましたがいかがお過ごしでしょうか。インフルエンザの予防接種を受けに来たら病院が休診日でした。その敗戦の帰りにドトールで記事を仕上げております、池内です。おこしやす。 2015年に設立した法人を2019年に閉じることになったいきさつは廃業エントリで書いたとおりですが ↓ 今回は起業中の2つ目のプロダクトであった slideship.com について振り返り・お焚き上げ申しあげたいと思います。 slideship.com は、2020年12月31日をもって全サービスを終了し、サービスクローズすることになりました。slideship.com はなぜうまくいかなかったのか。 slideship.com とはslideship.com とは、Markdown 形式でプレゼンテーション・スライドの作成が行え、オンライン上でスライドの公開までワンストップで行えるク
SSHの公開鍵暗号には「RSA」「DSA」「ECDSA」「EdDSA」のどれを使えばよいのか?
リモートでコンピューターにアクセスするためのプロトコルであるSSHは、コンピューターの認証を行うために公開鍵暗号を利用しています。公開鍵暗号の方式には「RSA」「DSA」「ECDSA」「EdDSA」があり、それぞれの仕組みと「SSHに適した方式」についてソフトウェア企業「Gravitational」のVirag Mody氏が解説しています。 Comparing SSH Encryption Algorithms - RSA, DSA, ECDSA, or EdDSA? https://gravitational.com/blog/comparing-ssh-keys/ 公開鍵暗号は、暗号化と復号に別々の鍵を用いる暗号方式のこと。例えば、ボブとアリスがやり取りを行う時、アリスは秘密鍵と公開鍵を作成し、公開鍵をボブに渡しておきます。ボブはアリスの公開鍵でメッセージを暗号化してアリスに送信。暗号
websec-room.com - websec room リソースおよび情報
This webpage was generated by the domain owner using Sedo Domain Parking. Disclaimer: Sedo maintains no relationship with third party advertisers. Reference to any specific service or trade mark is not controlled by Sedo nor does it constitute or imply its association, endorsement or recommendation.
Emotet来てんぞとお客に怒られたらどうしたらいいのかな - Qiita
弊社やらかしましたか? 「なんかマルウェア付きのメールが御社から送られてきたんですけど、困ります」と顧客からお問い合わせを受けちゃったどうしよう。うわあ、うちマルウェア感染してなんかばらまいちゃった?マルウェア検知してないけど何が起きてるの?全端末調査したほうがいいの?オロオロ。 おちつかなきゃ。まずは事実関係の調査ですよね。 確認のためにメールを入手 事実確認のために、相手に届いたメールをもらいましょう。メールヘッダがとても重要なので普段使っている「転送」じゃなく、ヘッダ付きで送って欲しいと依頼しましょう。とりあえず送ってと簡単に言えないところが面倒ですね。 相手が Outlook を使っている場合は、「[ファイル] > [プロパティ]をクリックしてヘッダーをコピーして送ってください」。Outlook 以外の場合には 「メールをデスクトップに保存してメモ帳で開いてスクリーンショットを送っ
データベースのドキュメント管理を自動化した話 - estie inside blog
こんにちは、今回はデータ基盤構築を担当しているmarushoがお送りします。 今日はestieで実践しているデータベースのドキュメント管理方法をご紹介します。 はじめに 独自成長していくデータベースたち 失われたドキュメント どうすれば低コストなドキュメント管理ができるのか そして生まれた、schema collectorという自動化ツール SchemaSpy Mysql diff Priv Page ECS タスクスケジューラ ドキュメントを腐らせない おわりに はじめに estieはオフィスを中心とした不動産データを取り扱うスタートアップ企業です。 estie(オフィス探しサービス)とestie pro(不動産事業者向けデータプラットフォーム)の2つのサービスを運営しています。 詳しくは、こちらの記事をご覧ください。 inside.estie.co.jp estieでは、不動産に関する
フリーランスプログラマ雑感
フリーランスプログラマになって、かれこれ10年近く経ってしまった。 昨日をもって退職しました。今日から(しばらくは)フリーランスとしてがんばります。 — 武藤スナイパーカスタム🔫 (@__tai2__) November 30, 2010 会社を辞めて、とくに深い考えもなくなんとなくフリーランスになった。しばらくすればどこかの会社に就職するのかなあ、きっとそうなんだろうなあ、とかぼんやりと思ってたことを考えると、そのまま10年近くも続けてしまったのは感慨深い。 ぼくにとって、ほかの業種、ほかの立場の人の職業生活がどういうもんなのかわからないのと同程度に、ほかの人にとってもフリーランスプログラマがどういうものか、きっとイメージがあまりわかないんだろう。そこで、フリーランスプログラマ生活を振り返って、それがどのようなものだったのかを思いつくままに語ってみたい。フリーランスプログラマという語は
サブクエリとSQLインジェクション
はじめに SQLインジェクションという攻撃手法(脆弱性)は10年以上前から基本的な原理は変わっていません。しかし攻撃される対象であるデータベースそのものは少しずつ進化し、新たな機能や文法、関数をサポートしていきます。そのため、SQLインジェクションの脆弱性が存在する場合に、そこから「どのように攻撃して、その結果何ができるか?」という点については、データベースの進化に合わせた変化があります。 WAFは防御対象となるウェブアプリケーションに脆弱性がある前提でSQLインジェクション攻撃を見つけるものであるため、データベースの比較的新しい機能や文法を使われたとしても、きちんと見つけることができるようになっていることが理想的です。 Scutumにおいてもデータベースが比較的最近サポートするようになった文法等に合わせて防御を強化しています。今回はサブクエリを使ったSQLインジェクションを例として紹介し
目的無きデータ分析は無駄である|データ分析とインテリジェンス
何となくデータを見ることで目的など生まれない 何かいいことが見つかるかもしれないからと何の目的も無しにデータを見るのは時間の無駄である。 データ分析は意思決定のために行っているはずだ。であれば何らかの意思決定という目的が無ければどんなに数字をいじくりまわしたところで「それで?」で終わるだけになる。それは時間の無駄としか表現のしようがない。 なおここでいう「データ分析」とは手元にあるデータを何とかするということに限らず「特定の目的の意思決定を支援するための一連のプロセス」を指す。詳しいことは近日中に記事を書く。 まず目的ありき。そして必要だったらデータ分析をする。逆ではない データ分析は手段である。目的を果たすために必要であるから行うのであり、データがあるから、導入したツールがあるから、新しい手法を勉強したからと分析して解決すべき問題への道に繋がっていたとしてもそれは偶然に過ぎない。 中小企
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
TJO氏の「真の正解が分からない中で最適解を求めて(ry」に対するアンサーソング|はなだて|note