「平常に戻る」ことはない
イギリスNESTA(科学技術芸術国家基金)より。日本にも当てはまる。 パンデミックは世界を永久に、そして根本から変えるだろう。例えば、各国が今後数か月でCOVID-19の蔓延を抑制できたとしても、政治的、経済的、社会的、技術的、法的、環境的な影響が何十年も続くことになるだろう。 この記事では、世界がどのように変化するかについて、様々な見方(しばしば反対の見方)を要約し、総合的にまとめている。明らかに、これらは空論である。未来がどのようなものになるか誰にも分からない。しかし、危機は必ず深く予期しない変化を促し、パンデミック前の正常な状態に戻ることを期待している人々は、以前のシステム、構造、規範、仕事の多くが消滅しており、戻る事はないと知って愕然とするかも知れない。 そのため、適応能力とイノベーションはこれまで以上に重要になってくる。数か月でビジネスが通常どおり再開することを期待する経営陣にと
プログラマだったら当然知ってるよね?という知識一覧
2019年11月11日追記 ただのタイトルで煽ってるだけの記事に半年経っても未だに大量のアクセスがあるので追記しておきます。 ここで言いたいことは、「プログラマならコンピュータサイエンスを勉強してると役に立つよね」、ということ だけ です。 この一文以上に有用な言葉は以降の文章では出てきません。みなさんの時間を無駄にしないために注意書きをしました。 それでも良いという人は読んでみてください。 Twitterで「〇〇ができるという人が面接に来たけど、『じゃあXXXやYYYって知ってます?』というと知らないという人が多いんだよねぇ」とかいうツイートを見かけて、私はXXXやYYYってのを知らなかったので調べた見たところ、常識とまでは言えない概念だったり、名前は知らなくても誰もが知ってる概念だったり、むしろもっと良いアプローチがあるのではという思想だったりでなんだかなぁと思っていたところ、半日くら
ゴールデンウィークのはじめ(4月29日)に投稿された以下のツイートですが、5月7日20時において、1,938.8万件の表示ということで、非常に注目されていることが分かります。 我が名はアシタカ!スタバのFreeWi-Fiを使いながら会社の機密情報を扱う仕事をしてたら全部抜かれた。どうすればよい! pic.twitter.com/e26L1Bj32Z — スタバでMacを開くエンジニア (@MacopeninSUTABA) April 29, 2023 これに対して、私は以下のようにツイートしましたが、 これ入社試験の問題にしようかな。『スタバのFreeWi-Fiを使いながら会社の機密情報を扱う仕事をしてたら全部抜かれた』と言う事象に至る現実的にありえる脅威を説明せよ。結構難しいと思いますよ。 https://t.co/LH21zphCTV — 徳丸 浩 (@ockeghem) April
今回はソフトウェアエンジニアじゃない人や学生にも、ソフトウェアエンジニアという職業には夢があるかもしれないと思ってもらうために書いています。そのため既に詳しい方からすると回りくどい説明も多いと思いますがご容赦下さい。 基本的に記事とかには技術的なことしか書かないスタンスでやってきましたが、今回の件はさすがに誰かに伝えておくべきだろうということで長々と垂れ流しました。 概要 GW中に趣味で開発したソフトウェアを無料で公開したところAqua Securityという海外企業(アメリカとイスラエルが本社)から買収の申し出を受け、最終的に譲渡したという話です。さらに譲渡するだけでなく、Aqua Securityの社員として雇われて自分のソフトウェア開発を続けることになっています。つまり趣味でやっていたことを仕事として続けるということになります。 少なくとも自分の知る限り一個人で開発していたソフトウェ
私 is 誰 今年の7月にドワンゴの教育事業部に異動し、N予備校でプログラミング講師をやることになりました。 現在は週2回ニコ生やN予備校上にてプログラミング入門コースの授業放送をしています。 ドワンゴ自体は7年目となり、ニコニコ動画の開発を4年、エンジニア教育やエンジニア採用を2年ほどやってきました。 この記事で書きたいこと 現部署に異動後、教材のインプットを兼ねて『N予備校プログラミング入門コース』を履修したのですが、明らかに難易度が僕の想像した "入門コース" から外れたガチ編成になっていて衝撃を受けたことが記事を書こうと思ったきっかけです。 中身としてはとても良い教材になっているので、僕のような勿体無い誤解が少しでも減れば幸いです。 入門コースはいわゆる入門コースではない 『プログラミング入門コース』のゴールは ドワンゴがエンジニアとして採用したいレベル や IT企業のエンジニアイ
知っておきたかったLinuxサーバ設計、構築、運用知識まとめ - hiroportation
サーバ業務周りの管理、運用について役に立ちそうなナレッジをまとめました。 長期的に書いているため用語に統一性がなかったり、不足分など随時修正したいと思います。 1. サーバ設計 サーバスペックはどうするべき? 使用するOSは? CentOS開発終了について MWは何を使うべきか Webサーバ構築にはどちらを使うべき?Apache?Nginx? サーバセキュリティで最低限押さえておきたいことは? listenするポートは最小限にしましょう ファイアウォール設定で送受信IPアドレス、ポートの通信制御はしておきましょう 外部に出る際にはプロキシサーバを経由するようにする 随時パッチを当てるようにする linuxでのアンチウイルスソフトの検討 個人アカウントで変更系コマンドは実行させないようにする ログについて考えること ストレージ容量には気をつける データベースはどう決めたら良いか MySQLか
はじめに さいきんのWebはSPA技術を中心としたフロントエンドが賑わっていますね💪 従来サーバーサイドを扱っていた人もフロントを触る機会が増えていたり、これからプログラミングを学んでいく人も、フロントエンド領域に興味を持っているのではと思います。 そこで、フロントエンドの経験が浅い方や初学者向けに、おすすめのドキュメントや勉強すべき領域をまとめました。 とりあえず動けば良い段階から一歩進んで、フロントエンドエンジニアとして、良いアプリケーションを作るために必要な知識を浅く広く紹介します。 ※補足 新米と表記しましたが、実際には新卒や未経験でなく、新卒2~3年目の若手フロントエンドエンジニアやフロント分野に苦手意識のあるバックエンドエンジニアの方を対象としています。 数日で目を通せるような内容ではないため、マイルストーンやスキルセットの一つの参考にして頂けると幸いです。 フロントエンド入
「未経験文系から3ヶ月でデータサイエンティストになって一発逆転」はここで終わり (2020/7/31 更新) - todo-mentor’s diary
データサイエンティストを生業にする手段と実態について述べる。 途中、具体例・境界値の例として私個人の話もするが、なるべく一般性のある話をする。 この記事で言いたいことは具体的には4つだ。 プログラミングスクールをディスるなら代わりの入門方法を提供しようよ。 もう「未経験文系から3ヶ月でデータサイエンティストで一発逆転物語」を止めろ。*1 おじさんは人生逆転したいなら真面目にやれ。 若者はワンチャンじゃなくて、ちゃんと化け物になれよ。 この記事についてはパブリック・ドメインとして転載・改変・リンク記載を自由にしてよいです。 (続き書いた) a. 入門は辛いが… b. 思考停止でプログラミングスクールに通うな。 なろう系・始めてみよう系資料一覧 (最速・最短ルート用) まずは動かしてみよう。強くてニューゲームが体験出来るぞ! 入門以前の本 一般向け業界本 (AI業界と展望がわかる本) 技術者入
はじめに NFT って何ですか? ブロックチェーン上に記録された一意なトークン識別子をその保有者のアドレスと紐付ける情報、およびそれを状態変数として保持するスマートコントラクトのこと。 以上。 え、それだけ? はい。 「デジタル資産に唯一無二性を付与するインターネット以来の革命」なんじゃないの? これを読んでください: speakerdeck.com なるほど。ところで、この記事は何? いま話題の NFT について、NFT の標準仕様である EIP-721 の仕様書と、それを実装しているスマートコントラクトのソースコードから読み解けることを解説する。一般向けの解説とは異なる視点から光を当てることで、ソフトウェアエンジニアに「あ、NFT って単にそういうことだったのか」と理解してもらえるようにすることを狙っている。 また、NFT がソフトウェアとして具体的にどう実装されているかを知ることは、
セキュリティエンジニアになり、そこから2年間分の勉強内容と参考になった資料とか - ぶるーたるごぶりん
セキュリティエンジニアになり、そこから2年間分の勉強内容と参考になった資料とか 自分の振り返りも兼ねて2年分の勉強内容とかをざっくりまとめようと思います。 新卒からバックエンド開発を2年程行い、その後セキュリティエンジニアとして横断セキュリティ部門に異動しました。 そこから更に2年が経ち、来月からセキュリティサービスの開発とかをすることになったので、 もし同じような人が居た際になんとなし参考になればいいかなという意図で書いてます。 ちなみにセキュリティ部門に異動するまでのセキュリティの知識レベルは「徳丸本を2回通しで読んでる」程度です。 セキュリティ部門に移ってからは脆弱性診断・ログ監視・開発ガイドライン周り・脆弱性管理とかをやってました。 本記事では自分自身がユーザ系の企業に属しているので、ベンダーとかそちら寄りの内容ではないです。 あとできる限り社内の事情を記載しません。何が問題になる
【極秘入手】7pay開発の内部資料。「セキュリティー不備」は急な開発と“度重なる仕様変更”が一因か
Business Insider Japan編集部「7pay」取材班は、7payの開発スケジュールを取りまとめた内部資料を入手した。 開発現場の関係者の間でやりとりされた資料の最終版に近いもので、2018年末からサービスイン直前までの間が、どのようなスケジュールで動いたのかを示す資料だ。現場をよく知る複数の関係者の証言からは、記者会見で注目が集まった「セキュリティー不備」につながる慌ただしい開発現場の姿が浮かび上がる。 7payの不正利用に関しては、7月3日にアカウント乗っ取りと不正利用が発覚し、続く4日セブン&アイHDが記者会見で被害推定額を「約5500万円」と発表。同日夜に中国籍の男2人が不正利用に関して詐欺未遂の容疑で逮捕された。 セブン&アイHDはセキュリティー対策の甘さへの指摘を受ける形で、5日にはセキュリティー対策強化を目的とした新組織発足と二段階認証導入、1回あたりのチャージ
2019年6月8日夜、クレジットカードの情報窃取を目的としたページが稼働していたと情報をいただきました。偽ページが稼働していたドメインやIPアドレスを調べたところ、いくつか興味深い情報が確認できたため、調べた内容をここではまとめます。 偽決済画面だらけのサーバー 情報提供頂いたURLではクレジットカード情報を窃取することを目的とした偽決済画面が稼働していた。 サブドメインには決済代行サービスのペイジェントに似せた文字列が用いられていた。 偽決済画面はワイン販売を行っている会社名がフォーム上部(モザイク部)に掲載。 この会社は2019年2月にWebサイトの改修を目的として一時閉鎖すると案内。 6月に新ドメインでECサイト再開。新ドメインへ移行した理由は「諸事情により」とのみ説明。 問題のドメインsearch-hot.comを調べる 問題のページが稼働していたドメインsearch-hot.co
Dockerfileのベストプラクティス Top 20
本文の内容は、2021年3月9日にÁlvaro Iradierが投稿したブログ(https://sysdig.com/blog/dockerfile-best-practices/)を元に日本語に翻訳・再構成した内容となっております。 Dockerfileのベストプラクティスのクイックセットをイメージビルドに適用することで、セキュリティ問題を防ぎ、コンテナ化されたアプリケーションを最適化する方法を学びます。 コンテナ化されたアプリケーションやマイクロサービスに精通している人なら、自分のサービスがマイクロサービスであることに気づいているかもしれません。しかし、脆弱性の検出、セキュリティ問題の調査、デプロイ後の報告や修正など、管理のオーバーヘッドがマクロな問題になっています。 このオーバーヘッドの多くは、セキュリティをシフトレフトし、開発ワークフローの中で可能な限り早く潜在的な問題に取り組むこ
【悲報】防衛省のワクチン予約システム 早速ネット民のおもちゃに「SQLインジェクションできる」「同じ番号入れるとその前の予約がキャンセル」【真偽不明】
まとめ 岸防衛大臣「AERA・毎日新聞は極めて悪質な行為」ワクチン予約欠陥報道に大激怒! えーw具体策が「市区町村コードが真正な情報である事が確認できるようにする等」ってこのまま突っ走るつもりなんかw 15536 pv 167 14 users 27
2020年4月、無償かつ即日利用可能なリモートデスクトップ環境が公開され話題を呼びました。 現在16万人を越えるユーザーを擁する「シン・テレワークシステム」です。 今回登場いただくのは、そのシン・テレワークシステムの開発者として知られる登大遊さん。 登さんは、多忙な業務の傍ら次世代の人材育成にも関心を寄せ、安易な解決策に走るITエンジニアの未来に警鐘を鳴らしています。 「万人受けするアウトプットには価値がない」と断言する登さんに、これからを担うITエンジニアが抱える課題とその解決策について話を聞きました。 プロフィール NTT東日本 特殊局員 独立行政法人情報処理推進機構 サイバー技術研究室長 登 大遊さん(@dnobori) 1984年兵庫県生まれ。筑波大学在学中の2003年に、IPA(独立行政法人情報処理推進機構)の「未踏ソフトウェア創造事業 未踏ユース部門」に採択。自作の『SoftE
ウェブ魚拓のやや大きいバージョンアップを行います。 5/1 AM 7:00~、2~3時間ほどを予定しておりましたが、一旦終了を未定とさせていただきます。再度の修正ご容赦ください。 (APIと本番環境との連携がうまくいかないため) 影響は通常サーバー・有料専用サーバー両方となります。 急な予告となってしまい申し訳ございません。 なお取得に影響がありますため月額料金をお支払いいただいているご利用者様におきましては期待通りの結果が出なかったという場合を考慮し、翌月2024年5月末日までご利用停止の際、1か月分の返金請求を理由不問で承ります。 バージョンアップの一つに関しましては、現時点では問題ないですが、今後運用していくにあたって弊社のシステムに影響が起こるかもしれない脆弱性を含みうると考えられる部分があったためです。 予防措置となりますので影響はアップデート以外ございません。 この変更は技術的
章立て はじめに Docker・Container型仮想化とは Docker一強時代終焉の兆し Container技術関連史 様々なContainer Runtime おわりに 1. はじめに Containerを使うならDocker、という常識が崩れつつある。軽量な仮想環境であるContainerは、開発からリリース後もすでに欠かせないツールであるため、エンジニアは避けて通れない。Container実行ツール(Container Runtime)として挙げられるのがほぼDocker一択であり、それで十分と思われていたのだが、Dockerの脆弱性や消費リソースなどの問題、Kubernetes(K8s)の登場による影響、containerdやcri-o等の他のContainer Runtimeの登場により状況が劇的に変化している。本記事では、これからContainerを利用したい人や再度情報
「システムの起動そのものが不可能で、データ復旧の手段はない」――製粉大手のニップン(東証一部上場)は8月16日、7月7日に受けたサイバー攻撃の詳細と影響を明らかにした。 グループ会社を含むサーバの大半が同時攻撃を受け、バックアップを含む大量のデータが暗号化されて復旧不能に。外部専門家に「前例のない規模」と報告を受けたという。 財務システムも被害を受け、早期の復旧が困難なため、8月5日に発表予定だった2021年4~6月期の決算は、約3カ月延期。8月16日が提出期限だった四半期報告書の提出も、11月15日に延期する。 サイバー攻撃を受けたのは7月7日未明。グループの情報ネットワークのサーバや端末が同時多発的な攻撃を受け、大量のファイルが暗号化された。 ニップン単体の財務・販売管理データを保管しているファイルサーバに加え、グループ企業で同じ販売管理システムを使っていた11社と、同じ財務会計システ
【更新】7pay問題でオムニ7アプリのソースコードに漏洩の疑い。「GitHub」上で誰でも入手可能だったか
7payをめぐる脆弱性の懸念が解決しないまま、不正使用事件発覚から約3週間が経った。この間、実行犯とみられる複数の中国籍の容疑者が逮捕され、また外部ID連携の実装の不備から、セキュリティーの懸念を指摘する報道が続いている。 セブン&アイHDは7月中を目処に、今後の対応策などを公表する予定だ。 しかしここへきて、これまでとは異なる、別の問題が浮上してきた。 7payにも関連する、ECアプリ「オムニ7」の設計図にあたるソースコードが漏洩していた可能性がある。オムニ7アプリはセブン-イレブンアプリとは別アプリだが、ログインまわりの設計は非常に似通っているとみる専門家もいる。 事実であれば、アプリ開発の管理体制、アプリ自体やサービスのセキュリティーに関するリスクの有無についても、一層の警戒が必要になる可能性がある。
【徹底解説】これからのエンジニアの必携スキル、プロンプトエンジニアリングの手引「Prompt Engineering Guide」を読んでまとめてみた | DevelopersIO
【徹底解説】これからのエンジニアの必携スキル、プロンプトエンジニアリングの手引「Prompt Engineering Guide」を読んでまとめてみた こんにちは。CX 事業本部 Delivery 部のきんじょーです。 ここのところChatGPT と戯れてアプリを作ったり、様々なプロンプトの検証をしていましたが、言語モデルの性能を最大限に引き出すために、体系的にプロンプトエンジニアリングを学びたいと考えていました。 GitHub に「Prompt Engineering Guide」という素晴らしいリポジトリがあったので、読んで検証した内容をブログにまとめていきます。 本記事は、執筆時点の上記リポジトリの内容を元にしていますが、意訳や独自に検証した日本語のプロンプトを含みます。 上記リポジトリも絶賛開発中の段階のため、最新情報や原文が気になる方はリポジトリを直接参照してください。 目次 プ
※ 本論は12月9日に開催されたゲンロンカフェのトークイベント「伊藤剛×斎藤環×さやわか 『鬼滅の刃』と少年マンガの新情勢」で述べたいくつかの論点の備忘録として書かれた。ネタバレについては一切配慮をしていないので、原作未読・アニメ未見の方には注意を促しておく。 「鬼滅の刃」のわかりやすさ 「鬼滅の刃」(以下「鬼滅」)が空前のブームを巻き起こしている。アニメ「劇場版『鬼滅の刃』無限列車編」は公開三日目にして興行収入48億円という空前の記録を樹立し、12月12日までの興行収入が299億2千万円、観客動員数が2152万人に達した。国内興収記録歴代1位の「千と千尋の神隠し」を抜くのももはや時間の問題であろう。原作漫画はさきごろ最終巻となる23巻が発売されて全巻の売り上げが1億2000万部を越え、11月30日発表の「オリコン年間コミックランキング 2020 単巻別」では、史上初の「1位~22位独占」
ソニーネットワークコミュニケーションズのインターネットワークサービス「NURO光」でレンタルされるネットワーク機器について、NURO光側が管理時に使用するアカウントIDとパスワードが特定されました。このアカウントを利用することで、通常はユーザーがアクセスできない機能にアクセスできるほか、root権限によるコマンド実行が可能になります。 GitHub - meh301/HG8045Q: Pwning the Nuro issued Huawei HG8045Q https://github.com/meh301/HG8045Q/ 目次 ◆1:「HG8045Q」の脆弱性の指摘 ◆2:脆弱性を確認してみた ◆3:新たな脆弱性を発見 ◆4:脆弱性の報告とNURO光の対応 ◆1:「HG8045Q」の脆弱性の指摘 研究者のAlex Orsholits氏によって報告された今回の脆弱性は、通信ネットワーク
Smoozサービス終了に寄せて
202012_smooz.md Smoozサービス終了に寄せて 前置き この文章と、それに含まれる考察や各サービスへの脆弱性報告などはmala個人の活動であり、所属している企業とは関係ありません。 一方で私は、企業が閲覧履歴を収集して何をしたいのか、所属してる企業や他社事例について、ある程度詳しい当事者でもあります。 一般論として書けることは書けるが、(業務上知り得た知識で開示されてないものなど)個別具体的なことは書けないこともあり、また観測範囲に偏りがある可能性もあります。 Smoozに報告した脆弱性2件 最近、Smoozというスマホ向けのブラウザアプリに2件脆弱性の報告をした。 この記事を書いている時点で、Smoozの配布が停止されていて、修正バージョンの入手が出来ない。 2件目についてはまだ返事が来ていない。 脆弱性情報の開示にあたって特段の許可は得ていないが、開発元からも利用停止す
こんばんは。ritouです。 Digital Identity技術勉強会 #iddance Advent Calendar 2020 1日めの記事です。 qiita.com 初日なのでゆるふわな話をしましょう。 何の話か もうだいぶ前ですね。9月のお話です。こんなTweetを見かけました。 社内Slackにいる「OAuth認証」と書くと訂正してくれるbotが丁寧な解説をするようになっていた 認証(Authentication)と認可(Authorization)は間違えやすいわりにミスると甚大な被害をもたらしがちなので、常日頃から意識を高めていきたいですね pic.twitter.com/oVQxBgZcHS— greenspa (@greenspa) 2020年9月28日 このbotに対する思うところはもう良いです。 今回は、「OAuthの仕様に沿ってID連携を実装するいわゆる"OAut
本サイトはアフィリエイト広告を利用しています。なお本記載は景品表示法改正に伴うASPからの要請に基づく表記であり、本サイトのポリシーとして、依頼された記事などは別途記載を実施しています。 追記:酷い記者会見と無意味な対策今日の14時に記者会見が行われましたが、もう開いた口が塞がらないどころかため息が出るレベルの酷い記者会見でした。 二段階認証をまともに理解していない?チャージと登録を停止するが、決済は停止しない補償はするとは言ったが、方法などはまだ未確定もうさっさとサービス終了したほうが今後のためじゃないですかね。 パスワード再発行の件は対策した(風にみせかけ)何人か指摘している人も居ますけども、あまり詳しく言うのは問題になりかねないので言いませんが、下記に記載のあるパスワード再発行の件は内部の処理は結局対策されてません。それだけは言っておきましょう。 なので、下記の会員IDの変更などは早
私のセキュリティ情報収集法を整理してみた(2021年版) - Fox on Security
新年あけましておめでとうございます。毎年年頭に更新している「私の情報収集法」を今年も公開します。何かの参考になれば幸いです。 インプットで参照している情報源(海外) 海外からの攻撃が主流となる中、海外情報をいち早く把握する事の重要性が増している気がしますので、今年は海外情報源から書きたいと思います。 昨年の記事では多くの海外サイトを紹介しましたが、試行錯誤の結果、まとめサイトでもある「morningstar SECURITY」や「DataBreaches.net」を押さえておけば、主要サイトが概ねカバーされると分かったので、今年は数を絞っています。 サイト キタきつね寸評 morningstar SECURITY 去年と変わりませんが、情報の更新頻度、そして関連ソースの網羅性という意味では、英語系のセキュリティニュースとしては最良の情報ソースの1つかと思います。私は「Daily Secur
インターネットで表舞台に立たなくなってから、もうずいぶんと長い年月が経つんですけど、別にインターネットと縁が切れるわけでもなく、今日も俺は教え子に脅迫されるやつの最新巻を電子書籍で購入してその場で読み、サブスクでアルカテイル聞きながらはてなのトップページ見てるわけなんですけど、俺は冬燕ちゃん派です。おっさんになってくると「家でごはんつくって待っててくれる」みたいな部分に脆弱性が発生して絶望する。 いまやもう大文字の「インターネット」なんてものもどこにあるんだかわからんですが、てゆうかそんなものはもうなくて、世間様だけがあるんですけども、そういう意味で、あれまなめさんだったかな「ツイッターはインフラ」って言ってたの、あれめっちゃ本質だったなあという気がします。 めっきり個人ブログの入らなくなったホッテントリ見てて、俺あんまり感傷ってものと縁のない体質なんですけど、俺かつてここにいたんだよなあ
7月19日に公開された藤本タツキの漫画「ルックバック」は傑作だった。CSM以来の藤本ファンとしては、この作家の底知れない引き出しの多さに驚愕したし、予告されているCSM第二部への期待感がいやがうえにも高まった。とはいえ、私は自分がこの作品のほんとうの素晴らしさを理解できているとは思わない。本作は「漫画家についての漫画」であると同時に、これまでになく藤本の個人史を投影したとおぼしい作品だ。それゆえ、実際に漫画制作に関わった経験のある人ほど、その素晴らしさを深く理解できるであろう。 私は特に物語後半の「じゃあ藤野ちゃんはなんで描いてるの?」という問いかけに続く無音のシークエンスがことのほか好きで、そこだけ何度も読み返している。藤野のネームを読んだ京本のうれしそうな笑顔、涙ぐむ京本にティッシュを渡す藤野、ただ京本を喜ばせたかった、という想いが画面全体から溢れ出してくる。藤本作品は良く映画的、と言
肛門コンプレッサ流体力学
この古い増田に関して解説を加えたいと思う。 ■肛門コンプレッサーまとめ https://anond.hatelabo.jp/20201105214157 なぜ肛門に圧搾空気を入れると人は死ぬのか?直腸が破れるからである。すると出血する。 しかし一番の問題はここからで、便が腹腔内に散らばるのである。こうなると便に含まれる様々な細菌が複合的な感染症を惹き起こし腹膜炎を発症する。 これをうんぺりという医者もいるらしい。腹膜炎はペリトナイティス、うんこによるペリトナイティスだからうんぺり。お医者さん…。 速攻で洗浄しないといけないから開腹手術が必要だ。腹膜はどんどん吸収して血管に流してしまうのであっという間に全身症状になり死んでしまう。 だからエアコンプレッサ浣腸なんてアフォな事をやった場合、死亡率は4割ぐらいになる。手術が成功してこの数字。 ウエットスーツ非着用での橋からのダイブでは高圧洗浄機カ
セブンイレブンのQR決済「7Pay」がリリース翌日から大規模な不正アクセスの被害を受け、少なくとも約900人が、計約5500万円の被害を受けた。原因は杜撰なIDの設計にあり、被害者はいずれもIDを乗っ取られて、クレジットカードから不正にチャージされた。 自分の設定したIDとパスワードを入力して、どちらも正しい場合にログインできる仕組みは1960年代前半に発明されて以来、今もインターネット上で最も広く利用されている。GAFAはじめYahoo!や楽天といった大手企業が今も使っていることから、十分に安全と思われがちだ。 ところが実際のところ特にここ数年は非常に激しい攻撃に晒されており、血の滲むような努力と不断の改善によって維持されている。利用者は自分が入力したIDとパスワードしか意識しないけれども、その裏では端末環境の特徴やアクセス元のIPアドレスや位置情報、同時に利用している他の端末など、実に
画像出典: https://www.ipa.go.jp/files/000017316.pdf こんにちは。株式会社Flatt Security セキュリティエンジニアの奥山です。 本稿では、独立行政法人 情報処理推進機構(以下、IPA)が公開している資料「安全なウェブサイトの作り方」を紹介します。 「安全なウェブサイトの作り方」は、無料で公開されているにも関わらず、Webセキュリティを学ぶ上で非常に有用な資料です。これからWeb開発やセキュリティを勉強したいと考えている方はもちろん、まだ読んだことのない開発者の方々にも、ぜひ一度目を通していただけたらと思います。 一方、「安全なウェブサイトの作り方」では、一部にモダンなアプリケーションには最適化されていない情報や対象としていない範囲が存在します。それらについても本記事で一部、触れていきたいと考えていますので、資料を読む際の参考にしていただ
私のセキュリティ情報収集法を整理してみた(2024年版) - Fox on Security
新年あけましておめでとうございます。毎年この時期に更新している「私の情報収集法(2024年版)」を今年も公開します。 ■はじめに サイバー攻撃は国境を越えて発生するため、ランサムウェア、フィッシング、DDoS攻撃など、近年のサイバー脅威の常連となっている攻撃者(脅威アクター)が主に海外にいることを考えると、世界の脅威動向を理解することが年々重要になっています。 海外から日本の組織が受けるサイバー攻撃の多くでは、国際共同オペレーション等の一部のケースを除き、日本の警察が犯罪活動の協力者(出し子、買い子、送り子)を摘発することはあっても、サイバー攻撃の首謀者(コアメンバー)を逮捕するまで至るケースはほとんどありません。 誤解を恐れずに言えば、日本の組織は海外からの攻撃を受け続けているのに、海外で発生したインシデントや攻撃トレンドの把握が遅れ、対策が後手に回っているケースも多いように感じます。最
これについての本質はこの本を読めば分かる。 そういうタイプの本を紹介する。 本質本とは この記事で言う「本質本」とは、以下の動画で提唱された概念である。 ※上の埋め込みは「本質本」について話しているところから再生されるようにしてある。 曰く、「複雑怪奇だと思われているものが、本質を抽出するとこの一滴になる」というような本のことらしい。本質本の例としては『料理の四面体』『ストーリーとしての競争戦略』『ペンギンが教えてくれた物理のはなし』が挙げられている。 料理の四面体 (中公文庫) 作者:玉村 豊男中央公論新社Amazon ストーリーとしての競争戦略 ―優れた戦略の条件 (Hitotsubashi Business Review Books) 作者:楠木 建東洋経済新報社Amazon ペンギンが教えてくれた 物理のはなし (河出ブックス) 作者:渡辺 佑基河出書房新社Amazon 残念ながら
ITエンジニアが投票した「ITエンジニア本大賞2020」ベスト10発表。「ドラゴンクエストXを支える技術」 「ダークウェブの教科書」など
ITエンジニアが投票した「ITエンジニア本大賞2020」ベスト10発表。「ドラゴンクエストXを支える技術」 「ダークウェブの教科書」など ITエンジニア本大賞は、ITエンジニアに読んでほしい技術書・ビジネス書を選ぶイベントです。 これまで正式名称が「ITエンジニアに読んでほしい!技術書・ビジネス書 大賞」で通称として「ITエンジニア本大賞」と呼ばれていましたが、今回から「ITエンジニア本大賞」が正式名称となりました。 「ITエンジニア本大賞」の主催は翔泳社ですが、対象となる書籍は出版社を問わず技術書、ビジネス書全般。刊行年も関係なく、この1年を振り返っておすすめしたい書籍となっています。 今回発表されたのは技術書部門ベスト10とビジネス書部門ベスト10です。このなかから特に投票の多かった技術書3冊、ビジネス書3冊について、同社が2月13日、14日に開催するイベント「Developers S
社内勉強会で専門的技術力を高めるには
ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog サイトオペレーション本部に所属している大津と申します。普段CDNとNode.jsサポートの仕事をしていて、第9代黒帯(ヤフー内のスキル任命制度/ネットワーク・セキュリティ)に任命していただいています。1 先日ヤフー社内で黒帯LT会が開催されました。お題目は事前に指定された「専門的技術力を極めるための極意」ということで、10分ほど話をしました。しかし、これまでみたいにセミナールームで大勢の前で話すわけではなく、最近代わり映えしない自宅デスクからのオンラインLTは、正直勝手が違いました。時間配分もミスって中途半端に終了です。と思いきや数日前、このYahoo! JAPAN Tech Blog担当者から「いやー、よかったですよ。そのネタ書
この本がスゴい!2019
人生は短く、読む本は多い。 毎年この時期、自分のリストを振り返るのだが、読みたい本が尽きることはない。読むほどに、知るほどに、知識と理解と表現の不足を痛感する。 それでも読むし、ここに書く。読むことで豊かになり、書くことで確かになるというのは本当で、読んでいるときに何を知りどう考えていたかは、書くことでハッキリする。 つまり、自分で分かるために書いているのだ。フランシス・ベーコンは、話すことで機敏になるとも言ったが、わたしの場合、話すことで世界が変わった。[スゴ本オフ]や読書会、[冬木さんとのSF対談]や、読書猿さんとの知をめぐる対談[1][2][3]で、世界の見え方が変わった。 読書会や対談は今後もしていくが、そこで紹介された本や、2019年に出会った本の中から、わたしにとってのベストを選んだ。これが、あなたにとってのスゴ本となれば嬉しい。そして、このリストを目にしたあなたが、「それがス
岸 信夫 on Twitter: "自衛隊大規模接種センター予約の報道について。 今回、朝日新聞出版AERAドット及び毎日新聞の記者が不正な手段により予約を実施した行為は、本来のワクチン接種を希望する65歳以上の方の接種機会を奪い、貴重なワクチンそのものが無駄になりかねない極めて悪質な行為です。"
自衛隊大規模接種センター予約の報道について。 今回、朝日新聞出版AERAドット及び毎日新聞の記者が不正な手段により予約を実施した行為は、本来のワクチン接種を希望する65歳以上の方の接種機会を奪い、貴重なワクチンそのものが無駄になりかねない極めて悪質な行為です。
多数が集まることで思考の品質が下がるリスクについて、もう少し具体的に紹介してみましょう。 例えば、社内の気心の知れた人達で集まって会議を開催すると、知らず知らずの内にその人たちの間で「今の私たちが持っている『雰囲気』や『秩序』を大切にしよう」とする意識が働くものです。 会議が進み、議論が一定の方向にまとまり始めると、そこで反対意見を出すことは「雰囲気や秩序を乱す」として、賛成意見以外を言いづらい雰囲気が形成される──といったこともあるでしょう。 一見「良案」にみえる意見においても、それが客観的に正しい、良いものなのかどうかよりも「和を乱さないか」であったり、「(まとまっていた話が)まとまらなくなってしまうのではないか」といった観点に重きを置かれてしまうのです。 こうしたケースは決して珍しいことではなく、例えば一部上場企業における役員クラスのミーティングにおいても、同様の傾向が見られることも
2021年12月10日、Javaベースのログ出力ライブラリ「Apache Log4j」の2.x系バージョン(以降はLog4j2と記載)で確認された深刻な脆弱性を修正したバージョンが公開されました。セキュリティ関係組織では過去話題になったHeartbleedやShellshockと同レベルの脆弱性とも評価しています。ここでは関連する情報をまとめます。 1.何が起きたの? Javaベースのログ出力ライブラリLog4j2で深刻な脆弱性(CVE-2021-44228)を修正したバージョンが公開された。その後も修正が不完全であったことなどを理由に2件の脆弱性が修正された。 広く利用されているライブラリであるため影響を受ける対象が多く存在するとみられ、攻撃が容易であることから2014年のHeartbleed、Shellshock以来の危険性があるとみる向きもあり、The Apache Software
はじめに こんにちは。事業推進部でOffensive Teamを担当する永井です。 先日のApple発表会では新型のiPhoneやApple Watchなど心躍る製品が色々と発表されましたね。筆者は特に新型iPad miniが心に刺さっています。 さて、今回はApple関連の話として「macOSの暗号化zipファイルはパスワード無しで解凍できる」というネタについて書いていきます。 解凍できる条件 何を言っているんだと思われるかもしれませんが、macOSで作られた暗号化zipファイルは以下の2つの条件を満たす場合にパスワード無しで容易に解凍が可能です。 zipの暗号化方式がzipcryptoである (通常の暗号化zipファイルは基本的にzipcryptoが利用されています) zip内のいずれかのディレクトリの中身が.DS_Storeファイルおよび何らかのファイル1つである このうち1.は基本
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
フリーWi-Fiを使ったら秘密情報を抜かれる経路にはどのようなものがあるか - Qiita
趣味で作ったソフトウェアが海外企業に買われるまでの話 - knqyf263's blog
N予備校プログラミング入門コースで学べること - Qiita
すべての新米フロントエンドエンジニアに読んでほしい50の資料 - Qiita
ソフトウェアエンジニアなら3秒で理解できる NFT 入門 - Okapies' Archive
クレジットカードの偽決済画面が稼働していたサーバーについて調べてみた - piyolog
登さん、LAPRASをどう思いますか?そしてエンジニアは今後どうすべきですか? - LAPRAS NOTE
【重要・緊急】ウェブ魚拓のバージョンアップを行います – 株式会社アフィリティー
Docker一強の終焉にあたり、押さえるべきContainer事情
日本の製粉大手に「前例ない」大規模攻撃 大量データ暗号化 起動不能、バックアップもダメで「復旧困難」
「鬼滅の刃」の謎 あるいは超越論的炭治郎|斎藤環(精神科医)
NURO光で使用する管理者アカウントが特定される、見えてはいけない画面がまる見え&root権限も奪取可能
OAuth認証とは何か?なぜダメなのか - 2020冬 - r-weblife
7iDのパスワード再発行がセキュリティ的に最悪な件:パスワード変更しても無意味な状況(会見後追記)
インターネットで表舞台に立たなくなってから、もうずいぶんと長い年月が..
「意思疎通できない殺人鬼」はどこにいるのか?|斎藤環(精神科医)
7Payの失態で露呈した本当は怖いIDの話|楠 正憲(デジタル庁統括官)
Web開発者はもっと「安全なウェブサイトの作り方」を読むべき - Flatt Security Blog
「本質本」と呼べそうな本3冊 - 本しゃぶり
「みんなで考えよう」は思考の品質が下がる?「集団浅慮(グループシンク)」と「悪魔の代弁者」について
Log4jの深刻な脆弱性CVE-2021-44228についてまとめてみた - piyolog
macOSの暗号化zipファイルはパスワード無しで解凍できる - NFLabs. エンジニアブログ