Author: @urahiroshi, Engineering manager of Web Platform team 2022年8月4日、メルカリで “web-2” と呼ばれるサーバがシャットダウンされました。これはメルカリWeb版の開発に携わっているチームにとって、一つの区切りとなる出来事でした。 web-2はPHPで記述されたwebサーバで、2015年から https://www.mercari.com/jp/ 配下のコンテンツを配信していましたが、現在では複数のWebマイクロサービスがその機能を担っており、 https://www.mercari.com/jp/ 配下のページは後継となるWebマイクロサービスが配信するページへリダイレクトされています。 メルカリWebのマイクロサービス化に向けた開発が始まり、最終的にweb-2がシャットダウンされるまで、実に4年以上の期間がかか
※ASPも厳密にはクラウドECに入りますが、この記事ではebisumartのような「フルカスタマイズ可能なクラウドEC」をクラウドECと定義します。 ebisumart(エビスマート)公式サイト それでは、次に個人でECサイトを制作する方法を順に解説します。 ①個人の場合は無料ASPから始めよう! もし、個人でECサイトを始める方は、まずは「BASE」や「STORES」「カラーミーショップ」という誰でもカンタンにECサイトを作れる無料ASPがありますので、こちらでECサイトの制作をするのをおススメします。なぜなら制作費用が0円だからです。しかもEC制作は、まるでFacebookのアカウントを開設するようにカンタンなので、予算が企業に比べて制限のある個人であれば、これを利用しない手はありません。 無料ASPは初期費用、月額費用とも0円ですが、商品が売れた時に「決済手数料」が3%から5%くらい
7payの件:『こういう方面の知識がないのに意思決定権がある偉い人たちに無視されてしまったんだろうなぁ』とネットユーザの推測←記者会見で7payの社長が二段階認証を知らないことが露呈
「7pay」900人に不正アクセス 被害5500万円か | NHKニュース https://www3.nhk.or.jp/news/html/20190704/k10011982321000.html 7Pay、新規登録を停止 不正相次ぐ、全被害補償へ:朝日新聞デジタル https://www.asahi.com/articles/ASM744G05M74ULFA00Y.html 7payのパスワード再設定に脆弱性、運営元が対策 「解決していない」との指摘も - ITmedia NEWS https://www.itmedia.co.jp/news/articles/1907/04/news079.html
電子書籍媒体難民
ピッコマ UIが結構好きだったのと「ナビレラ」って漫画が好きだったので利用してたんだけど、最近唐突に無料話の場合にSMS認証を求められるようになって面倒だからもういいかな…と思ってやめた その前はhontoを使ってたけど、そのとき買った本はもう読まなくなってしまった アクセス面倒くさくて… 同じようにピッコマで買ったいくつかの作品も読まなくなってしまうかな ヨコハマ買い出し紀行と推し武道は紙で買い直そうかな 迷ったけど今日紀伊國屋の電子書籍サイトに移行してとりあえず人生にマストという漫画だけ揃えて買ったけど、結構いい感じ このサイトとアプリなら読み返せそうな気がする アマゾン嫌いだからkindleは考えたことなかったけどみんな使ってるよね そこでだけ作品売ってる人もいるしな…犬のかがやきとか(知らないだけで他でも出してる?) 白泉社の漫画に好きなものが多くてアプリのマンガParkは結構よか
Microsoftは、2015年のリリースからWindows 7とWindows 8.1を対象にWindows 10への無償アップデートキャンペーンを行っており、既に4年が経過した記事作成時点でも無償アップデートは一部継続しています。本来は1年で終了する予定だったWindows 10の無償アップデートがなぜまだ続いているのかについて、技術系ブログであるBorn's Tech and Windows Worldが解説しています。 Why the free upgrade to Windows 10 still works … | Born's Tech and Windows World https://borncity.com/win/2019/11/30/why-the-free-upgrade-to-windows-10-still-works/ Windows 7の正式サポートが20
この本の概要 テレビ会議やリモートワークが普及する中,情報を守る暗号や本人確認のための認証技術の重要性が増しています。本書は公開鍵暗号や署名などの理論を基礎から詳しく解説し,TLS1.3やHTTP/3,FIDOなどの新しい技術も紹介します。更にブロックチェーンで注目されている秘密計算,ゼロ知識証明,量子コンピュータなど最先端の話題も扱います。 こんな方におすすめ 暗号と認証の基礎を学習したい人 Web担当者やセキュリティ担当者など 1章 暗号の基礎知識 01 情報セキュリティ 情報セキュリティの三要素 情報セキュリティと暗号技術 利便性とコスト 追加された要件 02 暗号 暗号とは よい暗号と使い方 暗号の動向を知る 03 認証 パスワードによる認証 パスワード攻撃者の能力 パスワードの攻撃手法 認証の分類 認可 OAuth 04 古典暗号 シフト暗号 換字式暗号 符号化 2章 アルゴリズ
私は米国の超大手クラウドベンダーの中の人をやっており、普段はアメリカに住んで気づいたことをブログに記録しているのだが、今回は趣を変えて、日本で出会った凄い人からの学びを書いてみようと思う。 プリンシパルを目指して前回の下記のブログで、マネージャにならずに、プリンシパルというレベルを目指し始めたので、少しづつ自分のふるまいを変えることにしているが、これはそれの一環だ。 人生最後の大きなチャレンジの戦略を考える|牛尾 剛 (note.com) 筋肉の豊富なケンさん 私が日本に居たときの同僚で、ケンさんという人がいる。筋トレ仲間として、筋肉がものすごいので、凄いなと思っていたのだが、彼は筋肉だけではなくプログラミング力もえげつなかったことを覚えている。 あるハッカソンで普通の人なら1つか2つの機能を試すところを、彼は10個ぐらい、それもものすごく高度に組み合わせてすごく短い時間に凄いアプリを作っ
(2021.1.31 14:27追記:この記事はマイナンバーカードを使った電子申告を前提にしているので、ID・パスワード方式で確定申告したい人にはあんまり役に立ちません) はじめに 2021年からはスマホで電子申告 特別定額給付金のときに技術的には可能であることが示されていた 実際にやってみた 本当に楽だった 2021.1.31 11:00追記:マネーフォワード クラウド確定申告 2021.1.31 14:14追記:普通のe-Taxも改善してきているらしい はじめに 今年も確定申告の時期になりました。 2020年は技術書典8疲れから4月になってから申請したのが記憶に新しいところです。会計を締めるまでには時間がかかりましたが、freeeが国税庁のe-Taxサービスに電子申告用バイナリデータをアップロードしてくれるmacOSアプリを用意してくれていたおかげで、e-Tax自体はとてもすんなり行き
本日はメルマガとnoteの日。noteは単体だと110円ですが年間のマガジンだと4054円なのでかなりお得になります。マガジンがオススメです。w 1 家族が怪しいビジネスに騙されそうな時の対処法 2 野球用品のネット専業店の生き残り戦略 3 二段階認証を設定してもGoogleの乗っ取りリスクはある? 4 荒川区の喫煙所設置費用の助成制度について 5 ECサイトのショップ名で上位表示されるために 6 もし一億円を社会貢献に使うなら です。まぐまぐ!または、スマホで読む方はnoteでお買い上げいただけます。関係ないですがついでにInstagramもフォローしていただけると喜びます。 サイゼリヤはその昔、かなり行ってました。昼間ばかりで喫煙してる人はほとんどいない店舗です。しかし前にも書いたが サイゼリヤはなぜ苦戦しているのか、自分はこう考える まず、現在の外食産業であるが、日本フードサービス協
「こんぴらさん」が神社本庁を離脱 大嘗祭の供え物届かず「天皇陛下にも不敬極まりない」:東京新聞 TOKYO Web
「こんぴらさん」の愛称で知られる香川県琴平町の金刀比羅宮(ことひらぐう)は17日、神社本庁(東京都渋谷区)から離脱したと発表した。離脱の理由は、昨年11月の天皇陛下の即位関連儀式「大嘗祭(だいじょうさい)」を地元で祝う「大嘗祭当日祭」を巡り、本庁が約束していた供え物「弊帛料(へいはくりょう)」(5000円)が届かなかったためという。 同宮は大正天皇の大嘗祭で創作された歌舞(うたまい)を宮内省の楽師から指導してもらい、約100年前から「讃岐風俗舞(さぬきふうぞくまい)」として継承し、当日祭でも披露した。皇室との特別な縁を誇りとするだけに、本庁の対応を「天皇陛下に対しても不敬極まりない行為」と批判していた。 同宮は2月に離脱方針を決めて法的手続きに入り、10月20日に文部科学相から離脱が認証されていた。今後は単一の宗教法人として宮司交代などを判断できる。幣帛料は今年1月末、本庁の地方機関の香川
セブンペイ、抱えていた「不発弾」の代償
セブン&アイ・ホールディングスが7月1日に開始したスマホ決済サービス「7pay(セブンペイ)」で不正アクセス被害が発生した。SNS上で「30万円を不正利用された」「19万円を不正にチャージされて使われた」などの被害が相次いで報告され、セブン&アイは7月3日にクレジットカードとデビットカードからの入金手続き停止を発表。7月4日には全ての入金手続きを止めた。セブン&アイの発表によると、7月4日の午前6時時点の試算で被害者は約900人、被害額は約5500万円に上る。 4日に会見したセブン&アイ傘下のセブン・ペイの小林強社長は「詳細な原因を調査中」と話した。だが、原因の一つとしてセブン-イレブン・ジャパンのアプリ「セブン-イレブンアプリ」が使っていた会員システム「7iD」のお粗末ともいえる仕様が考えられる。 セブンペイはこれまでもあったセブン-イレブンアプリに決済機能として組み込まれた。セブン-イ
どうも、@yuyaaar です。 最近は Next.js アプリを見ることが多くなってきました。もはや JAM スタックの王道、と言っても過言ではないかもしれません。 ですが、やっぱりフルスタックとなると、データベースや認証などが必要になってきて、その辺のやり方がいまいちよくわからない、という人も多いのではないでしょうか。 自分もその一人でした。😅 いろいろ調べたり作ったりした結果、今現在もっとも最強コンビであろう、 Next.jsPrismaNextAuth.jsReact Queryでのフルスタックアプリケーションの作り方をこの記事では書いていきます。 今回は、チュートリアルアプリでよくある Todo アプリを作って、vercel にデプロイ、というのをやってみたいと思います。 まずは最初に Next.js ボイラープレートアプリを作りましょう。 作成できたら、まずは TypeScr
持続化給付金事業を実体のない“幽霊法人”が受注していた問題で、この法人が設立からこれまで、経済産業省の最高幹部が在籍している部署から累計1300億円を超える発注を受けていたことが、「週刊文春」の取材でわかった。 今回、769億円で持続化給付金事業を受注した「一般社団法人サービスデザイン推進協議会(以下、サービス協議会)」は2016年に設立された。サービス協議会を実質的に運営していたのは、電通社員(当時)のA氏で、名目上のトップだった代表理事(当時)は「経産省の方から立ち上げの直前に代表理事を受けてもらえないかという話があって、それで受けた」と証言するなど、経産省が設立に関与していた。この時、経産省は肝いりで始めた「おもてなし規格認証」事業の公募を開始。不可解なことにサービス協議会が設立されたのは、公募開始日と同じ日だった。
数百万件残っていたHTTPのはてなブログを4年越しにすべてHTTPS化させた話 - Hatena Developer Blog
こんにちは id:cohalz です。はてなブログでは2021年4月の公式ブログで、すべてのブログをHTTPSに一本化していくことを案内しました。 ▶ 「HTTPS配信」への切り替えと、ブログの表示の確認をお願いいたします この時点でまだ数百万件のHTTPのブログが残っている状態でしたが、2021年8月には上記の案内に追記したように、全ブログでHTTPS化を完了できました。 完了までに行ってきたことをこの記事で振り返ってみようと思います。 はてなブログのHTTPS化のこれまで はてなブログのHTTPS化は、2017年9月に最初のお知らせを行ってスタートしました。 当初の予定より時間がかかりましたが、2018年2月にHTTPS配信の提供を開始し、これ以降に作成されたブログは最初からHTTPSのみで配信されています。また、それ以前に作成されたブログでも、ユーザ側で設定を変更することで自分のブロ
キーポイント For object-oriented design we follow the SOLID principles. For microservice design we propose developers follow the “IDEALS”: interface segregation, deployability (is on you), event-driven, availability over consistency, loose-coupling, and single responsibility. Interface segregation tells us that different types of clients (e.g., mobile apps, web apps, CLI programs) should be able to inte
未経験からエンジニアになり3年が経ちました。 この3年間はベテランエンジニアとの差を埋めるべく、プライベートの時間の大半を学習に充ててきました。幸い少しずつ成長を感じられ、業務では難易度の高い仕事を任せてもらえるようになったと感じます。このキャッチアップのために100冊以上の技術関連書籍を読んだことでしょう。 ここ最近、知人やTwitter経由で知り合った方から、私が学習に使った書籍について質問を頂くことが多いです。そこで、今後参照していただきやすいように、これまで私が読んで良かった書籍を1つの記事にまとめようと思います。 前提:エンジニアとして経験した技術 書籍について 全エンジニア向け Web / インターネット イラスト図解式 この一冊で全部わかるWeb技術の基本 (★) HTMLコーダー&ウェブ担当者のための Webページ高速化超入門 (★) Webを支える技術 -HTTP、URI
メール診断ツール「mail-tester」でGmailに届かない神奈川県立高校の出願システムのメールを診断してみた | DevelopersIO
神奈川県立高校の入試出願システムで、Gmailへメールが届かない問題が再発しました。 令和6年1月24日14時掲載(第1報(新)) 本日より募集期間となりましたが、@gmail.comのメールアドレスのみを登録している志願者に、出願システムからのメールが遅延している、あるいは届かない不具合が発生しています 神奈川県公立高等学校入学者選抜インターネット出願システムの稼動状況について 以前、出願システムから送信されるメールにYahooメール、Gmailに届いたメールより、送信者ドメイン認証などは正しい事を確認できていました。 Gmailに届くようになった、障害解消後の神奈川県立高校入試のインターネット出願システムのメールを調べてみた 今回、Gmailに届かないメールに 迷惑メールとして判定される要素が無いか、 mail-testerのサービスを利用して診断した結果を共有させて頂きます。 迷惑メ
半導体企業・Armが開発したArmアーキテクチャは、携帯電話や自動車、マイクロコントローラー、Amazon Web Services(AWS)のサーバーなどで使われる何十億ものチップで採用されています。Armはイギリスの企業でしたが、2016年にソフトバンクに買収されました。その後、NVIDIAへ売却されることが発表されたものの、中国国内でのライセンス権を持っていた中国合弁企業が一方的に独立を宣言し、知的財産権(IP)のライセンス権を横取りしたまま暴走を続けていると、半導体関連ブロガーのディラン・パテル氏が解説しています。 The Semiconductor Heist Of The Century | Arm China Has Gone Completely Rogue, Operating As An Independent Company With Inhouse IP/R&D -
フロント学習の最高の教材集 - Qiita
はじめに 今回はフロント学習で重宝できる教材をまとめました。 軽く自己紹介として、自分は新卒でフロントエンジニアとして入社し2022年で2年目になります。 実際に実務を通す中で「この教材のおかげで実装がスムーズにできた」「この教材をやってたおかげで理解ができた」といったような場面が2年の間で多々ありました。 今回紹介する教材は自分自身が実際に使ってよかったものかつ、そのほとんどが無料で学べるor低価格の教材になっています。 「フロントエンドを網羅的に学べかつ実務の基礎作り」という目的で教材を紹介します。 この記事の主な対象者 フロントエンドの学習をこれからしていきたい人 何を学べばよいのかがわからない人 HTMLとCSSはある程度かける人 この記事の目標 フロント学習の指針が立てられる 実務現場でも活用できるスキルを学べる教材を知れる JavaScript ドットインストールのJavaSc
TCPとQUICの比較
ジェフ・ヒューストンのブログより。 QUICトランスポート・プロトコル(RFC 9000)は、オリジナルのTCPトランスポート・プロトコルを改良したものに過ぎないという一般的な見解があります[1][2]。私は、この意見に同意し難く、私にとってQUICは、通信のプライバシー、セッション制御の完全性、柔軟性の面で、アプリケーションが利用できるトランスポート機能における重要な変化を象徴しています。QUICは、より多くの形式のアプリケーションの動作に本質的に役立つ、異なる通信モデルを体現しています。そうです。TCPよりも高速です。私の意見では、公衆インターネットは、いずれQUICがTCPに取って代わると思っています。ですから、私にとってQUICは、TCPに少し手を加えただけのものではありません。ここでは、TCPとQUICの両方について説明し、QUICがトランスポート・テーブルに加えた変更について見
Node.jsのMySQLパッケージにおけるエスケープ処理だけでは防げない「隠れた」SQLインジェクション - Flatt Security Blog
※本記事は筆者styprが英語で執筆した記事を株式会社Flatt Security社内で日本語に翻訳したものになります。 TL;DR Node.jsのエコシステムで最も人気のあるMySQLパッケージの一つである mysqljs/mysql (https://github.com/mysqljs/mysql)において、クエリのエスケープ関数の予期せぬ動作がSQLインジェクションを引き起こす可能性があることが判明しました。 通常、クエリのエスケープ関数やプレースホルダはSQLインジェクションを防ぐことが知られています。しかし、mysqljs/mysql は、値の種類によってエスケープ方法が異なることが知られており、攻撃者が異なる値の種類でパラメータを渡すと、最終的に予期せぬ動作を引き起こす可能性があります。予期せぬ動作とは、バグのような動作やSQLインジェクションなどです。 ほぼすべてのオンラ
男性器をBluetooth経由でロックできるスマート貞操帯に「攻撃者によってリモートから完全にロックされる脆弱性」が判明
Bluetoothを介してスマートフォンと接続してリモート操作が可能な男性向けのスマート貞操帯に「セキュリティ上の欠陥」が発見され、悪意ある攻撃者がリモートで制御すると、着用したら二度と外れないようにできてしまうことが判明しました。 Smart male chastity lock cock-up | Pen Test Partners https://www.pentestpartners.com/security-blog/smart-male-chastity-lock-cock-up/ Locked In An Insecure Cage https://internetofdon.gs/qiui-chastity-cage/ Internet-enabled male chastity cage can be remotely locked by hackers - The Ve
はじめに 10 年前の今日、2012/02/03 に Just Quick Search という iOS アプリをリリースした。 個人で開発を行い、100% すべての要素を自分で考え作り上げてきた。 今日はこのアプリに関する 10 年間の思い出と技術的な部分についてをアツく語りたいと思う。 アプリ紹介 Just Quick Search は検索補助アプリである。 このアプリを使うと普段 iPhone で行っている 検索 というアクションをほんの少しだけ 速く 実行できるようになる。 以下がキーワード iphone を検索している時の挙動だ。 ip と入力したところで候補に出てきた iphone をタップし、キーボード右下の search をタップすると Safari が立ち上がり Google での検索結果が表示されるというものである。 メインの機能はこれだけだ。 一見ただ検索をしているだ
開発者向けのセットアップ 新しく購入したWindows 10パソコンには、開発者向けのアプリケーションやツールが用意されていない。そこで、開発者は自身で環境をセットアップしていく必要がある。 必要になるツールをインストールしてカスタマイズを加えていくことで、デフォルトの状態のWindows 10から遠ざかっていくのは開発者にはよくあることだ。しかし、Wingetが公開されるなど、Windows 10でもLinuxのようなパッケージ管理が現実的になってきた。これまで散らかし気味になりがちだったWindows 10も、これからはもうちょっとましな管理ができるようになるかもしれない。 本稿では開発者向けに、新しいWindows 10パソコンに必要となる基本的なツールやアプリケーションをインストールしてセットアップする方法を取り上げる。今回取り上げるのはOpenSSH、Winget、Windows
JAWS-UG 初心者支部 #22 ハンズオン用の資料です。 目的 AWSアカウントを不正利用されないために、アカウントを作成したらまずやるべきセキュリティ周りの設定を行います。 前提 AWSアカウントを作成済みであること AWSアカウントにログインしていること リージョンは東京リージョンを利用します ハンズオン手順 アカウント周りの設定 ルートアクセスキーの削除 ※ルートアカウントのアクセスキーは、デフォルトでは作成されておりません。アクセスキーを作成済みの方を対象とします。 ルートアカウントは全てのサービスへのアクセスが出来てしまうため、ルートアカウントは使用せず、IAMユーザーを使用しましょう。 CLI等のプログラムアクセスも不要なため、アクセスキーを削除します。 https://console.aws.amazon.com/iam/home#/security_credential
はじめに この記事では、OAuth 2.0 の『クライアント認証』について説明します。 RFC 6749 に記述されているクライアント認証方式のほか、クライアントアサーションやクライアント証明書を用いるクライアント認証方式についても説明します。 1. クライアント認証方式 1.1. トークンエンドポイント 認可サーバーがあります。 認可サーバーからアクセストークンの発行を受けたいクライアントアプリケーションがあります。 アクセストークンは、幾つかの例外を除き、認可サーバーのトークンエンドポイントから発行されます。そのため、認可サーバーはトークンエンドポイントを用意します。 クライアントアプリケーションは、アクセストークンの発行を受けるために、トークンエンドポイントにトークンリクエストを投げます。 認可サーバーは、トークンレスポンスを返します。この応答の中に、アクセストークンが含まれます。
AWSは、AWSのサービスを活用した実践的なハンズオンコンテンツを多数公開しており、 日本語化もされています。 アマゾン ウェブ サービス (AWS) の実践的チュートリアル https://aws.amazon.com/jp/getting-started/hands-on/ 社内向けにコンテナやAPI Gateway初学者向けのハンズオン教材を探していたところ、 ちょうどいいチュートリアルをみつけました。 現代的なウェブアプリケーションの構築 https://aws.amazon.com/jp/getting-started/hands-on/build-modern-app-fargate-lambda-dynamodb-python/ このチュートリアル、 ECS/Fargateを活用したコンテナアプリケーションの公開 Codeサービスを活用したCI/CDパイプラインの構築 Ama
レシピサービスのフロントエンドを Next.js と GraphQL のシステムに置き換えている話 - クックパッド開発者ブログ
技術部の外村(@hokaccha)です。今回はクックパッドのウェブサイトのフロントエンドを Next.js などを使って作り直している話を書きます。 この記事で紹介する新システムは、スマートフォン向けのレシピページで確認することができます。もし興味があるかたはレシピページをスマートフォンのユーザーエージェントで開いて DevTools などで確認してみてください。 Next.js と GraphQL で動いているのがわかると思います。 ご存じの方も多いかもしれませんが、クックパッドのウェブサイトはモノリシックな Rails で作られていて、10年以上 Rails で開発を続けてきました。10 年以上同じシステムで開発を重ねれば当然レガシーな部分が大量に生まれてきますが、特にフロントエンドはその影響が顕著でした。 どこから使われているかわからない CSS が大量にある、JS のコードは昔なが
2021年9月14日、文部科学相はGIGAスクール構想の先進事例として町田市立の児童に配布されたタブレットがいじめに使われたことを明らかにし、*1 同日に文科省は東京都教委、町田市教育委に事実関係の確認を行った上で個人情報の管理状況が不適切であったと指摘しました。*2ここでは関連する情報をまとめます。 児童全員が同じパスワード 不適切な管理が行われていたのは町田市内の市立小学校で2019年5月に配布されたChromebook。具体的には次の問題があったことが週刊誌、新聞で報じられている。*3 *4 *5 *6 なお、町田市教委はPRESIDENT Onlineが報じた一連の記事に対して同社より取材を受けていないとして内容確認中とするコメントを行っている。*7 児童が端末起動時に使用する認証情報はIDは「所属学級+出席番号」、パスワードは全員「123456789」固定と第三者から容易に類推で
Firefox / Safari MozillaはMozilla Specification Positionsというリストを公開しています。 IETFやW3C、TC39などが提唱しているWeb技術に対して、Mozillaはどのように評価しているかという立ち位置を表明したものです。 あくまで現時点での評価であり、もちろん今後の仕様変更などに伴い評価は変わる可能性があります。 Mozilla's Positions Mozillaはどのように評価しているかの分類。 under consideration 評価の検討中。 important 優れた概念であり、Mozillaにとっても重要である。 worth prototyping 優れた概念であるが、プロトタイプを作成し、フィードバックを得て磨きをかける必要がある。 non-harmful 有害ではないが、良いアプローチではなく、取り組む価値
ベンダが提供していない決済モジュールの不具合による情報漏洩事故 東京地判令2.10.13(平28ワ10775) - IT・システム判例メモ
ECサイトにおけるクレジットカード情報漏洩事故が、決済代行業者から提供されたモジュールの不具合があったという場合において、開発ベンダの責任がモジュールの仕様・不具合の確認まで及ぶか否かが問われた事例。 事案の概要 Xが運営するECサイト(本件サイト)において、顧客のクレジットカード情報が漏洩した可能性があるとの指摘を受けて、Xは、本件サイトにおけるクレジットカード決済機能を停止した(本件情報漏洩)。その後、Xはフォレンジック調査を依頼し、不正アクセスによってクレジットカード会員情報が漏洩したこと、クレジットカード情報はサーバ内のログに暗号化されて含まれていたが、復号することが可能だったこと、漏えいした情報は最大で約6500件だったこと等が明らかとなった。 Xは、本件サイトを、Yとの間で締結した請負契約(本件請負契約)に基づいて開発したものであって、本件サイトの保守管理についても本件保守管理
ドコモ謝罪会見が(技術的な見地からみて)酷かった件について - Windows 2000 Blog
3rdに引っ越しました。 2010/12/31 以前&2023/1/1 以降の記事を開くと5秒後にリダイレクトされます。 普段の日記は あっち[http://thyrving.livedoor.biz/] こちらには技術関係のちょっとマニアックな記事やニュースを載せます。 Windows2000ネタ中心に毎日更新。 ドコモ謝罪 本人確認が不十分 - Yahoo!ニュース 【ドコモ口座 不正引き出し問題】NTTドコモ記者会見 生中継 - 2020/09/10(木) 16:30開始 - ニコニコ生放送 記者会見の概要 ・被害総額1800万円、11行が被害。 ・口座番号・氏名・暗証番号の3つと+銀行によっては生年月日という情報が合致すれば口座を乗っ取れるというもの。 ・今後は本人確認にSMS認証と、eKYC を導入する。 という説明でした 酷かったのが、被害にあわないための防衛手段についての説明
DeNA 本社移転でネットワーク構築・移行作業を実施しました | BLOG - DeNA Engineering
はじめに こんにちは、IT 基盤部ネットワークグループの片桐です。 DeNA グループ全体のネットワークの管理、運用等を行っています。 今年8月、DeNAは本社拠点を渋谷ヒカリエから、WeWork渋谷スクランブルスクエアに移転しました。 この移転は我々としても、大きなプロジェクトでした。せっかくなので、オフィスネットワークにおける移転の裏側を紹介致します。 DeNAオフィス移転におけるネットワーク WeWorkへの移転であれば、ネットワークもWeWorkの設備を使うのでは、と考えられた読者もおられるのではないかと思います。 最初に移転プロジェクトメンバーと新オフィスのネットワークについて議論しましたが、 渋谷ヒカリエで運用していたネットワークと同じレベルの帯域・ネットワークの安定性・クラウドとの内部通信・ネットワークセキュリティ・ネットワーク運用体制の維持、 これら全てが必須要件でした。
はじめに 今回は無料で公開されているエンジニア向け修資料をまとめました。 資料の作り方も勉強になるので「勉強会で登壇している人」「企業の研修担当の人」にも参考にしてほしい内容になっています。 記事の主な対象者 研修資料を網羅的に見たい人 エンジニア初心者から中級者 研修資料の作成をしていきたい人 MIXI23卒新人研修 毎年更新をしているMIXIさんの資料は量と質が凄いです。各資料において、動画による解説もついているので、初心者でも理解しやすい構成になっています。 2023年版のMIXIさんの研修資料は下記の内容が学べます Git研修 データベース研修 設計・テスト研修 コンテナ研修 iOSアプリ開発研修 Androidアプリ開発研修 フロントエンド研修 ゲーム開発研修 Flutter研修 AI研修 セキュリティー研修 インシデントハンドリング研修 チーム開発研修 GMOペパボ GMOペパ
エージェンシー事業でリードアプリケーションエンジニアを行なっている大窄 直樹 (おおさこ)です. AWSのログ, サーバーのログってたくさん種類があって難しいですよね... 同じようなログがたくさんあるので, 何を取れば良いのかとか どのくらいの期間保持すれば良いのかとか またその後の, ログの実装や, 分析方法する方法も難しいですよね... 今回AWSに構築した商用アプリケーションのログを整備する機会があったので, このことについて書こうかなと思います. 概要 本題に入る前の準備 今回ログ実装するアーキテクチャ ログに関する法令 ログの取得箇所 設計 保管するログの決定 インフラのログ OSのログ アプリケーションのログ ログの保管 保管場所について 保管期間について バケット構造 アプリケーション, OSのログの転送 実装 アプリケーション, OSのログをfluentbitを用いてS3
セブン&アイ・ホールディングスが決済サービス「7pay(セブンペイ)」の不正利用を受けて外部のIDからアプリへのログインを一時停止した措置について、原因となった脆弱性の一端が明らかになった。日経 xTECHの取材で2019年7月12日までに分かった。外部IDとの認証連携機能の実装に不備があり、パスワードなしで他人のアカウントにログインできる脆弱性があったという。 同社は2019年7月11日午後5時、FacebookやTwitter、LINEなど5つの外部サービスのIDを使ったログインを一時停止した。「各アプリ共通で利用しているオープンIDとの接続部分にセキュリティー上のリスクがある恐れがあるため」(広報)としている。 この脆弱性は、不正利用が判明した後に外部からの指摘で明らかになったもので、セブン&アイのグループ共通ID「7iD」の認証システムに存在した。外部ID連携機能を使っている人のI
![[独自記事]7pay不正利用問題、「7iD」に潜んでいた脆弱性の一端が判明](https://cdn-ak-scissors.b.st-hatena.com/image/square/50af62bf10b2327e63a67030d0f38884caebfa3d/height=288;version=1;width=512/https%3A%2F%2Fxtech.nikkei.com%2Fatcl%2Fnxt%2Fnews%2F18%2F05498%2Ftopm.jpg%3F20220512)
こんにちは、たかとーです。 今日は8 Projects with modern designs to become a Full-stack Master 2020の日本語訳記事です! *当記事は、Thuさんの許可を得て翻訳しています。 ブログでも読めます! 8 Projects with modern designs to become a Full-stack Master 自分のスキルを磨くためのプロジェクトを探していますか?新しいアイデアを思いつくのに行き詰っていませんか? 開発者として、私たちはコードを書くのが大好きですが、デザインやアイデアを見つけるのが難しいことがあります。 こんにちは、Thuです。ここ数ヶ月、私はデザインや要件を含む8つの実在するプロジェクトの作成に取り組んできました。 私は、あなたがスーパースターなフルスタックデベロッパーになるために必要な全てのスキルを鍛
JP Contents Hub
AWS 日本語ハンズオン Amazon Web Services(AWS) の 日本語ハンズオンやワークショップを、カテゴリごとにまとめています。 右側の目次や、ヘッダー部分の検索ボックスから、各コンテンツにたどり着けます。 また、Ctrl + F や command + F を使ったページ内検索もご活用いただけます。 料金について ハンズオンで作成した AWS リソースは通常の料金が発生します。作成したリソースの削除を忘れずにお願いします。 もし忘れてしまうと、想定外の料金が発生する可能性があります。 画面の差異について ハンズオンで紹介されている手順と、実際の操作方法に差異がある場合があります。 AWS は随時アップデートされており、タイミングによってはハンズオンコンテンツが追いついていない事もあります。 差異がある場合、AWS Document などを活用しながら進めて頂けますと幸い
OSS 観光名所を貼るスレ - ぽ靴な缶
これは はてなエンジニアアドベントカレンダー2023 2日目の記事です。 はてなエンジニア Advent Calendar 2023 - Hatena Developer Blog はてなエンジニアのカレンダー | Advent Calendar 2023 - Qiita トップバッターは緊張するけど、順番が回ってくるまで長い間ソワソワするのも嫌、という理由で例年2日目を狙うようにしている id:pokutuna です。今年も成功しました。 観光名所とは 目を閉じれば思い出す、あのコード... あの Issue... あなたが Web 系のエンジニアであれ、趣味で開発している方であれ、必要に応じてライブラリやフレームワークのコードを読むのはよくあることでしょう。公開の場で開発されているソフトウェアは、ソースコードだけでなく、開発コミュニティでの議論やバグ報告なども見ることができます。 リポ
2019年7月29日、米金融大手 Capital Oneは不正アクセスにより1億人を超える個人情報が流出したと発表しました。WAFの設定ミスに起因して、Server Side Request Forgery(SSRF)攻撃を許したことにより情報を盗まれたと見られています。ここでは関連する情報をまとめます。 Capital Oneによる公式発表 Information on the Capital One Cyber Incident(米国向け) Information on the Capital One Cyber Incident(カナダ向け) Frequently Asked Questions (1)影響範囲 影響が及んだ人数の内訳は以下の通り。 米国 約1億人 カナダ 約600万人 発表時点でCapital Oneは流出した情報が外部へ出回ることや、詐欺への使用は確認していない。
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
メルカリWebのマイクロサービス化、その4年 | メルカリエンジニアリング
EC初心者が10分で理解するECサイト制作の手順と費用相場
Windows 10への無償アップグレードキャンペーンはなぜまだ続いているのか? - GIGAZINE
図解即戦力 暗号と認証のしくみと理論がこれ1冊でしっかりわかる教科書
筋肉ですべてを解決する人のプログラミング上達方法|牛尾 剛
確定申告のe-Taxでカードリーダーが不要に!freeeの電子申告アプリが最高だった話
サイゼリヤの社長がとんでもなくピンボケで、もう行かないだろうなと思った
Next.js + Prisma + NextAuth.js + React Query で作るフルスタックアプリケーションの新時代
持続化給付金問題 “幽霊法人”が経産省最高幹部の部署から1300億円超を受注 | 文春オンライン
マイクロサービス設計原則: SOLIDではなくIDEALS
エンジニア3年目までに読んで良かった書籍 - Yuki Watanabe's Blog
Armの中国合弁企業がArmからの独立を宣言、一部ライセンスや中国市場の顧客をそのまま横取り
10 年間 1 人で 1 つの iOS アプリを保守してきた話 | DevelopersIO
Windows 10搭載PCを買ったら最初にやっておきたいこと【開発者編】
AWSアカウントを作成したら最初にやるべきこと -セキュリティ編- - Qiita
OAuth 2.0 クライアント認証 - Qiita
AWS公式『現代的なウェブアプリケーションの構築』ハンズオンのハマリどころ - Qiita
児童全員同じパスワードで配布されたタブレットで起きた問題についてまとめてみた - piyolog
Firefoxは危険なJavaScriptに対応しない - Qiita
【2023年版】エンジニア向け読むべき資料まとめ - Qiita
AWSでの法令に則ったログ設計及び実装/分析 - Adwaysエンジニアブログ
[独自記事]7pay不正利用問題、「7iD」に潜んでいた脆弱性の一端が判明
フルスタックエンジニアになるためのモダンな8つのプロジェクト - Qiita
SSRF攻撃によるCapital Oneの個人情報流出についてまとめてみた - piyolog