Firebase Authのリダイレクトログインを使っている人は今年の6月までに対応しないと大変ですよという注意喚起
公式ドキュメントに書いてあり、Firebaseからもメールなどで通知されていることではあるのですが、意外と見落としたままになっているかもしれない情報なので、啓蒙の意味も込めて記事にします。 結論 Firebase AuthのJavaScript SDKを使っている場合、今年6月までに以下のドキュメントに従った対応をしないとChrome/Edgeでリダイレクトログインが動かなくなります。 サードパーティのストレージ アクセスをブロックするブラウザで signInWithRedirect を使用する場合のベスト プラクティス 必要な対応 公式ドキュメントにある対応選択肢を、補足や注意点も含めた形で以下に焼き直してみます。 ポップアップ形式のログインでもいい場合 同一タブ内でリダイレクトしてログインする形式から、ポップアップウインドウを開いてログインする形式に切り替えましょう。 (公式ドキュメン
OAuth 2.0 for Browser-Based Apps Abstract This specification details the security considerations and best practices that must be taken into account when developing browser-based applications that use OAuth 2.0.¶ Discussion Venues This note is to be removed before publishing as an RFC.¶ Discussion of this document takes place on the Web Authorization Protocol Working Group mailing list (oauth@ietf.
.app 1 .dev 1 #11WeeksOfAndroid 13 #11WeeksOfAndroid Android TV 1 #Android11 3 #DevFest16 1 #DevFest17 1 #DevFest18 1 #DevFest19 1 #DevFest20 1 #DevFest21 1 #DevFest22 1 #DevFest23 1 #hack4jp 3 11 weeks of Android 2 A MESSAGE FROM OUR CEO 1 A/B Testing 1 A4A 4 Accelerator 6 Accessibility 1 accuracy 1 Actions on Google 16 Activation Atlas 1 address validation API 1 Addy Osmani 1 ADK 2 AdMob 32 Ads
本コーナーでは技術へのタッチポイントを増やすことを目標に、各分野で活躍されている方をお迎えします。 今回はテクニカルライティングをテーマに堀越さんにインタビューします。書く技術の一端に触れて仕事や趣味に活かしてみませんか。 【話し手】 堀越 良子(HORIKOSHI Yoshiko)LINE ではたらくテクニカルライター。技術書典で『DNS をはじめよう』などのインフラ入門書を執筆。ねこが好き。 Twitter @mochikoAsTech GitHub mochikoAsTech URL https://mochikoastech.booth.pm/ 書く仕事 日高: 今のドキュメントを書くお仕事とは、どのように出会ったのでしょうか。 堀越: 私のキャリアはPHPエンジニアから始まっています。そのあと広報をやって、今の仕事の前はインフラエンジニアを7年ほどしていました。当時、仕事をしなが
AWS Amplify × Next.js で Server Side RenderingのデプロイおよびCI/CD環境を構築する
本記事では、AWS Amplify と Next.js を使って SSR 構成のデプロイ、および CI/CD の構築について考えていきたいと思います。 ※2021/05/19 更新 Amplify Console が SSR ホスティングをサポートしたので記事の内容を更新しました Amplify ConsoleがNext.jsで作成されたアプリのSSRに対応しました🎉 去年9月にAmplify LibrariesがNext.js/Nuxt.jsのSSR対応したので、SSRがAmplifyで完結できるようになります!https://t.co/igYF9Vz61a#AWSAmplifyJP — Jaga@AWS Amplify (@jagaimogmog) May 18, 2021 (参考) https://aws.amazon.com/jp/blogs/mobile/host-a-next
はじめに この記事はAuth.jsがどのようなものか,どのように実装すればいいかなどをドキュメントを要約しながら紹介するものです. Auth.jsは2024/02/19現在ドキュメント整備中です.現在のドキュメントとは内容が異なる場合があります.この記事では旧ドキュメントの内容も交えて解説しています. Auth.jsとは? (https://authjs.dev/ より) Auth.js is a complete open-source authentication solution for web applications. Check out the live demos of Auth.js in action: Next.js SvelteKit SolidStart Auth.jsはwebアプリのための完全なオープンソース認証ソリューションです.その特徴として, 簡単に OAu
リアルワールドバグハンティング
セキュリティの脆弱性を発見し、アプリケーションの所有者に報告するエシカルハッキング(倫理的ハッキング)の事例から、ソフトウェアのバグを見つける方法と手順を解説します。 Twitter、Facebook、Google、Uber などのアプリケーションで発生した報奨金がかかった脆弱性の実例を紹介し、攻撃者がどのようにユーザーを騙し機密情報を抜き取るか、レース条件を利用する方法、サイトがユーザーに自らの脆弱性を公開してしまう過程などを解説します。 基本的なウェブハッキングの概要、攻撃者がウェブサイトを侵害する仕組み、脆弱性に共通する要素の見分け方を解説し、さらにクロスサイトスクリプティング、安全でないダイレクトオブジェクト参照、サーバーサイドリクエストフォージェリなど様々なバグについて説明します。 ウェブセキュリティの脆弱性について、報告された実例から学ぶ本書は、バグハンターはもちろん、セキュア
「golang.tokyo」は、プログラミング言語のGoの導入企業のメンバーが集まり、Goの普及を推進するコミュニティです。ここで、フューチャー株式会社の渋川氏が登壇。GoでWebサービスを作る時の悩みから、認証リバースプロキシを作成した話を紹介します。 自己紹介 渋川よしき氏:フューチャー株式会社の渋川が発表します。まず「お前誰よ?」ですが、2017年からフューチャーで働いています。いろいろ本を書いています。『Real World HTTP』のほか、昔のものですが『つまみぐい勉強法』『Goならわかるシステムプログラミング』もあります。最近はよくJavaScriptというか、TypeScriptとGoとPythonを書いています。ほかに仕事でFlutterもやっています。 著書の『Real World HTTP』はちょこちょこ増刷もされています。買ってくれた方、ありがとうございます。実は今
【オススメ技術書55冊】Kindleセールで12/9まで半額の本をエンジニアの学ぶ目的別にまとめ - 仮想サーファーの日常
技術書って1冊で3000円くらいかかって結構な出費になってしまうので、買うのをためらうことありますよね...。 そんな方に朗報です!!Amazonで2019年12月9日までなら普段の50%OFFで買える技術書をまとめました! 仮に10冊買ったとして、普段なら3万円くらいするのに、1.5万円で買えてしまうことに! 控えめにいって最高ですね。 ぼくもこの期間に読みたい技術書(Kindle)を一気に買っておいて、週末の空いた時間などに読もうと思っています。 【Kindle技術書50%OFFセール(12/9まで)】を見てみる ↑この記事で紹介しているKindle Saleは、2019年12月9日で終了しました。 この記事では、Amazonで50%OFFになっている技術書の中でも、目的別にオススメの技術書を紹介していきます。 プログラミング初心者の方にオススメ IT業界で頻繁に使う用語をざっくり学び
Horizontal SaaS 647種類のAPI提供状況を調査:そこから見えてきた国産 SaaS APIの今 - CData Software Blog
こんにちは! CData Software Japan で API Horic 担当の 杉本@sugimomoto です。 みなさんは SaaS比較サイト BOXIL が公開している「Horizontal SaaS カオスマップ」というものを見たことはありますか? ボクシル運営のスマートキャンプ、最新SaaSカオスマップ制作 - SaaS業界レポート2019市場規模など先行公開 より 国内SaaSサービス最大手の比較サイトを運営しているだけあって、600種類以上のSaaSがカテゴリ毎にわかりやすくまとまっているカオスマップです。SaaS導入を検討している方であれば見ておいて損は無い資料ですね。 私も大好きな資料なんですが、どうしても物足りなかった要素が1つあります。それは「APIが提供されているかどうかわからない!」という点です。 以下の記事でもある通り現在の SaaS にとって「API」
.app 1 .dev 1 #11WeeksOfAndroid 13 #11WeeksOfAndroid Android TV 1 #Android11 3 #DevFest16 1 #DevFest17 1 #DevFest18 1 #DevFest19 1 #DevFest20 1 #DevFest21 1 #DevFest22 1 #DevFest23 1 #hack4jp 3 11 weeks of Android 2 A MESSAGE FROM OUR CEO 1 A/B Testing 1 A4A 4 Accelerator 6 Accessibility 1 accuracy 1 Actions on Google 16 Activation Atlas 1 address validation API 1 Addy Osmani 1 ADK 2 AdMob 32 Ads
細かすぎるけど伝わってほしい脆弱性診断手法ドキュメント #始めに #本書は、ISOG-J WG1の新技術に対する診断手法分科会によってまとめられたさまざまな技術に関する脆弱性診断手法ドキュメントです。 クロスサイトスクリプティングやSQL Injectionなどの著名な脆弱性は診断手法や対策なども浸透し、日本語で読める良質なドキュメントが複数あります。 本ドキュメントでは、これらの脆弱性ではなく、一般に診断が困難であったり特有の確認方法が必要となるような脆弱性についてターゲットを絞って記載しています。 脆弱性診断員はもとより開発者の方々も、本ドキュメントを参考に、自身のアプリケーションに脆弱性が紛れ込んでいないか確認していただければ幸いです。 執筆者一覧 (敬称略、順不同) #三井物産セキュアディレクション株式会社 廣田 一貴三井物産セキュアディレクション株式会社 山本 健太三井物産セキュ
こんばんは! id:kouki_dan です! この記事は、はてなエンジニア Advent Calendar 2019の8日目の記事です。 昨日は id:hokkai7go さんのはてなSREチームにおけるスクラムの実践というタイトルでJuly Tech Festa2019に登壇しますでした。July Tech Festa2019はちょうど今日行われているみたいなので、どんな発表が行われるか楽しみですね。 今日はSlackで遊ぶ話をします。 僕とSlack 僕はSlackで遊ぶのが好きで、これまでSlack上で将棋ができるようにしたり、Slack上でボンバーマンで遊べるようにしたりしてきました。今日はSlackで遊ぼうシリーズ第三弾として、最近作ったものの紹介と技術的な話をします。 ところで、僕は最近クイズにハマっています。みんなで早押しクイズという早押しクイズのアプリでは、Aランクまでや
AWSセキュリティ成熟度モデルを活用することで自分たちのAWSセキュリティの現在地を確認できます。AWSセキュリティ成熟度モデルとはどんなものなのか、どうやって活用すべきかをコツも含めて解説します。 こんにちは、臼田です。 みなさん、AWSのセキュリティ対策できてますか?(挨拶 といっても具体的にどれくらいできているかって判断するのが難しいですよね。 今回はAWSから提供されているAWSセキュリティ成熟度モデル(AWS Security Maturity Model)を活用した、どれくらいできているのかを確認する方法を紹介します。こんな感じになります。 ぱっと見いい感じじゃないですか?これはちょっと作り込んでありますが、ベースはAWSセキュリティ成熟度モデルを活用しています。まずはAWSセキュリティ成熟度モデルがなんなのか、というところから説明していきます。 AWSセキュリティ成熟度モデル
mirage-ecsで各メンバー専用開発サーバーを実現!まちのコインの運用事例を紹介します - KAYAC engineers' blog
SREチームの長田です。 突然ですが、 mirage-ecs というツールをご存知でしょうか? 今回はこのツールをまちのコインの開発チームでの使用例をもとに紹介します。 coin.machino.co mirage-ecs を使うと動作確認用のサーバー環境を、サーバーサイドのエンジニアでなくとも自由にいくつでも立ち上げることができるようになります。 「環境」は AWS のECSクラスタ上で起動し、専用のURLが割り当てられ、 認証*1を通過すればどこからでもアクセスできます。 これにより 「クライアントアプリとつなぎ込んで動作確認したいけど、開発環境が空いてないから確認できない」 や、 「プロダクトオーナーに新機能を確認してもらいたいけど、開発環境が空いてないから(以下略)」 といった問題が解消し、 開発と動作確認のサイクルをスピーディーに回すことができるようになります。 mirage-e
.app 1 .dev 1 #11WeeksOfAndroid 13 #11WeeksOfAndroid Android TV 1 #Android11 3 #DevFest16 1 #DevFest17 1 #DevFest18 1 #DevFest19 1 #DevFest20 1 #DevFest21 1 #DevFest22 1 #hack4jp 3 11 weeks of Android 2 A MESSAGE FROM OUR CEO 1 A/B Testing 1 A4A 4 Accelerator 6 Accessibility 1 accuracy 1 Actions on Google 16 Activation Atlas 1 address validation API 1 Addy Osmani 1 ADK 2 AdMob 32 Ads 71 Ads API 11
.app 1 .dev 1 #11WeeksOfAndroid 13 #11WeeksOfAndroid Android TV 1 #Android11 3 #DevFest16 1 #DevFest17 1 #DevFest18 1 #DevFest19 1 #DevFest20 1 #DevFest21 1 #DevFest22 1 #DevFest23 1 #hack4jp 3 11 weeks of Android 2 A MESSAGE FROM OUR CEO 1 A/B Testing 1 A4A 4 Accelerator 6 Accessibility 1 accuracy 1 Actions on Google 16 Activation Atlas 1 address validation API 1 Addy Osmani 1 ADK 2 AdMob 32 Ads
これから始める Cloud Functions 入門
はじめに本記事は Google Cloud が提供するサーバーレスコンピューティングサービスである「Cloud Functions」の入門記事です。Cloud Functions の詳細な使い方はドキュメントに網羅されていますが、本記事では Cloud Functions の概要をざっくりと知り、使い始めてみる ところに重点を置いて解説したいと思います。Cloud Functions を使い始める上での入り口としてご覧いただきながら、各機能のより詳細な内容はドキュメントを見ながら掘り下げていただければと思います。 Cloud Functions の特長サーバーレス、FaaSCloud Functions はいわゆるサーバーレス、あるいは FaaS (Function-as-a-Service) と呼ばれるサービスです。 サーバーレスとはサーバーの管理を必要としないようなアーキテクチャの総称
追記 2020-05-13 この方法に問題があることをご指摘いただきました。本来関係ないクライアントがリソースサーバーにアクセスできる問題がありますので、取り急ぎこの方法は非推奨であることを書いておきます(では、どのようにすればいいのかというところをまた後日追記します)。 リソースサーバーと全く関係の無いクライアントが、全く関係のない文脈で正当に取得した ID トークンを用いて、リソースサーバーの API にアクセスできてしまうと思われます。リソース側が evil かどうかも関係なく、むしろリソースサーバーは騙される側ですね。図を参照してください。 pic.twitter.com/kKCZohOgu2 — Taka@Authlete, BaaS for OAuth 2.0 & OpenID Connect (@darutk) May 13, 2020 追記 2020-05-18 結論として
以前、Instagram API仕様変更・終了・廃止関連の情報まとめ。インスタの写真をWebサイトで直接表示していた方は要注意!という記事を書いたことがありました。 この記事、Arrownの歴代記事の中でもかなりのバズを生み出してくれたのですが、今回のブログ記事は、1年越しの続編の記事になります!(遅い!笑) Instagram API仕様変更・終了・廃止関連の情報まとめ。インスタの写真をWebサイトで直接表示していた方は要注意! でご紹介させていただいたように、2018年4月、それまで提供されていたInstagram APIの一部機能が終了したことにより、Webサイトに埋め込んでいたInstagramの写真が突然表示されなくなってしまったということがありました。 昨年2018年の段階では、Instagramを運営するFaceBook社側からは、「Instagram APIの代替方法につい
2要素認証によるGitHubアカウントの保護
GitHubの継続的な取り組みとして、GitHubの開発者コミュニティが最新のテクノロジーを活用して、悪意のある攻撃者によるセキュリティ侵害からアカウントを確実に保護できるよう、多額の投資を行ってきました。その一環として、デバイスの検証、不正アクセスを受けたパスワードの使用防止、WebAuthnのサポート、SSH Git操作時のセキュリティキーのサポートなどを実現しました。こうしたセキュリティ機能によって、プラットフォーム上での強力なアカウント認証が可能になっています。そして本日、この分野に関する最新情報を皆さまにお伝えできることを嬉しく思っています。 Git操作に対するパスワードベースの認証を廃止 2020年12月の発表で、2021年8月13日からGit操作の認証時にアカウントパスワードの受け入れを停止すること、およびGitHub.comで認証済みのGit操作を行う場合は必ず、パーソナル
「解くべき課題の根源は最終的に経営にある」一介のエンジニアがアーキテクトそしてCTOへロールチェンジした理由 - Findy Engineer Lab
読者の皆様、はじめまして。ベルフェイス株式会社で取締役CTO(最高技術責任者)とCPO(プロダクト最高責任者)を兼任する山口徹(@zigorou)です。自ら株式会社マギステルという会社も立ち上げて、アーリーステージのスタートアップから上場企業まで、技術顧問や経営顧問を幅広く行っています。 職歴を簡単に紹介すると、Web制作会社でキャリアをスタートし、GaiaX、サイボウズ・ラボ、DeNAと渡り歩いて、ソフトウェアエンジニアとしては19年ほどのキャリアになります。うち後半の数年ではソフトウェアアーキテクトとして振る舞うことも多く、開発責任者や事業責任者を務めたり、アライアンスや新規事業を主導したりと、普通のソフトウェアエンジニアとは違った異色のキャリアかもしれません。 古くはPerl Hackerとして活動したり、OpenIDのエヴァンジェリスト的なこともしていましたが、近年はコミュニティ活
Bubbleで開発したサービスがリリースされました - RareJob Tech Blog
こんにちは。新会社になってから初の投稿です。 レアジョブテクノロジーズCEOの山田です。 レアジョブ時代は執行役員CTOを担っておりましたが、分社化に伴いCEOに就任しました。 先日、新サービスとして、グローバルビジネスで必要な英語コミュニケーションスキルをシーンごとに習得できるオンラインプログラム「グローバルスキルPowerトレーニング(以下、Power)」をリリースしました。 「Power」は、開発にNoCodeのBubbleを採用しましたので、選定理由や実装した機能、そしてメリット・デメリットを紹介していきます。 なお、本サービスは、現業と平行して捻出出来る時間だけでPowerの開発に参加出来る、というイレギュラーな形でメンバーを募集する新たな試みのプロジェクトチームで推進してきました。 www.rarejob.co.jp 実現するサービス要件 Powerでは、システム化する前にテス
【ArgoCD🐙】ArgoCDのマイクロサービスアーキテクチャと自動デプロイの仕組み - 好きな技術を布教したい 😗
この記事から得られる知識 この記事を読むと、以下を "完全に理解" できます✌️ ArgoCDのアーキテクチャを構成するコンポーネントの種類について ArgoCDがマニフェストを自動デプロイする仕組みについて この記事から得られる知識 01. はじめに 02. 概要 アーキテクチャ レイヤー コンポーネント 仕組み (1) repo-serverによるクローン取得 (2) application-controllerによるマニフェスト取得 (3) application-controllerによるCluster確認 (4) application-controllerによる処理結果保管 (5) argocd-serverによるキャッシュ取得 (6) 管理者のログイン (7) IDプロバイダーへの認証フェーズ委譲 (8) dex-serverによる認証リクエスト送信 (9) argocd-s
GitHub - authelia/authelia: The Single Sign-On Multi-Factor portal for web apps
Authelia is an open-source authentication and authorization server providing two-factor authentication and single sign-on (SSO) for your applications via a web portal. It acts as a companion for reverse proxies by allowing, denying, or redirecting requests. Documentation is available at https://www.authelia.com/. The following is a simple diagram of the architecture: Authelia can be installed as a
2023年セキュリティトレンド大予想と2022年の総括【9社の開発・セキュリティエンジニアに聞く(後編)】 - #FlattSecurityMagazine
9社のSaaS・OSS開発の現場で活躍する開発エンジニア・セキュリティエンジニアの方々に、2022年のセキュリティ分野での取り組みや2023年に取り組みたいことなどを聞いた2週連続企画の後編です。後編では、5社からのコメントをご紹介します。 今回コメントをいただいた方々(社名五十音順・順不同) 後編(本記事) サイボウズ 開発本部 PSIRT SmartHR セキュリティグループ 岩田季之さん メルカリ Security Engineering Team Manager Simon Girouxさん Ubie 水谷正慶さん LayerX 鈴木研吾さん 前編 Aqua Security Open Source Team 福田鉄平さん カンム 金澤康道さん グラファー 森田浩平さん Finatextホールディングス 取締役CTO/CISO 田島悟史さん ▼前編記事 flatt.tech 今回
ISUCON 予選突破のために Elastic Stack と GCP で分析環境を整えた (:old_noto_innocent: Team) - Unyablog.
ISUCON 12 予選にいつもの id:utgwkk, id:wass80 と :old_noto_innocent: チームで参戦した*1。 結果は 50696 点で本選出場! ここ数回と同様、自分はインフラと分析・観測を担当していた。ただ、毎年似たようなことをやっていてあまり貢献できていないなあという課題感があったので、今回はログやメトリクスの分析環境をしっかり作ることにした。目標は毎回ベンチ終了のたびにコマンドを叩くのをやめること! App 周りについてはチームメイトの記事を参照。 blog.utgw.net memo.wass80.xyz Elastic Stack でアクセスログ・スローログ可視化 ダッシュボード 最高便利 Google Cloud でトレーシング & プロファイリング Trace Profiler やってよかった 構築編 Elasticsaerch + Kib
Real World HTTP 第3版
本書はHTTPに関する技術的な内容を一冊にまとめることを目的とした書籍です。HTTPが進化する道筋をたどりながら、ブラウザが内部で行っていること、サーバーとのやりとりの内容などについて、プロトコルの実例や実際の使用例などを交えながら紹介しています。さまざまな仕様や実例、またGoやJavaScriptによるコード例を紹介しながら、シンプルなHTTPアクセスやフォームの送信、キャッシュやクッキーのコントロール、SSL/TLS、Server-Sent Eventsなどの動作、また認証やメタデータ、CDNやセキュリティといったウェブ技術に関連する話題を幅広く紹介し、いま使われているHTTPという技術のリアルな姿を学びます。 第3版では、より初学者を意識した導入や、スーパーアプリなどプラットフォーム化するウェブに関する新章を追加。幅広く複雑なHTTPとウェブ技術に関する知識を整理するのに役立ち、また
あまり調子が良くないので、2023年7月現在おすすめしません。なにか他の実装を選ぶことをおすすめします rinsuki.hatenablog.jp 先日Cloudflareから面白いアナウンスがあった。Cloudflareの基盤で動作する、Mastodon(おおむね)互換のソフトウェアWildebeest*1(ワイルドビースト、ウィルドビーストみたいな発音っぽい)がリリースされたのだ。 blog.cloudflare.com 自分はけっこう前から@windymelt@mstdn.takuya-a.netというMastodonアカウントを保有していて、最終的にオドアケルによってイーロン帝が廃位されてTwitterが滅亡してもネット知り合いとのつながりを保てるようにしている。 mstdn.takuya-a.net 今回新たに作成したWildebeestのアカウントは@windymelt@ap.
EngineeringSecurityBehind GitHub’s new authentication token formatsWe're excited to share a deep dive into how our new authentication token formats are built and how these improvements are keeping your tokens more secure. As we continue to… We’re excited to share a deep dive into how our new authentication token formats are built and how these improvements are keeping your tokens more secure. As w
はてブのタグを一括編集、タグ名や日付で一括削除するためのツール「HatebuTagManager」 - いっしきまさひこBLOG
2020年12月16日追記:気付いたらいっぱいブックマークがついていてうれしかったです。ありがとうございます。はてなブックマーク本家で「タグの一括編集機能」が復活しました。これで本ツールは御役御免ですね。ご利用していただいた方、ありがとうございました。 - 「タグの一括編集機能」をPCのブラウザで再提供いたします - はてなブックマーク開発ブログ はてなブックマークの「タグの 一括 編集(タグの 置換 / 変更)」「タグ名による 一括 削除」「日付による 一括 削除」の3機能を提供するWindowsアプリです。簡単な操作で使えます。※非公開ブックマークにも対応しています! はてブのタグを編集(変更/置換)したり、削除したりできる! ※注意事項: 本ツールの使用によって、何が起こっても無補償です。作者は一切の責任を負いません。自己責任でお願いします。ご了承のうえで本ツールをご使用ください。も
社内勉強会で発表した資料です https://github.com/kurochan/oidc-wireguard-vpn/
忙しい人のための自然言語処理 - Qiita
import requests import json import sys BASE_URL = "https://api.ce-cotoha.com/api/dev/" CLIENT_ID = "COTOHA APIで取得したIDを入力" CLIENT_SECRET = "COTOHA APIで取得したパスワードを入力" def auth(client_id, client_secret): token_url = "https://api.ce-cotoha.com/v1/oauth/accesstokens" headers = { "Content-Type": "application/json", "charset": "UTF-8" } data = { "grantType": "client_credentials", "clientId": client_id, "c
秘密情報をGitLabに格納することなくGoogle Cloud / AWSに対して認証する - エムスリーテックブログ
エムスリーエンジニアリンググループ AI・機械学習チームの笹川です。 趣味はバスケと筋トレで、このところはNBAはオフシーズンですが、代わりにユーロバスケが盛り上がっていて、NBAに来ていない良いプレーヤーがたくさんいるんだなーと思いながら見ています。 夜ご飯を催促するためデスク横で待機する犬氏(かわいい) 今回は、パブリッククラウドへの認証に必要な秘密情報をGitLab自体に格納することなく、安全に認証する方法について紹介します。 CI/CDの実行時のパブリッククラウドに対する認証 ナイーブな手法とその問題点 OpenID Connectを用いた認証 Terraformでパブリッククラウド側の設定を記述する Google Cloudの場合 AWSの場合 GitLab CI/CDで認証する Google Cloudの場合 AWSの場合 認証ステップの共通化 まとめ We are hirin
こんにちは、sue445です。今期の嫁は キュアミルキー です。 tl;dr; GitLabとSlackを使ってる場合は https://github.com/sue445/gitpanda が キラやば〜っ☆ なくらい便利なのでみんな使ってください☆ 前置き ピクシブ社内での開発にはGitLab(オンプレ)とGitHub(GHEではない方)が使われています。 コードレビューの依頼などでSlackにPullRequestのURLを貼ることが多いと思うのですが、GitHubのURLをSlackに貼ったら勝手に展開されて便利ですよね。 GitLabにもOGPがあるのでpublicなリポジトリであればSlackに貼った時に展開されます。 しかし業務で利用しているGitLabのリポジトリは外部から容易にアクセスできなかったり、ログインしないといけないページなのでSlackにURLを貼ってもOGPが
SecurityToken authentication requirements for Git operationsIn July 2020, we announced our intent to require the use of token-based authentication (for example, a personal access, OAuth, or GitHub App installation token) for all authenticated Git operations.… In July 2020, we announced our intent to require the use of token-based authentication (for example, a personal access, OAuth, or GitHub App
.app 1 .dev 1 #11WeeksOfAndroid 13 #11WeeksOfAndroid Android TV 1 #Android11 3 #DevFest16 1 #DevFest17 1 #DevFest18 1 #DevFest19 1 #DevFest20 1 #DevFest21 1 #DevFest22 1 #DevFest23 1 #hack4jp 3 11 weeks of Android 2 A MESSAGE FROM OUR CEO 1 A/B Testing 1 A4A 4 Accelerator 6 Accessibility 1 accuracy 1 Actions on Google 16 Activation Atlas 1 address validation API 1 Addy Osmani 1 ADK 2 AdMob 32 Ads
はじめに Webシステムの開発に携わりたくて転職して9か月,知らない事ばかりで日々勉強しております。 自分の勉強用メモとして知っておくべき技術をまとめようと思いました。 (こちらの記事にインスパイアされたものです) 技術用語について,なるべく2~3行で概要を説明できる事を目指しています。 情報が多過ぎるので,主流な技術は見出しを赤字にしています。(主観強め) また,今後需要が増えそうな技術は青字にしています。(かなり主観強め) とはいえ,新しい技術が登場すれば,数年でトレンドが変わってしまう事も多々あると思います。 ほとんどはあくまでも初心者がネットで情報をかき集めた程度のものです。 誤りがあればご指摘,ご意見など頂きたいです。 ※2023/2/6追記 不正確・不十分だと思った記載はひっそりと随時修正しています。 また,「そういえばこんなんあったな」という項目も追記しています。 あと,自分
satoru-takeuchi.hatenablog.com ↑この記事が Twitter の TL に流れてたから読んでみたら面白かったのでコードを書き始めた7年前*1から振り返りながら書いてみる。 コードが残っていたりするものは載せていきたい。思い出せる限りなるべく時系列順で書いていく。多少前後する。 「独学でプログラミングを始めるなら C 言語から」という文言に載せられ Windows のコマンドプロンプト*2で動く簡単のプログラムをいくつか作った。ほとんど入門書の写経 + αだった。例によってポインタがわからず、もっと酷いことに return もわからなくて*3一旦距離を置く。return がわからなかったので関数を使うことを割けていたので全部 main 関数に書いていた気がする。初めて黒い画面にバババーっと文字が出てきたときはめちゃくちゃ楽しかった。 Java とかいう言語を使い
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
OAuth 2.0 for Browser-Based Apps
ブラウザと Tensorflow.js を使った BERT の活用方法を考える
第7回 技術を伝えるドキュメンテーション術 | gihyo.jp
Auth.jsを完全に理解する (基本編) #1 - Qiita
欲しかったのはGoが使えてセキュリティが確実なミドルウェア 「とりあえず作りたい」から完成した認証リバースプロキシ
定番メールソフト「Becky! Internet Mail」がMicrosoft 365のOAuth 2.0に対応/Gmailも利用可能
2020 年 2 月の SameSite Cookie の変更: 知っておくべきこと
細かすぎるけど伝わってほしい脆弱性診断手法ドキュメント
SlackでクイズができるSlack Appsを作った - Lento con forza
AWSセキュリティ成熟度モデルによるセキュリティ現在地確認のススメ | DevelopersIO
Google は皆さんが使わなくなったアカウントも保護しています
SBOM in Action: 「ソフトウェア部品表」で脆弱性を見つける
アプリケーションを oauth2-proxy で保護して curl でアクセスするまで
Instagram Graph APIの基本的な使い方・Webサイトにインスタの写真を埋め込みする方法
CloudflareのMastodon互換ソフトウェア「Wildebeest」を立ててみたメモ - Lambdaカクテル
Behind GitHub's new authentication token formats
WireGuardとOpenID Connectの連携をGoで実装してみた
ClosedなGitLabのURLをSlackに貼ったら展開されるようにした - pixiv inside
Token authentication requirements for Git operations
Secure DNS によるプライバシーの高い安全なウェブ ブラウジング
Webシステム開発で関わる技術のまとめ(2022年に知った物) - Qiita
私のコード履歴書 - それが僕には楽しかったんです。