全部キーボードで済ませたいシリーズです。 多忙な現代人の一日はその日の予定チェックから始まるわけです。普段であれば定期的な間隔で組まれたミーティングのリズムに身を委ねればいいわけですが、そこに非定型的なミーティングが紛れ込んでくる。これは採用面接など外部との機会であることが多く、そのぶん重要です。事前に入れてあるものを避けて予定を組もうとすると、参加者の数に応じて困難さが増していくので、ある程度は既存のものに被せて予定に招待してもらうことにしていると、いつの間にかダブルブッキングの嵐になっている。直前になって慌てて一方のミーティングに参加しないことを告げる……みたいなことを繰り返していてはいけませんね。 そういうわけで事前にカレンダーの重複を確認して、必要に応じて辞退したり再調整したりしたい。だけどそれを Google カレンダーのウェブ UI からマウスでポチポチやるのは非常につらい……
Self-hosted GitHub Actions runners in AWS CodeBuild を試す
CodeBuild プロジェクトを使用して Webhook を設定し、GitHub ACtions ワークフローの yaml を更新して CodeBuild マシン上でホストされているセルフホストランナーを使用できる GitHub への認証は PAT か OAuth App を使う まとめというかわかったこと ※間違ってることや、こうすればいいよなどがあったらコメントください。 良かった点 セットアップは楽 ephemeral である 起動時間は EC2、Lambda 共に 1 分程度だった 個人的には十分速い マネージドイメージに加えて Docker カスタムイメージを指定可能 jobs.<job_id>.runs-on に -<image>-<image-version>-<instance-size> を追記すると、設定不要で様々なアーキテクチャのイメージを使える jobs.<job
EnterpriseSecurityIntroducing fine-grained personal access tokens for GitHubFine-grained personal access tokens offer enhanced security to developers and organization owners, to reduce the risk to your data of compromised tokens. Stolen and compromised credentials are the number one cause of data breaches across the industry. GitHub has a long history of protecting developers and enterprises from
2021/12/26: Safari も 15.2 から COOP/COEP を使って SharedArrayBuffer が利用できるようになったので、該当箇所の表記を変更しました。 長い記事なので先に結論を書きます。 Chrome、Firefox および Safari で SharedArrayBuffer や高精細タイマーが使えるようになりました。そのためには cross-origin isolation という状態を有効にするのですが、親となる HTML ドキュメントに下記 2 つのヘッダーを送ります。 Cross-Origin-Embedder-Policy: require-corp Cross-Origin-Opener-Policy: same-origin ただ、これを有効にするには様々な条件と制約が存在し、現段階では多くのサイトは苦戦するでしょう。とりあえず従来通り C
OAuth2.0を復習してLINEとヤフーの脆弱性見つけたら両社が経営統合された | Nevermoe's Blog
0x00 背景 一 Web Pentester の立場から、毎回 OAuth 連携の案件が来る時に、どこが診断する必要なのか、どこが idP の SDK 使っているから診断不要なのかを見極める必要があり、このような背景において、OAuth2.0 をもう一回復習して、心得を共有したいと思い始めました。(0x01~0x08)。復習しているうちに、OAuth の idP 両社の脆弱性を見つけ、50万円賞金もらって終わりと思ったらいつの間に両社経営統合されました。この話を読みたい方は 0x09 から読んでください。 この文章を読む前提は二つあります: OAuth2.0 の各種認証 Flow (すくなくとも Implicit Grant, Code Grant, Code Grant with PKCE) を大まかに理解していること。 この文章図解:OAuth 2.0に潜む「5つの脆弱性」と解決法に
開発部のにゃんです。主にバックエンドを弄っております。 Webアプリケーションではセキュリティ対策のためにランダムな文字列を使用する場面が多々あります。例えば CSRF対策のトークン OAuthやOpenID Connectで使用するnonce, state, code_verifier メールの到達確認用URLのトークン パスワードをhashする際に使用するsalt セッションID これらの値は単に衝突しなければOKというものではありません。十分なセキュリティ強度を確保するためには推測不可能なランダム値を使う必要があります。 以下は推測不可能なランダム値ではありません。セキュリティが求められる場面では使ってはいけません。 Math.randomなどの疑似乱数 日付やユーザ情報のハッシュ ではどのような値が適切なのでしょうか? /dev/randomと/dev/urandom Linuxに
.app 1 .dev 1 #11WeeksOfAndroid 13 #11WeeksOfAndroid Android TV 1 #Android11 3 #DevFest16 1 #DevFest17 1 #DevFest18 1 #DevFest19 1 #DevFest20 1 #DevFest21 1 #DevFest22 1 #DevFest23 1 #hack4jp 3 11 weeks of Android 2 A MESSAGE FROM OUR CEO 1 A/B Testing 1 A4A 4 Accelerator 6 Accessibility 1 accuracy 1 Actions on Google 16 Activation Atlas 1 address validation API 1 Addy Osmani 1 ADK 2 AdMob 32 Ads
最近、週末の趣味プロジェクトとして Cloudflare Workers(と Vercel Edge Functions)向けの Slack アプリ開発フレームワークを作りました。 私は普段 Slack の Developer Relations Engineer として Qiita の Slack チームの公式な記事を書いているのですが、この Cloudflare Workers 向けのものは業務で開発した公式ツールではなく、完全に個人プロジェクトなので、Qiita の Org ではなく Zenn に個人的な記事として書くことにします。 ・・・そして、書き終わってみると、随分と長い記事になってしまいました。興味のあるところだけでもぜひ読んでみてください。 この記事で説明するもの この記事では、Slack アプリ開発の基本と、以下のライブラリの使い方について解説していきます。 「Slack
OAuth 2.0 / OpenID Connectにおけるstate, nonce, PKCEの限界を意識する - r-weblife
おはようございます、ritouです。ちなみに予約投稿なのでまだ寝てます。 本日のテーマはこちらです。 OAuth/OIDCのstate,nonce,PKCE使ってもClient/RPがしょーもなかった場合のServer/OP側の限界についてのブログ書いてる。— 👹秋田の猫🐱 (@ritou) July 6, 2019 OAuth 2.0で言うところのClientの視点から、ここに気をつけて実装しましょうという話ではありません。 OAuth 2.0で言うところのServerの視点からみて、Clientにこんな実装されたらたまんねぇなっていうお話です。 最終的には一緒な気もしますが、とりあえず始めます。 state OAuth DanceにおけるCSRF対策としての state パラメータについて簡単に整理します。 Clientがセッションに一意に紐づく値として生成、管理 ClientがA
CircleCI セキュリティアラート: CircleCI 内に保存されているシークレットのローテーションをお願いいたします[1月13日更新]
CircleCI セキュリティアラート: CircleCI 内に保存されているシークレットのローテーションをお願いいたします[1月13日更新] セキュリティアップデート 2023年1月12日 00:30 UTC(日本時間1月12日午前9時30分) 当社はAWSと提携し、このセキュリティインシデントに関連してAWSトークンが影響を受けた可能性のある、すべてのお客様に通知をいたしました。本日AWSは、影響を受けた可能性のあるトークンのリストをメールにてお客様へ配信を開始いたしました。メールの件名は、[Action Required] CircleCI Security Alert to Rotate Access Keys( [要対応] CircleCIセキュリティアラート - アクセスキーをローテーションしてください)です。 AWSと連携したことにより、お客様はより簡単に影響を受けたキーを特
![CircleCI セキュリティアラート: CircleCI 内に保存されているシークレットのローテーションをお願いいたします[1月13日更新]](https://cdn-ak-scissors.b.st-hatena.com/image/square/eeb2a997352474451f2c83908dc207de98aee7c3/height=288;version=1;width=512/https%3A%2F%2Fcircleci.com%2Fblog%2Fmedia%2F2022-12-07-email-background.png)
概要 Spotify APIの楽曲レコメンド機能を使って、DJ Mix用のプレイリストを作成できるWebアプリケーションを開発しました。まずはそのアプリケーションの内容をご紹介します。 実装はTypeScript + Next.jsで行いVercelにデプロイする形にしたところ、非常に高い開発体験が得られました。後半はSpotify APIの使い方を含めて、Next.jsでの実装やVercel上での設定について書いていきます。 できたもの AUTOMISCE - Automate Your Mix with Spotify API 使い方 まず"Sign in with Spotify"ボタンでSpotifyにログインします。次に右側の検索欄で最初の曲を選んでプレイリストに追加します。するとその曲と似たテンポでかつテンション感が少し上の曲が"Upper Tracks"欄に、少し下の曲が"D
Chrome の User-Agent 文字列削減のオリジン トライアルと今後の計画について
.app 1 .dev 1 #11WeeksOfAndroid 13 #11WeeksOfAndroid Android TV 1 #Android11 3 #DevFest16 1 #DevFest17 1 #DevFest18 1 #DevFest19 1 #DevFest20 1 #DevFest21 1 #DevFest22 1 #DevFest23 1 #hack4jp 3 11 weeks of Android 2 A MESSAGE FROM OUR CEO 1 A/B Testing 1 A4A 4 Accelerator 6 Accessibility 1 accuracy 1 Actions on Google 16 Activation Atlas 1 address validation API 1 Addy Osmani 1 ADK 2 AdMob 32 Ads
はじめに 配属研修の課題について エンジニア新入社員研修の個人課題:「JavaScriptでの開発」 配属研修課題1:「RailsでAPIサーバのみ構築」 配属研修課題2:「Railsでフロントエンドも含めた開発」 作ったアプリケーションの概要 JavaScript・Expressで開発した時との違いに関する感想 letやconstが要らない変数定義 falsyな値の違い ブロックをそのまま変数に代入できない 暗黙のreturn 条件文の後置 フレームワークの機能が豊富 ディレクトリ構造の一貫性 リソースベースルーティング 課題を取り組みながら学んだこと OpenAPIを使ったAPI定義ファイルの作成 N+1問題対策 テストコードに関する考えの変化 おわりに We are hiring! サムネイル画像 はじめに こんにちは。2022年4月に新卒で入社しました教育事業本部サービス開発部バッ
EngineeringGit Credential Manager: authentication for everyoneEnsuring secure access to your source code is more important than ever. Git Credential Manager helps make that easy. Universal Git Authentication “Authentication is hard. Hard to debug, hard to test, hard to get right.” – Me These words were true when I wrote them back in July 2020, and they’re still true today. The goal of Git Credenti
.app 1 .dev 1 #11WeeksOfAndroid 13 #11WeeksOfAndroid Android TV 1 #Android11 3 #DevFest16 1 #DevFest17 1 #DevFest18 1 #DevFest19 1 #DevFest20 1 #DevFest21 1 #DevFest22 1 #DevFest23 1 #hack4jp 3 11 weeks of Android 2 A MESSAGE FROM OUR CEO 1 A/B Testing 1 A4A 4 Accelerator 6 Accessibility 1 accuracy 1 Actions on Google 16 Activation Atlas 1 address validation API 1 Addy Osmani 1 ADK 2 AdMob 32 Ads
外部サービス提供のAPIを叩く時に気をつけていること
はじめに 外部サービスが提供しているWebAPIを利用して、自社サービスのシステム機能を作成する事も少なくないと思います。 サーバーサイドで外部APIを叩く経験が何回かあったので、 開発後に気づいたことなどを踏まえて設計・実装・運用上で気をつけていることを書いていきます。 自社で利用しているサービスのAPIを叩く話よりはエンドユーザの(OAuth2やOpenID Connectを利用)リソースに対して操作するケースの話を多めにします。 設計面 ドキュメントを読み込む 基本的な事だと思いますが、利用サービスが提供しているAPIのリファレンスを読み込むことは重要です。 各外部サービス毎に異なる制限事項が細かい所に記載されていたりするので、ドキュメントから探す癖をつけるのがお勧めです。 RateLimitが設定されているAPIは存在するか エンドユーザの利用プランに応じて挙動や制限が行われるAP
LINE株式会社の開発拠点の一つである「京都開発室」が、オンラインのエンジニア採用説明会を開催。銀行事業のサーバーサイド開発について、Robert Mitchell氏、野田誠人氏が話をしました。 LINEの銀行サービスとは Robert Mitchell氏(以下、Mitchell):サーバーサイドチームのMitchell Robertと申します。本日、野田さんと一緒に、LINEの銀行サービスの開発について発表したいと思います。よろしくお願いします。 今日の内容ですが、以下の通りになります。まずはLINEの銀行サービスとはなにかついて、軽く説明したいと思います。その後、システムアーキテクチャと開発フローについて話したいと思います。最後は、認証と認可で、これは私たちが担当している部分です。これに関連するスペックや、セキュリティの仕組み、フローについて話したいと思います。 じゃあ、LINEの銀行
authorization_code_flow 1�U�U ��V�U @startuml UA -> App: /login UA <-- App: Redirect UA -> 認可サーバー: /auhorize UA <- 認可サーバー: ログインページ表示 UA -> 認可サーバー: ログイン UA <- 認可サーバー: 認可(AppにXXXを許可しますか? UA -> 認可サーバー: OK UA <-- 認可サーバー: Redierct UA -> App: /callback?code=xxx&state=xxx App -> 認可サーバー: /token に認可コードを渡す App <- 認可サーバー: AccessToken App -> App: セッションにAccessToken保存 UA <- App: ログイン完了 @enduml bad_practice_auth
というアプローチを紹介してる記事があって、なるほど?と思ったのでまとめてみる。 元記事はこちら。 Leveraging Web Workers to Safely Store Access Tokens – The New Stack 毎度のことながら、今にはじまったことではない。 元記事いわく WebWorkerであれば、メインスレッドで実行されるであろうXSSや3rdのコードから触れないので安全! 設計としては、 メイン: まず`Worker`をロード メイン: 初期化のメッセージを`postMessage()` クレデンシャルがあるならそれを渡す ワーカー: アクセストークンの準備 受け取ったやつ or そこで`fetch()`して、オンメモリに保存 (これで準備OK) メイン: APIにリクエストしてほしいと`postMessage()` ワーカー: APIに向けてアクセストークン
GitHub APIを使うBotたちのGitHub Appsへの移行 - KAYAC engineers' blog
どうもこんにちは、ソーシャルゲーム事業部ゲーム技研の谷脇です。 この記事はTech KAYAC Advent Calendar 2019 Migration Trackの14日目の記事です。13日目はAmazon S3 Signature V2 廃止対応にまつわるあれこれでした。 従来のGitHub APIを使うBot カヤックではGitHubを使っています。また、各プロジェクトでは自動化されたワークフローの一環として、Slack上でのコマンドからPull Requestを作成したり、レビュワースロットを実行したり、勝手に手順書を生成してissueに貼るなどしています。 こういったBotたちはGitHub上のリソースを操作するために、GitHub APIを使用しています。Organization内のPrivateリポジトリを操作するためには、認証のためにGitHub Tokenが必要です。
Bolt を使って Slack でヘルプデスクチームとのやりとりを効率化するアプリをつくってみよう - Qiita
Slack アプリ開発へようこそ! この記事では、ショートカット、モーダルのようなインタラクティブな機能を Bolt for JavaScript を使ってどのように実装すればよいかを解説します。 なお、この記事で紹介するのは、BIT VALLEY 2020 のための用意されたデモアプリです。 BIT VALLEY での講演は YouTube で公開されていますので、こちらからご覧ください。 この記事で実装するアプリ ここで扱うサンプルプロジェクトは、ヘルプデスクチームが提供するアプリを想定したサンプルです。シンプルではありつつも、Slack プラットフォームの最新の機能をうまく活用しているので、これをベースに拡張することで実際に使えるアプリに進化させることができるでしょう。 以下のアニメーションで、どのようなアプリなのかをみてみましょう。 ショートカットでモーダルを起動 エンドユーザーは
RFC 8725 JSON Web Token Best Current Practices をざっくり解説する - Qiita
ritou です。 今回は RFC 8725 JSON Web Token Best Current Practices を紹介します。 みんな大好き JWT (JSON Web Token) の BCP ときたらチェックせずにはいられないでしょう。 概要 JWTは 署名/暗号化が可能な一連のクレームを含む、URLセーフなJSONベースのセキュリティトークン です JWTは、デジタルアイデンティティの分野および他のアプリケーション分野の両方の多数のプロトコルおよびアプリケーションにて、シンプルなセキュリティトークンフォーマットとして広く使用/展開されています このBCPの目的は、JWTの確実な導入と展開につながる実行可能なガイダンスを提供することです ということで、何かのフレームワークでもプロトコルでもなければJWTを使ったユースケース考えたよって話でもなく、JWTを導入する上で基本的な部
Leaner Technologies でエンジニアをしている @corocn です。 社内では IDaaS 利用していきたいねという機運が高まっているのですが、toB で SAML 対応の IDaaS について比較検討してみて難しいな〜と思ったところをまとめてみました。 前提 BtoB SaaS では、初期のプロダクトの領域を起点に事業領域を隣接する領域に広げていくことが多いですよね。バックオフィス向けの SaaS を開発しているメガベンチャーを見ているとそう感じます。 新しく立ち上げたプロダクトを既存のユーザーさんにも提供したい。そうなると、必然的に複数のプロダクトに対して共通で ID 基盤を持ちたくなるはず。認証ドメインを分離しようとすると、自前で作るか、KeyCloack などの OSS をベースに運用するか、IDaaS の利用を検討することになるでしょう。 最初は認証基盤も含めて
.app 1 .dev 1 #11WeeksOfAndroid 13 #11WeeksOfAndroid Android TV 1 #Android11 3 #DevFest16 1 #DevFest17 1 #DevFest18 1 #DevFest19 1 #DevFest20 1 #DevFest21 1 #DevFest22 1 #DevFest23 1 #hack4jp 3 11 weeks of Android 2 A MESSAGE FROM OUR CEO 1 A/B Testing 1 A4A 4 Accelerator 6 Accessibility 1 accuracy 1 Actions on Google 16 Activation Atlas 1 address validation API 1 Addy Osmani 1 ADK 2 AdMob 32 Ads
機械学習ワークフロー管理ツールであるKubeflowのPipelines機能を使って日本語テキスト分類の実験管理を行います。 この記事ではKubeflowのチュートリアルに従ってKubeflowのクラスタを構築してPipelinesを動かし、最後に日本語のデータセットをKubeflow Pipelinesに実際に乗せて機械学習のワークフロー管理を行うところまでまとめていきます。 Kubeflow Kubeflowとは Pipelinesとは GKEでKubeflowクラスタの構築 クラスタ構築 Workload Identityの設定 Pipelinesの基本的な使い方 Pipeline/Experiment/Run PipelineとComponent PipelineとDSL 実験管理としてのKubeflow Pipelines 日本語テキスト分類 with Pipelines Pip
October 27, 2021 GitHub Actions now supports OpenID Connect (OIDC) for secure deployments to cloud, which uses short-lived tokens that are automatically rotated for each deployment. This enables: Seamless authentication between Cloud Providers and GitHub without the need for storing any long-lived cloud secrets in GitHub Cloud Admins can rely on the security mechanisms of their cloud provider to e
第二新卒が1年でフルスタックエンジニアへ!チームラボエンジニアリングのスキルアッププログラムが素晴らしい - Qiita Zine
2018年4月にチームラボエンジニアリングへ入社。2018年5月以降は、SNSサービス、大学サイトなどの環境構築、設計、実装を担当。2019年4月からは大規模予約サービスのオンプレミスからAWS移行プロジェクトに参画している。 転職しつつ、学び直す道へ ──尾上さんがチームラボエンジニアリングに転職を考えたキッカケはどんなものだったのですか? 尾上あづささん(以下、尾上):前職ではPHPを使ったサービスの運用・保守を行っていました。ただ、私はもっとコードを書きたくて。ゼロからモノを作る仕事がしたいと思ったことが転職のキッカケですね。 ──運用・保守のプロジェクトに携わっている場合、ゼロから設計したりするケースは稀ですよね。 尾上:そうですね。私が携わっていた領域も実装とテストがメインでした。例えば、インフラは他のエンジニアの方が用意してくださっていたり、お客様の交渉も別の方が行っていたり。
When to use HTTPS for local development Stay organized with collections Save and categorize content based on your preferences. Using http://localhost for local development is fine most of the time, except in some special cases. This post explains when you need to run your local development site with HTTPS. Also see: How to use HTTPS for local development. In this post, statements about localhost a
2022年1月7日紙版発売 2021年12月27日電子版発売 上田拓也,青木太郎,石山将来,伊藤雄貴,生沼一公,鎌田健史,上川慶,狩野達也,五嶋壮晃,杉田寿憲,田村弘,十枝内直樹,主森理,福岡秀一郎,三木英斗,森健太,森國泰平,森本望,山下慶将,渡辺雄也 著 B5変形判/400ページ 定価3,278円(本体2,980円+税10%) ISBN 978-4-297-12519-6 Gihyo Direct Amazon 楽天ブックス ヨドバシ.com 電子版 Gihyo Digital Publishing Amazon Kindle ブックライブ 楽天kobo honto 本書のサポートページサンプルファイルのダウンロードや正誤表など この本の概要 本書は,中級以上のGoプログラマーがツール開発・プロダクト開発で必要とされるプログラミングテクニックおよび周辺知識を学ぶための実践集です。 Go
内包型アクセストークン、典型例としては JWT アクセストークンは、関連するデータを自身の内部に持っています。下記の条件が成り立つと、論理的な帰結として、そのようなアクセストークンから直接個人情報が漏洩します。 個人情報が含まれている 暗号化されていない ステートレス 意図しない者に盗まれる ここで「ステートレス」とは、「個人情報を保存するためのデータベースレコードを認可サーバー側に持たない」ことを意味しています。 もしもアクセストークンの実装が「内包型/暗号化されていない/ステートレス」であり、また、システムがクライアントアプリケーションに個人情報を提供する必要があるなら、当該システムは、アクセストークンに情報を埋め込むことを避け、個人情報を問い合わせるための Web API を提供すべきです。 ユーザー情報エンドポイント (OIDC Core Section 5.3) はそのような A
Amazon API Gatewayの新機能「HTTP API」のJWT Authorizersを理解する #reinvent | DevelopersIO
ペイロードの中身にユーザー情報が含まれているので、どのようなユーザーのIDなどをトークンから取得できるようになっています。トークンからユーザー情報を引けるのは非常に便利ですが、トークンが確実に信用できるものでなければいけません。そこでヘッダーとペイロードの情報を使って、正規に署名されたものかどうか検証できるようになっています。 署名の検証は、JWT発行側が用意する公開鍵を使って行います。jwks_uri として公開することになっており、例えばGoogleからは以下のようなJSONが取得できます(JWK Setと言います)。 { "keys": [ { "kid": "57b1928f2f63329f2e92f4f278f94ee1038c923c", "e": "AQAB", "kty": "RSA", "alg": "RS256", "n": "1Zi0-4bNwZ7gGefz17U2N
TL;DR; 以下の「ほん訳こんにゃく」を作った。 (※ 上記のbadgeを 2020/12/18 に追記しました。 ) 作りたかったもの 研究室配属で、かねてから取り組みたかった 「シナプス可塑性におけるmiRNA機能とそれらが記憶や学習などの高次認知機能に与える影響の解明」 を自分の研究テーマ(※暫定)にすることができ、生物系の論文を読む機会が圧倒的に増えたのですが、元々深層学習系統の論文しか読んでいなかったため、常識や背景知識不足に悩まされ、DeepLやGoogle Translateなしには論文が読めないという日々が続いていました。 論文を読みながら適宜翻訳するのは非効率ですし、iPadにPDFを保存して電車内で読むなんてこともできず、かといって全部一度翻訳するのは非常に面倒で、「これ、自動化したいな〜」と思ったので、「論文のURLを投げれば、全文翻訳付きのPDFを生成するプログラ
インタビュイー LINE株式会社 京都開発室 UIT1チーム 岡本拓也(左) LINE株式会社 フロントエンド開発センター UIT1室 Front-end Dev7チーム 佐藤信吾(右) LINEはWebアプリのプラットフォームとして、「LIFF」(LINE Front-end Framework)を提供しています。このLIFFはLINE社内での開発に利用されているほか、外部の開発者にもSDKが提供されており、これを利用することで自身で開発したアプリからLINEプラットフォームの機能にアクセスすることが可能になります。このLIFFの概要や開発者にもたらすベネフィットなどについて、フロントエンド開発組織においてLIFF開発に携わる岡本氏と佐藤氏にお話を伺いました。 LINEミニアプリの基盤としても使われるLIFF ――LINEが提供している「LIFF」とはどういったものでしょうか。 岡本
達人出版会
探検! Python Flask Robert Picard, 濱野 司(訳) BareMetalで遊ぶ Raspberry Pi 西永俊文 なるほどUnixプロセス ― Rubyで学ぶUnixの基礎 Jesse Storimer, 島田浩二(翻訳), 角谷信太郎(翻訳) 知る、読む、使う! オープンソースライセンス 可知豊 きつねさんでもわかるLLVM 柏木餅子, 風薬 R/RStudioでやさしく学ぶプログラミングとデータ分析 掌田津耶乃 データサイエンティストのための特徴量エンジニアリング Soledad Galli(著), 松田晃一(訳) 実践力をアップする Pythonによるアルゴリズムの教科書 クジラ飛行机 スッキリわかるサーブレット&JSP入門 第4版 国本 大悟(著), 株式会社フレアリンク(監修) 徹底攻略 基本情報技術者教科書 令和6年度 株式会社わくわくスタディワール
技術書典8で頒布予定でした。 ## 概要 ユーザーのIDを管理するのはWebサービスを展開する上で必要になりますが、独自で実装するにはハードルが高いです。外部のサービスを利用することでユーザーのサインアップとサインインを比較的簡単に実現できます。この本ではCognito User Pools、Auth0、Firebase Authenticationを中心にサービスの紹介と比較をします。 ## 本書の目的 「認証サービスCognito Auth0 Firebaseを比べる」を手にとっていただき、ありがとうございます。筆者はこれまで、CognitoUserPoolsを利用してオンプレミスで実装されていた認証システムの移行や、Keycloakを利用したシステムの構築を担当してきました。そのなかで、認証の機能を提供するサービスは数多くあるにもかかわらず、サービスを比較するような情報があまりないと
Twitterの非公開リストが見れた話
はじめにTwitterはBug Bountyプログラム(脆弱性報奨金制度とも呼ばれる)を実施しており、脆弱性診断を行うことが認められています。 本記事は、そのプログラムを通して報告された脆弱性についてを解説したものであり、インターネット上のサービスに無差別に攻撃する事を推奨するものではありません。 また、Twitter上で脆弱性を発見した場合は無闇に公開せず、TwitterのBug Bountyプログラムより報告してください。 要約不適切なアクセス制御とレートリミットの欠如、タイミング攻撃を組み合わせることによりTwitterの非公開リストの中身を閲覧できた。 不適切なアクセス制御TwitterのGraphQLエンドポイントに対して以下のようなリクエストを送信すると、リストが非公開であったとしてもリストのメンバーリストを取得することが出来た。 GET /graphql/iUmNRKLdkK
社内勉強会での発表資料です。
はじめに 初めまして。2021年4月に新卒で入社いたしました教育事業本部サービス開発部バックエンドセクションの len です。 今回は教育事業本部の新卒メンバーとして join してから1年で取り組んできた研修についてお話しします。 メンターにサポートいただきながら研修を進めて参りました。メンター視点の記事はこちらになります。 新卒エンジニアのメンターとして1年間取り組んだこと 全社エンジニア新入社員研修 入社してすぐ全業種に向けたビジネスマナー研修や事業説明があり半月経ったあたりでエンジニア向けの研修が6月末まで行われました。 この研修では基本的な技術の取得や学んだ技術を使って個人やチームなどでアプリを作成するといった内容でした。 こちらの研修の1つである基礎研修では、N予備校の教材を使い、web に関する基礎的な技術を学びました。 それと同時に読書会もあり、読んだ技術書の内容をN予備校
GitHubが狙う「ライブラリのバージョン管理問題」の解決と依存関係地獄の話 - ぶるーたるごぶりん
GitHubが狙う「ライブラリのバージョン管理問題」の解決と依存関係地獄の話 Githubが OSS Security Foundation に入りましたね。 大変興味深くて 関連するドキュメント なりについて会社のチームで雑談していたところ、 GitHubの「DependaBot」が何を狙い、どういう「大きな課題」を解決するのか? という話において、点と点が結びついた感じがあるので言語化してみます。 「この大きな課題」を説明する前に Dependency Hell について国内で言及してる記事がそれほどないので その辺りをまずは書いていきます。 ここのあたりが国内の開発者の中でも認識が広まっていくと、より一歩先のステージにいくのかなと思うので、 比較的ラフな感じで書いていきます。 ちなみに、このブログ記事は所属組織とかに関係なく個人で執筆しています。 なので1デベロッパーとして、
GitHub - vercel/virtual-event-starter-kit: Open source demo that Next.js developers can clone, deploy, and fully customize for events.
This virtual event starter kit was used to run Next.js Conf 2020, which had almost 40,000 live attendees. It includes the following features: Multiple stages - with the ability to add multiple sessions on each stage Each stage can be configured as - An embedded YouTube stream OR A live interactive audio-video experience powered by 100ms Sponsor expo, including individual virtual booths Career Fair
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Googleカレンダーをターミナルからキーボードで操作する - 詩と創作・思索のひろば
Introducing fine-grained personal access tokens for GitHub
SharedArrayBuffer と過渡期な cross-origin isolation の話
セキュアなトークンの作り方 - astamuse Lab
TensorFlow 事例 : Coral を⽤いて回転寿司の会計を⾃動化するくら寿司
Cloudflare Workers で Slack アプリを動かす方法
Spotify API + Next.jsで作る選曲支援Webアプリ - Qiita
研修で初めてRuby on Railsを触って学んだこと - ドワンゴ教育サービス開発者ブログ
Git Credential Manager: authentication for everyone
TensorFlow 事例: から揚げを認識して弁当箱に入れる Foodly
OAuth2.0からOAuth2.1へ よりよい銀行システムを届けるためにLINEが参考にした技術
authorization_code_flow
アクセストークンをWebWorkerで扱う - console.lealog();
BtoB SaaSにおけるIDaaSの選択が難しい
「職人の技」の定量化を目指す TensorFlow
Kubeflow Pipelinesで日本語テキスト分類の実験管理 - やむやむもやむなし
GitHub Actions: Secure cloud deployments with OpenID Connect
When to use HTTPS for local development | Articles | web.dev
エキスパートたちのGo言語 一流のコードから応用力を学ぶ
JWT アクセストークンからの個人情報漏洩 - Qiita
「ほん訳コンニャク」 を食べて 論文を読もう - Qiita
UXからWebの世界を広げるLIFFの可能性 | gihyo.jp
認証サービスCognito・Auth0・Firebaseを比べる - s-takayanagi - BOOTH
認証認可の情報の追い方みたいな(2020/01/10 FFTT#381)
新卒エンジニアとして1年間取り組んだこと - ドワンゴ教育サービス開発者ブログ