TL;DR: Instead of redirecting API calls from HTTP to HTTPS, make the failure visible. Either disable the HTTP interface altogether, or return a clear HTTP error response and revoke API keys sent over the unencrypted connection. Unfortunately, many well-known API providers don't currently do so. Updated 2024-05-24: Added the Google Bug Hunter Team response to the report that the VirusTotal API resp
Intro Referrer-Policy は、送信される Referer の値を制御することが可能だ。 このヘッダの副次的な効果をよく理解していないと、「no-referrer にして送らないのが最も安全だ」という誤解を生むことになる。 では、複数あるポリシーの中でどのような観点で、どのディレクティブを採用するのが良いのだろうか? 前提として前回の記事の「リクエストの出自をチェックすることは現代の実装のベースプラクティスである」という点を踏まえて考えてみる。 令和時代の API 実装のベースプラクティスと CSRF 対策 | blog.jxck.io https://blog.jxck.io/entries/2024-04-26/csrf.html Referer とアナリティクス Referer は、リクエストに対してその前のページの URL を送るところから始まった。 GET / H
こんにちは堤です。 最近よくDifyを使って遊んでいます。使っていくなかで他のチャットツールと連携させる方法を知りたいと思ったので、今回はSlackと連携する方法を備忘がてらまとめてみました。 Difyとは Slack Botの作り方 Slack Botの準備 権限の付与 Lambdaの関数URLの作成 Event Subscriptionsの設定 Difyのアプリ作成 Lambda関数の作成 動作確認 Bot作成例 まとめ Difyとは Difyは、オープンソースのLLMアプリケーション開発ツールで、ドラッグアンドドロップの簡単な操作で複雑なワークフローのアプリケーションを作ることができるのが特徴です。 コードを書くことなく、LangChainなどのフレームワークよりも簡単にLLMアプリを作成することができます。 dify.ai 主な特徴や機能をまとめてみました。 幅広いモデルが選択でき
インターネットからの野良リクエストがどれぐらい AWS WAF のマネージドルールに一致するのか確かめてみた - 電通総研 テックブログ
こんにちは。コーポレート本部 サイバーセキュリティ推進部の耿です。 Web サービスへの攻撃を防ぐために WAF を使いましょうというのはよく聞きます。 ではインターネットに公開した Web サービスに送信される悪意のあるリクエストがどれぐらい WAF によって防御され得るのでしょうか? お手軽に使える AWS WAF のマネージドルールを対象に確かめてみました。 この記事の概要 実験用に固定レスポンスを返すだけの HTTP エンドポイントを作成し、約半年間インターネットからアクセス可能な状態で放置した AWS WAF のマネージドルールをアタッチしており、それぞれのルールに一致したリクエスト数を集計し、ランキング形式にまとめた 一致したリクエスト数が多いマネージドルールそれぞれに対して、どのようなリクエストが多かったのか集計し、ランキング形式にまとめた 実験用システムの構成 基本的なデー
WebKit Features in Safari 17.5
Happy May! It’s time for another release of Safari — our third significant update of 2024. With just a month until WWDC24 and the unveiling of what’s coming later this year, we are happy to get these 7 features and 22 bug fixes into the hands of your users today. CSS There are several exciting new CSS features in Safari 17.5, including text-wrap: balance, the light-dark() color function, and @star
[アップデート] インターネット向けApplication Load Balancer (ALB) が IPv6 のみのアドレスタイプをサポートしました | DevelopersIO
[アップデート] インターネット向けApplication Load Balancer (ALB) が IPv6 のみのアドレスタイプをサポートしました デュアルスタックではなく、IPv6のみのALBを作成したい こんにちは、のんピ(@non____97)です。 皆さんはデュアルスタックではなく、IPv6のみのALBを作成したいなと思ったことはありますか? 私はあります。 以下AWS Blogでも紹介されているとおり、2024/2/1よりパブリックIPv4アドレスへ課金が発生するようになりました。 この影響で不要なパブリックIPv4アドレスを断捨離している方も多いのではないでしょうか。 ただし、なかなか断捨離が難しい要素があります。例えば、ALBです。 従来ALBではアドレスタイプをIPv4かデュアルスタックのどちらかしか選択できませんでした。そのため、インターネット向けALBを作成する際
![[アップデート] インターネット向けApplication Load Balancer (ALB) が IPv6 のみのアドレスタイプをサポートしました | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/6b2baf14c69bcb02df058dd87573ec1dc34dd8ef/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2023%2F08%2Felastic-load-balancing.png)
AWS Support - Troubleshooting in the cloud Workshopをやってみた③
AWS Support - Troubleshooting in the cloudとは AWSが提供するWorkshopの一つで、現在(2024/5)は英語版が提供されています。(フィードバックが多ければ日本語化も対応したいとのこと) クラウドへの移行が進む中でアプリケーションの複雑性も増しています。このワークショップでは様々なワークロードに対応できるトラブルシューティングを学ぶことが出来ます。AWSだけでなく一般的なトラブルシューティングにも繋がる知識が得られるため、非常にためになるWorkshopかと思います。また、セクションごとに分かれているので、興味のある分野だけ実施するということも可能です。 学習できるコンテンツ・コンセプトとしては、CI/CD、IaC、Serverless、コンテナ、Network、Database等のシステムに関わる全てのレイヤが網羅されているので、ぜひ一度
Modern CSS Layouts: You Might Not Need A Framework For That — Smashing Magazine
It’s easy to get lost in a sea of CSS frameworks and libraries, each promising easier styling and smoother layouts. But amidst this abundance, the modern CSS features we have today offer simpler and more flexible approaches without the added dependencies or abstractions. Brecht De Ruyte demonstrates four CSS utility classes (plus a bonus) using techniques that allow them to be used practically any
【CloudWatch RUM × X-Ray】フロントエンドからバックエンドを一気通貫でトレースする方法 | DevelopersIO
CloudWatch RUMではX-Rayを利用してフロントエンドからのHTTP通信をトレースを確認することができ、さらにX-Rayに対応したバックエンドサービスにトレースIDを送信することで、フロントエンドからバックエンドまで同一のトレースIDで確認することが可能になります。 はじめに CloudWatch RUM (Real User Monitoring)はフロントエンドのモニタリングに関するサービスです。 ページを開くまでに掛かる時間やAPI実行時のエラー発生を検知することができます。 CloudWatch RUMではX-Rayを利用してフロントエンドからのHTTP通信をトレースを確認することができ、さらにX-Rayに対応したバックエンドサービスにトレースIDを送信することで、フロントエンドからバックエンドまで同一のトレースIDで確認することが可能になります。 今回はそのための構成
本レポートでは、2024年4月中に発生した観測情報と事案についてまとめています。 目次 DDoS攻撃の観測情報 IIJマネージドセキュリティサービスの観測情報 Web/メールのマルウェア脅威の観測情報 セキュリティインシデントカレンダー DDoS攻撃の観測情報 本項では、IIJマネージドセキュリティサービスやバックボーンなどでIIJが対処したDDoS攻撃のうち、IIJ DDoSプロテクションサービスで検出した当月中の攻撃を取りまとめました。 攻撃の検出件数 以下に今回の対象期間で検出した、DDoS攻撃の検出件数を示します。 図-1 DDoS攻撃の検出件数(2024年4月) 今回の対象期間で検出したDDoS攻撃の総攻撃検出件数は239件であり、1日あたりの平均件数は7.97件でした。期間中に観測された最も規模の大きな攻撃では、最大で約526万ppsのパケットによって54.90Gbpsの通信が
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Your API Shouldn't Redirect HTTP to HTTPS
Referrer-Policy の制限を強めると安全になるという誤解 | blog.jxck.io
DifyとSlackを連携したSlack Botをつくってみた - NRIネットコムBlog
wizSafe Security Signal 2024年4月 観測レポート