ISUCON11 予選おつかれさまでした。 ここ数年は参加者として予選敗退を繰り返してきたのだけど、今年はちょっと違う関わり方をしてみるか、と思い 「参考実装の移植」に立候補してみました。 isucon.net Node.js担当として採用していただき、ちょっと不安もあったので id:hokaccha 氏にレビュアーとしてついてもらって、言語移植チームとして加わりました。 ISUCON11予選おつかれさまでした。今回は言語移植チームとしてNode.js実装を担当し、その他 バグ直し太郎として幾つかの言語の実装にcontributeしました— すぎゃーん💯 (@sugyan) August 22, 2021 Node.js 実装 github.com 中身としては素朴な express のアプリケーションで、TypeScriptで実装しました。 mysql clientには mysql2/
Innovative Tech: このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。Twitter: @shiropen2 東京工業大学アスピレーショナル・コンピューティング・ラボに所属する研究者らが発表した論文「Linguistic Dead-Ends and Alphabet Soup: Finding Dark Patterns in Japanese Apps」は、悪意のあるインタフェースデザイン「ダークパターン」がどのくらい含まれるか、日本の人気モバイルアプリで調査した研究報告である。 多くのダークパターンが発見されたが、分析する過程で新種のダークパターンが存在することが分かった。 ダークパターンとは、悪意のあるインタフェースデザインパターンの一種で、エンドユーザ
なぜ昨今のJavaScriptではイミュータブルであるべきと言えるのか歴史的背景を踏まえて言語化する - Qiita
先日JavaScriptに慣れていない人のコードをレビューする機会があり、constで宣言されたオブジェクト内部に副作用を与えている記述がありました。 その時に「今の動作に問題ないけど、今風のJSならイミュータブルの方が良いかも」と指摘したものの、JSに疎い人からすれば背景が分からないはずで、理由を自分なりに説明したものの案外言語化が難しかったことがありました。 難しい理由として、イミュータブルであることは実利面と同時に、Facebook発祥のトレンドという側面も多分に含んでおり、JavaScript自体の潮流も踏まえておく必要があるからです。 今回は実利面に加えてトレンド面も交えて、なぜイミュータブル性がJavaScriptで重宝されるのかを見ていきましょう。 フロントエンドの世界では状態を持ち、時間やインタラクションと共に変化するから サーバーサイドの世界から見た場合、HTTPはステー
Hello there, ('ω')ノ これまで、実例をもとに学んだ脆弱性診断につかえる実践的なテクニックは以下のとおりで。 ・サブドメインの1つに403を返すエンドポイントがある場合は、通常のバイパスは機能しないので、Refererヘッダを変更すると200 OKが取得できる場合があります。 ・エンドポイントのディレクトリとリクエストボディを削除して、メソッドを「PUT」から「GET」に変更すると隠されたエンドポイントに関する情報を取得できる場合があります。 ・見つけたエンドポイントに通常アカウントで403エラーが発生した際、管理者アカウントのjsonリクエストの本文と比較して差分のパラメータを追加するとアクセスできる場合があります。 ・Linux環境でコマンドを実行する際、スペース文字をバイパスするためのペイロードは以下のとおりです。 cat</etc/passwd {cat,/etc/
Webアプリケーション概要 2021 / Web Application Overview 2021
APIファーストなプロダクトマネジメントの実践 〜SaaSus Platformでの例〜 / "Practicing API-First Product Management - An Example with SaaSus Platform
プロキシサーバとは プロキシとは、クライアントとサーバの間に中継サーバとして配置するサーバのことです。プロキシは、クライアントから見た場合、サーバのように振る舞い、サーバから見た場合、クライアントのように振る舞います。クライアントアプリケーションは、プロキシへ通信を行い、プロキシはそのリクエストを受信し、受信したリクエストを本来送られるべきサーバへ転送するかのように送信します。サーバは、リクエストを送信してきたプロキシへ応答を返します。プロキシは応答に対応したクライアントに対して、応答を送信します。 プロキシサーバの種類 プロキシは、通信を中継するため通信内容をログに残したり、検査したり、書き換えたりといった処理が可能です。そのため、様々なプロトコルに対応した汎用的なプロキシと、アプリケーション(プロトコル)毎に特化した処理を行うソフトウェアがあります。 なお、Webプロキシは、HTTPプ
ブラウザのタブなどに表示されるFavicon(ファビコン)は、サイトのシンボルとして重要なアイコンです。しかし、このファビコンにはCookie(クッキー)のようにユーザーを追跡可能な「スーパークッキー」の問題が潜んでいると、研究者らが警鐘を鳴らしています。 Tales of Favicons and Caches – Persistent Tracking in Modern Browsers (PDFファイル)https://www.cs.uic.edu/~polakis/papers/solomos-ndss21.pdf supercookie • workwise https://supercookie.me/workwise ファビコンとは、サイトのシンボルマークとしてタブやURLの隣などに表示される小さなアイコンのことです。 イリノイ大学シカゴ校のセキュリティー研究者らは2021
『効果検証入門』はマーケティング実験&分析に関わる全ての人にお薦めの統計的因果推論の入門書 - 渋谷駅前で働くデータサイエンティストのブログ
このブログを普段からお読みになっている皆さんはご存知かと思いますが、僕は割と口を酸っぱくして「マーケティングに携わるならきちんと実験して効果検証せよ、その介入がピュアな施策だろうと機械学習システムによるものだろうと変わらない」ということを折々に触れ言い続けています。 一方で、その効果検証の方法については純粋なRCT(ランダム化比較対照試験)でない限りは往々にして統計的因果推論が必要とされることが多く、その辺のマーケティングの現場で行われている「実験」と称するものを見ていると「それどう見ても交絡まみれやん」と言いたくなるケースが珍しくない、というのが現状のように見受けられます。しかし実務を意識した統計的因果推論の解説書はほぼ皆無に近い状態で、今年の恒例推薦書籍リスト記事を書きながら「相変わらず良い本がないなぁ」と思っていたのでした。 効果検証入門〜正しい比較のための因果推論/計量経済学の基礎
あけおめ。 とりあえず、2021年のまんがと映画とゲームのベスト記事を出したいとおもったのですが、このうち早めに出すことの公益性が高いのはゲームだなと判断したのでゲームからやります。ほら、まだ steam のセールやってるしね。 以下、「2021年に steam で正式リリースされたゲーム」と「2021年に邦訳されたゲーム」は新作扱い。 新作ベスト10 1.ENDER LILIES 2.Inscryption 3.Death's Door 4.Milk outside a bag of milk outside a bag of milk 5.Hades 6.OMORI 7.ウイニングポスト9 2021*3 8.Exo One 9.Deathloop 10.戦場のフーガ やったゲーム(新作編) だいたいわかった Happy Game TOEM Kaze and the Wild Masks
Introducing a Technology Preview of NGINX Support for QUIC and HTTP/3 - NGINX
Analytics cookies are off for visitors from the UK or EEA unless they click Accept or submit a form on nginx.com. They’re on by default for everybody else. Follow the instructions here to deactivate analytics cookies. This deactivation will work even if you later click Accept or submit a form. Check this box so we and our advertising and social media partners can use cookies on nginx.com to better
パクチーパクパク小宮山です。 掲題通りTailwind CSSの始め方を最小手数で書いていきます。余談は一切ありません。 tl;dr CSS管理は諦めてTailwind CSSを使おう。 Get Started tailwindcss.com ひたすら公式通りに進めます。例によってフロントエンドプロジェクトの環境構築はひたすら面倒なので、Tailwind CSS以外のツールチェインはなるべく使わない構成を目指します。 installします。 $ yarn init $ yarn add tailwindcss セットアップします。 $ yarn tailwindcss init こういうファイルが作られました。 tailwind.config.js module.exports = { purge: [], theme: { extend: {}, }, variants: {}, plu
1.ワクチン接種拡大により景気浮揚へ、新規案件で新規技術採用 (1)欧米の動向 欧米ではワクチン接種が進み景気拡大への動きがでています。日本も2021年後半から2022年にかけてワクチン接種の進展に伴い、欧米に引っ張られる形で景気が浮揚していくと思います。 (2)日本のDX優遇税制によるソフトウェア案件の増加 日本では、令和4年度末を期限としてDX優遇税制があり、その需要が今も出始めています。 当然景気がよくなれば、ソフトウェア業界の案件も増えると思いますし、新規事業という形で新しい技術をつかってスタートするものも増えると思います。 ちなみに、企業がICT対応する補助金もあるのでそれを使った案件も増えると思います。 実際、昨年度それによる仕事も多くありました。 (3)2022年の日本のデジタル関連の法改正 2022年1月より改正電子帳簿保存法が施行されました。2年の猶予期限がありますが、大
スイス生まれのソフトウェア開発者であるイアン・ヒクソン氏は、2005年からGoogleに勤務してHTML5の仕様策定やオープンソースのマルチプラットフォーム開発フレームワークであるFlutter開発などに携わった人物です。2023年に18年間勤めたGoogleを退職したヒクソン氏が、Googleで体感した「Don't Be Evil(邪悪になるな)」という行動規範やその企業文化が変容していく様子、記事作成時点のGoogle上層部に対する批判などを自身のブログで公開しています。 Hixie's Natural Log: Reflecting on 18 years at Google https://ln.hixie.ch/?start=1700627373&count=1 ヒクソン氏がGoogleに入社した2005年はまだ新規株式公開から間もない時期であり、当時のGoogle社員は末端従業
.app 1 .dev 1 #11WeeksOfAndroid 13 #11WeeksOfAndroid Android TV 1 #Android11 3 #DevFest16 1 #DevFest17 1 #DevFest18 1 #DevFest19 1 #DevFest20 1 #DevFest21 1 #DevFest22 1 #DevFest23 1 #hack4jp 3 11 weeks of Android 2 A MESSAGE FROM OUR CEO 1 A/B Testing 1 A4A 4 Accelerator 6 Accessibility 1 accuracy 1 Actions on Google 16 Activation Atlas 1 address validation API 1 Addy Osmani 1 ADK 2 AdMob 32 Ads
ストーリー PHPをインストールしたら必ず行う php.ini の設定ですが、 ネット上ではPHP5系の情報がたくさん出回っており、非推奨または削除された設定例が数多く困り果てていました。 良い感じにまとめてくれてるサイトが見つからなかったので、最強でベストプラクティスな php.ini 推奨設定を考えました。 異論は受け付けますので、ぜひコメントください。 参考設定 PHPでは、開発用と本番用の設定例を用意してくれています。 なんと素晴らしいことなんでしょうか。これをベースに設定します。 https://github.com/php/php-src/blob/master/php.ini-development https://github.com/php/php-src/blob/master/php.ini-production 予め以前の記事で設定の差分を調べておきましたので、よか
Evercookieは、ブラウザに究極的に永続的なCookieを生成するJavaScript APIです。 その目的は、標準的なCookie、Flash Cookieなどを削除した後でもクライアントを識別し続けることです。 これは、可能なかぎり多くのストレージにCookieデータを保存することで達成します。 いずれかのストレージからCookieが削除されたとしても、ひとつでも残っている限り、Evercookieは残ったデータからCookieデータを復旧します。 Flash LSO、SilverlightもしくはJavaが有効な場合、Evercookieはブラウザを超えて同じクライアント上の別のブラウザにCookieを伝播することすら可能です。 本リポジトリは、Samy Kamkarおよび多くのコントリビュータによって作られています。 Browser Storage Mechanisms E
クイックサマリー ‐ 私たちは一連の短い記事で開発者とデザイナーにとって有用なツールやテクニックを紹介しており、直近の記事ではCSS監査ツールとCSSジェネレータを取り上げました。この記事ではタブやテーブルからトグルやツールチップまで、信頼性の高いアクセシブルなコンポーネントを見ていきます。 目次 以下にすべてのアクセシブルなコンポーネントをアルファベット順に記載しました。目次をスキップするか、スクロールして1つずつお読みください。 :focus styles autocomplete buttons carousels "close" buttons content sliders checkboxes color systems color palettes comics component libraries cookie consent prompts dark mode data
1. 始めに こんにちは、morioka12 です。 本稿では、バグバウンティの入門として、主に Web アプリケーションを対象にした脆弱性の発見・報告・報酬金の取得について紹介します。 1. 始めに 免責事項 想定読者 筆者のバックグラウンド Start Bug Bounty Bug Bounty JP Podcast 2. バグバウンティとは バグバウンティプラットフォーム Program Type Private Programs VDP (Vulnerability Disclosure Program) Asset Type 3. プログラムの選び方 Scope OoS (Out of Scope) 4. 脆弱性の探し方 (初期調査編) Subdomain Google Dorks Wayback Machine Wappalyzer JS Analyze [Blog] Java
「ウェブ広告の技術」と聞いて真っ先に思い浮かぶのはどんな技術でしょうか? 日ごろ目にするウェブ広告の印象から、「ユーザの興味に合わせたターゲティング」や「レコメンドのアルゴリズム」といったトピックを思い浮かべるエンジニアの方も多いでしょう。 しかし、意外かもしれませんが、現代のアドテクを地味に支えているのは大量のトラフィックを低レイテンシで捌くための技術です。 それどころか、「トラフィックが多いこと」は、アドテクの面白さそのものだとさえ言えます1。 とはいえ、「アドテクの面白さはトラフィックが多いことにある」と聞いても、あまりピンとこないエンジニアも少なくないと思います。 トラフィックを低レイテンシで捌く部分はAWSやGCPといったクラウドサービス側の基盤に任せてしまい、その上に載せる広告のためのロジックだけを作り込めばいいように思えるかもしれません。 そもそも、どうしてアドテクではトラフ
米グーグルは14日、外部の企業が個人ユーザーのネット閲覧履歴などを把握する仕組みを2022年までに制限すると公表した。個人データの乱用への懸念が高まり、各国も規制を強めた。米アップルなどが同様の取り組みで先行したが、ネット検索の最大手もかじを切る。企業のデータ活用のあり方の見直しや、ネット空間での個人情報保護の機運を大きく後押ししそうだ。グーグルが今回示したのは、世界で6割超のシェアを占める同
Cookie の SameSite 属性について - Cybozu Inside Out | サイボウズエンジニアのブログ
こんにちは、フロントエンドエキスパートチームの小林(@koba04)です。 フロントエンドエキスパートチームでは、日々の業務としてブラウザやライブラリの更新情報をキャッチアップして社内で共有しています。 例えば先日、CSSのプロパティである image-orientation のデフォルト値が none から from-image に変わったため、画像の Exif 情報の扱いが変更されました。 https://www.fxsitecompat.dev/ja/docs/2020/jpeg-images-are-now-rotated-by-default-according-to-exif-data/ 注: Firefox では COVID-19 の影響により、この変更は延期されました。(Chrome は予定通り 81 で リリースしています) https://blog.chromium.o
2021年について、プロトコル周りの動向を振り返っていきたいと思います。 今年は、個人的には次の2点がホットトピックと挙げられると思います。 QUICやHTTP/3を活用した応用系プロトコルの作業が進む プライバシー系の取り組みが活発化 それでは、個別に補足していきます。(IETFの動向がメインです。なお、個人的にキャッチアップできてないトピックもあります...) HTTP関連 まずは、HTTPです。HTTP/3の標準化が注目を浴びていますが、HTTP/1.1やHTTP/2なども改定作業が行われております。あわせて、HTTPセマンティクスは各バージョンから独立し、各バージョンから参照される形となりました。それぞれRFC出版の最終段階となっています。 書いた記事はここらへん HTTPのバージョンについて、現在のまとめ HTTPセマンティクス仕様の改訂版 まとめ HTTP/2の改定版仕様の変更
カプコンの名作RPG『ブレス オブ ファイア』がブラウザから無料で遊べる。『魔界村』『超魔界村』とともに「カプコンタウン」のレトロゲームズコーナーに追加
カプコンの名作RPG『ブレス オブ ファイア』がブラウザから無料で遊べる。『魔界村』『超魔界村』とともに「カプコンタウン」のレトロゲームズコーナーに追加 9月29日(金)、「カプコンタウン」のレトロゲームズコーナーに『ブレス オブ ファイア』と『魔界村』、『超魔界村』の3作品が追加された。いずれも無料でブラウザからプレイすることができる。 「カプコンタウン」は、カプコン40周年を記念してつくられた“デジタル観光地”。カプコンから生まれたさまざまなタイトルの原画や設定資料といった展示を見たり、昔懐かしいゲームで遊べたりと、さまざまなコンテンツを通してカプコンの歴史を体験することができる。 このたび『ブレス オブ ファイア』など3作品が追加されたのは、カプコンタウン内のレトロゲームズコーナー。すでに『ロックマン』や『ストリートファイターII』などが並んでいた中に、新たにくわわった形だ。 📢#
Webサービスにおけるファイルアップロード機能の仕様パターンとセキュリティ観点 - Flatt Security Blog
はじめに こんにちは。株式会社Flatt Securityセキュリティエンジニアの村上です。セキュリティ・キャンプ卒業後、新卒入社組としてFlatt Securityでセキュリティエンジニアをしています。 本稿では、Webアプリケーション上で実装される「ファイルアップロード機能」の実装パターンをいくつか示し、「開発者が設計をする上で気をつけるべき脆弱性」とその対策について解説していきます。 「ファイルアップロード機能」の脆弱性は特定の言語やサービスによって発生する脆弱性だけでなく、特定の拡張子のファイルでのみ発生する脆弱性など非常に多岐にわたります。そのため、本稿では全ての脆弱性を網羅する事は目的としておりません。しかし、「ファイルアップロード機能」のセキュリティについて考えるための基本となる知識と対策観点を本記事で知って、今後の開発に応用していただければ幸いです。 はじめに ファイルアッ
おはようございます ritou です。 久々に「解説付きスライド全公開」的なやつをやります。 先月、チーム内でID連携のための標準化仕様に関する勉強会(私が一方的に話す会)を行いました。 が、実際はだいぶグダグダになってしまい、これはその後色々付け足してるうちに別物になってしまった資料です。 内容としては、ID連携のための標準化仕様にどのようなものがあるかを知ってもらうための「入門編」のような立ち位置で作りました。 OpenID Connect(やSAMLのような) ID連携のための標準化仕様を紹介しようと思うと、ついつい個別にシーケンスやリクエスト/レスポンスの説明を始めがちですが、初学者が気になるのはそんな細けぇことではないでしょう。 まずは「この仕様で何ができるようになるのだろう」「この仕様では何を実現したいんだろう」と言うところから理解していくのが良いのではないでしょうか。 そこで
名前からすると日本の古き良き(悪名高い)デバイス認証方式のあれのように見えますが、パスワードレスな認証(passkey)を実現するOSSのプロダクトです。Go製でライセンスはAGPL3です。なかなか面白そうなので動かしてみました。 https://www.hanko.io/ このhankoのメンバーが運営しているpasskeys.ioというウェブサイトもあり、パスワードレスなログインを広めていこう!という啓蒙サイトになっています。 https://www.passkeys.io/ この↑のサイトの存在を知らなかったのですが、@takuan_oshoさんからタレコミをいただきました。ありがとうございます。 動かし方READMEに書いてある通りにdocker composeで一通り必要なものを起動します。 $ docker compose -f deploy/docker-compose/qu
RemixでAWSサーバレス構成を手軽に作成できるGrunge Stackを試してみた | DevelopersIO
はじめに こんにちは、CX事業本部MAD事業部の森茂です。 先日リリースされたRemix Stacks、Remixチームが公開しているAWSを利用したサーバレス構成のGrunge Stackテンプレートがどのような構成になっているのかを調べるために早速デプロイまでの流れを試してみました。 Grunge Stack Grunge StackはAWSを利用したサーバレス構成のアプリケーションテンプレートです。サーバレスフレームワークとしてはArchitectを利用しています。データベースにはDynamoDBを利用し、アプリケーションはCloudFormationを利用してLambdaへデプロイされAPI Gatewayを介して公開されます。また開発用にローカル環境のサンドボックス環境も用意されているのでAWS環境へデプロイせずに動作を確認することが可能です。(サンドボックス環境のDynamoD
URL バーの表示の変遷 | blog.jxck.io
Intro ついに URL バーから EV 証明書の組織表示が消されるアナウンスが、 Chrome から発表された。 思えば、 URL バーの見た目も、だいぶ変わってきたように思う。 URL バーの表示の変遷を一度まとめておく。 URL バーの再現 本当なら古いブラウザのスクショを集めたいところだったが、これは非常に難しい。ネットで色々落ちてるものをかき集めても、ライセンスや解像度や表示されている URL などを考えると、使い勝手は決して良くない。 試しに古い Chromium をビルドしてみたが、一定より古いものはうまく開くことすらできなかった。開くことができたバージョンもあったが、どうやらそれだけでは当時の URL バーの UI までは再現されないようだ。 そこで、実物のスクショはあきらめ「一般的な URL バーのイメージ」を書いた図で、おおまかな変遷を辿る。あくまで架空の図であること
フィーチャーフラグにはタイプ(リリース・実験・運用・許可)がある! - kakakakakku blog
コードを書き換えず,フラグを使って機能を有効化するプラクティスを「Feature Flag(フィーチャーフラグ)」と言う.一般的に main ブランチ(もしくは master や trunk)は常にリリースできる状態にしておくため,並行開発のために feature ブランチを作る.しかし,開発が長期化すると main ブランチとの差が大きくなり,コンフリクトが起きて,ブランチ運用面での考慮が必要になる.あるある! Feature Flag を実現する選択肢は多くある.単純に if ステートメントや設定ファイルを使った「コードレベルでの制御」もできるし,高機能を求めるなら LaunchDarkly や Unleash や AWS AppConfig など「サービスレベルでの制御」もできる.最近は使ったことがなかった Unleash を試して記事を書いたりしていた. 高機能な Feature
その他、オーバーフローを起こしている箇所やUIの不具合など、緊急度高を含む33のセキュリティ修正も行った。 近日中には、最近閲覧したページや関連コンテンツを表示する「カード」機能を、新しいタブのページに追加する。うっかり閉じてしまったサイトを表示したい場合の時間を節約できるとしている。 関連記事 検索とブラウザのシェアが計測できなくなるのはGoogleのせい? 14年にわたってWebブラウザや検索の市場調査を報告してくれていたNetApplications.comが10月でサービスを終了します。ブラウザの変更で同社のデバイス検出技術が使えなくなるので、としています。 ニセモノ「Google Chrome」アプリに誘導、配送業者かたる詐欺メールから ソフトバンクが注意喚起 配送業者などを装ったメールやSMSに記載されたURLにアクセスすると、「Google Chrome」の偽アプリがインスト
スライド概要 シングルページアプリケーション(SPA)において、セッションIDやトークンの格納場所はCookieあるいはlocalStorageのいずれが良いのかなど、セキュリティ上の課題がネット上で議論されていますが、残念ながら間違った前提に基づくものが多いようです。このトークでは、SPAのセキュリティを構成する基礎技術を説明した後、著名なフレームワークな状況とエンジニアの技術理解の現状を踏まえ、SPAセキュリティの現実的な方法について説明します。 動画はこちら https://www.youtube.com/watch?v=pc57hw6haXk
CNAME Cloakingを知ってトラッキングされない方法があるのか疑問に思って調べてみたらNextDNSで実現できそうなのでやってみた。 更には広告やマルウェアやフィッシングやマイニングもある程度防げます。 Windows 10で進めていますが、macOS/Android/iOSやルータにも設定できます。要はDNS設定できればNextDNSを使用することができます。 CNAME Cloakingとは ターゲティング広告のためにいろんなWebサイトで広告配信業者のCookie共有してユーザの興味あるものを勧めたろ! ↓ 3rd Party Cookie規制される流れやし、Webサイトのドメイン使ってターゲティングできるようにしたろ! 雑な説明ですいませんね。例を使って説明してみます。 前提) Webサイト所有者のドメイン:website.example 広告配信業者のドメイン:adtec
BtoB SaaSマーケティングのきほん 1|戸栗 頌平(Shohei Toguri) | BtoB SaaS企業支援の株式会社LEAPT(レプト)
本記事は#SaaSLovers のバトンブログ企画記事で、18日目を担当させて頂きます戸栗(とぐり)と申します。株式会社LEAPT(レプト)という会社でBtoB、特にSaaSの支援を行っています(会社ウェブサイトはこちら)。 前職はHubSpotというマーケティング、営業、サービス支援を行うSaaS企業の日本支社の立ち上げと、マーケティング責任者をさせて頂きました。 詳しくはアドベントカレンダーでの記事をご覧くださいませ。 本日はHubSpotで経験したマーケティング、今のクライアントさんから感じるSMB SaaS マーケティングについてボソボソと独り言を残せればと思います。 このnoteは、割と基本的な内容だと思います。「こんなの知っているわー」という方、すいません。 そもそもSaaSマーケティングってなんぞや?米で有名なマーケターNiel Patelに言わせると、SaaSマーケティング
Next.js 12.2
We're laying the foundation for the future of Next.js with 12.2: Middleware (Stable): Dynamic routing for your entire application. On-Demand ISR (Stable): Update content without redeploying. Edge API Routes (Experimental): High performance API endpoints. Edge SSR (Experimental): Server-render your app, at the Edge. SWC Plugins (Experimental): Extend compilation with your own plugins. Improvements
こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 最近 Fetch API*1 や XMLHttpRequest*2 を使ってクロスサイトのCookieを送る・送らないの実験をする機会がありました。 そこで自分の勘違いが複数発見され、改めて「今のクロスサイト Cookie って難しいな」と感じました。 セキュリティエンジニアのみならず、開発者の方にも参考になるかと思いましたので、自分の勘違いを紹介していきたいと思います。 なお本記事では「サイト」という単語を Cookie における Same-Site の定義に沿って扱います。 Understanding “same-site” and “same-origin” 使用したWebブラウザ: Chrome(burp 同梱のChromium) 106.0.5249.62
何度も挫折してきたE2Eテストだけど、今後はDatadog Synthetics Testsが良さそうかも - LIVESENSE ENGINEER BLOG
これは Livesense Advent Calendar 2022 DAY 20 の記事です。 はじめに 株式会社リブセンスの転職会議事業部Webエンジニアの @ishitan-liv です。 今回は、過去に転職会議でも導入しようとして挫折してきたE2Eテストについて書きます。 E2Eテストを自作するか、SaaSを使うのかで比較した結果と、Datadog Synthetics Testsの使い方を軽く紹介したいと思います。 なお、この導入については完全に個人プロジェクトとしてやっております。 リブセンスではエンジニアの権利として毎月10%の技術投資枠確保というものがあり、Googleの20%ルールのようなもので、約20日勤務だと想定して2日間は興味のある技術的なことに使えます。 grow.google はじめに このブログ記事を読むと得られる(と思われる)もの 今回書かないこと 導入検討
ある日の我が家 娘(4歳)「パパ、セッションとかCookieってなあに?」 娘「サーバサイドの勉強してると出てくるやつ」 ワイ「おお、今日はその質問か」 ワイ「ええでええで〜、パパが教えたるで〜」 娘「わ〜い!」 ワイ「ワ〜イ!」 例えば月曜日 ワイ「例えば、月曜日の朝は仕事する気にならへんからTwitterを見るやろ?」 娘「うん!」 ワイ「せやからTwitterのホーム画面を見るために」 ワイ「ブラウザのアドレスバーにhttps://twitter.com/homeって打ち込むんや」 ワイ「まぁ実際にはブックマークから行くんやけど、まぁ同じことや」 ワイ「つまりブラウザ君を通して、サーバ君に」 「ワイのTwitterのホーム画面のHTMLをくれや〜」 ワイ「ってことを伝える訳や」 娘「うんうん」 ワイ「でもな?」 ワイ「それもCookieを使ってセッション管理をせんと実現できひんことや
こんにちは!Acompanyのマッケイです! この記事は Acompany5周年アドベントカレンダー 11日目 の記事です。 今回はAcompanyのプロダクト開発でも活用しているRemixを開発環境で使ってみた所感を書いていこうと思います。 Hello,Remix Remixは、Reactをベースとしたフルスタックフレームワークです。 Reactを魔改造して色々できるようにしようぜ、という昨今のモダンフレームワークに習うように、RemixもReactに厚化粧をした"React"フレームワークです。 書き心地はそのままReactですが、気づいたらサーバーサイドのコードを書いており、気づいたらデータベースをいじっているというなんとも不思議な経験ができるフレームワークです。 フルスタックフレームワークを使っているというよりは、Reactで開発しながら、サーバーサイドの処理も同時に書けるのがRe
ドラえも⚫︎で理解するCSRF はじめに ※コメントにて徳丸浩先生(@ockeghem)に間違いをいくつかご指摘頂き修正中です。 また、@rudorufu1981様よりブラウザの同一オリジンポリシーについての補足を頂いております。 ぜひ記事の下部、コメント欄までご覧頂きますようお願いいたします。 ご指摘や補足、本当に有難うございます。 【追記2023.12.2】 同一オリジンポリシーの補足についても徳丸先生のご見解コメントを頂いております。ぜひそちらもご確認下さい。 【追記2023.12.5】 ご指摘を受けて同一オリジンポリシーはCSRFと直接の関連はない事から、取り消し線にて削除致しました。 対象読者 ・HTTPの特性 ・セッション管理 ・ブラウザの同一オリジンポリシー ・CSRF(Cross-Site Request Forgeries) ⚫︎上記の言葉を聞いてイメージができない人 ⚫
Chrome DevTools の使い方
DevTools とはElementsStylesComputedEvent ListenersDOM BreakpointsPropertiesAccessibilityConsoleメッセージスタッキングコンソールの履歴実行コンテキストの選択コンソール出力のフィルタリングコンソールの設定Sourcesコード行ブレークポイント条件付きコード行ブレークポイントコード行ブレークポイントの管理DOM 変更ブレークポイントXHR ブレークポイントイベントリスナーブレークポイント例外ブレークポイント関数ブレークポイントNetworkネットワークリクエストの記録読み込み動作の変更リクエストのフィルタリングリクエストの並び替えリクエストの分析リクエストデータのファイル出力Performance概要ペインフレームチャートペイン詳細ペインMemoryHeap snapshotAllocation inst
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ISUCON11予選のNode.js実装を書いた - すぎゃーんメモ
ユーザーだます、悪意あるUI「ダークパターン」 日本のアプリでどのくらいあるか 東工大が調査
脆弱性診断につかえる実践的なテクニックを列挙してみた - shikata ga nai
無料で使えるプロキシ/ロードバランサのOSS 比較18選 | OSSのデージーネット
ブラウザのFavicon(ファビコン)でユーザーを追跡する「スーパークッキー」とは?
2021年の新作ベストゲーム10+やった新作+良かった旧作 - 名馬であれば馬のうち
最小手数で始めるTailwind CSS - メドピア開発者ブログ
2021年後半から2022年以降のソフトウェア業界(Web中心)の技術動向予想(ポエム) - Qiita
2005年から18年間にわたりGoogleで勤務した人物が振り返る「古き良き時代のGoogle」とその後の変容とは?
Chrome の User-Agent 文字列削減に関する最新情報
PHP7.4 ぼくのかんがえたさいきょうのphp.ini - Qiita
Cookieを永続化して、どこまでも個人を追跡するEvercookie - Qiita
アクセシブルなフロントエンドコンポーネントの完全ガイド - 前編 | POSTD
バグバウンティ入門(始め方) - blog of morioka12
トラフィックの正体から考えるアドテクの面白さ - CARTA TECH BLOG
ネット履歴の仕組み、グーグルが機能を制限 - 日本経済新聞
2021年 HTTPやQUICの最新動向振り返り - ASnoKaze blog
ID連携の標準化仕様紹介とセキュアな実装のためのアプローチ ~ 2021 - r-weblife
パスワードレスな認証を実現する認証ミドルウェアのhanko | フューチャー技術ブログ
「Chrome 87」公開 CPU使用率を1/5に削減、タブ検索機能も
SPAセキュリティ入門~PHP Conference Japan 2021 | ドクセル
CNAME Cloakingが回避できるらしい「NextDNS」の設定方法|ふじい
CookieのSameSite属性と4つの勘違い(2022-10版) - セキュアスカイプラス
4歳娘「パパ、セッションとCookieってなあに?」 - Qiita
Remix入門: フロントエンドもバックエンドも爆速開発を実現する次世代Webフレームワーク
ドラえも⚫︎で理解するCSRF - Qiita