Intro CSRF という古の攻撃がある。この攻撃を「古(いにしえ)」のものにすることができたプラットフォームの進化の背景を、「Cookie が SameSite Lax by Default になったからだ」という解説を見ることがある。 確かに、現実的にそれによって攻撃の成立は難しくなり、救われているサービスもある。しかし、それはプラットフォームが用意した対策の本質から言うと、解釈が少しずれていると言えるだろう。 今回は、「CSRF がどうして成立していたのか」を振り返ることで、本当にプラットフォームに足りていなかったものと、それを補っていった経緯、本当にすべき対策は何であるかを解説していく。 結果として見えてくるのは、今サービスを実装する上での「ベース」(not ベスト)となるプラクティスだと筆者は考えている。 CSRF 成立の条件 例えば、攻撃者が用意した attack.examp
Intro IETF の httpbis で、 Reverse HTTP Transport という仕様が提案されている。 Reverse HTTP Transport https://www.ietf.org/archive/id/draft-bt-httpbis-reverse-http-01.html この仕様は、 Origin サーバの前に何かしら Intermediaries (Loadbalancer, Reverse Proxy, CDN etc)があるのが一般的な現代の Web サービス構成において、非常に革新的なアイデアを取り入れたプロトコルと言える。 まだ v01 という初期段階ではあるが、発想が非常に面白かったので、読書メモを残す。 登場人物 ベースとして HTTP の話にはなるが、登場人物が多いため Client/Server という「相対的な役割」で話をすると、紛
Intro Referrer-Policy は、送信される Referer の値を制御することが可能だ。 このヘッダの副次的な効果をよく理解していないと、「no-referrer にして送らないのが最も安全だ」という誤解を生むことになる。 では、複数あるポリシーの中でどのような観点で、どのディレクティブを採用するのが良いのだろうか? 前提として前回の記事の「リクエストの出自をチェックすることは現代の実装のベースプラクティスである」という点を踏まえて考えてみる。 令和時代の API 実装のベースプラクティスと CSRF 対策 | blog.jxck.io https://blog.jxck.io/entries/2024-04-26/csrf.html Referer とアナリティクス Referer は、リクエストに対してその前のページの URL を送るところから始まった。 GET / H
GitHub - kaytu-io/kaytu: The Kaytu CLI helps you save on cloud costs by finding the perfect server sizes. Kaytu analyzes historical usage and provides tailored recommendations, ensuring you only pay for the resources you need.
Ease of use: One-line command. Use without modifying workloads or making configuration changes. Base on actual Usage: Analyzes the past seven days of usage from Cloud native monitoring (CloudWatch), including advanced AWS CloudWatch metrics (where available). Customize: Optimize for region, CPU, memory, network performance, storage, licenses, and more to match your specific requirements. Secure -
Deploying is pretty much the same experience as with Fly.io. Type one command, watch output scroll by as your Dockerfile is being built, uploaded to a registry, and then pulled down, and then your ENTRYPOINT and CMD are executed on the new container. It is not as pretty (we do pty and ANSI cursor right - kamal simply scrolls), but the end result is the same. I’ll likely build shell aliases (or mor
Blender アドオン プラグイン&アドオン-Plugin&Addon Easy Shaders - 汚れや劣化表現などを手軽にパラメータ制御可能な15... 2024-05-18 Weybec Studioによる汚れや劣化表現などを手軽にパラメータ制御可能な15のシェーダーが付属したBlenderアドオン『Easy Shaders』がリリースされました! 続きを読む Unreal Engine アセット アセット-Asset Korea Dance Challenge Mocap Pack 5 - Tik... 2024-05-16 数多くのモーションアセットパックを販売している韓国のACHID EMOTE STOREによるTikTokなどのショート動画界隈で有名な動きをプロのダンサーによりキャプチャした19個のダンスモーションパック『Korea Dance Challenge Moc
GitHub - tembo-io/pgmq: A lightweight message queue. Like AWS SQS and RSMQ but on Postgres.
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
『コーヒートーク』や『A Short Hike』など213本のゲームを99%オフの8ドルから購入できるバンドルがitch.ioで販売中。イスラエルによる攻撃や虐殺により被害を受けた人々の支援を目的とした商品
『コーヒートーク』や『A Short Hike』など213本のゲームを99%オフの8ドルから購入できるバンドルがitch.ioで販売中。イスラエルによる攻撃や虐殺により被害を受けた人々の支援を目的とした商品 個人ゲーム開発者であるGhosthunter氏は4月22日、イスラエルによる攻撃や虐殺の被害受けたパレスチナ人への支援を目的とするインディーゲームのバンドル『Palestinian Relief Bundle』をitch.ioにて配信開始した。 バンドルには213本のゲームと160本のデジタルコンテンツが収録され、価格は8ドルまたは支援のため8ドル以上の金額を支払うことができる。これはすべての商品の金額から約99%オフの金額であり、販売期間は4月29日までとなる。 Palestinian Relief Bundle is LIVE! $~1657 worth of creative w
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
令和時代の API 実装のベースプラクティスと CSRF 対策 | blog.jxck.io
Reverse HTTP Transport が描く新しい Web サービスデプロイ構成 | blog.jxck.io
Referrer-Policy の制限を強めると安全になるという誤解 | blog.jxck.io
Fly.io ❤️ Kamal
Packer-IO - 素早く綺麗にUVを詰めてくれるUPパッキング専門スタンドアロンアプリが登場!Win&Mac!無料!