Intro CSRF という古の攻撃がある。この攻撃を「古(いにしえ)」のものにすることができたプラットフォームの進化の背景を、「Cookie が SameSite Lax by Default になったからだ」という解説を見ることがある。 確かに、現実的にそれによって攻撃の成立は難しくなり、救われているサービスもある。しかし、それはプラットフォームが用意した対策の本質から言うと、解釈が少しずれていると言えるだろう。 今回は、「CSRF がどうして成立していたのか」を振り返ることで、本当にプラットフォームに足りていなかったものと、それを補っていった経緯、本当にすべき対策は何であるかを解説していく。 結果として見えてくるのは、今サービスを実装する上での「ベース」(not ベスト)となるプラクティスだと筆者は考えている。 CSRF 成立の条件 例えば、攻撃者が用意した attack.examp

言いたいこと最近はCAT6Aでフラットケーブルが登場してるが、あれ全部ゴミだ 30mぐらいまであるけどマジゴミ。 買う価値なし。 ゴミは置いといても、LANケーブルには「準拠」と「対応」があるらしい。区別して使うべし 長い文章（読み飛ばしてよい）CAT6Aで施工指示したのに5Eになってたと言う記事を読んで思い出したので吐き出しておく。 大手OAサプライヤで売っている完成品LANケーブル。これもCAT6Aが標準になってきて久しい。5Eのものはほぼ見られなくなった。 その中でフラットケーブルと言われるものが売られている。 通常LANケーブルというのは、細い線が何本か寄り合わされて、さらに保護用のチューブに入れられた構造だ。なので断面が丸いケーブルが普通である。 それを、丸くまとめるのではなく一直線に横に並べ固めたものがある。これをフラットケーブルという。また見かけから「きしめんケーブル」などと

半年ないし1年に一度、各会社で行われるであろう人事評価。 評価する側にとっては「どうしたら納得のいく評価になるのか？」と頭を悩ませるものかもしれません。 アナグラムにおいても、評価制度は試行錯誤の連続でした。 創業者の「俺基準」だった時代、100%定量的な評価を行う時代など…「アナグラムの一風変わった評価制度のすべて」というブログにもその変遷が記されています。 しかし、試行錯誤の末たどり着いた「なんとなくを統計化する」という評価制度は2018年度に設定されてから今に至るまで、マイナーチェンジはありつつも大きく形を変えずに継続されています。6年間にわたってこの評価制度が続いてきたということは、ある程度納得のいく制度になったということかもしれません。 そこで今回は、試行錯誤するなかで言語化された、人事評価や評価制度についての考え方をご紹介します。 人事評価とは 人事評価とは、一定期間の働きを振

「むし歯を予防するために、ミュータンス菌（むし歯菌）の感染を防ぎましょう」と書いてあるサイトは多いですが、実際には、それだけではむし歯の予防はできないとのこと。それはなぜでしょうか？ 「ミュータンス菌は、むし歯を引き起こす菌の代表的なものの１つ。むし歯菌を口の中に入れないことに気を使うママ・パパが多いですが、ミュータンス菌が口の中に入っても、すみつく条件が伴っていなければ、むし歯を起こす心配はありません。 むし歯菌が赤ちゃんの歯にすみつきやすい条件とは… 1.むし歯菌がたくさん、頻繁に赤ちゃんの口の中に入る 2.歯が生えて（生え始めて）いる 3.口の中に食べかすがある 逆に考えると、食器の共有やキスを避けていても、ママ・パパにひどいむし歯があれば、唾液が飛び散ることで、むし歯菌が赤ちゃんの口に入ることは防げません。歯が生えてきた赤ちゃんの口の中をきれいにしていないと、むし歯菌が住みつく確率

日々プロダクトに向き合うエンジニアのみなさんにヒントをお届けすべく、日本最大の電子掲示板『２ちゃんねる（現５ちゃんねる）』を立ち上げた、ひろゆきさんを迎えた本連載。国内外のプロダクトを、ひろゆきさんはどうみるのか？ ひろゆきさんが開発者ならどこをブラッシュアップするのか？そんなことを、毎回話題のプロダクトを取り上げながらお届けすることでプロダクト開発で大切なことを探っていきます。 今回で3回目となるこちらの連載。1回目、2回目と若きエンジニアを論破してしまう回が続いたので「次回は論破しないひろゆきもみてみたい…」という気持ちに駆られてきた編集部一同。そこで、ひろゆきさんに聞いてみました。

Gmailが「メール送信者のガイドライン」を改訂し、なりすましメールへの対策を強化する旨を発表しています。今までは原則、なりすましメール対策の有無にかかわらず、メールはいちおうは届いていました。しかし今後は、なりすましとみなされたメールは届かなくなる方向に向かいつつあります。 なりすましメールとみなされないようにするために、メール送信者には、「メール送信ドメイン認証」への対応が求められます。メール送信ドメイン認証の技術には、主に以下の3つがあります。 SPF: Sender Policy Framework (RFC 7208) DKIM: DomainKeys Identified Mail (RFC 6376) DMARC: Domain-based Message Authentication, Reporting, and Conformance (RFC 7489) SPFは従来

Since the earliest days of the teletype machine, code has been set in monospaced type — letters, on a grid. Monaspace is a new type system that advances the state of the art for the display of code on screen. Every advancement in the technology of computing has been accompanied by advancements to the display and editing of code. CRTs made screen editors possible. The advent of graphical user inter

Intro 10 年ほど前に同じことを調べたことがある。 なぜ html の form は PUT / DELETE をサポートしないのか? - Block Rockin' Codes https://jxck.hatenablog.com/entry/why-form-dosent-support-put-delete 当時は全くの素人で、素人なりに調査はしたが、ほとんどが推測の域を出ない結論だった。 この問題についてあらためて記す。 仕様策定の経緯 表題の通り、 <form> の method には GET と POST しかサポートされていない。 HTTP には他にも PUT や DELETE といったメソッドもあるのに、なぜサポートされていないのかという疑問から始まった。 仕様が決定した経緯は、以下に残っている。 Status: Rejected Change Descriptio

「日本人」を理由にしたくないし、「コードは全世界共通語」なのは分かっているけど、自分が日本人で日本語を母国語としていることはOSSにおいて不利になる。 この2年間のHonoの開発をしてきた経験で分かったことだ。 そこに目を瞑ってはいけないし、自覚することで世界と戦えるかもしれない。今回はそのことについて書こうと思う。 8k 現在、HonoのGitHubスター数は8,000を超えた。 これはとんでもない数字なんだけど、もっと伸びるべきで、早く1万を超えなくはいけない。 npmのダウンロード数は週間「46,000」とこれは相対的に低く、こちらも伸びるべきである。 数字が全てではないが、こうした数字は昨今のOSSにとって「一番の」指標であることは確かだ。 だから戦うことはこの数字を伸ばすことである。 なぜ「戦う」のか なんで「戦う」というおっかない言葉を使い、そして戦わなくてはいけないのか。 ま

こんにちは、柴田（@shibe97）です。 久々に普通の技術記事です。 microCMSでは状態管理ライブラリとしてReact hooksベースのReactQueryを利用しています。 ReactQueryといえば、主にデータの取得時の状態管理の例が紹介されていることが多いです。 本家の例： function Example() { const { isLoading, error, data } = useQuery('repoData', () => fetch('https://api.github.com/repos/tannerlinsley/react-query').then(res => res.json() ) ) if (isLoading) return 'Loading...' if (error) return 'An error has occurred: '

$ dd if=/dev/zero of=dummy10MB.file bs=$(expr 1024 \* 1024) count=10 10+0 records in 10+0 records out 10485760 bytes transferred in 0.089249 secs (117488647 bytes/sec) $ $ ls -lh total 20488 -rw-r--r--@ 1 xxxx xxxx 2.0K 12 14 23:15 300x300.png -rw-r--r-- 1 xxxx xxxx 10M 12 15 00:02 dummy10MB.file

リブセンスVPoEの中野(etsxxx)です。 私はこれまでWorking Out Loud(WOL)というコミュニケーションスタイルを、所属した2チームで実践してきました。最初のチームでは7年、次のチームでは1年ほど運用しています。 最近、他のチームからも取り入れてみたいと相談されることがあったので、改めてWOLについて振り返りをしてみようと思い、この記事を書いています。 WOLとは？ 導入の経緯 1チーム目: WOLの原体験 2チーム目: 意図を持って始めたWOL WOLの導入を振り返る 導入前の課題感 実際にWOL導入初期にやったこと チャンネル削減 会話量を増やすための行動 WOL導入前後の比較 私が気をつけていたこと 積極的に絡みに行く 読み落としを責めない 長文をなるべく送らない 大事なメッセージは目立たせる スレッドが嫌いなことを言い続ける 集中したい時は、チャットを見ないで

ヘッドレスブラウザ＋Puppeteerが使える「Cloudflare Workers Browser Rendering API」がオープンベータに Cloudflareは、同社のサーバレス基盤であるCloudflare Workersを通じてヘッドレスブラウザとそれをコントロールするPupeteerを呼び出せる「Workers Browser Rendering API」（以下、Browser Rendering API）のオープンベータを発表しました。 これまではBrowser Rendering APIはクローズドベータとして一般ユーザーには開放されていませんでしたが、オープンベータ化によりウェイトリストに登録したユーザーから利用できるようになると説明されています。 The Workers Browser Rendering API allows developers to prog

どうも。 えーたん（@eetann092）です。 tmuxのプラグインtmux-resurrectを使えば、tmuxのペインやウィンドウの配置などを保存したり、復活できます。さらに、tmux-continuumを使えば、定期保存・起動時に自動復活ができます。 たまに、上記2つのプラグインを使っている環境で起動時に自動で復活されない場合があります。 本記事では、その対応方法を紹介します。 対応方法 デフォルトの設定では、tmux-resurrectによるtmuxの状態の記録は~/.tmux/resurrectにファイルとして保存されます。 また、最新の記録ファイルは~/.tmux/resurrectディレクトリにlastというシンボリックリンクが貼られています。 そのため、tmux-continuumの起動時の自動復活がうまく行かなかった場合は、lastのリンク先を別の日時に記録したものに変

Humans are hard-wired to dream, to create, to innovate. Each of us seeks to do work that gives us purpose — to write a great novel, to make a discovery, to build strong communities, to care for the sick. The urge to connect to the core of our work lives in all of us. But today, we spend too much time consumed by the drudgery of work on tasks that zap our time, creativity and energy. To reconnect t

世は空前のサウナブーム。わざわざ熱い部屋でじっと耐え抜き、冷たい水風呂に入り、椅子でボーッとする。そんな行為にハマってしまう人が続出しています。サウナのなにがいいの？ 身体に悪いって言う人もいるけど本当？ 身体にどんな影響があるの？ そんな疑問を、サウナに取り憑かれた近大生が、救急医学から心臓・皮膚・メンタルなど各分野の専門家4名に本気で聞きまくりました。 サウナ大国、フィンランドの首都ヘルシンキにて。 こんにちは！ 近畿大学 経営学部 経営学科3年の「サウナに取り憑かれた近大生」こと谷 勇紀（たに ゆうき）です。 いきなりですが、最近「サウナー」「ととのう」「サ活」などの言葉をよく聞くようになりましたよね。航空会社「JAL」がサウナを目的に旅をする「サ旅」プランを発表したり、メガネブランド「JINS」が「JINS SAUNA」というサウナ専用メガネを発売したり、2022年にカタールで開催

皆さん、こんにちは。 自宅では、トラドラオニタイジン極がご本尊みたいになっています。おっくんです。 今回は、「Deno で掲示板サイトを作ろう！ with upstash & supabase」企画の2回目として、掲示板の登録と参照の実装を進めていきます。 今回の実装で、次のように、掲示板の登録ができるようになります。 前回記事はこちら toranoana-lab.hatenablog.com 訂正 始めに、第1回で取り扱った環境変数の取り扱いについて、一部訂正をさせていただきます。 第1回に紹介した、以下のdotenvの実装がありました。 [anonymous-board/util/config.ts] import { config } from "dotenv/mod.ts"; export const envConfig = await config({ safe: true })