PHPerKaigi 2024 • Day 1での登壇資料です。 https://phperkaigi.jp/2024/ https://fortee.jp/phperkaigi-2024/proposal/0d0f8507-0a53-46f6-bca6-23386d78f17f ※ Authorizationヘッダーを利用したBearerトークン等の活用については言及していません。

GitHub、脆弱性のあるコードを実際にデバッグして学べる「Secure Code Game」シーズン2がスタート 「Secure Code Game」は、ゲームと名付けられていますが、実際のコードを月間60時間無料で提供されるGitHub Codespacesの機能を駆使して修正し、ユニットテストを通して完成させる手順となっており、実践に近い内容となっています。 昨年（2023年）3月に開始されたシーズン1は、PythonとC言語でのセキュアなコーディングを学べる内容でした。今回のシーズン2ではこれらに加えてJavaScript、Go、そしてGitHub ActionsのYamlファイルなどが含まれており、これらのコードのバグを修正することになります。 Secure Code Gameの始め方 「Secure Code Game」の始め方は次の通りです。 まず「Secure Code G

<span title='2024-01-17 00:00:00 +0900 +0900'>2024年01月17日</span>&nbsp;·&nbsp;5 分&nbsp;·&nbsp;2053 文字 身近な人がデジタルデトックスをやるということを聞き、自分もこれは必要かもしれないかもなと感じたため、自分なりにデジタルデトックスもどきを実践してみています。 実践し始めて１週間ちょっとしか経っていないですが、すでに多くの良い変化を感じられているのでメモしておこうと思います。 なぜ始めたか、何をしているか#はじめに述べたデジタルデトックスすると言っていた人と話している中で、自分は短時間で得られる刺激に悪い意味で慣れてしまっていることに自覚的になりました。 例えば、YouTube Short や Twitter、インスタのストーリー、社内の Times など。 短時間で得られる刺激を摂取しすぎて

CSRF 対策は One Time Token を form なりに付与して、サーバ側でチェックすれば良い。 それをデフォルトでサポートしてるフレームワークなどもあるし、なくてもライブラリでいくらでも対応できる。 どうせ完全にステートレスなサービスはなかなかないので、サーバ側に redis や memcache を用意するのも別に大変じゃない。 なので、 CSRF 対策として Token を付与するのは、最も安全で推奨できる方式ではある。 っていうのを踏まえた上で、もう SameSite=Lax デフォルトだけど、今でも Token 必須なの？みたいなのがたびたび話に出るので、いい加減まとめる。 前提 この話は、スコープがどこなのかによって話が多少変わるので、そこを絞る。 今回は Passive ではなく Active に対策していく場合を考えるので、前提をこうする。 SameSite=l

いきなり追記 2024-01-09 この記事にはまともな結論がありませんし論点も定まっていません この記事には批判が多いので、こちらの素敵な記事をぜひお読みください。 Free Wi-Fi(00000JAPAN)は安全なのか？ コメントで不愉快とされたところを削除しました。 徳丸さんのツイート 猫の写真 素人というエクスキューズ （編集履歴はqiitaの機能で見れると思います） 信頼できるサービスであれば Free Wi-Fi に限らず被害に遭う可能性はとても低いと思います。気にせず使ってください。 気分を害された方にお詫び申し上げます。 ここから元記事 お正月休みは卒業した大学の記事を書く予定でしたが、ちまたで話題の「httpsなら安全」について攻撃的なツイートを散見どころかめっちゃ見たのでこの記事を書いています。httpsを盲信されるならまだしも、無知の斧で攻撃を振るう方に悲しみを覚え

1　はじめに 内閣府が2024年2月に発表した各国の名目GDPでは、日本はドイツに追い抜かれた。かつて日本は米国に次ぐ世界第二位の経済大国だったが、2010年に中国に抜かれ、2024年ドイツに抜かれ、第四位になった。沈没する日本を象徴しているようだ。日本の労働生産性は、ポーランドや東欧・バルト海とほぼ同水準まで落ちている。 GDPは、国のなかで作り出される「付加価値」の合計である。付加価値を作り出すのは企業活動なので、日本企業は約30年間、作り出す付加価値がほとんど変わらなかったが、ドイツ企業が作る付加価値は増え続け、そして今般、その合計が日本を越えた。日本企業は約30年間、成長せず、現状維持を続けたということを意味している。 日本の若者は決して怠けている訳ではない。夜遅くまで残業し、必死で働いている。だが、企業が作り出す付加価値が一向に増えないのは、経営者の責任であり、行政・政治の責任で

AGIラボは、最高のAI情報をお届けするためのマガジン・コミュニティです。GPTsを筆頭にClaude 3やSoraなど注目のAIについても詳しく解説、今日から使えるAI活用情報を一番わかりやすくお伝えします。他に限定コミュニティへのアクセス、限定イベントへの参加権が含まれます。

この記事は「Funds Advent Calendar 2022」21日目の記事です。 ファンズ株式会社 CTO の若松と申します。 今年も例年通り Twitter の運用は三日坊主となり、 note についても筆を断ったまま2022年を終わりを迎えようとしていたところ、アドベントカレンダーの時期が来ていました。 せっかくの機会ではあるので、以前から漠然と思っていた考えを整理してみたいと思い、この記事では財務諸表を読み解く概念的な考え方を使い、技術的負債について読み解いてみることにしました。 ソフトウェア開発上の概念である"技術的負債"ファンズは、貸付ファンドのオンラインマーケット「Funds」を通じて、個人投資家には着実な資産運用の機会を提供しつつ、企業に対しては借入によるファイナンスの機会を提供しています。そのような事業業態の性質上、コーポレートファイナンス的な考えに触れる機会も一般的

ritouです。 サービス、ブラウザ、OSそれぞれのパスキー対応が日々進んでいます。 その中で、パスキーを利用してみて認証要素についてふと考えてしまう人がいるでしょう。 パスキー簡単！けどこれ指紋認証だけ？弱くなってない？ SMS OTPを2FAに設定し、パスワードマネージャーも使ってたから使い勝手はあまり変わらない。むしろSMS OTPがないぶんだけ弱くなった？ この辺りについて整理します。 認証要素というと、次の3つです。 SYK: Something You Know. パスワード、PIN SYH: Something You Have. 認証アプリ、TOTP生成アプリ、バックアップコード、 SYA: Something You Are. 生体認証 前にこんな記事を書きました。 この内容を説明すると、「うん、わかってる」って人は多いです。 でも、実際に使ってみると心許なく感じたりする

はじめに TerraformやVaultを開発するHashiCorpは自社製品をOSSのMPL(Mozilla Public License v2.0) から、ソースコードは公開するも一部の利用に制限があるBSL(Business Source License) への変更をアナウンスしました。 これは2018年のRedisを皮切りにMongoDBやCockroachDB、ElasticSearchなど多くのプロダクトで進められている脱OSSの流れです。商用のオープンソース[1]と言われてしまうこともある最近のこの動きの理由は何故なのか？　という点を以下の動画で解説しました。 動画中では尺の都合で端折った個所も多いので、こちらの記事の方にもまとめておきたいと思います。 OSSとは？ OSSの定義 まず、OSS（オープンソース）とはなんでしょうか？ これはRMSのフリーソフトウェアを源流とする

今回は、組織づくりについての話。 現在うちの会社は７期目で、メンバーは業務委託の方を含めると100人近くになりました。 おかげさまで退職率も低く「みんないい表情で働いてますね」と言っていただくことも増えました。心理的安全性も高く、「組織をよくするために自ら積極的に動く」というカルチャーが醸成されていると自負しています。 ただ、ずっと平和でいい感じだったのかというと、そんなことはありません。当初、組織づくりはめちゃくちゃ大変で、起業して最初の２〜３年はずっと組織のことで悩んでいました。 そんな状態から、どうやって今のようになったのか？ 同じように組織づくりに悩んでいる人のヒントになればと思い、僕の経験を書いてみたいと思います。 「お前やれるのか？」みたいな空気感初期の頃、オフィスはシーンとしていて緊張感がありました。 プロフェッショナリティのすごく高い人たちが集まっていて「俺はこんだけやるけ

We are building a world class AI research lab in Tokyo, Japan. We are creating a new kind of foundation model based on nature-inspired intelligence. For more information, please visit our blog and careers page, or contact info@sakana.ai

私は30手前の男で、弟がいる長男です。結婚の報告とともに、妻の姓にすることを伝えたら、散々な話し合いの末、父にはお前は親の気持ちもわからない幼稚な人間だ、”変”な人間だと散々罵られ、母には自分の息子でなくなる気がして悲しいと泣かれました。 皆さんならどうするか、ご意見を聞かせてください。 〈私の考えてきたこと〉 結婚した妻が夫の姓を名乗るのには「嫁入り」といった考え方が根底にあり、実際に妻が過ごした旧家を出て、夫の家に嫁ぐという、女性が実態として夫家に従属することを姓を持って表してきました これから夫婦になる私たちは、お互いに実家を離れて東京で過ごし、それぞれ仕事をしています。結婚しても仕事上の名前は変えず働くつもりです。嫁入りも婿入りもしない、という考え方です。今はまだ実現していませんが、選択的夫婦別姓が認められていれば検討したかもしれません。 ただし、これから生まれるかもしれない子供の

TL;DR 技術に興味がなくても、エンジニアとして生きていくことはできる。 対象読者 自分を技術に興味がない側の人間だと思う方 筆者について Webアプリケーションの開発エンジニア。主な仕事はプログラム詳細設計、画面設計、コーディング。 技術にあまり興味がない。 初めに エンジニア界隈では、以下のような主張がしばしば見られる。 休日に勉強するべきである。 最新の技術動向は常にチェックするべきである。 技術イベントには参加するべきである。 毎日コードを書くべきである。 レガシーな技術ではなく、モダンな技術を習得するべきである。 etc... そしてこれらの"べき論"がさらに加速すると、 「技術に興味がない人はエンジニアに向いていない」 という主張すら出現し、それに同調する声も少なくない。 最近、とあるSNSで以下のようなやり取りを見かけた。 駆け出しエンジニアの質問 休日に勉強するべきですか