※本記事は筆者styprが英語で執筆した記事を株式会社Flatt Security社内で日本語に翻訳したものになります。 TL;DR Node.jsのエコシステムで最も人気のあるMySQLパッケージの一つである mysqljs/mysql (https://github.com/mysqljs/mysql)において、クエリのエスケープ関数の予期せぬ動作がSQLインジェクションを引き起こす可能性があることが判明しました。 通常、クエリのエスケープ関数やプレースホルダはSQLインジェクションを防ぐことが知られています。しかし、mysqljs/mysql は、値の種類によってエスケープ方法が異なることが知られており、攻撃者が異なる値の種類でパラメータを渡すと、最終的に予期せぬ動作を引き起こす可能性があります。予期せぬ動作とは、バグのような動作やSQLインジェクションなどです。 ほぼすべてのオンラ

こんにちは、ぬこすけです。 近年、Webフロントエンドではサイトのパフォーマンスの重要性が高まっています。 例えば、GoogleはCore Web Vitalというパフォーマンスに指標を検索結果のランキング要因に組み込みました。 また、近年の某企業が「パフォーマンスの改善に取り組んだ結果、セッション数〇％アップ、CVR〇％アップ...」などの事例は枚挙にいとまがないでしょう。 パフォーマンスチューニングするためには、定量的に計測してボトルネックを探すようなトップダウンなアプローチもあります。 しかしながら、時には千本ノック的にハウツーを片っ端から試していくボトムアップなアプローチも有効になることもあったり、日々のコーディングでパフォーマンスを意識したコードを書くことは大切でしょう。 この記事ではパフォーマンス最適化のハウツーを紹介します。 パフォーマンス改善の施策が思い浮かばない時やフロン

CSSの新機能「カスケードレイヤー」がいよいよ主要ブラウザすべてにサポートされます。カスケードレイヤー@layerを使用すると、CSSの詳細度とスタイルの順番をカスケード内で明示的にレイヤー化（階層化）でき、これまでのCSSの実装方法が大きく変わるものです。 Chromeのデベロッパーによるカスケードレイヤーの基礎知識を紹介します。 Cascade layers are coming to your browser by Una Kravets 下記は各ポイントを意訳したものです。 ※当ブログでの翻訳記事は、元サイト様のライセンスに準じて翻訳しています。 はじめに CSSの詳細度とカスケード @layerの動作 レイヤーの優先順位の管理 インポートファイルの整理 レイヤーとカスケード カスケードレイヤーの注意点 カスケードレイヤーの参考リソース はじめに カスケードレイヤー（@layerC

あるメーカーで技術職をしてるオッサンなんだけどけど聞いてくれ。 先日会社のマーケティング主導の製品企画のキックオフミーティングに呼ばれたんだけど、非エンジニアの文化にはじめて接していろいろ面食らっている。 なんていうか、普段馴染みのあるエンジニアだけで動いている会議って論点が割と明確なのよ。工業デザイナーの製品イメージがあって、筐体サイズや電力の制約があって、納期やコスト、開発リソースから実現可能性を考えてという具合に、製品の要素を実装可能な状態に落とし込むために要件を絞り込んでいく的な感じ。 一方、この前初めて参加したマーケ主体のミーティングはソフトバンクの決算で孫正義がやってるような感じのポエミーなプレゼン資料がポンポン飛んできて頭がくらくらした。「プロジェクトに対する私の思い」だとか、「製品のコードネームを決めよう！(提案者は製品コンセプトが抽象画なのでピカソ推し)」とかエンジニア目

スマートフォン向けのゲームアプリや漫画アプリの中には、「広告ムービーを数十秒再生すると無料で利用可能」という広告モデルを採用しているものもあります。この広告モデルにスマートフォンのカメラを用いたアイトラッキングを組み合わせた「画面を見ていない間は広告ムービーを一時停止する」という機能を備えたアプリが登場しました。 MoviePass 2.0 Wants to Track Your Eyeballs to Make Sure You Watch Ads https://www.vice.com/en/article/akvnba/moviepass-20-wants-to-track-your-eyeballs-to-make-sure-you-watch-ads 話題となっているアプリは、2019年にサービス停止した「MoviePass」のリブート版サービスに関連するアプリです。Movie

過去1年間に米マイクロソフトからAR（拡張現実）関連の人材約100人が流出したと、米ウォール・ストリート・ジャーナルが報じた。 マイクロソフトはAR端末「ホロレンズ」を手がけている。米テクノロジー大手の多くがARやVR（仮想現実）技術に注目し関連ハードウエアやソフトウエアの開発を急ぐ中、この市場にいち早く参入したマイクロソフトの技術者がヘッドハンティングの対象になっている。 ベテラン技術者引き抜き、2倍の給与提示もマイクロソフトの元社員によると、引き抜きの対象となった人にはホロレンズの開発に携わったベテラン技術者も含まれる。一部の人は移籍企業から以前の2倍の給与を提示されたという。 ビジネス向けSNS（交流サイト）、リンクトインに掲載されたプロフィールによると、過去1年でマイクロソフトを去った元ホロレンズチームのメンバーは70人以上に上る。そのうち約40人が米メタ（旧フェイスブック）に移籍

<script setup> 構文とは Vue.js 3.2 から <script setup> 構文が使えるようになりました。これは単一ファイルコンポーネント(SFC)内で Composition API を使用している際に使える糖衣構文です。下記のようなメリットを得ることができ、公式からも使用が推奨されています。 ポイラープレートが減りより簡潔になる props と emit を定義する際に純粋な TypeScript の構文が使える ランタイムのパフォーマンスが向上する IDE のパフォーマンスが向上する 基本的な構文 <script setup> 構文をざっくりと説明すると、従来の Composition API における setup() 関数内部を <script> 直下に直接記述することができるという構文です。 単一ファイルコンポーネントの <script> タグにsetup属

以下のツイートを読んで気持ちが昂ったので。 みんな、もうSNSでいがみ合うのはやめよう。 平和に好きなJWTの話でもしようよ。 JWTの格納場所はlocalStorageとCookieのどっちが好き？— 徳丸 浩 (@ockeghem) 2022年2月11日 というのも、JWTをセッションに使うときに保存先含めて一時期悩んでいたので、その時の自分の解。 ただ、考えるたびに変化しているので、変わるのかもしれない。 要約 タイトル。 あとは優秀な方々が既に色々考えておられるのでそちらを読むとよいでしょう。 SPAセキュリティ入門～PHP Conference Japan 2021 JWT カテゴリーの記事一覧 - r-weblife どうしてリスクアセスメントせずに JWT をセッションに使っちゃうわけ？ - co3k.org JWT形式を採用したChatWorkのアクセストークンについて -

【パリ=白石透冴】フランスのデータ保護機関、情報処理・自由全国委員会（CNIL）は10日、米グーグルのサイト閲覧解析ツール「グーグルアナリティクス」について、得られた情報をフランスから米国に送るのは現状では違法だと警告する声明を発表した。オーストリア当局も1月に類似の判断を下しており、欧州のサイト管理者に影響が広がる可能性がある。グーグルアナリティクスはサイトの閲覧回数、閲覧者の属性などが分か

JPCERT/CCは2月10日、メールを介して広がるマルウェア「Emotet」について、2022年2月第1週から感染が急速に再拡大していると注意喚起した。「Emotetに感染し、悪用される可能性がある.jpメールアドレスの数は、感染が大幅に拡大した2020年に迫る勢い」（JPCERT/CC）という。 Emotetは、メールの添付ファイルやリンクを開くことで感染するマルウェア。感染すると、メールアドレスやメールの内容、Webブラウザに保存したID・パスワードなどを盗み取られたり、新たな感染につながるメールを勝手に送信し、被害を広げたりする。 JPCERT/CCによれば、再拡散しているEmotetは以下のようなメールを配信する場合が多いという。いずれの場合も、マクロを有効化するとEmotetに感染する可能性がある。 マクロ付きExcelファイルやWordファイル、もしくはこれらをまとめたパスワ

はじめに モダンフロント開発に必須の知識であるES2015〜以降の記法と、実務でよく使用される高階関数について、自分の中で改めて復習、整理しておきたいと思います。 それぞれの項目に★~★★★の重要度も記述しています。 ★★★ => 必ず覚えておくべき ★★ => 覚えておくべきだが、使う場面が限られる ★ => 知識としては知っておいた方が良い 現在フロントエンドエンジニアの方やフロントエンジニアになりたての方、フロントエンドエンジニアを目指して勉強中の方に読んでいただけたら幸いです。 ES(ECMAScript)とは？ JavaScriptの標準仕様。 現在ブラウザで使われているJavaScriptは、ECMAScriptの仕様に則って開発されています。 JavaScriptは他の言語のようにversionなどが存在せず、「ECMAScriptのversion~~に対応しているJavaS

提供社の都合により、削除されました。 関連ニュース ランキング 総合 国内 政治 海外 経済 IT スポーツ 芸能 女子

始めまして。デジタルペンテストサービス部の北川です。 筆者の自宅ではダークネット観測装置という名のただのtcpdumpがずっと動いてるだけのRaspberry Piがあります。 パケットをどんどん記録していくのは良いのですが、どんなパケットが来ているか全然見てなかったので、ご紹介したいと思います。 ダークネットとは ダークネットとは、インターネット上で到達可能かつ未使用のIPアドレス空間のことです。ダークネットを観測することにより、インターネット上で行われているポートスキャンなどの活動を見ることができます *1。 ダークネット観測といっても、ブラックホールセンサ、低インタラクションセンサ、高インタラクションセンサといくつか種類があり、筆者は一番運用が簡単なブラックホールセンサを運用しています。 ブラックホールセンサは、受信したパケットに対して一切応答を返さない種類になります。 そのため、外

予測可能な例は、明日何個売れるかの「期待値」です。例えば「明日は10個ぐらい売れるんじゃないの」という言明は、予測であると言えます。予測値には「^（ハット）」をつけます。

You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert

データから自動的に特徴を抽出してくれるニューラルネットワークを使った機械学習手法「ディープラーニング」は近年、急速に技術が発達し、画像認識AIや自動運転技術などの発展に役立っています。そんなディープラーニングの仕組みについて、米国電気電子学会が発行するIEEE Spectrumが解説しています。 How Deep Learning Works https://spectrum.ieee.org/what-is-deep-learning/step-4 ディープラーニングは人工ニューロンを大量につなぎ合わせたニューラルネットワーク上で実行されます。このニューラルネットワークは「入力層(INPUT LAYER)」「隠れ層(HIDDEN LAYERS)」「出力層(OUTPUT LAYER)」に分かれています。IEEE Spectrumは、隠れ層が2層存在するニューラルネットワークで手書きの数字を

Gboard チームは、いつでもどこでも思いどおりの文字入力を提供すべく、日々努力を重ねています。Gboard は、優れた変換性能にくわえて、お好きな写真を背景にできるテーマ機能や、外国語への翻訳機能などの便利な機能をそなえたキーボード アプリです。 Android と iOS のどちらでもご利用いただけます。 私たちは、ユニークな文字入力環境を実現するために、これまでにもさまざまなキーボードやデバイスを提案してきました。 そして今回もこれまでのキーボードと同様に、実際にご家庭で作っていただける DIY キーボードをご紹介します。 お茶を飲んでいたら、湯呑みを倒してキーボードにお茶をこぼしてしまった。そういうお茶目ながらも苦々しい失敗をさけるために、我々が新しく考案したキーボードです。 Gboard 湯呑みバージョンは、円筒形にキーを配置することにより、その中心部分に収納スペースを内包して

AWS Step Functionsが連携できるAWSのサービスが17個から200個まで大幅に増加しました。これにより実行できるAPIの数は9,000以上となりました。このアップデートによりAPIを叩くためだけのLambda関数を用意する必要がなくなり、AWS Step Functionsの使いやすさがグッと増したと思います。 AWS Step Functionsが連携できるサービスが爆増しました こんにちは、のんピ(@non____97)です。 AWS Step Functionsの連携可能サービス数が200個以上に増える神アップデートが来ました!! これにより、AWS Step Functionsから直接実行できるAPIの数は9,000以上となりました。 今まで、例えばEC2インスタンスを停止したい場合は、EC2インスタンスを停止させるLambda関数を用意して、そのLambda関数を