Intro CSRF という古の攻撃がある。この攻撃を「古(いにしえ)」のものにすることができたプラットフォームの進化の背景を、「Cookie が SameSite Lax by Default になったからだ」という解説を見ることがある。 確かに、現実的にそれによって攻撃の成立は難しくなり、救われているサービスもある。しかし、それはプラットフォームが用意した対策の本質から言うと、解釈が少しずれていると言えるだろう。 今回は、「CSRF がどうして成立していたのか」を振り返ることで、本当にプラットフォームに足りていなかったものと、それを補っていった経緯、本当にすべき対策は何であるかを解説していく。 結果として見えてくるのは、今サービスを実装する上での「ベース」(not ベスト)となるプラクティスだと筆者は考えている。 CSRF 成立の条件 例えば、攻撃者が用意した attack.examp

昨日、株式会社はてなの京都オフィスで開催されたKyoto Tech Talk #4でちょっとしたトークをした。 hatena.connpass.com タイトル「(新サービス|カクヨムネクスト)(オープン)?を支える スプレッドシート(芸|技術)」は、正直なところ決めるのがめんどくさくなったので、解釈の幅をもたせることで解決した。正規表現での発話を流行らせたい。 kakuyomu.jp オフライン登壇だったので、だいぶ実地の言葉で補足をした、つまりスライドだけ読んでもだいぶ端折られてる。スライドもこの記事の最後で公開はしておくが、テキストで補足をする。 新サービス立ち上げ時の運用機能は、作り込みすぎないではじめられるスプレッドシートが使える ぼくもそうだが、Excelやスプレッドシートはノンエンジニアでもだいたい使うことができる。新サービス立ち上げのような局面では、できるだけユーザー向けの

映像制作の林田です。 @nbhkhysd @TheVagabond1996 大地康雄が監督・脚本・主演の 『恋するトマト』 クリストファー・ノーラン好きの私が、泣いた名作です。 今まで見た映画でTOP5に入ります。 pic.twitter.com/WF3xmvtIcp 2024-04-10 00:18:28

はじめに こんにちは、技術広報の菊池です。 セキュリティの確保は技術的な課題にとどまらず、お客様の満足、さらには企業の存続に直結する重要なトピックスです。 私たちSaaS企業も例外なく、常に変化する脅威にさらされており、日夜対策のアップデートが求められますので、 私も自身の理解を深めるためにキーワードと各分野の歴史をまとめてみました。 本記事で取り上げるセキュリティ主要７分野では、新しい技術の登場と共に、新たな脅威が絶えず発生し、その対策の進歩も伺えました。 今回は、アプリケーション、ネットワーク、エンドポイント、データ、クラウド、アイデンティティとアクセス管理、インシデント対応と復旧のセキュリティについて、 その概要と1980年代〜現代に至るまでの歴史、脅威と対応策の進化を総括しました。全てはカバーしきれませんでしたが、代表的なツールも紹介しています。 それぞれの分野では個別の発展があり

「ChatGPTによる新規事業開発の進化」をテーマに、リブ・コンサルティングが新規事業やサービス開発に取り組む人に向けたイベントを開催。同社の先進技術研究組織「ACROBAT」の所長・森一真氏が、ChatGPTを新規事業開発に活用する方法を語りました。 前回の記事はこちら AIに適した知的労働 森一真氏（以下、森）：データの分析も知的労働ですし、チームビルディングもある意味知的労働かなと思いますが、特に情報処理的で、かつ問題が曖昧ではなく、ちゃんと定義できるものほどAIに向いています。いわゆるリサーチや分析はどんどん優先的にAIに置き換わっていきます。 新規事業アイデアは（スライドの）真ん中にあるんですが、若干情緒的なところや文脈的なところもありつつ、リサーチ等の情報処理的な業務負荷が著しく高いので、うまくプログラムを組むことでかなりAI化が進みやすいと思います。 逆にリーダーシップやチー

Hello, 辻原です。 私は普段「00%稼働でクライアントプロジェクトにコミットする」という契約でお仕事させていただいていることが多いのですが、3月は多くのクライアントが期末を迎えるため、ねじ込みと整理のため慌ただしい日が続きます。毎年3月は所定契約時間を大幅に超過しがちで、気がついたら合計170%稼働みたいなことになっていたりするのですが、土日や残業を加味すれば「まあ現実的な生存ラインか」「稼働時間じゃなくて成果だから」と自分に言い聞かせながら今日も頑張って生きています。 現在の働き方もそうですが、私のこれまでのキャリアにおける仕事は基本プロジェクト型で、年間大小合わせて20〜30ほどがアベレージですので、これまで300〜400程のプロジェクトに携わってきたことになります。 私は常々「これからの仕事やキャリアアップにはプロジェクト推進力が重要だよ」と言い続けてきましたが、今回のnote

ちょっとした雑なスクリプト書いてそれを常に起動しておきたいときないですか？僕はあります。 しかもめんどくさがり屋なのでghq管理化のディレクトリでgemに頼って雑に書いたスクリプトがそのまま動いてほしいんです。 systemd使えば出来るんだろうなぁと思いつつ「色々面倒くさいんだろうな」と思って手を出していなかったんだけどやってみたら拍子抜けするほど簡単だったので共有です。 雑要件定義 rubyはrbenvで管理してるんでそれそのまま使ってほしい 実行ファイルをgit&ghq管理化のディレクトリでそのまま使いたい 他の場所にインストールとかコード管理ダルい bundle exec 的なのもやって依存ライブラリもうまいことやってほしい やること systemdをユーザーレベルで使うときは ~/.config/systemd/user/にファイルを置けば良い。ディレクトリ無かったら作る mkd

僕は2018年にPLEXという会社を立ち上げました。それから５年、メンバーは200人を超え、今期の売上は30億円を見込んでいます。資金調達は今のところしていませんが、新規事業への投資ができるぐらいの利益も出ています。 まだまだ「大成功！」とまではいえませんが、この先の大きな成長を見据えられるぐらいには、安定して伸びてきました。 ただ、僕自身は決してビジネスセンスがあるタイプではありません。実は学生時代も含めると４つほど、「なんとなくいけそう」と感覚で事業を作っては、伸びずに潰してしまったんです。 だからこそ、今回は事業を立ち上げる前に入念な「事前準備」をしました。徹底的にリサーチをして、ビジネスの成功パターンを学んで、仮説を検証する。そのうえで事業を立ち上げた。 その結果気づいたのが、 事業づくりにはちゃんと「やり方」があって、実は誰でもできるレベルまで落とし込める ということです。 起業

Webサイト「Kenney」で無料公開されている入力ボタンのアイコンパック『Input Prompts』がアップデート 各種コンシューマー機のゲームパッド、キーボード・マウスといった入力ボタンのアイコンが収録されている アイコンが追加され、800種以上→1,000種以上に ゲーム開発用素材の配布やゲームの公開・販売などを行うWebサイト「Kenney」にて、ゲームパッドなどの入力ボタンのアイコンがセットになったパック『Input Prompts』がアップデートされました。 Input Prompts update released! Over 1,000 icons covering many consoles and input methods, they're all CC0 (public domain) and can be used for any type of project

はじめに 34 歳のとき、勤めていた会社の経営が傾き早期退職を促されたのを契機に独立しました。その後、41 歳で Authleteオースリート 社を設立しました。諸般の事情で現在も Authlete 社の代表取締役という肩書きを持っていますが、経営者的な仕事は他の人に任せ (参照: シリコンバレーのプロフェッショナル CEO を迎えて米国市場に挑戦する日本のスタートアップの話)、50 歳目前の現在もプログラマとしてコードを書き続けています。 Authlete 社設立 (2015 年 9 月) から 8 年半弱経過したものの、まだまだ小さな会社で道半ばであるため、起業家として何か語るのは時期尚早ではあるものの、軽い体調不良が長引く中、『自分のエンジニアとしてキャリアを振り返ろう！』という記事投稿キャンペーンを見かけ、生きているうちに子供世代のエンジニアの方々に何か書き残しておこうと思い、文章

こんにちは。 今回は「二重振り子」をprocessingで描画してみたいと思います。 二重振り子をprocessingでやるのはn番煎じ的なところがありますが、やりたいのでやります。 目次 二重振り子とは プログラム化する おまけ まとめ 参考 二重振り子とは 「二重振り子」はその名の通り、振り子が2つつながったものです。 カオスの例としてよく挙げられるので、聞いたり見たりしたことがあるかもしれません。 二重振り子において、各振り子の角度の二階微分については以下のように表されるようです。 $$ \begin{align} \ddot{\theta}_1 &= \frac{ -m_2 ~ l_2 ~ \ddot{\theta}_2 ~ \mathrm{cos}(\theta_1 - \theta_2) - m_2 ~ l_2 ~ \dot{\theta}_2^2 ~ \mathrm{sin}

こんにちは。 今回は、「ボイドをつくってみよう」という題でやっていきます。 ボイドとは プログラム化する 基礎をつくる 鳥の描画と移動 鳥の追加・削除 境界条件 分離 整列 結合 その他 鳥の見た目 空間分割法について まとめ 参考 ボイドとは 「ボイド」は人工生命プログラムのひとつで、「bird-oid（鳥のようなもの）」という単語を略したものだそうです。 （「-oid」という接尾辞は「android」や「humanoid」などでも見られますね。） コンピュータ上につくった鳥（のようなもの）に対して「分離（separation）」「整列（alignment）」「結合（cohesion）」という3つの規則を適用することで、群れとしての振る舞いをシミュレーションできるというものです。 「分離」「整列」「結合」はそれぞれ、 分離：鳥が他の鳥とぶつからないように距離をとる。 整列：鳥が他の鳥と同

ソフトウェア開発において、アジャイルという考え方はかなり浸透しています。多く出版物やWebコンテンツ、さまざまなコミュニティやセミナーが存在し、アジャイルの情報には触れやすい状況になってきました。一方で企業においてアジャイルを導入しようとする際に開発チームのどこを変えるべきか、組織固有のルールとどう折り合いを付けるかなどに頭を悩ませる方も多いでしょう。 『SCRUM BOOT CAMP THE BOOK』などの著作で知られ、アジャイルコーチとして企業の組織づくりを支援する永瀬美穂（@miholovesq）さんは、これまで複数の大学で授業におけるアジャイル導入も支援し、その成果を発表する「Agile PBL祭り」を主催してきました。永瀬さんによると、学生は前提知識もないところからソフトウェア開発を学ぶため、社会人エンジニアより自然とアジャイルに取り組める面もあるそうです。 大学はなぜ教育にア

初めに 私は独学でプログラミングその他について勉強をしていますが、基本的に知識を得るために金はかけません。調べれば何とかなるので。 私がプログラミングを始めるにあたって自分に投資したものは安いノートパソコンとマウスのみで合計金額は14600円（ノートパソコン14000円、マウス600円）ですね。 もちろんいいものはお金をかけなければ手に入りません。しかし、いいものというのはある程度のレベルにならなくては持っていても意味がほとんどないと思います。 実際にプログラミングの勉強を独学で始めると、なかなか教材を見つけることができず、え？こんないいサイトあったの！？もうちょっと早く見つけときゃあよかった！というものがめっちゃありましたので、これから独学でプログラミングの勉強をしたいという方に向けて、少しでもお役に立てたらと、紹介をしたいと思います。 というわけで、今回は私が感謝する神サイトおよびその

幹部が思うように動かない、人材の離脱が止まらない、社長の思いが社員に届かないなど、経営者が抱える悩みは多岐にわたります。そこで今回は、株式会社PDCAの学校 代表の浅井隆志氏が、その原因と対策法について解説。本記事では、管理職の9割以上がプレイングマネージャーである日本企業の課題点を元に、組織開発のポイントを探ります。 「強く指摘して辞められたら、正直困る」という本音 浅井隆志氏：みなさん、こんにちは。株式会社PDCAの学校代表取締役、浅井隆志でございます。本日は社長向けということで、おそらく役員の方や幹部の方もいらっしゃるんじゃないかなと思います。 「言うことを聞かない幹部、言うことを聞かない管理職の方をどう変えていくか」にテーマを絞って、お伝えしていきたいなと思っております。 まず、今日はどういう話をしていきたいのかということなんですが、そもそもなんで幹部は動かないのか。それから幹部は

1. 『プロジェクト・ヘイル・メアリー』アンディー・ウィアー 著、小野田和子 訳 2. 『オービタル・クラウド』藤井太洋 著 3. 『AIとSF』日本SF作家クラブ 編 4.『虚数』スタニスワフ・レム 著、長谷見一雄・沼野充義・西成彦 訳 5. 『SF超入門』冬木 糸一 著 6. 『サイエンス・フィクション大全』グリン・モーガン 著、石田亜矢子 訳 1冊目は、『プロジェクト・ヘイル・メアリー』だ。 ▲『プロジェクト・ヘイル・メアリー』アンディ・ウィアー 著、小野田和子 訳、早川書房 もし未読なら、素晴らしい！おめでとう！ こんなにめちゃくちゃ面白い本をこれから読めるなんて、羨ましいなぁ。紹介やレビューを目にする前に、いますぐ（今すぐにだ）読んでほしい（公式の紹介やAmazonレビューはネタバレ満載なので見てはいけない）。 映画化されるらしいが、約束された傑作になるだろうが、ITエンジニアな

マルチクラウド展開にまつわる既成概念を覆すより データ転送では、特に長距離の場合にレイテンシ（遅延）が問題になることがありますが、現在はすべてのクラウド・プロバイダーがそれぞれの物理インフラストラクチャを互いの近くに配置（専門用語では「コロケーション」）しているため、これはさほど問題となりません。この近接性（場合によっては同一コロケーション施設内の別の部屋）は、クラウド間のレイテンシがミリ秒単位であることを意味します。それに加え、クラウド・データセンター・リージョンは世界中で増加しており、クラウド・リージョン間の距離は縮まっています。 という事で、レイテンシ(遅延)について、まとめてみてみます。 ■ Agenda レイテンシ(遅延)とスループット(帯域幅) レイテンシと TCP の動作 帯域幅遅延積(Bandwidth-Delay Product) TCP Window Size の調整と