緊急レベルのJava「Log4j」脆弱性、多くのシステムに影響する恐れ(山口健太) - エキスパート - Yahoo!ニュース
米国時間の12月9日ごろから、Java用のログ出力ライブラリ「Apache Log4j」におけるリモートコード実行の脆弱性が話題になっています。広く普及しているライブラリに致命的な問題が見つかったことで、影響範囲の大きさが心配されます。 Log4jはJavaプログラムからログを出力するときに使われる定番のライブラリです。開発者がLog4jを使ってログを出力していれば、運用担当者は設定ファイルを利用してログの出力先をファイルからメール送信に変えるといったことが可能になります。 最初のバージョンがリリースされたのは2001年となっており、筆者の記憶では少なくとも2004年くらいにはJavaによる業務システムの案件で使っていました。他のプログラミング言語にも似たような名前で移植されています。 今回の脆弱性(CVE-2021-44228)は2014年に出たバージョン2以降が対象となっており、現在稼
こんにちは、エンジニアのtarr [https://github.com/tarr1124]です。 KARTE Blocksは既存のサイトにタグを一行入れるだけで、そのサイトを簡単に書き換えたり、ABテストなどで最適化したりできます。 これは、サイトを読み込むときにタグによってBlocks内で設定された内容を反映させているのですが、既存のサイトの挙動に手を加えている以上、一定のリスクが存在します
システム会社勤務の友人「今までクライアントに却下されがちだったやつが『これをケチるとみずほみたいになりますよ』って言うと通るようになった」
今日のむいむい @mui_king 先日システム会社勤務の友だちと飲んでて 「今までクライアントの偉い人に却下されがちだったやつが 『これをケチるとみずほみたいになりますよ!』 って言うとなんでも通るようになった」 ってくだりで千切れるほど笑った。みずほ、役に立ってるぞ 2021-10-09 17:29:00
Let's EncryptのDST Root X3ルート証明書の期限切れとOpenSSLの影響についていろいろ試してみた
Let's Encryptでこれまで長く使用されてきたIdentrust社発行のDST Root X3ルート証明書が、日本時間2021年9月30日23時1分15秒に期限切れになりました。十分時間を取って事前に移行計画や影響範囲、救える環境、救えない環境などアナウンスをしてきましたが、やはり、期限切れ以降、様々なサービスや製品で接続できないといった声が上がってきました。 特にOpenSSLに関しては、OpenSSL 1.0.2以前に影響があると9月13日に事前の注意喚起がOpenSSL公式ブログであったにもかかわらず、製品やサービスの奥底で使われていて気づかなかったのか、様々なOSや製品で古いものが組み込みで使われていたために影響が広かったように思います。 OpenSSLからの注意喚起の概要 2021年9月30日にLet's EncryptのDST Root X3ルート証明書の期限が切れるに
Web制作者は1冊持っておくとかなり便利!UIに適したさまざまなアニメーションの実装方法が分かる解説書 -動くWebデザイン アイディア帳 実践編
Webページに動きやアニメーションを加えたい、毎回検索で探している、実装の手順を解説してほしい、そんな時にすぐに役立つコピペで利用でき実装方法もカスタマイズもていねいで分かりやすい解説書を紹介します。 動きやアニメーションのコードはサポートサイトから最新版がダウンロードでき、要素表示、背景の動き、エリアの動き、画像の動き、テキストの動きなど9種類にバリエーションが100個以上あり、「この1冊が丸ごとカバー」の文字通り大全集です。 既視感を覚えた人は、大正解! 「動くWebデザインアイディア帳(紹介記事)」の第2弾で、第1弾は基本的な動きでしたが、第2弾の本書は実践編として「印象に関わる動き」となっています。 Web制作者は、1冊持っておくとかなり便利だと思います。こういった気持ちいいアニメーションはクライアントからの要望も多く、喜ばれます。
NTT 東日本 - IPA 「シン・テレワークシステム」 - HTML5 版 Web クライアントの公開について
NTT 東日本 - IPA 「シン・テレワークシステム」 Beta 7 および HTML5 版 Web クライアントの公開について トップ | 中間報告 | 自治体テレワーク for LGWAN | HTML5 Web 版クライアント (Mac, Chromebook 対応) | バージョン履歴 | ダウンロード | ユーザー数グラフ 入門 - 今すぐ使ってみよう | クライアント検疫機能・MAC アドレス認証機能 | 二要素認証・ワンタイムパスワード (OTP) 機能 | マイナンバーカードを用いたユーザー認証機能 | 仮想マルチディスプレイ機能 行政情報システムでの利用 | 組織 LAN におけるポリシー規制サーバー設置 | 企業システムにおける VM・HDD クローン対応 | Wake on LAN リモート電源 ON 機能 | 画面撮影・キャプチャ防止のための電子透かし機能 FAQ
開発者向けのセットアップ 新しく購入したWindows 10パソコンには、開発者向けのアプリケーションやツールが用意されていない。そこで、開発者は自身で環境をセットアップしていく必要がある。 必要になるツールをインストールしてカスタマイズを加えていくことで、デフォルトの状態のWindows 10から遠ざかっていくのは開発者にはよくあることだ。しかし、Wingetが公開されるなど、Windows 10でもLinuxのようなパッケージ管理が現実的になってきた。これまで散らかし気味になりがちだったWindows 10も、これからはもうちょっとましな管理ができるようになるかもしれない。 本稿では開発者向けに、新しいWindows 10パソコンに必要となる基本的なツールやアプリケーションをインストールしてセットアップする方法を取り上げる。今回取り上げるのはOpenSSH、Winget、Windows
委託したシステム開発が頓挫したとして、野村ホールディングス(HD)と野村証券が日本IBMを相手取って計約36億円の損害賠償を求めた裁判。プロジェクト失敗はベンダー側に非があるとした2019年3月の一審判決から一転、2021年4月の控訴審判決はユーザー企業側に責任があるとした。工数削減提案に十分に応じなかったり、プロジェクト途中で追加要件を多発したりした野村側の姿勢を東京高裁は問題視し、逆転敗訴の判決を下した。 関連記事 野村HDが日本IBMに逆転敗訴の深層、裁判所が問題視した「X氏」の横暴な変更要求 野村HDが日本IBMに逆転敗訴のワケ、「工数削減に応じず変更要求を多発」と指摘 東京高裁が特に問題視したのが、システムの仕様を策定するうえで重要な役割を担っていた野村証券のユーザー部門「X氏」の振る舞いだ。 当時、投資顧問事業部(判決文では「投資顧問部」)の次長だったX氏は、パッケージソフトに
世界一わかりみの深いOAuth入門
ローカル・経路上のキャッシュを併用しよう キャッシュは再利用されるほどいいものです。 サイトの規模にもよるのですが、ローカルと経路上のキャッシュはそれぞれ性質が異なるため、ブラウザキャッシュだけ適切に設定しておけば経路上では不要というわけではありません。 ローカルキャッシュはキャッシュを持つクライアント自身がサイトを再訪する場合は有効ですが、キャッシュを持っていない新規クライアントには無効です。 経路上のキャッシュは新規クライアントに対してもキャッシュを返すことができるため、例えばサイトへの流入が突然増えるといった事態でも対処がしやすいです。 そのためコンテンツ次第ではありますが、ブラウザキャッシュのように特定のクライアントでしか使えないprivate cacheにするよりも、 効率を考えてローカル・経路上のどちらでもキャッシュができ、多数のクライアントで共有できるshared cache
実務で役立つTCPクライアントの作り方
Go Conference 2021 Spring (A9-S) のセッションで使用した資料です。 - セッションの詳細: https://gocon.jp/sessions/session-a9-s/ - 発表者: https://twitter.com/d_tutuz 資料に誤りがあればtwitterでご連絡ください。
物語の始まり 事の発端は納品後。 先方からメッセージが届きました。 クライアント様「このファイルの文字コードがShift_JISになっておりますので、UTF-8で再納品をお願いいたします。」 拙者(あれ…UTF-8にしてたと思うんだけどな) 拙者「確認いたします。」 文字コードを確認する 本案件はいわゆる更新案件で、今回の納品時に言われていたのは、「文字コードがUTF-8ではないものは変換して納品してくれ」ということ。 そして、ご指摘いただいたのは、今回の更新案件で中身はいじらなかったJavaScriptファイル。 本来ならば納品するファイルではないのですが、文字コード変換という要件があったため、納品ファイルとして加えられたものでした。 一括で文字コードを変えたので作業漏れかなぁと思っていました。 ファイルの中身は記事用にかなり適当につくったものですが、まあだいたいこんな感じです。
Basic認証、Digest認証、Bearer認証、OAuth認証方式について - プログラミング初心者がアーキテクトっぽく語る
エムスリーエンジニアリンググループ製薬企業向けプラットフォームチームの三浦 (@yuba)です。普段はサービス開発やバッチ処理開発をメインにやっておりますが、チームSREに参加してからはこれに加えて担当サービスのインフラ管理、そしてクラウド移行に携わっています。 今回はそのクラウド移行の話そのものではないのですが、それと必ず絡んでくるインフラ設定に関してです。 アクセス元IPアドレスを知りたい Webアプリケーションがアクセス元IPアドレスを知りたいシーンというのは、大まかに二つかと思います。ログ記録用と、アクセス制限ですね。どちらもアプリケーションそのものではなく手前のWebサーバの責務のようにも思えますが、そうとも言い切れません。動作ログ、特に異常リクエストをはじいた記録なんかにセットでIPアドレスを付けたいとなるとアプリケーション要件ですし、アクセス制限についてもマルチテナントサービ
WSL2(Windows Subsystem for Linux 2)では、LinuxのGUIアプリケーションへの対応であるWSLGを開発中というところまでが前回の記事だ(「LinuxのGUIアプリケーションに対応するWSL2」)。今回は、具体的にどうやって仮想マシン内部のGUIアプリケーションが、Windowsのデスクトップにウィンドウを表示するのかについて解説する。 ただし、WSLGについては、Microsoftが公開した情報に基づいてはいるものの、正式版が公開されたわけではないため、実際にプレビューなどが開始されたときに答え合わせをしたい。とりあえずは、あくまでも現時点での内容として受け止めてほしい。 WSL2からRDPでLinux GUIアプリケーションのウィンドウを表示 WSL2は仮想マシンの中で動作する。そこで専用の仮想マシン環境(軽量ユーティリティVM)が作られた。Win32
Unityソルジャーの憂鬱
Prisma 基礎
Prismaのドキュメントを読んでみたので、基本的なことをまとめていきます。 Primsaとは オープンソースのORM(Object-relational mapping) Node上のアプリケーションで直接DBに接続し、クエリー発行が可能 RDB周りの処理をより簡単に行えるようにし、開発者の生産性を向上させることを目的に開発 Next.jsアプリケーションでDBを扱う際に特に有用 Schemaファイルから型情報が生成され、クエリ結果がタイプセーフになる 対応状況 言語 JavaScript TypeScript Go (開発途中) データベース PostgreSQL MySQL SQLite SQL Server (開発途中) 主な構成要素 Prisma Model アプリケーションで使用するモデルを表現する。 モデル内でテーブルやカラムの定義を行う。 また、Prisma Clientで
禁断のツイ廃アプリ完成。PC専用TwitterクライアントをAndroidで動かす神アプリ「MarinDeck for TweetDeck」公開! ツイ廃Androidユーザーの新定番!!! Androidアプリ「MarinDeck for TweetDeck (以下 MarinDeck)」が、2020年12月30日に公開されました。このアプリを使うことで TweetDeck がアプリ風に使えるようになります。 これまでTwitterヘビーユーザーの筆者は、様々なTwitterクライアントを使ったり、TweetDeckをAndroidで使うために野良apkアプリやChromeからのアクセスを試したりと、試行錯誤をしてきましたが、どれもしっくり来ません。そんな時、たまたまMarinDeck開発者さんのツイートを発見し、即インストール。 使った感想としてはこれが一番最強。レビューしていきます。
はじめに OAuth 2.0 のフローをシーケンス図で説明したWeb上の記事や書籍を何度か見かけたことがありますが、 フローの概要に加え、クライアントや認可サーバー側でどういったパラメータを元に何を検証しているのかも一連のフローとして理解したかった RFC 7636 Proof Key for Code Exchange (PKCE) も含めた流れを整理したかった というモチベーションがあり、自分でシーケンス図を書きながら流れを整理してみた、という趣旨です。 記事の前提や注意事項 OAuth 2.0 の各種フローのうち、認可コードフローのみ取り上げています 認可コードフローとはなにか、PKCE とはなにかという説明は割愛しています 概要について、個人的にはこちらの動画が非常にわかりやすかったです: OAuth & OIDC 入門編 by #authlete - YouTube 認可コードフ
ユーザーごとに異なるデータを提供するため、ログイン機能を搭載しているウェブサイトは多数存在します。しかし、ユーザー側はウェブサイトに搭載されたログイン機能の「認証方式」まで気にすることはあまりないはず。そんなウェブサイトの認証方式について、代表的な6つの方式をエンジニアのAmal Shaji氏が解説しています。 Web Authentication Methods Compared | TestDriven.io https://testdriven.io/blog/web-authentication-methods/ ◆ベーシック認証 HTTPの中に組み込まれているベーシック認証は、最も基本的な認証方式です。ベーシック認証に暗号化機能はなく、Base64でエンコードされたユーザーIDとパスワードをクライアントからサーバーに送信するとのこと。 認証フローはこんな感じ。まずクライアントはサ
ここ最近では何らかのインターネットサービスを構築・運用するにあたって、ネットワーク越しのリトライを考えることは避けられなくなりつつあります。 micro services のようなアーキテクチャを採用している場合はサービス間のメッセージのやり取りはまず失敗する前提 (つまりリトライをする前提) で組む必要がありますし、たくさんのクライアントがいてそのクライアントが定期的に何かを処理してセントラルにデータを送ってくる IoT のようなシステムを構築する時もその処理のリトライをよく考える必要があります。 というわけで「ネットワーク越しのリトライ」についてここ最近考えていることをざっくりと書き留めるものであります。 前提 リトライをする側をクライアント、リトライを試みられる側をサーバと呼称します リトライにおいて、サーバおよびネットワークはクライアントよりも弱者です クライアントはリトライをコン
WebサーバーをNginxから、高性能で簡単に構築できるCaddyに変更した際の作業手順を紹介します。 Caddyはクラス最高のセキュリティを誇る、HTTPSを自動的にデフォルトで使用する唯一のサーバーです。証明書の自動更新やTLSクライアント認証なども備えており、Webサーバーとしてもファイルサーバーとしても利用できます。LinuxやBSDをはじめ、WindowsやmacOSでも動作します。 Goodbye Nginx, hello Caddy by Hanna はじめに Webサーバーの準備 Caddyの構成 Systemdの構成 終わりに はじめに 私は最近、私の個人サイトをNginxからCaddyに変更しました。Caddyについて調べてみたところ、さまざまな恩恵が得られるので試してみたいと思っており、以前から計画してきました。 この記事では、Caddyのセットアップ方法、良くなった
OpenAPI や Protocol Buffers のおかげで開発がかなり捗っている話 | MEDLEY Developer Portal
ソーシャルゲームのクライアントエンジニア入門以前 というサイトを作って公開しました。 - izm_11's blog
ここで公開してます。 neon-izm.github.io 経緯 ソーシャルゲームクライアントは、Unity自体の知識に加えて、ソーシャルゲーム特有の慣習や挙動に合わせた知識が必要になります。 それらの個別実装についての記事は十分にありますし、サーバサイドも含めてソーシャルゲームを全部一人で作ってみる本もあります。 スタートアップ・個人で作れる スマホ向けUnity ソーシャルゲーム開発ガイド スタートアップ・個人で作れる スマホ向けUnity ソーシャルゲーム開発ガイド 作者:平野裕作発売日: 2020/01/17メディア: Kindle版 しかし、例えば独学でUnityだけを学んだ人や、スタンドアロンのゲーム畑からやってきた人がキャッチアップするための索引的な文書が見当たりませんでした。 (↑の本はある程度のサーバサイドとクライアントの事を理解している人が全体像を確認するための本で、サ
意識の低いフリーランスの生存戦略
序章 駒場「最近、うちのおかんがシステム開発に興味を持っててなぁ、名前は忘れたらしいんやけど、色んなクラウドサービスのインターフェースになっていて、アプリケーション間連携にすごく役立てられるものを取り入れてるところがあるらしいんやわ〜。」 内海「そんなもんREST APIに決まってるがなぁ! 今やクラウドサービス連携に必須の要素、インターフェースと言えば、REST API。ロイ・フィールディングが提唱し、WEBやURIの特性・HTTPプロトコルを最大限に活かしたアプリケーションプログラミングインターフェースのスタンダードになっているREST APIに決まってるがなぁ。」 すべての情報(リソース)に適用できる「よく定義された操作」のセット 駒場「最初、オレもそう思たんやけどな、なんでもHTTP Body にInsertとかCreateとか入ってるらしいんやわ。」 内海「ほなぁ、REST AP
このツイートを見て、「アプリで再ログインを頻繁要求されるってユーザビリティ良くないな。」と思ったのですが、普段裏側の仕組みは意識していなかったりテックリードの方に任せきりだったりしていたので、これを機に調べてみました。 そもそもスマホアプリ の時代、もはやauthenticationですらないと思うのよね。(何を言ってるかわからねえだろうと思うが。) — Hiromitsu Takagi (@HiromitsuTakagi) 2019年7月8日 この記事は「アプリでログインしっぱなしは、どのように実現されるの?」という疑問と調べた結果を共有するために書いていきます。 間違いや「もっとこんな仕組みが使われてるよ!」等のツッコミがあれば、どしどし貰えると助かります! 疑問1. アクセストークンという仕組みとは? 「なぜアクセストークンという概念が必要なのか?」 モバイルアプリでユーザー認証をし
こちらの記事は、Indrek Lasn 氏により2019年 10月に公開された『 Here Are 6 Front-End Challenges to Code 』の和訳です。 本記事は原著者から許可を得た上で記事を公開しています。 著者Twitter https://twitter.com/lasnindrek フロントエンドの開発はストレスが多く難しい作業ですが、練習すれば技術をマスターすることができます。 自ら進んで鍛錬と努力をすれば、フロントエンド開発の場面で問題を解決することのエキスパートとなることができるでしょう。 優れたフロントエンド開発者になるために効果的な方法の1つは、単純にできるだけ多くの課題に取り組み、解決することです。 フロントエンド開発の達人になるために、今日から解き始めることができる6つの課題を紹介します。 ではさっそく、実装すべき6つの課題はこちら。 1. ク
Go で実装しながら gRPC を理解する
Written by @ryysud Jul 10, 2019 00:00 · 5125 words · 11 minutes read #gRPC はじめに gRPC の理解が浅く gRPC を利用するプロダクトの開発で困ったので調べてまとめてみました。 gRPC について Google が開発した RPC フレームワークで、gRPC を使うと異なる言語で書かれたアプリケーション同士が gRPC により自動生成されたインターフェースを通じて通信することが可能になる。Go で書かれたサーバーに Java で書いたクライアントが接続可能になるイメージ。通信プロトコルには HTTP/2 が使われ、データはバイナリデータでやりとりする仕様。 gRPC の前身は Google 社内で10年以上運用されていた Stubby というもので、多くの機能が標準規格に基づいていないことから長い間 OSS と
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
AWSが落ちてもGCPに逃がすことで落ちないシステムを作る技術
ベイジのウェブ制作ワークフロー2021年版(約100のタスクと解説) | knowledge / baigie
Windows 10搭載PCを買ったら最初にやっておきたいこと【開発者編】
逆転敗訴した野村情シスがIBMに送った悲痛なメール、横暴なユーザーを抑えきれず
世界一わかりみの深いOAuth入門
HTTPキャッシュ入門の入門 – cat /dev/random > /dev/null &
「ASCIIをUTF-8にして」それが『できない』ことを理解してもらえなかった話 - Qiita
こんばんは、X-Forwarded-For警察です - エムスリーテックブログ
WSL2ではRDPでLinux GUIアプリのウィンドウを表示する (1/2)
禁断のツイ廃アプリ完成。PC専用TwitterクライアントをAndroidで動かす神アプリ「MarinDeck for TweetDeck」公開! - すまほん!!
OAuth 2.0 認可コードフロー+PKCE をシーケンス図で理解する
ウェブサイトのさまざまな「認証方式」をまとめて比較した結果がコレ
OAuth認証とは何か?なぜダメなのか - 2020冬 - r-weblife
ネットワーク越しリトライ考 - その手の平は尻もつかめるさ
NginxからCaddyに変更した際の作業手順、デザイナーにもお勧めの簡単で高性能なWebサーバー
Node.js でお手軽スクレイピング 2020 年夏 - Qiita
ミルクボーイが REST API を説明したら - Morning Girl
アプリで「ログインしっぱなし」はどのように実現されているか? - Qiita
フロントエンドのコーディング課題6選-このフロントエンドの課題、実装できますか? - Qiita
あなたが必要としていることを知らなかった10の開発ツール - Qiita