2023年11月9日、いなげやは同社一部店舗で掲示していたポスターなどに記載されたQRコードへアクセスした際、予期せぬ不正サイトに誘導する広告が表示され、クレジットカード情報が盗まれる被害が発生したと公表し注意を呼びかけました。ここでは関連する情報をまとめます。 短縮URLサービス中の広告表示を起因とした事案か いなげやはネットスーパーの入会案内として、入会用サイトへアクセスさせるため店頭展示していたポスターや配布していたチラシにQRコードを掲載していた。このQRコードを読み込んだ際に、予期せぬ不正なサイトに誘導する広告が表示される場合があり、今回この不正なサイトを通じてクレジットカード情報を盗まれる事案が発生したとして顧客に対して注意を呼び掛けた。また万一クレジットカード情報を誤って入力するなどしてしまった際はカード会社に連絡を取るようあわせて案内を行っている。*1 同社が公表した資料中
最近見つけた現象で既に論じられているかと思ったがちょっと解説が見つからなかったのでまとめておく。 手短に X(旧Twitter)クライアントで表示されるTwitterカードについてカードに表示されるドメインとは違うページにリンクさせる手法が存在する この手法は第三者のTwitterカードを利用することができる つまり悪用者は第三者のTwitterカードを表示させながら自身の意図するページに閲覧者を誘導することができる これはフィッシングの手法になりうる 見つけたツイート 以下のツイートはGoogle、Bloomberg、日経ビジネスのTwitterカードが添付されているがクリックするとそれらとは異なる情報商材サイトにジャンプする。リンク先に危険な仕組みはないと思われるがクリックは自己責任で。念を入れたい人は curl -L で。 PCブラウザでカーソルを合わせてもXの短縮URLサービスであ
個人開発で参考になるNext.jsリポジトリ10選
OpenStatus - ステータスページ App Router Turborepo Drizzle Clerk tRPC Tailwind shadcn/ui LLM Report - OpenAI モニタリング App Router Prisma NextAuth shadcn/ui Stripe Dub - URL 短縮 App Router Turborepo Prisma NextAuth Tailwind Stripe slug - URL 短縮 Prisma NextAuth tRPC Tailwind Cal.com - 日程調整 Turborepo Prisma NextAuth tRPC Tailwind Taxonomy - ブログ App Router Prisma NextAuth Tailwind Rowy - ローコード GUI Firebase Dorf -
YouTubeなどに投稿される動画は、ブラウザのデベロッパーツールや「yt-dlp」などを使ってダウンロードできますが、操作が少し手間です。オープンソースプロジェクトとして公開されている「cobalt」を使うと、URLを貼り付けるだけでYouTubeやX(旧Twitter)の動画をダウンロードできるとのことなので、実際に使ってみました。 GitHub - imputnet/cobalt: save what you love https://github.com/imputnet/cobalt cobalt https://cobalt.tools/ 上記のcobaltの公開ページにアクセスすると、以下のように表示されます。 今回は、試しに以下の動画をダウンロードしてみます。 1.56秒で180km/hに達する富士急ハイランド「ド・ドドンパ」の加速力3.75Gをプレス向け試乗会で体験してき
スラッシュの有無だけでセキュリティにとんでもない大穴が空いてしまうNginxのありがちな設定ミスについて実例を踏まえて専門家が解説
多機能なウェブサーバーとして2004年に登場したNginxは、2023年6月時点では業界トップシェアとなるほど人気を集めるサーバーです。そんなNginxの設定において、スラッシュを一つ付けるか付けないかの差で大きなセキュリティホールができてしまう問題について、大手パスワードマネージャーやGoogle製のツールの例をとりあげてセキュリティアナリストのダニエル・マツモトさんがブログで解説しています。 Hunting for Nginx Alias Traversals in the wild https://labs.hakaioffsec.com/nginx-alias-traversal/ Nginxの設定には、特定のURLへのアクセスをどう処理するべきかを記述できる「location」というディレクティブが存在しており、URLをサーバー内のファイルに対応させるのによく利用されています。例
【追記あり】X(Twitter)でURLを貼るとツイートが表示されない問題、検証してみた結果→YouTube、Instagram、Yahoo!ニュースが非表示に
高遠 頼@生命科学VTuber(たかとー らい)🧬 🔬 🥼 @takatoh_life 生命科学VTuber。 Ph.D. 博士(理学) 学振DC1、バイオインフォ系IT企業を経て、化学メーカーにて生命科学の研究者として従事。生命科学やデータサイエンスを中心にTwitter, YouTubeで活動しています。EN🇺🇸OK 母上:となみ涼様 @suzu00726 父上:DatA様 @Data_htak takatoh.net 高遠 頼@生命科学VTuber(たかとー らい)🧬 🔬 🥼 @takatoh_life X(Twitter)の一部ユーザーにて外部URL付きポストが表示、通知されない問題が生じています。 現在分かっていることをまとめました。 以下に表示されないURLと表示されるURLをまとめました。 ✅表示されないURL ・Google(YouTube、Googleフォ
AWS のサーバーレスと Amazon S3 署名付き URL、クライアントサイド JavaScript で大きなサイズの複数ファイルの一括アップロード・ダウンロード機能を実現する方法 | Amazon Web Services
Amazon Web Services ブログ AWS のサーバーレスと Amazon S3 署名付き URL、クライアントサイド JavaScript で大きなサイズの複数ファイルの一括アップロード・ダウンロード機能を実現する方法 はじめに 昨今のテクノロジーの進化は、これまで以上に、私たちがどのように働き、どのように生活するかを再定義しています。この進化の中心には、クラウドコンピューティングが存在しており、AWS はこれまで、クラウドコンピューティングのパイオニアとして、様々な機能を提供し続け、業界をリードしてきました。その機能群を支えるエコシステムの一部であるサーバーレスアーキテクチャは、スケーラブルで信頼性が高く、メンテナンスの作業負担が低いアプリケーションの開発を可能にし、ユーザーのビジネスやプロジェクトが円滑に進行するようサポートします。 AWS のサーバーレスの代表的なサービ
AWS S3 のファイルを社内からのみ URL でダウンロード可能にする(パブリックアクセスブロック有効) - APC 技術ブログ
はじめに こんにちは。クラウド事業部の野本です。 業務でモックサーバを作る際に、静的なファイルをふつうに URL でアクセスしてダウンロードできるようにする必要がありました。この用途に AWS の S3 を使いたいものの、バケットの設定を間違えると全世界に公開されてしまいそうで、公式ドキュメントを調べながら恐る恐る設定しました。 調べた結果、バケットポリシーで適切なアクセス制限を掛けるならパブリックアクセスブロック機能は有効のままでもいいことがわかりました。その設定方法や考え方について纏めます。 設定方法 S3 のオブジェクトを URL 直アクセスでダウンロードできるようにするには、 REST API GetObject を全員に許可するようにバケットポリシーを設定します。 リクエスト元を制限する際にポリシーが「非パブリック」と判定されるよう設定すれば、パブリックアクセスブロック機能はオン
Intro IETF の RFC は、いくつかの場所で同じものが公開されている。 どの URL が最適なのか、という話。 結論は www.rfc-editor.org だ。 RFC Hosting Site 例えば RFC 9110 - HTTP Semantics で言うと、以下の 4 つがある。 https://tools.ietf.org/html/rfc9110 https://datatracker.ietf.org/doc/html/rfc9110 https://www.rfc-editor.org/rfc/rfc9110.html https://httpwg.org/specs/rfc9110.html まずは、これらの違いを簡単に解説する。 tools.ietf.org IETF がホストする RFC は、 tools.ietf.org だった。 RFC 2616: H
コロナ禍で行われた「Go Toイート」事業では、農林水産省から委託を受けた民間の会社や商工会議所などが「ドメイン」と呼ばれるインターネット上の住所を新たに取得するなどして、都道府県ごとにウェブサイトが設けられました。 ところが、「Go Toイート」の終了に伴ってウェブサイトが閉鎖されたことから、ドメインが手放されるようになっていて、ドメインの登録サービス会社のオークションを通じて落札されるなどして、同じURLで別のサイトが表示されるケースがあることがわかりました。 NHKが調べたところ、少なくとも15のドメインにこれまでと異なるサイトが開設されていて、中には、オンラインカジノの情報サイトや「パパ活」に関するサイトなどが開設されているケースもありました。 こうしたドメインの扱いについて、政府のガイドラインでは「正規のウェブサイトになりすました不正なウェブサイトに誘導されないよう、対策を講じた
Cloudflare PagesでURL短縮サービスを作ってみましょう!これを作ることであなたは以下を体験することができるしょう。 HonoでWebページをつくること Cloudflare KVをアプリケーションの中で使うこと アプリケーションをCloudflare Pagesへデプロイすること アプリケーションの特徴 今回作ってもらうアプリケーションはこのような特徴があります。 Viteを使って開発 UI付き JSXを使ってHTMLを書ける メインのコードは100行以下! Zodを使ったバリデーション バリデーションエラーも表示 簡易なCSRF対策 デモ 完成品を使っている様子です。 完成品 完成済みのコードは以下にあります。 アカウント 今回、アプリケーションを作ってCloudflare PagesへデプロイするにはCloudflareのアカウントが必要です。無料の範囲で遊べるので、も
Web To Figma
Web to Figma is the ultimate plugin to collect and save, design inspirations into Figma as flawless components. Farewell, screenshots! Web to Figma is the ultimate plugin to collect and save, design inspirations into Figma as flawless components. Farewell, screenshots!
AWS Lambda Function URLs(関数URL)がCloudfrontのOACに対応したので試す - Qiita
はじめに AWS LambdaのFunction URLs(関数URL)は、Lambda単体でHTTPSのURLを発行し、HTTPリクエストをトリガーにLambdaを実行出来るようになる、非常に便利な機能です。 API Gatewayと統合せずともLambdaのみでWebAPIを構築出来るようになり、プロトタイピングやマイクロサービスに有用です。 関数URLの制限 ところで、関数URLの実行の認可は、IAMを用いた方法しかありませんでした(IAMロールベースの認可か、認可なししか無かった)。 Cloudfrontをリバースプロキシ的に前段に配置し、関数URLと繋ぐことで、ドメインを当てたりキャッシュを活用したり、便利な訳ですが、その際に上記が問題となります。というのは、CloudfrontからIAMベースのリクエストを行うには、Lambda@Edgeを利用するしかありませんでした(オリジン
Intro Chrome 126 で筆者が実装した URL.parse が Ship された。 Chromium にコントリビュートしたことは何回かあったが、単体機能を Ship したのは初めてだった。 invalid URL の処理 new URL() によって、文字列の URL をパースすることができるようになって久しいが、この API は invalid な場合に例外を投げる。 例外処理をするよりも、先に URL としてパース可能かどうかを知るための URL.canParse() が提案され、先に実装が進んだ。 URL.canParse(str) // boolean しかし、これでは二回パースが必要になるため無駄が多い。 if (URL.canParse(str)) { // 1 回目のパース return new URL(str) // 2 回目のパース } そこで、失敗したら
好きな作品の公式アカウントが誤ったURLを添付してツイート→悪用されないように誤ったURLのドメインを自費購入して転送処理する猛者が現れる
『青春ブタ野郎はスクールメモリーの夢を見ない -青ブタ展-』公式アカウント @aobutaten 「青春ブタ野郎はスクールメモリーの夢を見ない -青ブタ展-」の公式アカウント|東京会場2024年3月12日(火)~24日(日)開催!|名古屋、大阪、京都でも開催決定!!|鴨志田一×溝口ケージが描く思春期ファンタジー|出演:石川界人、瀬戸麻沙美、東山奈央、種﨑敦美、内田真礼、久保ユリカ、水瀬いのり、雨宮天 #青ブタ展 tenji.ao-buta.com 『青春ブタ野郎はスクールメモリーの夢を見ない -青ブタ展-』公式アカウント @aobutaten / 📣#青ブタ展 グッズラインナップ公開! \ 東京会場 グッズラインナップを公開致しました。 スペシャルドラマCD、パンフレット、キャラファイン等 展示会オリジナル商品を発売です!お見逃しなく!! ▼詳細はこちら tenji-ao-buta.co
» 特にiPhoneユーザーは、最近よく届く迷惑メール「不在だったので荷物を持ち帰った」に注意してください 特集 このところ、配達業者を装った「不在通知」の迷惑メール(SMS)がよく届く。 以前からも「不在SMS」はメジャーな存在で、当サイトでも何度か注意喚起をしてきたが(1)(2)、ここ最近の傾向は「シンプル」かつ「超危険」な傾向にある。 なんというか、電光石火。切れ味鋭い短刀のような。そして、すべての情報を持っていかれる。特にiPhoneをメインで使っている人は注意したほうが良いと思う。なぜならば…… ・例 たとえば、このようなメールが届く。文言は様々だが、だいたいが「不在だったので荷物を持ち帰った」という内容。そしてURLをタップすると…… なんだかよくわからないアラート的な画面が表示される。Appleのアカウントに異常があるから再度ログインせよ、と。 そしてApple IDの管理ペ
IaCでセキュリティを強化しよう!~IAMが苦手な開発者でも簡単に権限を絞れる。そう、AWS CDKならね!~/secjaws32
「Security-JAWS【第32回】」での登壇資料です。 イベントURL:https://s-jaws.doorkeeper.jp/events/167836
2023/07/29 [秋田][オフライン開催] JAWS-UG 東北 〜東北エンジニアの祭典〜 [初心者大歓迎] イベントURL : https://jaws-tohoku.doorkeeper.jp/events/156109 2023/08/18 [東北][岩手][オフライン開催]JAWS-UGいわて 特別編 Media-JAWSコラボ LT会 イベントURL : https://jaws-tohoku.doorkeeper.jp/events/157194
Googleアラートの登録キーワードRSSフィードとSlackの相性が悪いから変換プロキシを作って快適化 - 太陽がまぶしかったから
Google アラートは便利だけど 情報収集をするのには Google アラートが便利。仕事や趣味に関係するキーワードをGoogleアラートに登録し、それをRSSフィードに出力することで、最新のニュースを見逃すことなく、リアルタイムで情報を取得することができる。 しかしながら、GoogleアラートのRSSフィードをSlackに表示させようとすると以下のような表示になって視認性が低くなってしまう。 Gooogleの転送URLを通るためSlackでカード展開されない ボールドタグが文字列として出力されている 本文が中途半端に出力される また同じようなニュースが重複することも多く、それもまたノイズになってしまう。 Google アラートのRSSフィードを変換するプロキシを作成 この課題に対応するため、以下のシーケンスでGoogleアラートの生成するRSSフィードを変換するサーバレス関数を作成し、
Cacheable Presigned URL with Cloudflare Workers
2023年10月06日「Cloudflare Meetup Nagoya 第3回」にて発表した資料。 https://cfm-cts.connpass.com/event/294096/
記事中のURLプレビューを実装した (Cloudflare Pages Functions) | Marginalia
記事中のURLプレビューをiframeで表示するためのエンドポイントをCloudflare Pages Functionsで実装した。実はこれまで長らくはてなブログのembed APIを勝手に借りていた。倫理的によろしくない面もあったり、パフォーマンスや信頼性の面でもセルフホストしたいと思っていたが、着手するのを先延ばしにしていた。別に技術的に困難なポイントがあったわけではないが、備忘録としてやったことを書く。 /embed エンドポイントの作成このブログはCloudflare Pagesでホスティングしている。Cloudflare PagesのFunctions機能は、デプロイするレポジトリの /functions ディレクトリの中に配置したスクリプトを動的なWorker関数として呼び出せるようにしてくれる。 今回はこの機能を使って、 /functions/embed/index.tsx
見落としがちなURL正規化によるパストラバーサル | セキュリティブログ | 脆弱性診断(セキュリティ診断)のGMOサイバーセキュリティ byイエラエ
高度解析部アプリケーションセキュリティ課の金子です。 パストラバーサル(またはディレクトリトラバーサル)はXSSやSQLインジェクションに並んでWebアプリケーションに対する代表的な攻撃手法のひとつです。本記事では、パストラバーサルの中でもURL正規化によるパストラバーサルに焦点を当てて攻撃の発生原理やよくある事例について解説します。関連して、PHP向けのAWS SDKで発見したS3バケットに対するパストラバーサルの脆弱性CVE-2023-51651についても紹介します。 2種類のパストラバーサル パストラバーサルは../のような文字列を含んだ文字列の正規化処理(normalization)を悪用して、アプリケーションが予期しない"領域"に対してアクセスを行う攻撃です。正規化処理を行う対象によって分類することが可能で、次の2種類のパストラバーサルが代表的です: ファイルシステムに対するパス
コンテンツの更新で内容が変わるとき、URLはどうする? 基本的には、従来のURLで公開しましょう | ひとりSEO担当者の疑問に答えます
コンテンツ更新時に、URLをどうするか今回の質問は「複数のページで構成されるコンテンツを更新し、まったく新しい内容に変える場合、URLはどうする?」というものです。ペンネーム「ぐにぐに」さんが寄せてくださいました。URLはそのままに内容だけを差し替えるか、新しいコンテンツを新しいURLで公開するかで悩んでおられるとのことです。 従来からあるコンテンツを更新するとき、URLをどうするかは悩ましい問題です。新しいURLで公開すると、しばらくの間だけ検索結果で優遇されることがある(フレッシュネスアルゴリズム)ため、ちょっとした部分的な更新にすぎないものでもURLを変えるケースがあります。そうしたものを見ると、やはりURLを新しいものにした方が良いのではないか、と悩んでしまうんですよね。 URLは変更しないことが原則そもそも論ですがURLは「Uniform Resource Locator」の略で
全国的に普及している二次元コード(QRコード)を巡り、不正なサイトの広告が表示されたり、クレジットカード情報の入力を求められるなどの被害が相次いでいる。従来の「フィッシング」詐欺は、メールやショートメールから不正サイトにリンクさせて個人情報を入力させる手口。一方で、メール内の不正サイトへのURLリンクをQRコードに置き換えたケースは「クイッシング」とも呼ばれ、情報セキュリティー会社は警戒を呼びかけている。 決済情報の入力を要求学習院大は、今年5月から配布している「大学案内2024」に掲載されていた「受験生応援サイトintro!」のQRコードが、不正なリンク先に転送されていることが判明したと10月30日に発表。正しいURLを直接入力することなどを呼び掛けた。 また、カー用品店のオートバックスを運営する「オートバックスセブン」では11月13日、会員向けのダイレクトメール(DM)で、会員制度のリ
【2024年版】URL短縮サービスおすすめ4選!|AMNKER
Googleが提供するURL短縮サービス「Google URL Shortener」が2019年3月に終了してしばらくが経ちました。 すでに発行された短縮URLについては現在でも利用できますが、最近ではすっかり「goo.gl」を見なくなったように感じます。 信頼できる提供元で会員登録不要で利用も無料、アクセス解析も利用できたため当時は重宝していた方も多かったのではないでしょうか? 終了から約2年がたったいま、Googleの代替サービスとなりそうなものがどれほどあるのか改めて調べてみましたのでご紹介します。 今回はGoogleの代替サービスということで、URL短縮機能はもちろん、無料でアクセス解析機能も提供しているものに限定してピックアップしてみました。 【国産サービス】 X.gd https://x.gd/ アクセス解析機能や開発者向け機能、ブラウザ拡張機能などが充実している無料サービスで
The problem with new URL(), and how URL.parse() fixes that | Kilian Valkhof
As someone building a browser I need to parse a lot of URLs. Partially to validate them, but also to normalize them or get specific parts out of the URL. The URL API in browsers lets you do that, but it’s ergonomics aren’t ideal. The problem with new URL() The “new” in front of new URL() indicates that it’s used as a constructor: calling it creates a new URL instance for you. When you give it a ma
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
短縮URLサービス利用時に表示された悪質な広告についてまとめてみた - piyolog
X(旧Twitter)の短縮リンク(t.co)の古いものがリダイレクトされず、元のURLも表示されなくなってる
Twitterカードが貼られたツイートはすべて詐欺です、という時代 - Qiita
無料でYouTubeやX(旧Twitter)の動画をURLをコピペしてダウンロードできる「cobalt」
「ドコモ口座」のドメイン、ドコモが取り戻す 出品の経緯をGMO含め聞いた
RFC の URL はどのドメインで貼るのが良いか | blog.jxck.io
「パパ活」情報が「Go Toイート」URLで表示 ドメイン流用の実態は? | NHK
メール中のURLに特殊なIPアドレス表記を用いたフィッシングに、フィッシング対策協議会が注意喚起 Amazon、ETC利用照会サービス、国税電子申告・納税システムなどをかたる
Cloudflare PagesでURL短縮サービスをつくる!
CloudFrontだけで短縮URLサービス作ってみた。 - Qiita
怪しいURLにアクセスしないように! - HackMD
URL.parse を Chromium で Ship するまで | blog.jxck.io
特にiPhoneユーザーは、最近よく届く迷惑メール「不在だったので荷物を持ち帰った」に注意してください
配信サービスを作るなら視聴者の体験も可視化してみませんか?
URLが本物そっくりな詐欺サイトに注意! 「ホモグラフ攻撃」などの手法を知っておこう【だまされないように注意!】
「Firefox 120」が正式版に ~トラッキングコードなしのURLコピー機能などを導入/セキュリティ関連の修正は10件
QRコードから不正サイト誘導、被害相次ぐ 「クイッシング」と呼ばれる手口も