安全なパスワードの設定・管理 企業・組織におけるパスワードは、ユーザ名と組み合わせることで企業・組織内の情報資産へのアクセスの可否を決める重要なものです。パスワードの重要性を再認識して、適切なパスワード管理を心がけましょう。 他人に自分のユーザアカウントを不正に利用されないようにするには、推測されにくい安全なパスワードを作成し、他人の目に触れないよう適切な方法で保管することが大切です。 安全なパスワードの設定 安全なパスワードとは、他人に推測されにくく、ツールなどの機械的な処理で割り出しにくいものを言います。 理想的には、ある程度長いランダムな英数字の並びが好ましいですが、覚えなければならないパスワードの場合は、英語でも日本語(ローマ字)でもよいので無関係な(文章にならない)複数の単語をつなげたり、その間に数字列を挟んだりしたものであれば、推測されにくく、覚えやすいパスワードを作ることがで
はじめに 本記事では無料で公開されている企業のエンジニア向け研修資料をまとめました。 近年では、多くの企業が新人向けの研修資料を公開しています。これらの資料は内容が充実しており、初心者から中級者まで幅広いレベルの学びを得ることができます。さらに、資料の作り方も参考になるため、勉強会で発表する人や企業の研修担当者にとっても貴重な情報源となっています。 本記事では様々な企業のエンジニア向け研修資料をまとめましたので、ぜひ参考にしてみてください! 弊社Nucoでは、他にも様々なお役立ち記事を公開しています。よかったら、Organizationのページも覗いてみてください。 また、Nucoでは一緒に働く仲間も募集しています!興味をお持ちいただける方は、こちらまで。 この記事の主な対象者 有名企業の研修資料を幅広く確認したい方 エンジニアとして初級から中級レベルの方 独学で学んでいる方 今後研修資料
社内で検知された悪性通信を調査したらドメインパーキングだった話 - NTT Communications Engineers' Blog
こんにちは、イノベーションセンターの冨樫です。Network Analytics for Security プロジェクトに所属しています。 突然ですが皆さんはドメインパーキングというサービスを知っているでしょうか?詳細については後述しますが、以前イノベーションセンターの検証網でマルウェアに関する悪性通信が検知されたため通信先を調査したところ、ドメインパーキングだったことがあります。本記事ではこの調査を通して得られたドメインパーキングに関する知見とその調査過程を紹介します。また、今回紹介するドメインパーキングの悪用事例や外部インテリジェンスを活用した調査は基礎的な内容ですので、本記事は主に初学者の方の知見にしてもらうことを目的としています。 ドメインパーキングについて アラートの概要 Ursnif について 接続先についての調査 検知されたアラートの危険性について さいごに ドメインパーキン
SPAのアプリケーションで、外部のIdPを使ってOpenID Connect によるログイン機能を開発しようと考えています。IDトークンの保存先として、ブラウザのCookieかサーバーのDBに保存するかの2つの案があると思っています。調べた限り、サーバーサイドで持つべきという意見が多いように見えますが、以下のような背景がある中で開発しても、ブラウザのCookieでは持つべきなのではないのでしょうか? - IDトークン自体にも、個人の属性(氏名等)情報は無いことを確認している - サーバーサイドでIDトークンの署名検証をして、IDトークンの改ざんが無いか確認する - Http Only属性:JSによるCookieへのアクセスを防ぐため - Secure属性:流出防止のため - SameSite=strict:CSRF対策のため 結論から言えば、「どちらでもよい」となります。しかし、恐らく話は
S3経由でXSS!?不可思議なContent-Typeの値を利用する攻撃手法の新観点 - Flatt Security Blog
はじめに セキュリティエンジニアの齋藤ことazaraです。今回は、不可思議なContent-Typeの値と、クラウド時代でのセキュリティリスクについてお話しします。 本ブログは、2024 年 3 月 30 日に開催された BSides Tokyo で登壇した際の発表について、まとめたものです。 また、ブログ資料化にあたり、Content-Type の動作や仕様にフォーカスした形で再編を行い、登壇時に口頭で補足した内容の追記、必要に応じた補足を行なっています。 また、本ブログで解説をする BSides Tokyoでの発表のもう一つの題である、オブジェクトストレージについては、以下のブログから確認をすることが可能ですので、ご覧ください。 blog.flatt.tech なぜ今、この問題を取り上げるのか? 従来のファイルアップロードにおいて、Content-Type の値を任意の値に設定すること
資産家イーロン・マスク氏は、アップルが基本ソフト(OS)レベルでオープンAIの人工知能(AI)ソフトウエアを組み入れれば、同社製機器を自社から締め出すと述べた。 マスク氏の発言は、アップルが10日に行ったプレゼンテーションで、デジタルアシスタント「Siri」を通じ、ユーザーがオープンAIのチャットボット「ChatGPT」にアクセスできるようになると発表したことを受けたものだ。アップルはこの機能を年内に新しいAI機能の一部として展開する予定。 マスク氏はオープンAIの共同設立者だが、同社とは対立していた。 マスク氏はX(旧ツイッター)への投稿で、「アップルがOSレベルでオープンAIを組み入れれば、アップル製品は私の会社で使用禁止になるだろう。容認できないセキュリティー違反だ」とコメントした。 If Apple integrates OpenAI at the OS level, then A
もしそのコンテナターミナルが業務停止に陥るとどうなるか――。そのリスクを如実に示したのが、2023年7月4日に名古屋港コンテナターミナルで発生したランサムウェア感染被害だった。 2024年3月に開催されたセキュリティイベント「Security Days Spring 2024」に、国土交通省で最高情報セキュリティアドバイザーを務める北尾辰也氏が登壇。「名古屋港コンテナターミナルを襲ったサイバー攻撃とその背景」と題し、公表された報告書などを基に攻撃から復旧までのいきさつと、そこから得られた教訓を紹介した。 ITを用いた効率化が進んできたコンテナターミナル コンテナターミナルというと、港に林立する大型クレーン(ガントリークレーン)を思い浮かべる人も多いだろう。名古屋港コンテナターミナルもその一つだ。 同コンテナターミナルは5つのターミナルで構成されている。1日当たり約7500本のコンテナが出入
GraphQL is an incredible piece of technology that has captured a lot of mindshare since I first started slinging it in production in 2018. You won’t have to look far back on this (rather inactive) blog to see I have previously championed this technology. After building many a React SPA on top of a hodge podge of untyped JSON REST APIs, I found GraphQL a breath of fresh air. I was truly a GraphQL h
『GitHub CI/CD実践ガイド』でGitHub ActionsとCI/CDを体系的に学ぼう - 憂鬱な世界にネコパンチ!
『GitHub CI/CD実践ガイド――持続可能なソフトウェア開発を支えるGitHub Actionsの設計と運用』という書籍を最近出版したので紹介します。本書ではGitHub Actionsの実装と、CI/CDの設計・運用を体系的に学べます。一粒で二度美味しい書籍です。筆者個人としては「実践Terraform」以来、4年半ぶりの商業出版になります。 gihyo.jp どんな本? GitHub利用者にとって、もっとも導入が容易なCI/CD向けのソリューションはGitHub Actionsです。GitHub Actionsの活用事例は多く、検索すればたくさん情報が出てきます。ただ断片的な情報には事欠かない反面、体系的に学習する方法は意外とありません。CI/CD自体がソフトウェア開発の主役になることもまずないため、なんとなく運用している人が大半でしょう。そこで執筆したのが『GitHub CI/
AWS Configのコストを95%削減しつつ記録を残すことを諦めない - Nealle Developer's Blog
はじめに SREチームの大木( @2357gi )です。 ECS Serviceのオートスケーリングやバッチなど、ECS Taskの起動停止が頻繁に行われる環境でAWS Configを有効にしていると、AWS Configのコストが無邪気に跳ね上がってしまうことがあります。 インターネット上では特定のリソースを対象外にすることによりコストを抑える手法が多くの記事として見かけますが、対象外にするとAWS Config側で「リソースタイムラインの表示」ができなくなったり、Security hubで使用する情報の記録を行うことができなくなってしまいます。 そこで、特定のリソースを「記録から除外」するのではなく、「日時記録に設定」することにより前述した懸念点を解消しつつ、コスト削減をすることができたので紹介します。 経緯 我々のプロダクトでもサービスのスケールや機能拡大に伴い AWS Config
TL;DR: Instead of redirecting API calls from HTTP to HTTPS, make the failure visible. Either disable the HTTP interface altogether, or return a clear HTTP error response and revoke API keys sent over the unencrypted connection. Unfortunately, many well-known API providers don't currently do so. Updated 2024-05-24: Added the Google Bug Hunter Team response to the report that the VirusTotal API resp
Best practices for using the Terraform AWS Provider - AWS Prescriptive Guidance
Michael Begin, Senior DevOps Consultant, Amazon Web Services (AWS) May 2024 (document history) Managing infrastructure as code (IaC) with Terraform on AWS offers important benefits such as improved consistency, security, and agility. However, as your Terraform configuration grows in size and complexity, it becomes critical to follow best practices to avoid pitfalls. This guide provides recommended
フロントエンドから Amazon S3 にマルチパートアップロードしたい - カミナシ エンジニアブログ
はじめに Presigned URL(*) などで、Amazon S3 へのアップロード処理を実装していると、大きなサイズのファイルをアップロードしようとしたときに、以下のような課題に直面することがあります。 一回のPUT リクエストでアップロードできるサイズの上限が 5GB まで 単一の HTTP リクエストでアップロードするため、大きなサイズをアップロードしようとしたときに問題が起きる。例えば、アップロードの処理の途中で失敗したとき、最初からやり直しになる。 このようなときに活用したいのが、マルチパートアップロードです。マルチパートアップロードとは、その名の通り、アップロード対象のオブジェクトを小分けにしてアップロードする方法です。 AWS の SDK には、マルチパートアップロードが簡単に行えるような API が用意されているものの、多くは、S3 にアップロードを行うことができる I
はじめに チームトポロジーとは プラットフォーム開発組織に存在した課題 SRE何でも屋問題 中長期課題に取り組めない問題 チームトポロジーを元にした組織見直し SRE Deskを3つのDeskに分割 SRE DeskとPlatform Engineering Deskの違いを明文化 見直しの効果 見直しを通じての所感 最後に はじめに こんにちは。enechainでCTOを務めている@sutochin26です。 enechainでは、組織拡大に伴いSRE/Platform関連業務を行うチームの体制見直しを行ないました。 その際に、チームトポロジーの考え方を参考にする事で方針の言語化がしやすくなり、認識合わせの助けになりました。 SREとPlatform Engineeringをチームトポロジー視点で定義すること自体は新しくはないですが、本記事では実際に現場で生じていた課題と共にお話します。
Real World HTTP 第3版 ミニ版
TOPICS 発行年月日 2024年05月 PRINT LENGTH 207 ISBN 978-4-8144-0083-6 FORMAT PDF EPUB 本書は、2017年に発行し、2024年に第3版を発行した『Real World HTTP 第3版』のエッセンスを凝縮した、無料の電子書籍です。 HTTP/1.0、HTTP/1.1、HTTP/2と、HTTPが進化する道筋をたどりながら、ブラウザが内部で行っていること、サーバーとのやりとりの内容などについて、プロトコルの実例や実際の使用例などを交えながら紹介しています。 ミニ版のため、一部の内容を割愛しています。詳しくは本書の「まえがき」をご覧ください。 ミニ版の使用について ミニ版の図版やテキストは、著作権法で認められている引用の範囲に加えて、有志での勉強会、自社の社員向けの研修に用いるプレゼンテーション資料のために、全体の10~20%程
日本には大勢の移民がやってきているし,移民推進政策もやっているし,人々はおおむね移民受け入れに前向きだ先日,選挙資金集めの集会でジョー・バイデンが何の気なしに口にした言葉は,彼が大統領の任期中にこぼしたなかでも最悪の失言だったとぼくは考えてる.アメリカにとってとりわけ重要な同盟国であるインドと日本を「外国人嫌い」と言い放ち,さらに,ロシア・中国と同列に括ってしまった: 「まあ,アメリカ経済がいま成長しているのはなぜかと言えば,ひとつには,みなさんや他の人々のおかげですよ.なぜか? 我々は移民を歓迎しているからです.ちょっと考えていただくとですね,なぜ中国がいまあれほど経済的にひどく失速しているのでしょう? どうして日本が困難を抱えているのでしょう? ロシアがああなっている理由は? インドは? 外国人嫌いが理由です.彼らは,移民をもとめていないのです」とバイデンは語った.これは,ホワイトハウ
『情報セキュリティの敗北史』を読んだ - chroju.dev
https://www.hakuyo-sha.co.jp/science/security/ 面白かった。タイトル通り歴史をつづった本であり、純粋な技術書というよりは読み物としての性格が強い。具体的なセキュリティインシデントも当然登場するが、その技術背景が詳しく掘り下げられるわけではない。「SQLインジェクション」「カーネル」など、専門家にとっては基本的な用語にも注釈がついているので、むしろ専門外の方でも広く読めるようにした文芸書に近いのかもしれない。ちょっと違う気はするが、『失敗の本質』情報セキュリティ版、みたいな趣だろうか。 歴史の範囲はENIACの誕生から2020年前後までであり、およそ現代における電子計算機の発展の歴史を概観する形になる。複数ユーザが1つのコンピュータを共有するタイムシェアリングシステムの確立、数多のコンピュータがネットワークで接続されたインターネットの誕生、急速に
はじめに こんにちは。enechainのPlatform Engineering Deskで働いているsoma00333です。 enechainではproductのdeploy先としてGKEを採用しており、Platform Engineering DeskではKubernetes Clusterの運用業務を行っています。 enechainは「エネルギーの取引所を作る」というmissionを持っており、productも増えてきています。 Platform Engineering Deskも今後ますますsecurityに力を入れていく予定です。 前回は、Platform Engineering Deskのsecurityに関する取り組みの一例として、Pod Security Admissionを紹介しました。 ※ Pod Security Admissionの紹介 今回は、引き続きsecuri
Ubuntu Weekly Recipe 第814回1500円以下で買えるRaspberry Pi PicoサイズのRISC-VボードなMilk-V DuoでUbuntuを動かす Ubuntu 24.04 LTSではRISC-Vボードのひとつである「Milk-V Mars」をサポートしました。これは中国のRISC-V製品のベンダーであるMilk-Vが作っているRaspberry Piライクなシングルボードコンピューターです[1]。ただしこのMarsはなかなか入手できない状況が続いています。Milk-Vでは他にも64コア搭載されたPCライクなPioneer、10GbEのネットワークスイッチとして使えるVegaなどもリリースしています。今回はRaspberry Pi Picoサイズの小さなボードで、比較的安価で入手性が高いMilk-V Duoシリーズに、Ubuntuをインストールしてみましょう
Datadogのグラフをみていると、いつアプリケーションがデプロイされたのか気になることがあります。 「レスポンスタイムが急に悪くなってるけどデプロイ影響?」「エラーレートが跳ねるタイミングがあるけどデプロイ影響?」など。 そこでDatadogのグラフにデプロイタイミングを表示する方法を紹介します。 1, Event Overlays機能を使う docs.datadoghq.com 以下の画面のように、表示したいDatadog Eventのクエリを入力します。 するとEvent発生日時がグラフ上に縦線で表示されます。 シンプルな方法ですが、デプロイするタイミングでDatadogにEventを送信する必要があります。 デプロイフローに追加が必要なのでできればDatadog内で完結したいです。 2, Show Overlays機能を使う docs.datadoghq.com ※これを使うにはA
TL;DR 楽しかった! 本編 おはようございます。手札事故(twitter:@hand_accident)と申します。 Ruby知識ゼロから初参加したRubyKaigi 2024レポート、略してルゼロ*1という感じでやっていきたいと思います。 < Day 0 自己紹介でもしとくか。生まれ育った愛媛県松山市*2に帰って非IT企業でパソコン係をやっている過程で、すべてが個人開発の労働環境で趣味全ブッパ技術選定をした結果HaskellとNimを書くようになりました。すこしSvelteもします。 Rubyは名前を聞いたことがあるしちょっとニッチなPythonライブラリ探そうとしたら時々検索にgemが引っかかってそちらにはあるのねえという感想を抱くなどしていましたが何の因果か触ってみるには至らず、沖縄に来て初めてコードを見たまであります。 愛媛県松山市で趣味の音楽ゲーム(DDR)に高じていたところ
こじれない要件定義を行う方法(顧客は何に悩んでいるのか?をU理論で紐解き、Well-Architected Frameworkに落とし込む) - Qiita
こじれない要件定義を行う方法(顧客は何に悩んでいるのか?をU理論で紐解き、Well-Architected Frameworkに落とし込む)チーム開発マーケティング要件定義Well-ArchitectedFrameworkマーケティング戦略 顧客に寄りそった要件定義とWell-Architected Frameworkを考える(4/6) はじめに U理論(Theory U)は、組織変革とリーダーシップに関する理論で、MITのオットー・シャーマー(Otto Scharmer)によって提唱されました。この理論は、個人や組織が直面する深い変化のプロセスを理解し、未来の可能性を引き出すための枠組みを提供します。 今回は、ファシリテーション手法として有名なU理論を用いて、こじれない要件定義を行う方法について、模索した結果をまとめさせて頂きました。要件定義の参考になれば、幸いです。 目次 はじめに U
米国はBMWに禁止された中国企業からの部品搭載と指摘 中国は米政府の悪法と批判 - 黄大仙の blog
米上院は20日、ドイツのBMWは少なくとも8000台のミニクーパーを米国に輸入したが、その中の電子部品は輸入を禁止された中国サプライヤーからのものだったとする報告書を発表しました。BMWは該当製品の輸入を停止する措置を取り、中国当局はこれに対し、米国が強権的な法律で世界中の企業を中国弾圧に縛り付けようとしていると批判しました。 米国に拠点を置き、中国、台湾、香港、マカオの政治、経済、社会、生活、金融などのニュースを世界中の華人向けに発信するメディアの世界新聞網の記事より。 強制労働で作られたものは米国には輸出できません 米国議会は2021年、ウイグル人少数民族の強制労働によって生産されたと考えられる中国新疆ウイグル自治区からの商品の輸入を阻止するため、『ウイグル人強制労働防止法』を可決しました。中国はこの疑惑を否定しています。 報道によると、カリフォルニアに本社を置く自動車部品サプライヤー
初めてAWSを使うときのセキュリティ覚書〜利用者編〜 | コラム | クラウドソリューション|サービス|法人のお客さま|NTT東日本
しばらくDevelopersIOから出張してクラソルにも投稿します。 今回はこれからAWSを使う方や使い始めた方向けに、AWSセキュリティで絶対に覚えておく必要があることを解説します。 この記事を読んでいただければ、自信を持って安全にAWSを利用し始められます! 1.前置き〜AWSは安全?〜 みなさんはAWSやクラウドを利用する際のセキュリティに対してどんな印象をもっていますか? 「なんだかよくわからないけど不安だ」と感じている方、いい感覚です。初めて扱う技術を怖く感じることは正常な感覚です。しかし、過剰に怖がりすぎるのは違いますね。 逆に「AWSやクラウドは安全だからセキュリティを気にせず使って大丈夫だ」と感じた方は少し危険かもしれません。自らの正確な知識と正しい根拠がないまま勝手に安全だと信じることは正常な感覚ではありません。 いずれの場合も、AWSやクラウドについてこれから学習してい
Is Secure Cookie secure? - CookieのSecure属性・__Host-プレフィックス・HSTSを正しく理解しよう - Flatt Security Blog
こんにちは、 @okazu_dm です。 前回の記事 に引き続きCookie関連のセキュリティに関する記事となります。 今回は、Cookieの仕様を定めたRFC6265(https://datatracker.ietf.org/doc/html/rfc6265)自体に含まれるSecure属性の問題点と、その対策について紹介していきます。 CookieのSecure属性自体は前回紹介したSameSite属性と比較してわかりやすいのもあり、かなり知名度が高いと思われますが、Secure属性単体で守れる範囲というのは実は限定的である、という点を本記事では実験も交えて示していきます。 なお、本記事はセキュリティ以外の分野を主業務とするソフトウェアエンジニアを主な想定読者として書いています。 記事内の検証につかったブラウザのバージョン Cookieについて 中間者攻撃の仕組み 実際に中間者攻撃をして
アメリカで発行されている日刊紙「The New York Times」の内部ソースコードがGitHubリポジトリから盗まれ、匿名掲示板の4chanに流出したことがわかりました。The New York Timesは事実を認め、適切な対策を講じたと伝えています。 New York Times source code stolen using exposed GitHub token https://www.bleepingcomputer.com/news/security/new-york-times-source-code-stolen-using-exposed-github-token/ Today on 4chan someone leaked the source code (?) to the New York Times. They leaked 270GB of data
Amazon Cognitoで実装するパスキー (Security-JAWS【第33回】 勉強会)
Security-JAWS【第33回】 勉強会 https://s-jaws.doorkeeper.jp/events/173294Read less
オブジェクトストレージにおけるファイルアップロードセキュリティ - クラウド時代に"悪意のあるデータの書き込み"を再考する - Flatt Security Blog
はじめに セキュリティエンジニアの齋藤ことazaraです。今回は、オブジェクトストレージに対する書き込みに関連するセキュリティリスクの理解と対策についてお話しします。 本ブログは、2024年3月30日に開催された BSides Tokyo で登壇した際の発表について、まとめたものです。 また、ブログ資料化にあたりオブジェクトストレージを主題とした内容の再編と、登壇時に口頭で補足した内容の追記、必要に応じた補足を行なっています。 なぜ今、この問題を取り上げるのか? 近年のクラウドリフト、クラウドシフトにより、クラウドを活用する場面が多くなってきていると思います。その中で、多くの場面で利用されるオブジェクトストレージにおいて、データの書き込み時に気にすべきセキュリティリスクが存在するのをご存知でしょうか? 近年、オブジェクトストレージの不適切な利用に起因する情報漏洩が多く発生しています。そのよ
Why, after 8 years, I still like GraphQL sometimes in the right context
A recent post, Why, after 6 years, I’m over GraphQL, made the rounds in the tech circle. The author argues that they would not recommend GraphQL anymore due to concerns like security, performance, and maintainability. In this post, I want to go over some interesting points made, and some points I think don't hold up to scrutiny. Always be Persistin' Ok, first of all, let's start with something may
Orange Tsai tweeted a few hours ago about “One of [his] PHP vulnerabilities, which affects XAMPP by default”, and we were curious to say the least. XAMPP is a very popular way for administrators and developers to rapidly deploy Apache, PHP, and a bunch of other tools, and any bug that could give us RCE in its default installation sounds pretty tantalizing. Fortunately, for defenders, the bug has o
[ワシントン 13日 ロイター] - 米国のサリバン大統領補佐官(国家安全保障担当)は13日、イスラエルとイスラム組織ハマスとの戦闘によるパレスチナ人の犠牲について、米政権はジェノサイド(大量虐殺)と見なしていないと述べた。 サリバン氏はホワイトハウスで記者団に対し、米国はハマスの敗北を望んでいるとしながらも、パレスチナ自治区ガザ最南部ラファでイスラエルが大規模な軍事作戦を行うことは誤りだと述べた。同時に「われわれはガザで起きていることを大量虐殺と見なしていない。そのような主張を断固として否定してきた」と語った。 その上で、ハマスが人質を解放すれば戦闘休止が実現する可能性があると述べ、バイデン大統領が11日に示した考えを改めて表明。世界はハマスに合意を受け入れるよう呼びかけなければならないと述べた。米国は戦闘休止と人質解放の実現に向け取り組んでいるとしながらも、合意は成立するのか予測できな
Revealed: Israeli spy chief ‘threatened’ ICC prosecutor over war crimes inquiry
The former head of the Mossad, Israel’s foreign intelligence agency, allegedly threatened a chief prosecutor of the international criminal court in a series of secret meetings in which he tried to pressure her into abandoning a war crimes investigation, the Guardian can reveal. Yossi Cohen’s covert contacts with the ICC’s then prosecutor, Fatou Bensouda, took place in the years leading up to her d
Appleの落とし物トラッカーである「AirTag」が登場して以来、同デバイスを使ったストーカー行為がたびたび報告されています。これを受け、AppleとGoogleが「迷惑位置情報トラッカーの検出」という標準規格を発表しました。これにより、未知のBluetoothデバイスがユーザーを追跡していることが検出された場合、ユーザーに警告することが可能となります。 Apple and Google deliver support for unwanted tracking alerts in iOS and Android - Apple https://www.apple.com/newsroom/2024/05/apple-and-google-deliver-support-for-unwanted-tracking-alerts-in-ios-and-android/ Google Onl
「YAMLパース占い」in RubyKaigi 2024 で伝えたかったこと - Flatt Security Blog
今年もRubyKaigiに協賛させていただきました! Flatt Security 執行役員CCO / プロフェッショナルサービス事業部長の @toyojuni です。先日沖縄県那覇市で開催されたRubyKaigi 2024の振り返りと皆様への感謝の気持ちを込めて本記事を執筆します。 昨年に引き続いて、Flatt SecurityはRubyKaigiにPlatinum Sponsorとして協賛し、ブースを出展させていただきました。ありがたいことに、3日間でのブース訪問の延べ人数は500人を超え、様々なRubyistの方との接点を持てたと感じています。 そんな今回のブース出展の軸と言える企画が「YAMLパース占い」でした。 Flat Securityは明日から始まる #RubyKaigi 2024に協賛させていただきます!ブースでは新企画「YAMLパース占い」を実施します🔮 与えられたYA
こんにちは、後藤です。 みなさま、Terraformは使っていますでしょうか。私はようやく慣れてきたところです。 今回はTerraformの中でもterraform planコマンドについて話します。 はじめに Terraformを使ってリソースを構築する際の一般的な流れは、terraform planで実際に設定されるリソースを事前確認し、terraform applyで実際に適用する、になるかと思います。この時、terraform plan > plan.txtのように証跡用や、表示結果を見やすくするためにファイル出力をすることがあると思います。しかし、このコマンドで出力されたファイルは決して見やすいものではありません。例えば、セキュリティグループとそのルールを定義したtfファイルで実行した結果は以下のようになります。 plan.txt Terraform used the selec
Elasticsearch piped query language, ES|QL, now generally available — Elastic Search Labs
Elasticsearch piped query language, ES|QL, now generally available Today, we are pleased to announce the general availability of ES|QL (Elasticsearch Query Language), a dynamic language designed from the ground up to transform, enrich, and simplify data investigations. Powered by a new query engine, ES|QL delivers advanced search using simple and familiar query syntax with concurrent processing, e
Every so often I read an essay that I end up thinking about, and citing in conversation, over and over again. Here’s my index of all the ones of those I can remember! I’ll try to keep it up to date as I think of more. There's a lot in here! If you'd like, I can email you one essay per week, so you have more time to digest each one: Nelson Elhage, Computers can be understood. The attitude embodied
Internet Engineering Task Force (IETF) K. Davis Request for Comments: 9562 Cisco Systems Obsoletes: 4122 B. Peabody Category: Standards Track Uncloud ISSN: 2070-1721 P. Leach University of Washington May 2024 Universally Unique IDentifiers (UUIDs) Abstract This specification defines UUIDs (Universally Unique IDentifiers) -- also known as GUIDs (Globally Unique IDentifiers) -- and a Uniform Resou
2021年に開催された東京オリンピック・パラリンピックでは、大会に向け様々なサイバーセキュリティ対策が行われた事をご存知の方も多いかと思います。 そのような中、弊社は、内閣サイバーセキュリティセンター(NISC)が実施した大会会場の制御システムに対するペネトレーションテスト1にテスト実施事業者として参加しました。本件はNISCのサイバー関連事業者グループのページにて、「主な施策 1.リスクマネジメントの促進 大規模国際イベントにおけるサイバーセキュリティ対策 競技会場に対するペネトレーションテスト結果の事例の情報共有 〜東京オリンピック・パラリンピック競技大会の取組から得られた知見の活用〜」として紹介されています。ペネトレーションテストでは、初期侵入から被害発生までの一連の攻撃シナリオを仮定し、運用中のシステムに対し様々な攻撃手法を用いて実際に被害が起こり得るかを検証しました。 ペネトレー
「Black Hatに採択される」という大きな目標を達成したセキュリティ研究者が次に目指したのは現場への貢献 - Findy Engineer Lab
はじめまして、中島明日香(@AsuNa_jp)です! 私は14歳の頃にハッカーに憧れてセキュリティの世界に飛び込んで以来、セキュリティひと筋なキャリアを歩んできました。大学でセキュリティを学び、卒業後も研究開発者として10年以上さまざまなセキュリティの研究開発に携わってきました。 本記事では、私自身のキャリアの歩みについて紹介します。今までどのような仕事に携わってきたかだけでなく、大学卒業時の就職や一昨年に経験した転職など、キャリアの節目においてどのように考え、選択してきたのかについても触れています。 私のこれまでの歩みが、皆様が自分らしいキャリアを歩む参考になればたいへん嬉(うれ)しく思います。 ▲ Black Hat Asia 2023のロックノート(閉会時基調講演)となるパネルセッションに登壇する筆者(左から2人目) ハッカーに憧れてセキュリティの世界に飛び込む 「世界を広く良くした
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
総務省 | 安全なパスワードの設定・管理 | 国民のためのサイバーセキュリティサイト
【2024年度】エンジニア向け研修資料まとめ - Qiita
SPAのアプリケーションで、外部のIdPを使ってOpenID Connect によるログイン機能を開発しようと考えています。IDトークンの保存先として、ブラウザのCookieかサーバーのDBに保存するかの2つの案があると思っています。調べた限り、サーバーサイドで持つべきという意見が多いように見えますが、以下のような背景がある中で開発しても、ブラウザのCookieでは持つべきなのではないのでしょうか? - IDトークン自体にも、個人の属性(氏名等)情報は無いことを確認している - サーバーサイドでIDトーク
マスク氏、アップル製品を禁止へ-オープンAIをOSに組み入れなら
名古屋港が約3日でランサムウェア被害から復旧できた理由 国土交通省が語る教訓
Why, after 6 years, I’m over GraphQL
Your API Shouldn't Redirect HTTP to HTTPS
チームトポロジーの観点で見直すプラットフォーム開発組織 - enechain Tech Blog
ノア・スミス「日本は外国人嫌いの国じゃないよ」(2024年5月7日)|経済学101
NetworkPolicyでtrafficを制御しよう - enechain Tech Blog
第814回 1500円以下で買えるRaspberry Pi PicoサイズのRISC-VボードなMilk-V DuoでUbuntuを動かす | gihyo.jp
Datadogのグラフにデプロイタイミングを表示する方法 - 世界中の羊をかき集めて
Ruby知識ゼロから初参加したRubyKaigi 2024レポート - 共沸
The New York Timesの内部ソースコード合計約270GB・ファイル360万個が流出
No Way, PHP Strikes Again! (CVE-2024-4577)
米、ガザ「大量虐殺」と見なさず ラファ侵攻は誤り=サリバン補佐官
AppleとGoogleが未知のBluetoothデバイスがユーザーを追跡していることを警告する標準規格を発表
terraform planコマンドを見やすく効率的にする2つのオプション - NRIネットコムBlog
Essays on programming I think about a lot
RFC 9562: Universally Unique IDentifiers (UUIDs)
東京五輪会場の制御システムに対するペネトレーションテストから得られた知見を公開します