ラクス Advent Calendar 2016の9日目です。 昨日は@nyakomeさんの「Selenideでテストコードを書いてみた」でした。 何を書こうか迷ったのですが、WAF(Web Application Firewall)について書いてみようと思います。個人的に興味がありつつも漠然とした知識しかなかったので、この機会に調べてみました。 WAFにも色々あるようですが、オープンソースのModSecurityというWAFがあるので、今回はこれを選択しました。 #WAFの概要 WAF(わふ)は「Web Application Firewall」の略で、その名の通り、Webアプリケーションを悪意のある通信から守ることを目的としています。 万が一、Webアプリケーションに脆弱性があった場合に、SQLインジェクションやクロスサイトスクリプティングなどの攻撃から守ってくれたりします。もちろん絶
昨日、上野宣(@sen_u)さんがパスワードの総当りに要する時間の表をツイートされ、話題になっています。 総当たり攻撃時のパスワード最大解読時間の表を日本語化した。https://t.co/cVSNUZkAKv pic.twitter.com/rtS8ixwOqi — Sen UENO (@sen_u) August 17, 2021 1万件を超えるリツイートがありますね。大変よく読まれているようです。しかし、この表は何を計測したものでしょうか。上野さんにうかがってもわからないようでした。 何ですかね?パスワード空間が大きくなると解読に時間が掛かるということくらいがわかりますかね。 — Sen UENO (@sen_u) August 17, 2021 一般に、パスワードの総当たり攻撃(ブルートフォースアタック)というと、以下の二通りが考えられます。 ウェブサイト等でパスワードを順番に試す
この記事は Nikkei Advent Calendar 2020 20 日目の記事です。 日経電子版 Web チームの阿部です。今回は HTTP/2 の目玉機能の 1 つであった Server Push の事実上の終焉と、現在 Chrome チームや Fastly 社が実験中の 103 Early Hints について、日経電子版 Web での取り組みを紹介させていただきます。 HTTP/2 Server Push HTTP/2 Server Pushは HTTP/2 で策定された、一言で言ってしまうと「必要なリソースがリクエストされる前にサーバーからクライアントに送ってしまおう」という技術です。 これによりクライアントがリクエストするリソースを先回りしてサーバーが送ることで、必要なリソースが揃うまでにかかる時間を短縮できるため、パフォーマンスの向上が期待されていました。 Server
TOP 法律 【2023年6月16日施行】新たなCookie規制、改正電気通信事業法(外部送信規律)についてわかりやすく解説! 2022年6月に改正電気通信事業法が公布されました。2023年6月16日に施行され、対応を進めている企業様も多いでしょう。 この記事では、改正電気通信事業法の中でも、特に影響範囲の大きい「外部送信規律」について解説します。この外部送信規律は、Cookie規制とも呼ばれ、その影響範囲の大きさは、単に一般的なWebサイトを公開しているというだけで、本規律の対象となりえるほどです。 この記事では、一部図解の引用を交えながら、外部送信規律についてわかりやすく解説していきます。 1.電気通信事業法とは 電気通信事業法とは、電気通信の健全な発達及び国民の利便の確保を目的に、電気通信に関する事業を、その運営を適正かつ合理的なものとするとともに、その公正な競争を促進することにより
Livewire v3 has been released! Go check it out on livewire.laravel.com! Building modern web apps is hard. Tools like Vue and React are extremely powerful, but the complexity they add to a full-stack developer's workflow is insane. It doesn’t have to be this way... Ok, I'm listening... Say hello to Livewire. Hi Livewire! Livewire is a full-stack framework for Laravel that makes building dynamic int
セキュリティ脆弱性診断などでたまに CSRF について指摘されることがあります。 今まではトークン発行して対応すれば良いんでしょ? と思ってましたが、SPA のように非同期通信が前提の場合はどう対処するべきなんだろう、と疑問が出たりしたので、調べてみた結果をまとめてみました。 CSRFとは Cross Site Request Forgeries(クロスサイトリクエストフォージェリ)の略で、 サービス利用者の正規権限を利用して、意図しないタイミングでサービスの機能を実行させる攻撃手法のことを指します。 2005年に mixi 日記で発生した「ぼくはまちちゃん」で一躍有名になりました。 大量の「はまちちゃん」を生み出したCSRFの脆弱性とは? - ITmedia エンタープライズ CSRF が発生する原因 サービスの機能を実行するプログラムへのリクエストの検証が権限情報のみであった場合に発生
まだ検証足りないけど、マジで想像通りのブツなら魂震えるかもしれん…。 Announcing D1: our first SQL database Cloudflare D1 = Edge SQLite Cloudflare D1 は Cloudflare Worker で、つまり CDN Network 上で sqlite が動きます。これだけなら普通の sqlite ホスティングなんですが、もちろん Cloudflare が出すからにはそれだけではなく、CDN Edge 上に Read Replica がバラ撒かれた sqlite になります。ヤバくないですか? 僕はヤバいと思いました。 このヤバさを知るために、Cloudflare が開発した基盤についていくつか抑えておく必要があります。 Durable Objects は CDN 上の Actor モデルを構築できます。この Acto
This feature is well established and works across many devices and browser versions. It’s been available across browsers since March 2017. Learn moreSee full compatibilityReport feedback フェッチ API は(ネットワーク越しの通信を含む)リソース取得のためのインターフェイスを提供しています。 XMLHttpRequest と似たものではありますが、より強力で柔軟な操作が可能です。 フェッチでは、 Request および Response オブジェクト(およびネットワークリクエストに関わるその他のもの)の汎用的な定義が提供されています。これにより、サービスワーカー、キャッシュ API、リクエストやレスポンス
AWS Amplify と Vue.js を使って、基本的な認証と CRUD 操作ができる Web アプリケーションを作る- builders.flash☆ - 変化を求めるデベロッパーを応援するウェブマガジン | AWS
こんにちは、JAWS-UG 浜松支部の松井です。 普段からモノリシックな環境やそれに準じる環境での Web アプリケーションの開発、保守に取り組んでいますが、継続的にサービスを運用していく上では様々な悩みが尽きません。 OS のバージョンアップ、セキュリティパッチはどうするか ? 言語やミドルウェアのバージョンはどうするか ? ステージング、本番等の環境のデプロイはどうするか ? コスト最適化はどうするか ? etc・・・ そこで、サーバーレスアーキテクチャを採用することにより、こう言ったホストマシンやネットワークの管理に起因する悩みを軽減することができます。 とはいえ、いきなりサーバーレスに着手するとしても、 本当にちゃんと動くのか ? 設計、構築が難しいのではないか ? コストはどのくらいかかるのか ? まずどこから手をつければ良いのか ? と言った疑問があると思います。 今回はそう言
AWS 初学者向けの勉強方法 6 ステップ!2022 年版! | Amazon Web Services
Amazon Web Services ブログ AWS 初学者向けの勉強方法 6 ステップ!2022 年版! 2024 年 4 月追記:本記事の内容は 2024 年 4 月に公開された AWS 初学者向けの勉強方法 6 ステップ!2024 年版! という記事にてアップデートされています。リンクの最新化と勉強方法の追記を行っておりますので、アップデートされた記事をご確認ください。 こんにちは、AWS テクニカルトレーニング マネージャー の西村航です。 皆さん、もしくは皆さんの周りでこんな方はいませんか。「AWS を勉強したいんだけど何から勉強すればよいだろう。どこかに勉強方法がまとまってないかな?」という悩みを抱えている方、または「同僚や部下に AWS の勉強を促しているけど、ちょうど良い教材とか無いかな?」という悩みを抱えている方。本記事はそういった AWS を勉強する際の悩みを抱えた
FastAPI¶ FastAPI framework, high performance, easy to learn, fast to code, ready for production Documentation: https://fastapi.tiangolo.com Source Code: https://github.com/fastapi/fastapi FastAPI is a modern, fast (high-performance), web framework for building APIs with Python based on standard Python type hints. The key features are: Fast: Very high performance, on par with NodeJS and Go (thanks
こんにちはかみむらです。Qiitaを眺めていた時にJAMstackアーキテクチャーというワードを見つけました。最近はReactやvueなどのSPAフロントエンドばかり開発していたのに、JAMStackというアーキテクチャを明確には知りませんでした。 なので今回はJAMstackがweb開発にとって、どういったアーキテクチャーなのか調べてみました。 こちらがJAMstackの公式サイトです。 jamstack.org JAMStackとは? JAMstackはJavaScript、API、Markupの略です。これは総称してJAMstackと呼びます。この用語はMathias Biilmannによって、クライアント側のJavaScript、再利用可能なAPI、および事前構築されたMarkupに基づいた最新のWeb開発アーキテクチャを実現するために作成されました。Mathias Biilman
■ Phoenix Channelをテーマにした過去記事 Phoenix Channelとelm-phoenixについて -Qiita Phoenix Channelで作る最先端Webアプリ - Reactチャット編 - Qiita Phoenix Channelで作る最先端Webアプリ - topic-subtopic編 - Qiita 東京電力電力供給状況監視 - Phoenix Channel - Qiita phoenixはelixirのキラーアプリケーションで、channelはphoenixのキラー機能であると言われています。そこで今回はchannelを試してみることにしました。channelはwebsocketのラッピングで、Webアプリの新しい通信の枠組みを提供するものと言えます。効率の悪いコネクションレスのhttpの代わり、という位置づけです。ここでは、技術的な理論ではなく
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
