PR TIMESのCDNをCloudFrontからFastlyに移行しました こんにちは、インフラチームテックリードの櫻井です。 今回はプレスリリース配信サービスの prtimes.jp で使用しているCDNをCloudFrontからFastlyに移行したことについ... なお該当のAPI以外へのリクエストは正常に処理できていたため、PR TIMESへのリクエストが一律でブロックされている状況ではなかったと考えられます。 根本原因の仮説と検証 ここまでの調査でわかったことは以下です。 該当のお客様から行われたメディアリスト保存APIへのAJAXリクエストは、501エラーとしてNew Relicに記録されている。 該当のお客様から行われたメディアリスト保存APIへのAJAXリクエストは、PR TIMESシステムに到達していない。 該当のお客様から行われた他のAPIへのリクエストは、正常にレス
Google 検索に対してサイト名を指定する Google で検索結果にページの一覧が表示されるとき、そのページの取得元サイトの名前が表示されます。これをサイト名と呼びます。サイト名はページごとのタイトルリンクとは異なります(タイトルリンクは各ウェブページに固有ですが、サイト名はサイト全体で一つです)。 焼いたトースト フライパンでトーストを焼く方法 機能の提供状況 モバイルとデスクトップの両方において、Google 検索が可能なすべての言語でサイト名が表示されるようになっています。対象は、ドメインレベルおよびサブドメイン レベルのサイトです(詳しくは、技術に関するガイドラインをご覧ください)。 Google 検索でのサイト名の生成方法 Google 検索の検索結果ページに表示されるサイト名は、サイトのホームページのコンテンツとウェブ上の参照元ページを考慮して、自動的に生成されます。Goo
エンジニアの教育と技術者倫理について考える 少し前のことになるが、今年の 4 月に「エンジニア基礎」という資料が公開された。概要欄の説明とそこからリンクされているブログ記事によると、ウィルゲート社のエンジニア新卒研修の資料を加筆修正したものとのことだった。 エンジニア基礎 ウィルゲート 2024 年度エンジニア新卒研修 SNS の X (旧 Twitter) でも話題になっていたので知っている方も多いのではないだろうか。 内容としては新人のエンジニアに向けて、スタンスやマインドを習得できることを目的として作られたと書かれている通り、新人の気持ちに寄り添うようなスタイルで、一般的なことと具体的な例を織り交ぜながら分かりやすくまとめられている。評判が良いのもうなづける。 その一方で、「エンジニア基礎」というタイトルにしては、後半の一部を除くとエンジニアに限らない、新卒の方なら誰にでも当て
STORES エンジニアの morihirok です。 先日サポーターズさん主催の勉強会「技育CAMPアカデミア」にて、学生の皆様に向けてSTORES社が講義をさせていただきました。 テーマは「『なぜ今 Rails を学ぶべきなのか』Ruby on Rails から学ぶ Web アプリケーション開発実践」ということで Ruby と Ruby on Rails についていろいろな切り口からお話をさせていただきまして、私も「Ruby on Rails の楽しみ方」と題して Ruby on Rails がWebアプリケーション開発の歴史においてどのような意味を持ち、どのように学び、楽しむとよいかという話をさせていただきました。 speakerdeck.com この話をするにあたり2000年代のWebアプリケーション開発について言及したかったのですが、自分自身当時まだWebアプリケーションエンジニ
関西Ruby会議08実行委員長の 高田 雄大 (@ydah) です。 X(旧Twitter)やWebサイトにて告知の通り、関西Ruby会議08を2025年の6月28日(土)に開催することとなりました。 これに合わせて、関西Ruby会議の情報発信を行うために、公式のnoteを開設しました。 今後は、こちらのnoteも活用しつつ、関西Ruby会議の情報をお伝えしていければと思います。 初回は、関西Ruby会議08のテーマとこのイベントに込める思いについてお話しします。 なぜ関西Ruby会議を再開させたのか関西Ruby会議は、これまで7回開催されており、関西初の地域Ruby会議として、2008年に第1回が開催されました。そのため、非常に長い歴史を持っています。 2017年に開催された関西Ruby会議2017を最後に、「大阪Ruby会議」と名称を変更し、その後は開催されていませんでした。その理由と
年頭のご挨拶:2025年のPublickeyも、読者が安心して記事を読めるように適切な広告だけを掲載します 新年明けましておめでとうございます。本年もPublickeyをどうぞよろしくおねがいいたします。 さて、昨年(2024年)6月にPublickeyの広告掲載方針として「読者が安心して記事を読めるように、Publickeyでは適切な広告だけを掲載しています」という記事を公開したところ、大変多くの賛同や支持をいただきました。 おかげでメディアとしてこのような広告運営に関する方針を明らかにすることが大事であることを認識できました。 2025年の最初の記事として、Publickeyは今年もこの広告掲載の方針を変えることなく、不快な画像の広告や誤クリックを誘うような邪魔な広告、さらには詐欺サイトへ誘導するような広告などが掲載されないように運営していくことをご報告させていただきます。 具体的には
これまでC向けサービスを作り続けて15年が経過しました。 このnoteは「課題を解決し、事業としてスケールするプロダクトを創る」ために自分が考えてきたことを改めて体系立てて、言語化したいなと思い書き残しています。 同時に以下のように機能することを目指しました。 自身のプロダクト開発の知識を集約させる プロダクトに関わる人にとって教科書的に振り返ることができる スマートバンク社のプロダクトの再現性が伝わる 学びに終わりはないので、このエントリー自体も更新し続けるようにしたいと思います。 1.サービスを作る前の心構え俺が考えた最強のサービスを作らないスタートアップで何よりも回避すべきは、長い労力を掛けて作ったプロダクトを「誰も欲しがらない」こと 作り手の思い込みの「仮説」は現実の誰かの問題を解決するとは限らない 頭の中にある架空のユーザーに対してプロダクトを作った結果、実際に市場では「使われな
Intro CSRF という古の攻撃がある。この攻撃を「古(いにしえ)」のものにすることができたプラットフォームの進化の背景を、「Cookie が SameSite Lax by Default になったからだ」という解説を見ることがある。 確かに、現実的にそれによって攻撃の成立は難しくなり、救われているサービスもある。しかし、それはプラットフォームが用意した対策の本質から言うと、解釈が少しずれていると言えるだろう。 今回は、「CSRF がどうして成立していたのか」を振り返ることで、本当にプラットフォームに足りていなかったものと、それを補っていった経緯、本当にすべき対策は何であるかを解説していく。 結果として見えてくるのは、今サービスを実装する上での「ベース」(not ベスト)となるプラクティスだと筆者は考えている。 CSRF 成立の条件 例えば、攻撃者が用意した attack.examp
https://anond.hatelabo.jp/20241019210503 俺は普通に地元が荒れまくっていて、何人か友達も死んでるし、俺自身も犯罪に巻き込まれたことがある被害者だ。 こういうのを見る度に思うのだけれど、「頭が悪いから犯罪する」だとか、「能力が不足しているから犯罪をする」という思考に流されすぎ。 いいか、今話題の強盗団は「何も悪くないのに強盗になってしまう」ことが一番の問題なんだ。 倫理意識が高かろうが、頭が良かろうが強盗になる。それがこれからの世の中。 お前が言っているのは「詐欺は騙される方が悪い」とかそういうレベルの極論。何も悪くなくても詐欺の被害者にはなる。 普通の人達が社会人をやってる時間を「どうやったら犯罪で一儲けするか」に振っている人間達がいるという思考をしろ。これは単純な労働力投下量の問題であって倫理の問題ではない。 まずこの文章を読んで、お前も、俺も、い
Rubyist Hotlinksにインスパイアされて始まったイベント『Rubyistめぐり』。第1回は高橋征義さんをゲストに迎えて、お話を聞きました。 パーソナルコンピュータとの出会い 藤村:こんばんは、藤村と申します。STORES のCTOをやっています。Rubyist Hotlinksをプログラミングを始めた頃にめっちゃ読んでて。 高橋:あれいいですよね。 藤村:いい。プログラマがどういう人たちなのか、なんとなくわかるみたいな、めっちゃ好きなコンテンツだったんですよ。で、ある日、これをもっとやった方がいいと思ったので、弊社でもやってみようとなったのがこのRubyistめぐりですね。ということで第一回は高橋会長に来ていただきました。なぜかというと、この STORES を手伝ってくださっているからというところでございます。 高橋:その話はあんまり外でしてないので、あらかじめお話しておきます
DHH氏がRails 8の新機能を解説。Redisなど不要になり、SQLite対応でよりシンプルな構成に。Rails World 2024 9月26日と27日の2日間、カナダのトロントで開催されたRails World 2024の基調講演で、Ruby on Rails(以下Rails)の作者であるDHH(David Heinemeier Hansson)氏が「Rails 8」の主な新機能を紹介しました。 The #RailsWorld 2024 Opening Keynote with @dhh is now online. Rails 8 beta shipped with Authentication, Propshaft, Solid Cache, Solid Queue, Solid Cable, Kamal 2.0, and Thruster. #NoPaaS needed in
個人的に「Webサービスの公開前チェックリスト」を作っていたのですが、けっこう育ってきたので公開します。このリストは、過去に自分がミスしたときや、情報収集する中で「明日は我が身…」と思ったときなどに個人的にメモしてきたものをまとめた内容になります。 セキュリティ 認証に関わるCookieの属性 HttpOnly属性が設定されていること XSSの緩和策(あくまでも緩和) SameSite属性がLaxもしくはStrictになっていること 主にCSRF対策のため。Laxの場合、GETリクエストで更新処理を行っているエンドポイントがないか合わせて確認 Secure属性が設定されていること HTTPS通信でのみCookieが送られるように Domain属性が適切に設定されていること サブドメインにもCookieが送られる設定の場合、他のサブドメインのサイトに脆弱性があるとそこからインシデントに繋がる
2024年7月1日、OpenSSHの開発チームは深刻な脆弱性 CVE-2024-6387 が確認されたとしてセキュリティ情報を発出し、脆弱性を修正したバージョンを公開しました。この脆弱性を発見したQualysによれば、既定設定で構成されたsshdが影響を受けるとされ、影響を受けるとみられるインターネット接続可能なホストが多数稼動している状況にあると報告しています。ここでは関連する情報をまとめます。 概要 深刻な脆弱性が確認されたのはOpenSSHサーバー(sshd)コンポーネント。脆弱性を悪用された場合、特権でリモートから認証なしの任意コード実行をされる恐れがある。 悪用にかかる報告などは公表時点でされていないが、glibcベースのLinuxにおいて攻撃が成功することが既に実証がされている。発見者のQualysはこの脆弱性の実証コードを公開しない方針としているが、インターネット上ではPoC
Web開発・オンボーディング・採用の実例に学ぶ、リモートワークのコミュニケーションと文書術 リモートワークへの注目が高まっていますが、いざ運用すると対面とは異なるコミュニケーションに四苦八苦しているのではないでしょうか。本記事ではリモートワークを長年実践しているYassLab株式会社の安川要平(@yasulab)さんに、具体例を交えながら解説していただきます。 はじめまして! 2012年に創業し、創業当初からリモートワークで働いているYassLab株式会社の安川(@yasulab)です。弊社では、RailsガイドやRailsチュートリアルといった大型コンテンツを日々更新し、36時間以上ある解説動画や1,400ページ超えの電子書籍などを個人・法人向けに提供しています。 本記事では、8年ほど実践してきたリモートワークの中で、読者の皆さんに役立つ(かもしれない)実例をいくつかご紹介します。日々の
はじめに こんにちは、Takeです。都内でエンジニアとして活動しています。 この記事では、render と redirect_to の違いを調査し、体系的に整理しました。また、これらのメソッドが頻繁に使用されるFlashメッセージにおける Flash と Flash.now の違いについても言及していますので、ぜひご一読いただければ幸いです。 render とは何か? 機能 renderメソッドは現在のリクエストのコンテキスト内でビューテンプレートを直接呼び出す。これにより、新しいHTTPリクエストを発生させずに、サーバーは指定されたビューをクライアントに直接返す。このメソッドは主にフォームのバリデーションエラーが発生した時など、同一ページを再表示する場面で利用される。 図解 サンプルコード def create @user = User.new(user_params) if @user
脆弱性検査をしていてしばしば出くわすのは、他人のCookieの値を操作できるとXSSやセッション固定等の攻撃が成功するようなWebアプリケーションです。 このようなアプリがあると、業界的には「Cookie Monsterという問題がありまして、、、でも、、、基本的に現状のブラウザではリスクは低いです」みたいな話がされることが多いのではないかと思います。 本日の日記では、それ(Cookie Monster)以外にも状況によっては考慮すべきことがある、という話をしたいと思います(過去の日記でも少し書いた話ですが、もう少しちゃんと書いておこうと思います)。 通信経路上に攻撃者がいる 被害者のブラウザとサーバの通信経路上に、アクティブな攻撃者がいると想定しましょう。 そのような状況では、攻撃者は正規のサーバになりかわってブラウザと通信をしたり、ブラウザと正規のサーバで交わされる通信に介入することが
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く