hamayanhamayanがインターネットを巡回して得た情報まとめ。 "Japan"と言うには主語が大きすぎる。
Hottest
- オーディオプラグインの動的ポートに関する覚書 - ものがたり
競技プログラミング
- 2020 TCO ALGORITHM ROUND 1B
- 2020 TCO ALGORITHM ROUND 1B 解説 - はまやんはまやんはまやん
- 無茶苦茶時間をかけてしまった
- 問題内容的には面白かった
セキュリティ / CTF
- 「Microsoft Teams」にGIF画像を見るだけで機密情報を抜き取られる脆弱性 - 窓の杜
- teams.microsoft.comまたはteams.microsoft.com以下のサブドメインを不正に取得できれば、そこにアクセスさせることで、不正にクッキーを送信させることができ、そのクッキーで色々不正なことをされちゃうという流れ
- フィッシングメールとかでそのサブドメインのURLを踏ませるということもできるが、GIF画像を見るだけでも、アクセスさせることができるみたい
- CyberArkの記事では、Evil Gifとしてドナルドがミッキーを駆逐する動画が紹介されている(まあ、内容は関係ないのだが)
- PoCを見ると、不正なリクエストとして不正なURL(悪意のあるサブドメインのやつ)をimgタグのsrcに入れて送ると、正式な投稿と認識されて、相手に送ってしまう
- 送られた側は画像を自動で取ってくるので、見た目上は画像が送られてきただけなのだが、実際は不正なURLを踏まされている
- 題名を見た感じ悪意のある動画GIFをネットから取って、貼ったら発動するのかと思ったけど、そういうわけじゃないみたい。なので、送られてきたGIFをダウンロードして誰かに送り返してもそれは問題なさそう
- ほぼすべてのウイルス対策ソフトにOSを破壊可能な脆弱性 ~現在は多くのソフトで修正済み - PC Watch
- 自身を悪意のあるプログラムに見せかけて削除させるが、検知から削除までの間に自分を任意の削除したいものに置き換えることでウイルス対策ソフトに正規のファイルを削除させるテク
- ついこの前かな?競合状態がセキュリティ問題になるCTFの問題を解いたな
☕ 技術 / 雑多
- DMM.com 2020新卒技術研修が始まりました - DMM inside
- プログラミング言語学習で、サーバとフロントと一通りやるのすごい
- 開発でテストの日程があるの大事。品質がプロには求められる
- Comment Screenいいな。リモート会議していると主催者の孤独感があったりするし
- Comment Screenで検索して出てきた、WebAssemblyMiningよさそう
- nekoruri/readcgi: 2001年の2ch閉鎖騒動の際のread.cgi CVSレポジトリをGit化したものです。脆弱性等も当時のままですので歴史的資料としてお使いください。
- すぐにAPIを体験!public-apis 100以上のJavaScript axiosサンプル集
- ネタ探しにAPI漁りしたことあるけど、よくわからんのとかたくさんあるんだよね
- これの組合せだけでも小ネタサービス作れる
- SPAのログイン認証のベストプラクティスがわからなかったのでわりと網羅的に研究してみた〜JWT or Session どっち?〜 - Qiita
- クッキーのSameSite属性って初めて見た。これはいいし、これないと抜かれ放題だな
- あれか、ちょっと前に話題になってた3rd party cookieか
- それ PowerShell でできるよ - Qiita
- REST APIを簡単にMockできるツールSmopeckの紹介 - Qiita
- 以前blueprintを使ってAPI仕様書を書いて、モックを立てたが簡単だった
- 簡単だったんだけど、モックでレスポンスを一定にしかできなくて、500エラーとかを返したりができるとなお嬉しい
- 今はSwaggerが勢力最大かなと思うけれど、使ったことないので何ともいえない
- 2020年、最も便利な機械学習ツール | AI専門ニュースメディア AINOW
- Streamlitは初めて見た
- 確かにJupiter notebookはどこまで実行されたからよくわからんし、規模がでかくなるにつれて、デバッグが…になるね
音楽 / エンタメ / デザイン
- エイプリルフールに便乗しているサイトまとめ2020年版 - GIGAZINE
- ものすごい量が紹介されている