hamayanhamayanがインターネットを巡回して得た情報まとめ。 "Japan"と言うには主語が大きすぎる。

Hottest

• オーディオプラグインの動的ポートに関する覚書 - ものがたり
  • 正直半分も深く理解できなかったが、だが、開発全般のエッセンスとして学ぶことが沢山あった
  • プラグインとプロセス分離モデル
    • ブラウザもプロセス分離モデルを採用しているが、外部のものを使う前提であればプロセスを分けておくのは安全な手段となる
  • ポートは外部とのインターフェイスとして定義されているのだろうが、その情報がマニフェストに書かれている
    • でも、それが動的になるということで、マニフェストも動的に変わるようだ
    • マニフェストにはポートの型情報も入っているみたい？
    • 友達んちでSonerがよく落ちるのを見ていたが、これが原因だろうか（単にメモリ不足とかかもしれんけど）
  • しかもオーディオプラグインってGUIもあるから大変
  • GUIの方はどういう感じでやってるんだろう。大変そう

競技プログラミング

• 2020 TCO ALGORITHM ROUND 1B
  • 2020 TCO ALGORITHM ROUND 1B 解説 - はまやんはまやんはまやん
  • 無茶苦茶時間をかけてしまった
  • 問題内容的には面白かった

セキュリティ / CTF

• 「Microsoft Teams」にGIF画像を見るだけで機密情報を抜き取られる脆弱性 - 窓の杜
  • teams.microsoft.comまたはteams.microsoft.com以下のサブドメインを不正に取得できれば、そこにアクセスさせることで、不正にクッキーを送信させることができ、そのクッキーで色々不正なことをされちゃうという流れ
  • フィッシングメールとかでそのサブドメインのURLを踏ませるということもできるが、GIF画像を見るだけでも、アクセスさせることができるみたい
  • CyberArkの記事では、Evil Gifとしてドナルドがミッキーを駆逐する動画が紹介されている（まあ、内容は関係ないのだが）
  • PoCを見ると、不正なリクエストとして不正なURL（悪意のあるサブドメインのやつ）をimgタグのsrcに入れて送ると、正式な投稿と認識されて、相手に送ってしまう
  • 送られた側は画像を自動で取ってくるので、見た目上は画像が送られてきただけなのだが、実際は不正なURLを踏まされている
  • 題名を見た感じ悪意のある動画GIFをネットから取って、貼ったら発動するのかと思ったけど、そういうわけじゃないみたい。なので、送られてきたGIFをダウンロードして誰かに送り返してもそれは問題なさそう
• ほぼすべてのウイルス対策ソフトにOSを破壊可能な脆弱性 ～現在は多くのソフトで修正済み - PC Watch
  • 自身を悪意のあるプログラムに見せかけて削除させるが、検知から削除までの間に自分を任意の削除したいものに置き換えることでウイルス対策ソフトに正規のファイルを削除させるテク
  • ついこの前かな？競合状態がセキュリティ問題になるCTFの問題を解いたな

☕ 技術 / 雑多

• DMM.com 2020新卒技術研修が始まりました - DMM inside
  • プログラミング言語学習で、サーバとフロントと一通りやるのすごい
  • 開発でテストの日程があるの大事。品質がプロには求められる
  • Comment Screenいいな。リモート会議していると主催者の孤独感があったりするし
    • Comment Screenで検索して出てきた、WebAssemblyMiningよさそう
• nekoruri/readcgi: 2001年の2ch閉鎖騒動の際のread.cgi CVSレポジトリをGit化したものです。脆弱性等も当時のままですので歴史的資料としてお使いください。
  • 久々すぎて忘れたから、read.cgiでググったらDAT落ちとか人多杉とか懐かしいワードがたくさん
• すぐにAPIを体験！public-apis 100以上のJavaScript axiosサンプル集
  • ネタ探しにAPI漁りしたことあるけど、よくわからんのとかたくさんあるんだよね
  • これの組合せだけでも小ネタサービス作れる
• SPAのログイン認証のベストプラクティスがわからなかったのでわりと網羅的に研究してみた〜JWT or Session どっち？〜 - Qiita
  • クッキーのSameSite属性って初めて見た。これはいいし、これないと抜かれ放題だな
  • あれか、ちょっと前に話題になってた3rd party cookieか
• それ PowerShell でできるよ - Qiita
  • ちょっとしたスクリプトはなるべくpythonで書くようにしているが、PowerShellはWindows関連のすべてができてしまうので、ちょっとした部分で頼ってしまう（Officeをいじったりも簡単にできるんだよね、Pythonでもできるけど）。Windowsサーバ管理者は必須スキルだと思う。
• REST APIを簡単にMockできるツールSmopeckの紹介 - Qiita
  • 以前blueprintを使ってAPI仕様書を書いて、モックを立てたが簡単だった
  • 簡単だったんだけど、モックでレスポンスを一定にしかできなくて、500エラーとかを返したりができるとなお嬉しい
  • 今はSwaggerが勢力最大かなと思うけれど、使ったことないので何ともいえない
• 2020年、最も便利な機械学習ツール | AI専門ニュースメディア AINOW
  • Streamlitは初めて見た
  • 確かにJupiter notebookはどこまで実行されたからよくわからんし、規模がでかくなるにつれて、デバッグが…になるね

音楽 / エンタメ / デザイン

• エイプリルフールに便乗しているサイトまとめ2020年版 - GIGAZINE
  • ものすごい量が紹介されている

流し見

• タイムゾーンを考慮した日時の扱いのベストプラクティス - エムスリーテックブログ
• あつ森のサーバーを分析してみる – NorthPage
• 読んでみたら最高だった「クラウド系オススメ技術同人誌」を7冊紹介します #技術書典 - 憂鬱な世界にネコパンチ！
• 2018 / 2019 比較、APT等使用攻撃ツール ～ CrowdStrikeの「高度で継続的」研究成果から | ScanNetSecurity