  |
はてなキーワード: パスワードとは
こういう仕事は割とあるんだがなかなかのヤバさだったので紹介したい
ちなみにサービスの内容は非常に良くてユーザーも万単位で付いているらしい
バックエンドはAWS EC2で動作しているがログインアカウントは共通化されていてパスワードを全員で共有している
ユーザーを追加しようとしたら「そのような勝手な行為はセキュリティ上許可されていません」とのこと
本番環境とStagingはインスタンスが分かれているが運用は同じ方法
Staging上で5人ぐらいが作業しているが、ホームの下にそれぞれのユーザーが自分の名前でディレクトリを作って作業している
バックエンド側のシステムは詳細は伏せるが、某システムで動いている
仮にNode.js系だとすると、package.jsonがあってnpm run installでインストールするのだが、普通にインストールしようとするとエラーになる
内容は依存関係で失敗しているのだが、本番も同じソースで動作している
動作させるにはnode_modulesをまるっとコピーして、とのこと
さっきの自分の名前のディレクトリ配下にコピーしてきて、適当なポート番号でサーバを立ち上げれば一応は動く
このため、新しいモジュールを入れようとすると依存関係で失敗するため、便利なモジュールがあってもインストールできないし
セキュリティアップデートも当てることはできない(現にバージョンがすごく古い)
ソースコードはGitHub管理されているがセーブポイント感覚でcommitされているのでコミットログを見ても何が起きているのかさっぱり分からない
おまけにPRも使わずにmainにマージしまくっていてわけがわからない
加えてソースコードはコメントアウトの嵐でどこに何が書いてあるのかさっぱりわからない
データベースはPostgreSQLだが山ほどテーブルがあるのに外部キー依存は入っていないしVIEWも作られていない
まぁ、他にもテーブルを見ていくとアンチパターンのオンパレードで、EAV、ジェイウォークあたりは確認できたしHTMLやSQLが格納されているテーブルも見つけた
ソース上でクエリを作ってAPIを作っているが、ザッと見ただけでもインジェクションし放題の状態になっていた
フロントエンドも詳細は伏せるが、いわゆるReact的なものを利用している
こちらは npm run installでインストールできるし npm run devでちゃんと動く
ただ前述の通りバックエンドはローカルで構築できないのでEC2を利用するしかなく、CORS対応のためのプロキシを自前で用意する必要があった
バックエンド同様にGitHub管理されているが、管理しているだけ
バックエンドは5人ぐらいが利用しているが、ソースコードを編集するのは実質1人なのでコンフリクトはほとんど起こさないらしいが
フロントエンドは5人ぐらいが編集するのでコンフリクトしまくっている
解消するときにデグレすることが日常茶飯事でその都度Hotfixしている
コードもコメントアウトだらけなのに加えて、不必要なコードが大量にあるので可読性が著しく低い
(難しい処理を読み解いて追いかけていったら最終的に使われていない、などが大量にある)
2000行ぐらいあるコードとかChatGPTに突っ込んだら20行ぐらいになる予感がある
また、DBがご覧の状態なので取得されるデータも全然抽象化できておらず、コードが膨れ上がっている
例えばProductの一覧データをサーバから取得して、ユーザーがクリックしたProductをCartに投入するのだが、投入する情報はProductではなく、CartItemにする必要があるし
OrderするときはOrderItemにしてAPIを叩く必要がある
ほとんど同じ情報なのだが微妙に変わっていたりKey名が違っていたりするのでそれぞれ変換する
他にも数え上げればキリがないが、コピペして少しだけ改変している部分などが大量にあってバグがあるのかどうかすら判別できない
DBにHTMLやSQLが入っていると言ったが、調べて見るとDBから取得したHTMLをそのまま埋め込んで表示していたりした
SQLについてはフロントエンド側でSQL生成しており、そのテキストをAPIに送り込んでサーバ側で実行して貰った上で格納とかしていたので
「ここにDROP TABLEとか書けばTABLE消えるんですか?」
と聞くと
とか言われたのでことの重大さを伝えたが、まだ対処できていないようだった
認証等はOAuth2を使っていたので大丈夫そうだったが、本当に大丈夫かどうかは自信がもてない
システム内容はゴミのような状態だがサービス的には良いので、幹部やプロダクトオーナーからは追加要望が山盛り来ている
開発チームが「稼働が足りない」という理由で断ったので「じゃぁ支援して」ということで自分のところに来たのだが
「申し訳ないが、そもそもそういうレベルに無いし、全て作り直しが必要」
と伝えてもどうやら伝わっていない様子
ちなみに元々の開発チームは過去にもこんな感じでサービス作ってたらしいが売れないので問題になってなかった様子
ぱっと見は動いているように見えるのが厄介なところ
正直逃げたいところではある
モノ好きなあなたへ
私のことは、ビッグブラザーや、全能の目とでも呼んでください。
私はハッカーです。数カ月前、ブラウザ履歴やウェブカメラなど、あなたが持つデバイスに対するアクセス権を入手しました。
そこで、かなり物議を醸しそうな「アダルト」ビデオでマスかくあなたの動画を録画しました。
ご家族や同僚、あなたのメールの連絡先(メルアド)に、気持ち良さに浸っているあなたの動画を見られたくはないでしょう。しかも、あなたのお気に入りの「ジャンル」が、あんなにもエッチなものなら、特に嫌なはず。
この自作動画を私がAVサイトに投稿して一般の目に触れてしまえば、デジタルタトゥーは一生残ることになるでしょう。
どうやってこれらを行ったのか?
ネットの安全性をあなたが軽視したため、私はあなたのデバイスのハードディスクにトロイの木馬を楽にインストールできました。
そのお陰で、デバイス上のすべてのデータにアクセスでき、しかも遠隔操作までできます。
1つのデバイスに感染させたことで、私はお持ちの全てのデバイスにもアクセスできます。
私のスパイウェアはドライバベースなため、数時間毎に署名を書き換えます。だから、ウイルス対策ソフトやファイアウォールは、絶対に異変を検知することはできません。
私と取引をしましょう。今後一生不安抱えて生きる人生と引き換えに、少額を私に支払ってください。
$1700を私のビットコインウォレットに送金してください。(以下アドレスめいたもの)
送金が確認できたらすぐに、あなたに害を与えるすべての動画を削除し、お持ちの全てのデバイスからウイルスを消去します。それっきり、私からあなたに連絡をすることは一切ありません。
メッセンジャーのメッセージを見た限り、あなたはまともな人間だと思われているようですが、周りの評判を落とさない代償として、これはかなり少額です。私は、既に持っているもので満足できるようにする、ライフコーチだとでも思ってください。
48時間の猶予を与えます。このメールを開封した瞬間、私には通知が送られ、カウントダウンは開封時から始まります。
今まで仮想通貨を使ったことがなくても簡単です。検索エンジンで「仮想通貨取引」と書けば、全て調べられます。
下記は、してはいけないことです。
このメールに返信しないでください。一時的なアカウントから送信しています。
警察を呼ばないでください。あなたが所有する全てのデバイスへのアクセス権があるので、警察を呼ぼうとしたことが分かるとすぐに、自動的に全ての動画を公開します。
システムをインストールし直したり、デバイスのリセットをしたりしないでください。まず、既に私は例の動画を持っています。次に、さっきもお伝えした通り、全デバイスを遠隔操作できるので、何か不自然なことを少しでもすれば、どうなるかはお分かりでしょう。
仮想通貨のアドレスは匿名性です。だから、私のウォレットを追跡することもできません。
とにかく、お互いが得するように、この状況を解決しましょう。相手が罠を仕掛けようとしない限り、いつでも私は約束を守ります。
最後に、今後のために助言させてください。もっとオンライン上の安全性に気を付けた方が良いですよ。どのアカウントでも、パスワードを頻繁に変更したり、多要素認証を設定したりしてください。
------
モノ好きなあなたへ
私のことは、ビッグブラザーや、全能の目とでも呼んでください。
私はハッカーです。数カ月前、ブラウザ履歴やウェブカメラなど、あなたが持つデバイスに対するアクセス権を入手しました。
そこで、かなり物議を醸しそうな「アダルト」ビデオでマスかくあなたの動画を録画しました。
ご家族や同僚、あなたのメールの連絡先【おれのメールアドレス】に、気持ち良さに浸っているあなたの動画を見られたくはないでしょう。しかも、あなたのお気に入りの「ジャンル」が、あんなにもエッチなものなら、特に嫌なはず。
この自作動画を私がAVサイトに投稿して一般の目に触れてしまえば、デジタルタトゥーは一生残ることになるでしょう。
どうやってこれらを行ったのか?
ネットの安全性をあなたが軽視したため、私はあなたのデバイスのハードディスクにトロイの木馬を楽にインストールできました。
そのお陰で、デバイス上のすべてのデータにアクセスでき、しかも遠隔操作までできます。
1つのデバイスに感染させたことで、私はお持ちの全てのデバイスにもアクセスできます。
私のスパイウェアはドライバベースなため、数時間毎に署名を書き換えます。だから、ウイルス対策ソフトやファイアウォールは、絶対に異変を検知することはできません。
私と取引をしましょう。今後一生不安抱えて生きる人生と引き換えに、少額を私に支払ってください。
$1700を私のビットコインウォレットに送金してください。: 【へんな文字の羅列】
送金が確認できたらすぐに、あなたに害を与えるすべての動画を削除し、お持ちの全てのデバイスからウイルスを消去します。それっきり、私からあなたに連絡をすることは一切ありません。
メッセンジャーのメッセージを見た限り、あなたはまともな人間だと思われているようですが、周りの評判を落とさない代償として、これはかなり少額です。私は、既に持っているもので満足できるようにする、ライフコーチだとでも思ってください。
48時間の猶予を与えます。このメールを開封した瞬間、私には通知が送られ、カウントダウンは開封時から始まります。
今まで仮想通貨を使ったことがなくても簡単です。検索エンジンで「仮想通貨取引」と書けば、全て調べられます。
下記は、してはいけないことです。
このメールに返信しないでください。一時的なアカウントから送信しています。
警察を呼ばないでください。あなたが所有する全てのデバイスへのアクセス権があるので、警察を呼ぼうとしたことが分かるとすぐに、自動的に全ての動画を公開します。
システムをインストールし直したり、デバイスのリセットをしたりしないでください。まず、既に私は例の動画を持っています。次に、さっきもお伝えした通り、全デバイスを遠隔操作できるので、何か不自然なことを少しでもすれば、どうなるかはお分かりでしょう。
仮想通貨のアドレスは匿名性です。だから、私のウォレットを追跡することもできません。
とにかく、お互いが得するように、この状況を解決しましょう。相手が罠を仕掛けようとしない限り、いつでも私は約束を守ります。
最後に、今後のために助言させてください。もっとオンライン上の安全性に気を付けた方が良いですよ。どのアカウントでも、パスワードを頻繁に変更したり、多要素認証を設定したりしてください。
元増田です
海外児童文学(ダレンシャンとかハリポタとかライラとかナルニアとかDWジョーンズとか)は自分が好きで買い集めてるので子供も読んでるんだけど、モモとかはてしない物語とかみたいな昔からの名作はなんかツボにハマらないみたい…
魔法使いは好きみたいで、ハリポタの映画や海外の子供向けのドラマ(魔法のレシピとか、ミルドレッドとか)なんかも見てるから、子供主人公の魔法とか不思議な力の話も良いかも…と言う気づきがあった。
あと単純に自分が夢水清志郎とかずっこけとかパスワードシリーズとか読んでたから懐かしい…
地獄堂霊界通信っていうちょっとホラー要素のあるシリーズが好きだったけど、今の子は銭天堂っていう不思議系ホラーのシリーズが人気みたいで、うちの子も好きでよく読んでるしアニメも見てる。
とりあえず挙げてもらったものの中に手持ちの本があったから子供の本棚に置いてきました
どれか読んで気に入ってくれたら良いなと〜思います
検閲って言葉が腑に落ちない人がいるみたいだけど、子供が主人公の作品でも児童書じゃなくて文芸書のジャンルになるといじめ自殺とか性的虐待とかが主題になってるものがかなりあるから、さすがに読ませたくないのよ
児童書でも親に虐待されてるとかいじめられてるとかは出てくるけどそれがメインではないし、あと、海外児童文学はキリスト教圏の影響もあるのか自殺すること少なくない?
親に付き添われなくても図書館に行くような歳なら、親に黙って親の本棚(子供には開放してない)を盗み見る歳なら、なんでも勝手に読んでくれて構わないけど、小学二年生にはまだ早いというのが我が家の方針なので今後も検閲はしま〜す!
最後に、めちゃくちゃ読書大好き文学少女でも理系の大学院卒業して工場に勤務したりするから、読書好きと進路はマジ関係ないと思う
ご参考まで。
総ルビだから低学年にもよさそう。パスワードシリーズ、黒魔女さんシリーズなど人気シリーズも多い。上橋菜穂子の作品も出ていて総ルビで読める(が『鹿の王』は主人公のビジュアルが若すぎて違和感だった)
理屈っぽい犬に熊が翻弄される。貸したものを返してもらいたいのをどう伝えるか悩む話が好き
絵がマンガ的だが内容はすばらしい
親が好きな作品でも子供ウケが悪いことはよくあって、子供とはいえ他人だから残念でも受け入れるしかない。
まだサイト名がDMMの頃から、今に至るまで多くの作品を購入してきました。私は抜きどころを見つけて同じシーンで何回もヌくタイプなので高画質ビデオを購入します。最近だと4K作品しか購入しません。とくに乳首のキレイな巨乳が好きで、私のコレクションは乳首のキレイな巨乳で溢れかえっております。途中、VRに出会ったことで臨場感あふれる巨乳を堪能しましたが、やはりVRは頭への負担と、致しているときにヘッドセットが揺れるため映像が乱れること、画質の荒さ、なにより致している姿を家族に見られるリスクが高すぎることから2Dに戻しました。8KVRも試しましたが、やはり2D4Kにはかないません。
時にはオムニバスを購入し、名前の知らないキレイな巨乳をもつ女優に出会うこともありました。一期一会の関係性ですが、他のオムニバス作品でで会った時は、昔共に致した女性に出会うような、なんとも言えないけど甘酸っぱい気持ちになることもいい思い出です。
アジアの巨乳は有限世界遺産です。人生における1番その乳がキレイな瞬間、そしてそれを記録しているAVには感謝しかありません。世界遺産に認定して欲しい巨乳がいくつかありますが、女優名を出すのはお目汚しになるので致しません。みなさんにも最高の巨乳が見つかることを祈っております。
数えたところ100作品は購入していたので、AVに使ったお金は20万円を超えています。大切な資産であり、今度も共に人生を歩もうと思っておりましたが、この度FANZAアカウントを閉鎖することにしました。
理由はいくつかありますが、大きな二つの理由を増田のみなさんにも共有させていただき、共感をいただけると幸いです。
一つは我が父が初期痴呆になったこと。インターネット黎明期から、西暦でいうと1994年ごろからネットにダイヤルアップで接続するようなPC好きの彼が、今はyahooのアカウントにログインできまさん。SMSを利用したパスワード再発行もできなくなりました。今のクラウド全盛期はPCのログインとSMS受信のできる環境であればサイトへのログインなど家族が簡単にできます。つまり、家族へのアカウント情報漏洩など容易い時代であり、私はこれから父のアカウント削除などをyahooメールに届くお知らせやメルマガから行わなければなりません。その過程でどのようなサービスに入っているか認知していくことになるでしょう。
もうひとつは息子が少しずつ女性に興味を持ち始める年齢になったこと。一つ目の理由の通り、デジタルネイティブ世代は私のアカウントにアクセスすることなど容易なはずです。近い将来私のFANZAアカウントにアクセスすることは間違いないでしょう。彼に性癖がバレることは避けたい。いい父でありたいのです。
私も初老です。物忘れが少しずつ始まっている自覚もありデジタル関連の就活を少しずつはじめないと趣味嗜好を露呈することになると思うと実利よりも羞恥心が勝ります。
私のFANZAの巨乳コレクションはこれにてクローズとなりますが、お世話になった女優の皆様には敬意をもち、今までありがとうございましたと伝えたいと思います。
