「api」を含む日記 RSS

はてなキーワード: apiとは

2019-11-18

DMMiPhoneアプリ作ってるやつ!

アホか!

動画全部一括で落とさないと検索出来ないとかアホか。アプリ開発のど素人か!

最近無限スクロール実装したと思えば、一度に取ってくる件数なすぎだし

API仕様で仕方ない??

アホか!てめーでバックエンド改修しろPHPだかRubyだかしらねぇが大したことない修正だろうが。工数半日馬鹿野郎

1ユーザーが購入してる件数なんて大したことねーだろうが、バックエンドsqllike検索で十分だろうが

つかちと前なんて購入済み動画とかお気に入り一覧表示するの遅すぎだったぞこら!

インデックス絶対貼ってなかったろ!

素人からオメーら金あんだろ!機能改善のペースも遅すぎんだろ!

最後にもう一回

ローカルに一覧一旦全部落とすのはスゲーダサい恥ずべき仕様だと猛省しろ設計したやつ

設計したやつは部内でも軽蔑されろ

2019-11-10

TwitterYahoo!リアルタイム検索共通で使えるフィルタ(拡張機能)作った

anond:20180609124213

Twitterフィルタ - Chrome ウェブストア

https://chrome.google.com/webstore/detail/twitter%E3%83%95%E3%82%A3%E3%83%AB%E3%82%BF/eoglgmgmfacolbkbjpkhdloieffcmnan

Twitterフィルタ – 🦊 Firefox (ja)

https://addons.mozilla.org/ja/firefox/addon/twitter%E3%83%95%E3%82%A3%E3%83%AB%E3%82%BF/

github

https://github.com/lvnkae/twitter-filter

概要

用語

機能

Twitter
Yahoo!リアルタイム検索
togetter
迷惑サイトフィルタ

使い方

基本設定
詳細設定

ユーザIDミュート詳細設定

設定済みIDダブルクリックで詳細設定へ

 ・アカウント固有の非表示ワード設定

   質問箱回答だけうざい

   NewsPick発言が痛々しい

  など。チェックはしたいアカウントだが一部気に障る発言がある場合に。

表示名ミュートの詳細設定

設定した単語ダブルクリックで詳細設定へ

 a.単語の頭に <> を付けると正規表現ON

 例)

  <>(名言|迷言|画像|図鑑|検定|ネタ|セリフ)bot$

  各種botツイートプロフィールをまとめて削除

 b.フィルタ適用方法指定

   完全一ON/OFF

   大文字/小文字区別なしON/OFF (正規化)

  をチェックボックスにて指定

 ※完全一致と正規表現排他

 ※両方設定した場合正規表現が勝ち完全一致は無視される

ワードミュートの詳細設定

 単語の頭に <> を付けると正規表現ON

 例)

  <>宇佐美 *定満

   宇佐美定満

   宇佐美 定満

   宇佐美 定満

   宇佐美  定満

  等、姓名間にスペースが0個以上ある定満はを含むツイートを削除

絵文字の扱い

[対象サイト]

URL概要ミュー対象
https://twitter.com/$(user)twitterユーザページツイート/おすすめユーザ
https://twitter.com/$(user)/status/$(tweet-id)twitterツイートスレッドリプライ
https://twitter.com/$(user)/lists/twitterリストツイート
https://twitter.com/search?=$(command)twitter検索結果ツイート/プロフィール/画像/記事
https://twitter.com/hashtag/$(hashtag)?src=hashtwitterハッシュタグ検索結果ツイート/プロフィール/画像/記事
https://search.yahoo.co.jp/realtime/search?$(command)Yahoo!リアルタイム検索ツイート
ttps://togetter.com/li/$(contentsID)togetterまとめ詳細ページツイート/リンク/コメント

備考

Twitter
amba.tobitly系(ameba)
amzn.tobitly系(amazon)
bit.ly本家
buff.lybitly系
dlvr.it
goo.glgoogle独自/API廃止されたらしい
htn.tohatena独自/19.02.28API廃止
ino.toInoreader
ift.ttbitly系(IFTTT)
is.gd
j.mpbitly系
kisu.me
lb.tobitly系(livedoor)
nav.cxnaver独自
npx.meNewsPicks独自
ow.lyhootsuite
tinyurl.comtinyurl

結果

twitter検索結果がかなりきれいになった。まとめサイトとかまず見ない。

動機

技術

短縮URL展開
右クリックメニュー

文字制限にかかったので次へ…

2019-11-09

Go conference 2019 autumnに行ってきた感想

10/28 に行われたGo言語カンファレンスに参加してきました。

いつからGo conferenceが行われているのかはよくわかりませんが、例年春と秋に開催されるのが通例のようです。

今回私は、Wantedlyが行う「学生応援支援プログラム」という枠組みの中で参加することになりました。学生応援支援プログラムというのは、学生に対してカンファレンスへの参加に伴うチケット代や、会場までの交通費を全て負担してくれる制度です。詳しくは https://boards.greenhouse.io/wantedlygoscholarship/jobs/4459011002 を参考にしてください。

Go conference 2019 autumnに限った話だと、Wantedlyの他にも同じようなプログラム実施している企業がいくつかありました。

今後もそのようなプログラム実施されることがあると思うので、学生に限った話ではありますが、興味がある人は応募してみるといいと思います

ここからは私が今回のカンファレンスに参加しての感想を書いていきます

私は、大してプログラミング経験があるわけでもなく、技術力も高いわけではありません。Go言語に関しても今回のカンファレンスに参加する半年ほど前から触り始めたというレベルでした。それでも、そのくらいの経験値の人が特定プログラミング言語テーマとするカンファレンスに参加して何か得るものは有ったのか、みたいな視点で書いていきます

今回参加して良かったと思えたことの1つは、Go言語のものに限らず、幅広い知見が得られたことです。カンファレンスの各セッションで触れられる話題というのは、コンパイラアセンブラなどの低レイヤな話からテスト設計に関する普遍的原則、また比較的新しい技術スタック使用したプロダクトを開発・運用していく中で得られた発見など、かなり多岐に渡ります。そのため、Go言語テーマ主題としつつも、普段であれば自分から能動的に掘り下げない分野・領域についての話を聞くことができます

これは、私にとっては特に嬉しいものでした。私は、Go言語を使ってAPIサーババックエンド実装したり、簡単CLIツールを作ったりしたことがあるのですが、その時に自分で調べることは、あくまでも目の前で分からないことがあって、それをどうすれば解決できるか、という狭い範囲についてでした。

そのような狭い範囲の探求を繰り返すことも開発を進めていくためには重要ですが、自分経験したことの無い領域、また自分が詳しくは知らない領域について学習することも大切だと考えていますしかし、そのような領域についての学習自分の中での優先順位が低く、かつ調べるためのキーワードすら分からないので何をすればいいかもよく分かっていない、という状態でした。

そのような一種の停滞状態を打開するものとして、今回のGo conferenceは絶好の機会でした。

これは、今回のGo conferenceに限った話ではなく、他のconferenceや技術イベントについても言えることだと思いますが、自分の知らないor詳しくはない領域についての学習を続けることで、技術に対する新陳代謝(?)のようなものを常に保っていくための機会は大事ものだと思います

そのような機会を提供していただいたWantedlyにはとても感謝していますありがとうございました。

2019-11-05

anond:20191105144302

前のバージョンゲームさえ動かなくなるぐらい仕様変更したり、OSバージョン足切りする

これなー

API設計能力が足らないだけ、なんだよなあ

2019-11-02

話題のdの退職

最終的に社内のどこの部署からも引き取り手がなく退職に至るってやつ。

技術力があってもそれでも不要って言われたこからどれだけのものか察して欲しい。

聞こえてくるだけでかなりのものだったけど実際に接してた人達ストレスは相当なものだったと思う。

2019-11-01

スターはありませんでした

違うわこれ

多分APIミスってんだ

いつものはてブ不安定

2019-10-23

はてなスターカウントAPIいつになったら直すの?

数ヶ月前からずっとスター数が変わってないんだけど

 

ここで叩いてるAPI

https://lab.syncer.jp/Tool/Hatena-Bookmark-Star-Checker/

 

これだっけ?

http://developer.hatena.ne.jp/ja/documents/star/apis/entry

2019-09-27

anond:20190927232126

なんかソフトアプリとかの連携ってどうなってるの?

一般人が使う範囲ではせいぜい2つのソフト連携機能がある程度(1段階?)じゃない?

(1つのソフトにはたくさんAPIが使われているとかいうのは置いておいて)

連携(通信パイプライン?)さえうまくいけば既存ソフトウェアでも相当なことができるのでは?

2019-09-18

TwitterAPI知るための手順がwebで調べるよりかなりめんどくなってて、適当入力しただけじゃAPIゲットできなくなってた

具体的に何したいか教えろって感じのメールが2回もきて英語で答えたらやっと通ったわ

ももAPIつかって集めたかった画像動画は手動で集めちゃったんだよなあ

まあAPIどうやって使うかだけ覚えとくだけでも勉強になるかなあ

2019-09-12

スター数取得APIいつになったら直るの?

おいはてなおい

2019-09-10

そろそろ時刻表APIで出して良いんじゃないの?

各社

2019-08-26

はてブスターカウントAPI死んでるね

http://s.hatena.ne.jp/blog.json?uri=http%3A%2F%2Fb.hatena.ne.jp%2F{ここにID}%2F

 

これで取れるんだけど、数ヶ月変わってない

2019-08-25

英語ポッドキャスト聞き取れない

TOEIC勉強ディクテーションが良いって聞いたから、適当ポッドキャストを書き取ってみようとしたけど、聞き取れなくていらいらして途中でやめてしまった。始めてから気づいたけど、ネット上にスクリプトがなくて、聞き取れないところでずっともやもやしてる。

もし英語わかる人これ読んでくれてたら、下の聞き取れてないところ教えてほしい。

音源はここ → https://www.se-radio.net/2019/08/episode-376-justin-richer-on-api-security-with-oauth-2/

3:34 So the user’s not really setting authorization policies and it’s not something like, you know, ざっかまる (?) where you’re setting up things that, you know, "when I see this kind of request, this is the kind of result that I’m looking for."

5:13 And it actually did so well that big companies like Google and Yahoo and bunch of others dropped support of their proprietary versions of delegation protocols, おーせぶん, びびお, and bunch of others that sort of influenced OAuth.

11:20 And that automatically allows both sides of the table 何言ってるかわからん who’s doing more because everyone has a different identifiable access token. Right, exactly. That’s where you can and a lot of large providers have started doing a heuristic べーくす monitoring of API access.

12:03 Yeah. のっだっ similar to what your banks do at the moment (???) isn’t it? If you’re pretty much based on UK or US and all the sudden a transaction pops up in Italy, then they know something’s wrong and you get an email or a call.

12:47 何もわからん 本当に英語

13:25 Yeah, 'cause the traceability, you know, it’s like, for example, when someone famous, a video of them gets posted on Twitter or something or shared, you can trace the original share, but you don’t know if ぱぺっちゃ’s been taken or, you know, once it’s out there, it’s out there.

こっちは何言ってるのかわかってないのに、話してる人同士はExactly!!とか盛り上がってて、悔しい。

てか15分くらいの音声聞き取るのに2時間以上かかった気がするけど、ディクテーションってそういう拷問なの?

2019-08-21

自動指定URLからファイルダウンロードするマクロ

って独学で作れる?

ちなみに自分事務職1年半。

マクロは組めない。

関数はindirect index muchが限界

前職はマクロが組める人がたくさんいたけど転職したら全然いなくて、APIから成果をDLする作業を手作業毎日行っているが面倒だし生産性なさすぎて時間もったいない…。

ちなみに、ダウンロードページの際には日付を選んだり、項目を選んだりと、条件にチェックを入れる必要もある。

これってマクロ自動化できないかなーって。

無理ならサクッと諦めるからOK

追記

自分システムもなにもかじったことないです。増田にかけば詳しい人いるかと思い投稿した次第。

実務でフレームワークガッツリ触ることって意外と少ない?

ゼロイチ開発で画面も必要みたいなときしか触らなくない?

というか画面が必要な開発ってそんなにあるのかな?APIとかバッチ作る開発ばっかな気がするけど

経験者向けのスクールとかだとフレームワークが最重要みたいな扱いになってるのが違和感ある

エンジニア2年目の意見

2019-08-16

陰キャ童貞プログラマーなんだけど

所帯持ちのお父さんプログラマーが書いてるような家庭内Slack運用方法とかAWS家庭内wikiサーバ立ち上げてみたとかそういう記事が割と好きでよく見てるんだけど

俺も家庭内タスク管理方法ならこのツール使ってこの部分は自力APIカスタマイズして運用するかなぁとか

子供マインドストーム買ったりScratch教えたらちょっとは興味持ったりしてくれるかなぁ、とかいろいろ考えたりするんだけど、

でも俺童貞なんだよなぁって思い出してすごく虚しくなる

つれぇわ

新幹線電車バスやら色々計算できるプログラム、は完全に自力でやるのはほとんど無理なので、外部サイトを利用するしかない

APIを探すかHTTPシミュレートするかブラウザ操縦か

2019-07-29

anond:20190729082010

フリーソフトウェア運動を支持します    ←IT業界官製不況乙」

個人の決定権は個人帰属すること保障します ←それができないから安楽他殺を求める人がいるのだが

表現の自由保障します ←京アニ報道の自由の行き過ぎを見てなんかおもわんのか 表現無罪はナシ

公的機関でのUNIX/Linuxデスクトップ導入を推進します ←1種類強いウィルス開発されたら軒並みアウトになりそうねcfサマウォ

公的機関でのFLOSS利用および貢献を推進します  ←わからない

公的機関広報のためのActivityPubプロトコル方式SNSサーバーを設置し運営します ←だれも使わないかツイッターに全転送してAPI規制まで見えた

公的機関および市区町村役所Webサイト視覚障害者向けアクセシビリティ向上を目指します ←同意、すぐやるべき、そのための色覚障害者1人ずつ採用までやるべき

マイナンバー国際標準規格であるDecentralized IDs(DIDs)へ移行を推進し秘密鍵によって保護された新マイナンバーおよび新マイナンバーカードを発行します ←ワイトもそうおもいます

マイナンバーカードはDIDsによって市区町村役所だけでなく郵便局銀行コンビニなど一部の商業店でも再発行できるようにします ←ADHD「5枚ある」移民「1枚300万で買うで」

DIDsを応用した新マイナンバーカードによって運転免許証保険証金融機関カード商業施設ポイントカードなどを1枚に統合します ←ワイトもそう思いますしすぐやってほしいし免許証身分証明にしなくても自動運転タクシーでいいじゃんだしタスポは今すぐやってほしい

UNIX/Linuxを含む主要OSへ対し国民が利用するDIDsに関わるアプリケーションを開発し配信します ←郵便局の配布してるAIRつかった年賀状ソフトクッソ使いづらいのおもいだした たぶんレジューム機能特許ライセンスが高かったんだろう

公的機関および市区町村役所からボトムアップされた情報を元にトップダウン統一的な新システムを構築し公務員業務軽減を計ります ←昭和からやってるはずのペーパーレス計画ってのがあったけどもう一回かっこいい名前つけてあげればすすむよ ゲーミング政府とか

最小単位町内会および消防団など自治会へ対して統一的な運営コミュニケーションシステムホスティングサービスとして提供します ←jimboでよくね あと人的原因のクラッシュ・誤操作・誤消去は無理っすね 今でもギリギリ

DIDsを応用し何処の市区町村役所および国民インターネット接続端末からでも統一的なアクセス方法により公的情報の取得を可能します ←今もマイナンバーカード公的認証確定申告やってるやつとどこがちがうの

公的機関および市区町村役所が求める個人承認印鑑からDIDsを応用した新マイナンバーカードによる電子署名へ移行します ←マイナンバーカードもっとギラギラしたケースにいれないと図書館カードと間違えて捨てるやつとか出るぞ

DIDsを応用した国政および地方選挙インターネット投票を開始します ←今すぐやれ

DIDsを導入しようとする企業補助金交付します ←今もやってるやろ 2020マイナンバー化みたいなやつ 二重になる

都市圏企業による地方リモートワークを推進し地方リモートワークを導入した企業へ対し補助金交付します ←名目に要注意 政府で音質よくテレビ電話会議回線カメラセット提供させろ あと税務署が遠隔身内を名目雇用して経費削減するやつを嫌うからちょい面倒 マルサのネットストーカー化を先にみとめりゃいいんだけどさ

日本銀行による日本円兌換電子通貨を発行し決済へ利用できるようにします ←デフォルトスタンダードスイカでよくね

5G通信の普及を推進します ←山奥のアンテナダレが払うの

フリー無線LANスポットを増やします ←増やしすぎて干渉してる都会カフェとか多いんじゃないの東京様だけは

HTTPS over DNSの普及を推進し国民通信の秘密を守ります ←わからんけどがんばれ

Web Assemblyの普及を推進します ←わからんけどがんばれ

WebTorrentの普及を推進しインターネット接続端末のCDN化を推進します ←わからんけど便利になるといいね

全国図書館システム統合統一的なアクセスを実現します ←著作権者図書館も閲覧者が10円とか払ってくれる改正してくれないとベストセラー作家でも死ぬんじゃが」蔵書検索素人がやってるから100万くらいで事業ごと買えってこと? それともグーグルスカラーのこと?

法律および個人情報へ影響しない範囲国内ビックデータCSVJSONなど様々な形式無償公開します ←必ず今先んじてやってる人の生活に影響するから調整が必要

日本国周辺の海図および航路図を電子データとして無償公開します ←海賊密漁船がバンバンちゃう

国土地理院によるOpen Street Mapへの貢献を推進します ←むしろ国連あたりがグーグルマップ買ってその出先機関になればいいのでは てか国連グーグルに乗っ取られたほうが楽では

公共交通機関現在位置電子データとして提供します ← 4G・5G・wifiアンテナ密度が薄すぎる田舎の人(3Gなら届く)「バスワープして乗り遅れた!どうしてくれる」

気象庁基本的気象情報CSVJSONなど様々な形式で公開します ← ウェザー社「ぐぬぬ

ユニバーサルサービス料現在の3円から適正価格へ引き上げます ←へえ、やすかったの?

すべてのインターネット接続端末の購入時にユニバーサルサービス料徴収義務付けます(通信契約月額支払いのユニバーサルサービス料は引き続き徴収) ←へえ~

NHK受信料廃止NHK運営費をユニバーサルサービス料から拠出します ←あ~これのためか。総務省NHK全部官営にもどすやつね。放送独立大丈夫

NHK地上波ラジオおよびテレビインターネットストリーミング放送を開始します ←ラジコぐぬぬ

NHK地上波ラジオおよびテレビ放送の全アーカイブ配信します ←サーバー用意できるのグーグル傘下ツベだけでは プリンプリン物語の録画ビデオは未だにさがされてるだろ 京アニじゃなくても焼損があったのでまずアーカイブ化をすすめないと

NHKオンデマンドの動画ストリーミングWebTorrentを応用し分散します ←しらんけどがんばれ

GPS受信困難地域および施設へ対して高度情報を持ったGPSビーコンの設置を推進します ←えっ今ないの

自動運転研究を推進し支援します ←自動車会社「少しはもらってるよ^^」

電動キックボードなど小型電動個人モビリティ普通自転車の枠組みとし規制管理監督します ←道路がそれほど広くないのがまずもんだい 乳母車の横でビュンビュン

ドローン規制を緩和しルール厳格化します ←おじいちゃんもう済んだでしょ

宇宙および海洋ブロードバンド衛星の拡充を目指します ←日本自力衛星あんまり飛ばせてないでしょ 税金重いし

日本海溝海底地津波観測網の拡充を目指します ←今で十分早いし数分前にわかってても逃げられんとこに済んで働いてる人が問題では

BONICなど分散コンピューティングによる人道的研究を普及および推進、貢献します ←人道的の意味がわからない AI中国はここで政治犯拷問してるとか北朝鮮ミサイル発見とかやるの

義務教育へ対し週5以上のコンピュータおよびインターネットプログラミング教育実施します ←どうしてもコンピューターとの会話になじめない文科系特化型脳、女性脳の人がかわいそうというか活かしきれないのがもったいない 才能ない子まで全員をコンピューターとの会話力に特化しちゃうとたぶん人工授精とか全員保育園とかしないと出産率・新生児生存率がめちゃ下がる(今でもひどいけど) それよりコンピューター利用詐欺ふくめて人間の悪意にきづかぜ、なれさせつつ安心・信頼を育てたりしていかないと全員鬱になって終わる 鬱になったりもせず人間同士のコミュニケーションコンピューターとのコミュニケーションの両方が抜群にできる人ってのはほんとうにビル・ゲイツレベルの一握りだと思う

あと円安食糧生産するには動物植物と会話できる人も残さないといけない 士農工商社会にもどるね

 

全般的に金とキカイで世間をどうにかしようとしてるけど、そういう社会を維持する才能のある人間ってのは社会でも一握りしかまれてこないってことが問題になるとおもうので、少子化教育改善(振り分けとか社会人に延長した義務教育とか)で今ある資源いかしたほうがお安く済む部分も(特に後半)多いとおもった

以上

anond:20190729082010

フリーソフトウェア運動

フリーソフトウェア原則支援する活動リチャード・ストールマンはその創始者の一人であり代表者でもある。

ほーん

公的機関でのUNIX/Linuxデスクトップ導入を推進しま

狭義のUNIXとは、AT&amp;T ベル研が開発したOSとその直系の派生システムオリジナルのものから Sys III、SYS Vと発展し、現在SCOがそのソースコードを握っている。

POSIX準拠UNIX互換OSカーネルまたは、そのカーネルを用いたOS総称

はいはい

公的機関広報のためのActivityPubプロトコル方式SNSサーバーを設置し運営しま

ActivityPubは非中央集権型の分散SNSオープン標準であるPump.ioのActivityPump プロトコルベース設計されている。 クライアント/サーバAPIを通してコンテンツの「作成」「更新」「削除」を行い、連携するサーバAPI を通して通知およびコンテンツを届ける。

ふむふむ

マイナンバー国際標準規格であるDecentralized IDs(DIDs)へ移行を推進し秘密鍵によって保護された新マイナンバーおよび新マイナンバーカードを発行しま

分散識別子(DIDs)は、検証可能な「自主的な」デジタルIDの新しいタイプ識別子です。

ほー

HTTPS over DNSの普及を推進し国民通信の秘密を守ります

HTTPS over DNSは、HTTPSプロトコルを介してリモートドメインネームシステム解決を実行するためのプロトコルです。

へぇ

マジで何を言われているのかわからんわw

これは投票できる人居ないだろうなぁ

何言ってんのかわかんねぇんだもんw

2019-07-27

anond:20190727194941

別にそんな難しい話じゃない

多分増田APIとかはないか普通にスクレイピングさせるとして

スマホアプリidパス渡して

投稿のページ定期的にをクローリングさせて

トラバが増えてたら元のスマホアプリ経由して通知

まぁ怒られるだろうけどちょっとだけならばれないだろう

誰か

2019-07-11

副業解禁による労働時間通算

いっそ労基署マイナンバー連動タイムレコーダー貸与するかAPI開放して

マイナンバーカードとかで労働時間管理するようにすればいい

2019-07-06

7payのセキュリティ審査って何をやってたんだろうか

ここ連日騒がれている7pay。

パスワードリセットリンク送付先のメールアドレスに対して設計上の問題脆弱性が発覚して大変な事態に発展しています

昨日の会見では社長ITリテラシ不足が露呈したり、サービス継続が表明されたりして、いわゆる「祭」の様相を呈しています

また、会見内で「セキュリティ審査実施した」と明言がされました。

https://www.asahi.com/articles/ASM745HHHM74ULFA01Y.html

セキュリティ審査実施していたにも関わらず、何故今回の問題が見逃されたのか。

非常に稚拙な推測ですが個人的に考えられる可能性をまとめてみようかなと思います

セキュリティ審査とは

その名の通り、サービスローンチ前に実施する、脆弱性問題がないか審査の事・・・だと解釈しました。

審査」というとISMS辺りを連想しちゃいますね。

一般的には脆弱性診断とかセキュリティ検査とも呼ばれています。私はこちらの呼び方の方がしっくりきます

以後脆弱性診断と記載していきます

実施した」とはいっても、どういった内容を実施たかはわかりません。

ただ、7payは「一般に公開する」「お金を扱うサービス」になるため、ガチガチ脆弱性診断を実施すべきでしょうし、実際に実施したのではないかと思います

通常、脆弱性診断というと、以下のような項目があげられると思います

抜け漏れあると思うけど、大体どこのセキュリティベンダーでも上記のような項目を診断しているんじゃないかなあと思います

詳しくは各ベンダの診断内容のページを見てみると更に詳しく載っています

LAC、CyberDefence、NRIセキュア、ブロードバンドセキュリティスプラウトなど。

ただ、今回の脆弱性診断が外部ベンダ実施されたのか、内部で実施されたのかはわかりません。

以下、推測をつらつら書いていきます

外部ベンダ発注したが、コスト削減のために対象を削りまくった

脆弱性診断はモノによりますが、診断内容をマシマシにするとエラい額が掛かります

Webサービス診断は見積もり方法が各社違ったり、ツールを使うか手動とするかによって金額も大きく変わってきます

また、数量計算ベンダによってまちまちです。ページ単位であったり、画面遷移単位であったり、SPAであればAPI単位であったり、複合での計算だったりします。

お願いすれば見積もり時にステージング環境で動いているWebサービスクロールして、各ページの評価を付けてくれるベンダもあります

規模と見積もり内容にもよりますが、100~200万といったところでしょうか。

スマホアプリ診断は一本幾らという場合が多いような気がしますね。相場としては50万~100万程度でしょうか。

プラットフォーム診断も内容によるとは思いますが、大体100万くらいかなあと思います

これ以外にWebSocketを使っていたり、別のサービス連携していたりするとその辺りの通信も含まれてくるのでまた金額は上がる可能性もあります

Webサービス200万、スマホアプリ(iOSAndroid)100万*2、プラットフォーム100万とすると、500万円掛かるわけですね。

脆弱性診断をするだけでこれだけのお金が吹っ飛んでしまうわけです。

そしてこれをそのまま発注するかと言われると、多分しないでしょう。

セキュリティお金が掛かる割にリターンが少なく、目に見える結果が必ず出てくるとも限りません。

経営層は中々首を縦には振らないでしょう。

会見でも明らかになったことですが、社長ITリテラシはあまり高そうにありません。

こうなると脆弱性診断の稟議を通すのは中々容易ではなかった可能性もありそうです。

また7月1日に間に合わせたようなところもあるっぽい(?)ので、開発側に資金を全振りしていた可能性もあり、診断に費用を掛けられなかったのかもしれません。

いずれにせよ、全く実施しないのはまずいし重要そうな部分だけピックアップして実施しましょうという話にはなるでしょう。

削れるものをあげていってみましょう。

例えば、iOSスマホアプリ実施しなくても良いかもしれません。iOS上で動くアプリは確かサンドボックス構造になっているはずで、ローカルに何かしらのデータを持っていても外部からアクセスは基本不可であるためです。確か。

そもそもスマホアプリ自体不要かもしれません。7payのサービスへのアクセスインターフェイスとしてのアプリしか提供していないのであれば、取り扱うデータほとんどないと考えられるためです。そのため、スマホアプリAndroidのみ、もしくは両方実施しなくても大きな問題は発生しないのではないかと思います

・・・この辺り私の勘違いというか、「最優先でやるべきだろjk」といった考えがあれば指摘ください。

プラットフォームも、ベンダによります実施しなくとも良いとも思います

ベンダ説明でも、主にポートスキャンをして、空いているポートに対してtelnetで色々したりするといった説明がなされたと思います

Webサービスなら443と、空いていても80くらいしか外部には公開していないので、これは実施しないという選択をしても不思議ではないと思います

サーバコンフィグも、DocumentRootがおかしいとか致命的な設定ミスをしていない限りは見てもらう必要はないでしょう。

そもそも構築手順等はノウハウもあるでしょうし、わざわざ見てもらう必要性はほとんどないわけです。

ワイドショーでは「不正海外IPからで、国外からアクセス許可していた」事が取り上げられていましたが、例えプラットフォーム診断をしていても、この辺りは指摘されなかった可能性があります

実施していればもしかしたら備考レベルでの注意や、口頭で「国内のみに留めておいた方がいいかも」といったことは伝えられたかもしれませんが、「利便性」という観点から実行されることはなかったんじゃないかなと思います

Webサービスですが、ログインログアウト処理は必須でしょう。また、新規登録情報変更、退会処理も重要です。

パスワードリセットどうでしょうか。正直これも重要です。なので、ベンダに依頼するにあたってはここも診断対象としていたはずです。

ところで今回の件では協力会社について様々な憶測が飛んでいますが、NRI説が結構人気みたいです。

ただ、NRIにはNRIセキュアというセキュリティに特化した子会社存在しています

もし脆弱性診断をするとなった場合、そこを使わないという手はあまり考えられません。そもそも発注時にそれを見越して診断費も開発の見積もりに含まれているのではないかと思います

ただし、セブン側が「脆弱性診断はこちら側で発注します」と言っていれば話は別です。

NRIセキュアは診断費用が高いらしいので、コストダウンするために別ベンダに診断部分のみ発注する可能性はあります

別のベンダ発注したことで、抜け落ちた可能性はゼロではないかもしれません。

また、NRIセキュアが実施する場合においても、「ここは抑えておいた方が良い」という機能毎やページ毎にランク付けした資料セブン側に提出することと思われますが、どこを実施してどこを削るかの最終的な判断セブンに委ねられます

考えられる事としてはパスワードリセットの処理を診断対象外としたことですが・・・そうする理由もわからないので、うーん・・・

ただ、こうして対象を削りまくることで100万程度、もしくはそれ以下まで診断費用を抑えることができます

特定ベンダと、ツールを用いた定期診断を実施してもらう契約をしていた

この可能性もあるのかなと思います

使ったことはありませんが、SecurityBlanket 365というサービス自動での定期診断が可能なようです。

ライセンスやどういった動き方をするのかはいまいちわかりませんが、ベンダ逐次依頼する脆弱性診断よりかは安く済むはずです。

ただ、自動診断となると設計上の不備やそれに伴う問題は検出できないはずです。

ツールの手が届く範囲での、XSSPoC、ヘッダの有無など、ごく一般的脆弱性診断になると考えられます

でも手軽そうで安価っぽいなので、これで済ませていても不思議ではないです。

セブン内部でツールを用いた診断を実施していた

脆弱性診断ツールOSSのものもあればベンダ販売していたり、SaaS提供しているものもあります

OSSならOWASP ZAPやw3afがWebサービスの診断が可能です。また、phpcs-security-auditなど、ソースコードを解析し脆弱な箇所がないかを診断するものもあります

ちなみにWebサービスに対する診断を「DAST」、ソースコードに対する診断を「SAST」と言ったりします。

有償のものとなると、DASTは先程のSecurityBlanket、AppScan、Nessus、Vex、VAddyが挙げられると思います

SASTになると、RIPS TECH、Contrast Securityなどでしょうか。

上記のようなツールを用いて、セブン内で脆弱性診断を実施することでセキュリティの知見を高めたり、内部で完結させるための動きを取っていたかもしれません。

こういった動きは結構色んな組織で見受けられます。外部の手を借りずに診断ができれば、関係者間の調整も楽ですし、それと比べると費用も安く済みますからね。

ただし、社内のエンジニアに任せる事になるため、片手間になってしま可能性があります

また、ツール使用方法についてのノウハウは溜まるかもしれませんが、それとセキュリティの知見が溜まるかどうかは別の問題としてあると思います

・・・とは言ってもセブンにはCSIRT部隊ちゃんとあるんですよね。

https://www.nca.gr.jp/member/7icsirt.html

『7&amp;i CSIRT は、7&amp;i グループCSIRT として設置され、グループ企業に対してサービス提供しています。』と記載があります

また、『7&amp;i CSIRT は、7&amp;i HLDGS. の組織内に専任要員を以て設置され、インシデント発生時の対応だけでなく、インシデント発生の未然防止にも注力しています

グループ企業情報システム部門と連携し、7&amp;i グループ内で発生するインシデントに対する未然防止のための調査分析リスク情報の共有、ならびにインシデント対応活動を行なっています。』

という記載もあるため、今回の7payも、7&amp;i CSIRTが動いてセキュリティ関連のチェックをしていたのではないかと思います。「情報システム部門」とはありますが。

組織図上にはありませんが、デジタル推進戦略本部の下か、リスクマネジメント委員会情報管理委員会のどこかに所属しているんじゃないかと思われます

日本CSIRT協議会にも名を連ねているわけですし、CSIRTメンバー専任要因ともありますし、セキュリティ関連の技術知識は十二分にあると思うんですよね。

なので、内部でツールを使って実施していたからといって、こんな重大な不備を見逃すというのはちょっと考え辛いなあ・・・と思います

会見内で言われた二段階認証検討事項に上がらなかったのかなあ・・・と。

まあ、今でも機能しているのであれば、の話ではありますが。

で、これを書いている最中に気付いたのですが以下のようなリリースが出ていたんですね。

https://www.7pay.co.jp/news/news_20190705_01.pdf

これを見ると内部のCSIRT機能していなかったか力不足判断されたかどちらかになるのかな・・・と。

実際はどうだかわかりませんけど・・・

診断を実施したがどこかで抜け落ちた

これも有り得る話かなあ・・・と。

関係者が多いと情報共有にも一苦労です。

開発やベンダCSIRT部隊情報共有したとしても、POが忘れていたとか、伝えたつもりが曖昧表現で伝わっていなかったとか・・・

ベンダ実施して指摘事項として伝えていたけど、いつの間にやら抜け落ちていてそのままサービスイン・・・というのもシナリオとしては考えられますね。

問題認識していたが上申しなかった/できなかった

7payは社内的にも一大プロジェクトだったはずで、スケジュールも決まっている場合、余計なことを物申すと手戻りや対応時間を取られることになります

そういった事を許さな空気が出来上がっていると、まあ中々上には上がってきづらいです。

これも十分にありえる話ですかね。ないといいんですけど。

セキュリティ審査自体が、情報セキュリティ基本方針個人情報保護方針に沿った内容かどうかを確かめただけだった

どうしても『審査』という言葉に引っかかっています。『検査』ならまだわかるんですが。

そこで思ったのですが、情報セキュリティ基本方針個人情報保護方針を元にしたチェックリストのようなものセブン内にあって、それを埋めた・・・みたいなことを「セキュリティ審査」と言っていたりするのかなと思ってしまったんですね。

でもこれはセブンペイの社長個人情報保護管理責任者ということで、ISMSPMS等で慣れ親しんだ単語である審査』を使っただけかもしれません。

そもそもそれで終わらせるなんて事ないでしょう。セブン程の企業・・・

そもそもやってない

大穴ですね。いやこれはないと思いますよ。あったら大問題じゃないですか・・・

というわけで、なんとなく「こうだったりして・・・」みたいな事をつらつら書いてみました。

そういえばomni7で以下のお知らせが上がっていましたね。

https://www.omni7.jp/general/static/info190705

『定期的にパスワードを変更いただきますようお願い申し上げます。』とのことです。CSIRTはもしかしたらもう機能していないのかもしれないですね。

もしくはわかりやす対策提示しろと言われたのかもしれません。それなら仕方ないんですけど。

パスワード定期変更を推奨する因習はいつ消えるんでしょうか。

以上。

以下追記 2019-09-08

一部typoとか指摘事項を修正しました(役不足力不足 etc)。

ついでに時間経ってるけど追記します。もう誰も見ないでしょうけど。

所詮「人のつくりしもの」だよ

監査なんて取り揃えた書類通りになっているかどうかなので、監査受けているかセキュリティ的に大丈夫ってことじゃないよ

そんなに監査が万能なら監査できるくらいの人が作り出せば完璧になるはずだろ

ちゃんと読んでいただけましたか?全文通して私の主張が「監査をしっかりやれば防げた」という意味と捉えられているのでしょうか。そんなに分かりづらい文章を書いた覚えもないのですが・・・

一番上でも記載していますが、私は今回の7payの「セキュリティ審査」は、「脆弱性問題がないか審査の事」、つまり脆弱性診断」を指していると仮定して本エントリを書いています

そういう意味で、ここで私が指している「審査」と貴方が指している「監査」は似て非なるものです。字面は少し似ていますがね。

監査貴方記載する通り「ある事象対象に関し、遵守すべき法令社内規程などの規準に照らして、業務成果物がそれらに則っているかどうかの証拠収集し、その証拠に基づいて、監査対象有効性を利害関係者に合理的保証すること」です。

貴方の言う「監査」に近いことは「セキュリティ審査自体が、情報セキュリティ基本方針個人情報保護方針に沿った内容かどうかを確かめただけだった」の見出し部分で触れていますが、それで終わらせているわ このエントリーをはてなブックマークに追加ツイートシェア

anond:20190705232802

Web系は楽しそう、スクレイピングとかtwitterapi叩いてとか興味あるよ。

ただこれだけでは面白くないかな。

誰で使える自然言語ライブラリとか、AIライブラリとかあれば夢が広がりそう

2019-06-26

Slackって Enterprise Grid プランしか監査ログ確認が出来ないの?

MSSlackEnterprise Grid以外のプラン使用禁止したニュース見てSlack仕様公式サイト確認して衝撃を受けたのが掲題の件。

公式サイトドキュメントのどこを見てもEnterprise Grid以外のプラン監査ログ確認する方法が出てこない。

しかも、Enterprise Gridですらweb管理ポータルから確認できなくてAPI叩いて取得するしかないって書いてあるんだけど、ドキュメント翻訳が遅れてるんじゃなくて、マジでそうなのかな?

プラン比較で「企業に最適」とか書いてあるプラスプランは1ユーザーあたり1年契約で1600円/月 × 12ヶ月で19200円/年も払うのに監査ログ確認できないとか流石に嘘だよな?俺の探し方がマズいだけだよな?

これがマジだと、MS判断妥当どころの話じゃなくて、ある程度の規模以上の真っ当な企業だとEnterprise Grid以外のプランの使えないんだけど。

誰か知ってる人居たらマジで教えて。

2019-06-23

私はAPIになりたい。

初対面の会話が苦手だ。

何を話せば良いかからない。

そもそも、何も知らない相手が何を聞きたのか想像できない。

聞かれたことにだけ答える

そんなAPIに私はなりたい。

アーカイブ ヘルプ
ログイン ユーザー登録
ようこそ ゲスト さん