catatsuy's Picks Vol.7
Go
Go 1.24の新機能os.Rootについて。openat2システムコールを利用。Goのディレクトリトラバーサル対策がどうすればいいのかよく分かっていなかったので、やっとデファクトスタンダードが出てきたという印象。
Security
tj-actions/changed-filesが危殆化。token系を読み込むという予想通りの攻撃。ghコマンドを活用するなど、3rd partyのActionsは一切使わない方が安全だと思う。
OpenSSL 3.1.2がFIPS 140-3認証を取得。NISTの認証。OpenSSL 3系を使える団体が増えそう。
LibreSSLはFIPS取得に興味がなさそう。おそらく支援者がいればやるのではないか。
電話番号偽装についてのまとめ。具体的に整理されていて分かりやすい。
BIMIは証明書の取得に結構お金がかかるので、どこまで広まるのか気になる。マイクロソフトの動向も注視したい。
SSRが一般的な時代。バックエンドをPHPなどで実装している場合、PHPのsession実装が利用できないことを意味するが、その点についてあまり議論されているのを見かけない。みんなどう実装しているのか気になる。
個人的には、異なるシステム間でのsession管理を真面目にやるなら、Cookieに入れたトークンか、そのトークンに紐付いた内部通信用のトークンを使って、sessionを取得する別システムを作る必要があると思う。しかし、この実装は内部通信が非常に多くなり、難易度の高いシステムになる。現実的には、JWTを利用して、JWTに必要最低限の情報を含めて、追加の情報が必要になれば内部通信で取得する形が良さそう。
Cookieに入れたトークンを内部通信用の有効期限が非常に短いJWTに変換して利用すれば、割と安全に実装できる。しかし、この変換処理を行うシステムへの通信がほぼすべてのリクエストで発生するため、内部システムへの負荷が大きくなる。
簡易的な実装としては、CookieにJWTをそのまま入れ、それを内部通信で引き回す方法も考えられる。しかし、この方法では発行の手間がユーザー側にかかる上、通信頻度を制御できないため、有効期限を短くするのが難しく、セキュリティ面で一定の妥協が必要になる。
Cloud Service
一気に機能が増えている。さくらのクラウドがガバメントクラウドになると、できることが増えそうで楽しみ。
DB監視にAIを活用。監視はAIで自動化していきたいので期待。
CDN
103 Early HintsがProposed Standardに。実際に使われ始めているので、Standardになるのも時間の問題か。
AI
また新しいAPI。日本語の告知もしてくれてありがたい。
Cloudflareによる生成AIサービスのランキングなど。こういう情報を公開してしまうCloudflareは本当にすごい。
ついにGoogle Meetの議事録機能が日本語に対応。ずっと待っていた。
Frontend
話題のTypeScriptコンパイラがGo実装に移植。
TypeScriptコンパイラがGo実装に移植される件についてのマイクロソフトのブログ。
TypeScriptコンパイラのGo実装移植についての議論をChatGPTにまとめた。おもしろい。
ついにNotoフォントがWindowsに標準搭載。これはWebの前提も変わる気配。
Database
力作のエントリー。便利に使えそう。
MySQL 5.7のサポートは終わっているが、Perconaがサポート継続。それだけ需要がありそう。
MySQLのALTER TABLEについてのまとめ。明記されていないが、lock_wait_timeout を変更することで、長時間のmetadata lockが発生した際にエラーにできることを知った。
Etc
ついにヘボン式が基本に。明らかに形骸化していたので、実態に即した形になるのは良い。
Hobby
最近、腰のリハビリに通っているので、テクノロジーで解決する流れが来てほしい。
完全犯罪になりかけた事例。
楽しみにしてた展示。
Discussion