風邪と回復
こんばんは、Replay.fm第8回です!
こんばんは
こんばんは、お久しぶりです
お久しぶりです。ご無沙汰しておりました
ご無沙汰してます。2週間ぶりですね
何があったんですか?
サボってたわけじゃなくて、めっちゃ普通に風邪引きました
いやー
いやー
おかえりなさい
おかえりしました
いやー
なんかねー、そう風邪引くのはいいんですけど
いや、良くないんですけど
ちょっとMTTRが伸びすぎてですね
3日ぐらい会社を休むっていう
普通な風邪で3日は痛ぇなぁ
そう
まぁなんか一応症病休暇が用意してもらってるから
まぁあのなんだろうな
風邪を引いた時の注意点
まぁ有給休暇は無傷で義理すんだんだけど
その月曜頑張って出社して
あ、無理だっていうか熱出て
火・水・木休んで金曜に治って
まぁ治ったなら出社するかって感じで出社したけど
別に月曜でさ風邪ひく前の仕事にならんじゃん
そう
なんか通常時でも思い出して終わるのに
で金曜日も3日間ドロドロで出社して
メンション見て
あ、もう明日は土曜かみたいな気持ちで
すごいね微妙に
いやちゃんと働いたけど
生産性の低い1週間を過ごしてました
会社員とフリーランス
いやまぁあるよね
なんか会社員でよかったなーって思うよね
会社員でよかった
そうだね確かにこれ
多少
どうなんだろう
フリーランスだと
まぁでもそうか
締め切りとかあったりするときってことね
だってもう替えが近いんやん
確かに確かに
そうだよな確かに
3日間会社に金払ってもらってるようなもんでもあるのか
まぁっていうのもあるけど
多少さ波があっても
まぁまぁまぁ趣旨によるんだろうけどさ
僕らの場合はまぁ
そのどうしても体調が悪いときとかは
ある程度波があっても許容されるというか
確かに
休めっていう話ではあるんだけど
弊社あざっす
みんなの恩者に感謝
はいやりましょう
やりましょうか
というわけでね
今日は1週間お休みしちゃってたので
ちょっと迷ったんだけど
2回連続で撮って2回分けて出すか
2週間分まとめてやるかちょっと迷ったんだけど
2週間分まとめてやるっていう形で
今回はお送りしていこうかと思います
細く長く続けていく所存で
はい
まぁ不思議なことに
2週間分なんて絶対
なんか時間すごいことになるやんと思ったんだけど
意外と日の数がね
そこそこで済んでるのが興味深い
波がやっぱありますね
風邪ひいてるからあんまり探せてないんじゃない?
そもそも
いやでもね一応ちゃんとフィードリーはね
全部目を通したはず
偉すぎる
すごい偉い
いや我ながら偉いなと思って
いや風邪ひいてるからね
いやなんかね
すごい中途半端な話だった
まさにそのあのね
仕事はできないけどその
この記事は後で拾おう
拾わなくてもいいやのその
うーん
仕分けができるんだよね
ベッドに横になって
スマホの画面うつろに眺めるぐらいはできるみたいな
そうなんか完全にもう
何もできないぐらいまでではなかったんで
サマリーとかは書けないけどね
そうそうそうそう
はいじゃあ上から順に
いつも通りやっていきますか
はい
これはどう
体調管理の重要性
今回ね必然的に僕が多めなんだけど
たぶん
確かにお願いします
ウェブサイトのAI学習利用を拒否する
ロボット.テキスト拡張の議論
アスノカゼブログさんの記事ですね
ウェブページがAIにより学習されないように
拒否できるようにしようっていう議論があるらしくて
マヨはクローリングを拒否するロボット
クローリングを拒否っていうか
必ずしも拒否じゃないんだけど
クローラーの動きを制御するような
クローラーに対してあれはしないで
これはしないでこれはしていいよ
みたいなのを支持するようなロボット.テキストと
似たような形
あるいはロボット.テキストそのものを拡張する
っていう形でAIに学習してもいいかダメか
みたいなのを支持できるようにしよう
っていう議論があるらしいです
アスノカゼブログさんでは
3つ提案があるよっていうふうに紹介してくれていて
SpoingとMicrosoftとGoogle
それぞれが提案している状態だよっていうふうに
書いてくれてます
Spoingっていうのが
なんかよくわからない
どっかの会社なんだけど
全然知らない
僕は知らない会社で
AI絡みの会社だと思うんだけど
これがいいんじゃないですかっていうのを
提案してくれてるらしい
トップレベルにAI.テキストっていう形で
ちょっと例を見る限り
ほぼロボット.テキストと同じ
なんて言ったらいいんだろうな
フォーマットで置くっていうのが
提案されているのがまず一つ
MicrosoftとGoogleはロボット.テキストを拡張しましょう
っていうふうに提案してくれていて
Microsoftは
なんて言ったらいいんだろうな
ちょっと複雑で
なんかちゃんと提案を
プロポーザーをちゃんと読まないと
よくわかんないんだけど
目的ベースで
AIトレーニングを
アラウーAIトレーニングとか
ディスアラウーAIトレーニング
多分ディレクティブを指定できるようにする
っていうような形にしてるんじゃないかと思うんだけど
拡張提案してますよと
Googleがまたちょっと違った形で
ロボットとテキストの拡張をしようっていう提案を
これもMicrosoftもこれも
GoogleもIETFに出してるっていう形みたいです
ユーザーエージェントパーパスっていう形で
目的別に許可拒否ができるようにしましょうよ
っていうのを出してるらしい
一応各ベンダーが
AIが見に来たのがわかるように
ユーザーエージェントを公開してくれてるらしくて
例えばOpenAIとかAppleとかが
実際公開してくれてるらしくて
それを見て何か処理をするっていうのも
一応できるようになってるみたいなので
多分ロボットとテキストの
既存のロボットとテキストの使い方だけで見ても
クローラーとして動く分には
そもそも見に来させないっていうのは
できなくはないんじゃないかなっていう気もするので
あえてこの仕様が
この拡張が必要なのかどうかっていうのは
ちょっと僕には何とも言えないんだけれども
そういう投稿がありますよという記事でした
ありがとうございます
健康と生活の影響
確かになんだよな
有影響
クロールしてほしくない人って
このページはオッケーだけどこれはダメみたいな
そんな設定するモチベないよな
多分何でもいいからクロールしないでって
なる気がするけど
そこはクロールさせようっていうところになってて
ロボットとテキストだとホワイトリストで指定するのが
理想というかベストプラクティスではあるんだけど
これがどうなるかなっていうのはちょっと気になっていて
同じ考え方でいくと
多分ほとんどAIの拡張に使えなくなっちゃうだろうな
と思うんで
でもそんなことはないのか
必ずしもそんなことはないのか
どうなんだろうな
どうなんだろうね
あとはユーザー遺伝と
全部追っかけるのは無理だろうなっていうのを考えると
確かにこういう仕様は絶対必要なんだろうな
まあね確かに
これどうなんだろうな
これなんか今ってダブルゲットみたいなノリで
コマンドラインからLMに食わせるみたいにできたりするようなやつってあんのかな
コマンドラインツール自体はあるよね多分ね
学習させるってこと?
学習か
学習って意味なんないね確かにね
うんベンダー側が
ラグみたいな技術も多分あるけど
多分わからない一般ユーザーが
触るようなものじゃない気がする
確かに確かに
あーちょっとどうなるのかなんとも言えないけれど
まあなんかでも動向としてはかなり興味深い
そうだね
なんか別の記事で
そのクロール勝手にすんなみたいな
なんか訴訟云々みたいな記事があった気がするから
まあそういうところのディスクレーマーじゃないけど
いやーでもなーまあ難しい問題ですね
なんか今これを決めちゃうのがいいのかどうなのかが
ちょっと僕はよくわかんなくて
その心は?
まだ過渡期じゃないっていう
まあでも今必要っていうのもわかるし
まあ難しいとこだよな
そうだね
なんかどんぐらい見えづらいのがやだね
なんかそのクロールされてるとして
それがなんかどれぐらいその
まあねチャットGPTの役に立ってしまってるというか
まあフリーライドすんなよみたいな感覚を持つ人とか事業者も
まあいる気持ちはわかりつつ
なんか実際にどうされ
なんか活用されてるかはブラックオークスだからね
なんていうか
いやーまあどうだろうね
3年後ぐらいにはみんなもう
ロボットセットテキストなりで拒否設定して
なんていうか
無視してクロールしたりするディストピアになってたりしないかな
いやー普通にありそうだよね
普通にありそうで許可してるところは逆になんか怪しいみたいな
その学習を汚染したいみたいな
そういうニーズでしか使われてないとか普通にありそうだ
そうそれはちょっと思ったんだよ
なんか現実で可能なのかわかんないけどさ
そのフェイク情報みたいなの大量生産して
クロールさせてみたいな
こう学習させるとか普通になんか
実際まあどうだろうな
そのインターネットの海の母数考えると
成り立たないかもしれないけど
怖いなと思ったりしますね
いやーこれまあでも
これどっからこういう情報を引っ張ってくるんだろうな
すごいよね
なんか相当いろんなものを追っかけてない
多分ITFに投げられてるプロポーザルとかを追っかけてるんだと思うけど
そうだね
こらすのカゼブロックさんは
使用系結構引っ張ってきてくれてるもんね
ありがとうございます
じゃあ次は
これ僕が3分前に追加しちゃったんで
あのサマリー書いてないんですけど
まあ3分前でもちょっとサクッと読んでおきたいなと思って追加して
えっとトリフセキュリティ
トリフセキュリティブログでいいのかな
の7 spooky places your secrets leak onlineっていう記事で
何かっていうと見逃しがちな
そのシークレットがオンライン上に露出しちゃう場所みたいなものを
7個挙げてるって感じで
まあおもろいなと思ったんで
まあサクッと紹介できようって感じなんですけど
えっとですね7個がまあ書いてある通りで
詳しくは多分読んでくれって感じなんですけど
まあ1個目がフォークしてそれを削除した後の
リポジトリ実は残ってますよみたいな話があって
消したつもりになってるけど残っちゃってるから
そこにシークレットあったらアウトだよみたいな
まあなんかそういうようなネタを7個並んでるって感じ
1個目がdeleted forks on githubで
2つ目がprivate forks on githubで
これは
あーこの図えそこなの
プライベートリポジトリをプライベートでフォークした後に
元のフォーク元のプライベートリポジトリを
パブリックにすると
プライベートフォークしたほうのコミットが
パブリックになるらしい
これやだな
これまじか
へー
いやでもこれはしょうがないのかな
なんかその最近知った仕様なんですけど
パブリックリポジトリを
プライベートリポジトリとしてフォークできないんですよね
なんでその仕様に引っ張られてるのかもな
なるほどね
まあでもこれは
あれかな運用ミスとかで起きるのかな
自社内のプライベートリポジトリをフォークして
実際起きるかわかんないけど
へーって感じはしますね
あとは僕Azureは昔からないですけど
プライベートフォークs on Azureリポジトリっていう
Azureのほうでも似たようなことが起きるらしいと
いうのとか
あーこれはなるほどなと思ったんですけど
ポストマークワークスペーシズっていうのが
あー
あって
まあちょっとちゃんと読んでないんですけど
ポストマークってAPIリクエストとかの
自動化とか簡単に解決するだとか思うんですけど
あの辺でおそらくワークスペースの機能があるのかな
そうですね
うん
コラボレーションとかのワークスペースの機能があるけど
まあこの辺とか設定なり読みすると
露出しちゃうよとか
これ何
GitHubのリポジトリが向こう側に
クローンされて残ってるってこと?
あー違う
ポストマークにそもそもあれか
シークレット置いてるってことか
あそうそうそうそう
そうだね
あとは消したブランチの
GitHubで消したブランチも
実は復元できるよみたいな
復元用のコマンドがある
これ面白いね
うーんこれはね
知らなかったな
まあどっかで残ってるとは思ってたけど
復元できるんだね
デリテッドブランチ
デリテッドブランチですよっていう
見え方をしてるよね
あーそうだね
しー
いやでもそうだね
なんかねハッシュ
デリートされたブランチのコミットに
たぶんたどり着けるリンクはないんだけど
ハッシュを直打ちすると実は見れるっていうのは
この前発見した
でもなんかね
そうするとこのハッシュは
デリートしたブランチのやつだから
要するにGitHub上にある
GitLogの
ヒストリーから外れた
浮いてるやつになってるから
おかしいですよみたいな
ワーニングは書いてあるんだけど
まあでも見れるのは見れたって感じ
かな
あーそうね
であとはエディットコメントオンGitHubっていう
GitHubのコメント編集履歴は見れるよっていう
まあこれはまあ
まあ知ってるでしょっていう
これはなんかそうね
シークレットに限らずだけどさ
Google Docsはなんか
履歴当たったりするよね
そうだね
ちなみにこれわざわざ
このブログ書いてるくせに
TreeFogは
編集前のシークレットはね
ディテクションしなかったです
オープンソース版に関しては
検証しました
検証したっていうか
検知されて
編集してみたら検知されなくなっちゃったから
オープンソース版は無理でした
書きにしないといけないかもしれないです
APIから触れないとかじゃないのかな
あーあるかもね
あんのかな
まああるかもな
こんなそうだね
ヒストリーの提供APIなんて
わざわざ作んないかもね
あとは
これはこの前の記事のやつですね
Base64エンコードされたシークレット
コミットすんだよみたいな話ですね
って感じで
まあ知ってるはいいってこともあれば
なるほどねっていうのもあったんで
パブリックインターネットに
プッシュすんなって話につけるかなって
気はするんだけど
いやでもこれさ
結局
まあね
うーん
これって結局プッシュしちゃったものは
リボークしましょうね
インバリデートしましょうねって話につけるよね
どっちかっていうと
あーそうだね
だからセーフってやるとアウトっていう話だから
どっちかっていうとそれが全てだよね
そうだね
現実問題としては
なるべく検知しなきゃいけないし
検知できたら
ローテしましょうっていう
ローテリーボーク
すぐ入れましょうねっていう感じかな
それが全てですね
まあ結構なんか便利テクが
多いっすね
そうだね
このコマンドは
レッドチームとかはよく使えそう
確かに
結構ね面白いなと思いました
はい
サンプルはね
次は
これは僕かな
えーっと
僕のやつで読みますけど
オーバー
オーバーサーザン
オンラインショップ
フェイクプロダクトリスティング
っていう
プリピンコンピューターの記事です
で何の話か
どういう記事かっていうと
正規のECサイトの商品データに
ニセルのデータを差し込んで
フィッシングサイトに誘導する手法が
なんかフィッシング
フィッシングチップスっていう名前の
キャンペーンで
攻撃として展開されている
フィッシュ&チップスを持っている感じなんだね
あーなるほどね
フィッシュ&チップス
オシャレすぎるな
安全にオシャレだな
で何の話かっていうと
まあ手法は
多分様々っぽくて
基本的には何かしらの脆弱性がある
ECサイトが狙われて
侵入なり
ウイルス感染なりして
その後に
なるべく割れないように2000の製品リストみたいなのを
ECサイトの商品リストに
ぬるっと追加していて
そこが
なんていうか
フィッシングサイトへの入り口になるわけ
なんでSEOの最適化とかをめっちゃ頑張って
検索になるべく引っかかるようにするとか
なんかそういう個推
ようなそれっぽい商品データを上げていて
でお客さんが
正規のECサイトだと思って
その商品ページに行って
購入のボタンを押すのか
そのどのリンクを押すのか
わかんないですけど
あそこ行くと
同じサイトを模したフィッシングサイトに誘導されて
最終的に個人情報とか
決済情報とか盗むよっていう話
でしたと
今はなんかその
Googleに
リサーチをした会社
が報告をして検索結果からは
もう排除されてるんで
検索流入での被害はないよ
って話と
あと侵害されたってわかってるECサイトも
ほぼほぼ全部クローズされてるらしい
なんか被害規模がわりと
オーバーサーサンドって言ってる通り
1000以上のECサイトがやられて
運満人だったかな
被害あった人が
みたいなことが書いてあったと思いますね
なんでわりと
被害範囲はデカめ
みたいな感じの記事ですと
個人的にはなんか
小技章とか別に斬新じゃないというか
あれなんですけど
なるほどなというか
結構
大胆というか
大胆だけど
成功しちゃったら結構
防げないよな
って気はしているし
あとなんかこれじゃあ自分の
うちとかネットスーパーのやつなんで
ネットスーパーのデータベースに変なデータが
ある日入った時にそれ検知できるか
って言われると
どうだろうなと思って
結構アプリケーション作りとか
によっては
気づくの難しいパターン
あるかもなっていうのはちょっと思ったり
したって感じですね
MRC Vegas 2024のイベント
1000以上のサイトがやられちゃってるし
そもそも前段の侵入されたってところで
検知できてないのが多分問題だと思うんですけど
なるほどって思ったって感じですね
はい
丸ごと飛ばすのはなんでなんだろうね
ここまで入れてて
PHPで動いてるんだったらなんか
うーん
あー
あーなんかウェブスキミングをするとか
そうそっちの方が
効率良さそうだよなって思う
確かにね
なんでだろうね
うーん
そこまでは
侵入できないけど
ファイル起きるってことは
書き込み権限も取れてるよな
そこ
そうだね
割と何でもできるだろうね
気になったのは
なんかちょっと面白いね
うーん
なんか
なんか
ファイル起きるってことは
書き込み権限も取れてるよな
そこ
そうだね
なんかちょっと面白いね
とりあえずでも
事実こういうやり方をしてますね
っていうのは
そうだね
まぁちょっと紹介してみました
元のレポートあったら
後で読んでみようかな
いや興味深い
うん
はい
じゃあ次は
えっと
NRIセッキュアさんのブログで
MRC
MRC Vegas 2024参加レポートの
前編後編
2期人なんですけど
まぁつながってるんで
まとめて紹介しようかなと思って
ノーション上ではまとめてます
で タイトルの通りで
MRC Vegas 2024
っていうイベント参加レポートで
で この
えっとですね
このイベント自体は
世界各国の
クレカの加盟店が
中心となって設立された
マーチャントリスクカウンシルっていう
団体があるらしくて
それの主催イベントらしいですと
アメリカで4日間開催されてて
えーっと
まぁ
ペイメント周りの
あれかな 決済の最適化とか
不正利用の報酬とかリスク管理みたいなところ
を活動目的としてるんで
イベント自体もそういう性質を持つっていう感じですね
うーん
で 前 別のイベント
なんだっけな
ブラックカットとか あの辺の感じと同じで
イベントの様子と
セッションレポートみたいのがあるんですけど
まぁいくつかちょっと個人的に へーっと思ったのが
このかいつまんで
話すと まぁ一つが
えっと
セッションレポートの1で
アプレイベックフォーカスタマイズング
オーサリゼーションスタレテージってやつで
EMV3Dセキュアについての話で
内容のほとんどは
この辺
キャッチアップしてる人はまぁまぁまぁなんていうか
知ってる話
がほとんどというか
EMV3Dセキュアとはなんぞやとか
その状況みたいなところなんですけど
えーっと
なんか規制観点だと
欧州は結構条件付きで
認証をスキップできるみたいな
ことが書いてあって
一方でなんか日本はガイドラインに
免除に関して言及がなく 相対的に日本の方が厳しいみたいな
ことが書いてあって
だからなんか有識者に聞きたいんだが
なんか日本もなんか一定条件
というか割と
事業者のさじ加減で認証スキップできる認識だったから
どうだったっけな
みたいな思いつつ
まぁまぁっていうところと
あとなんか加護ウォッチリスクと不正決裁のリスクのバランスを取ろうねっていう話に
終始してて まぁそうだねっていう感じ
で
なんかこのバランスを
歳を取ると風邪が治りにくい理由
全体でやんなくていいよ
っていう話なんじゃないか
全体でやんなくていい
あぁでもそんなことないのか
なんかね書きぶり的には
その
なんだろうね
国内の方も
なんか別に
第5.0版っていうので変わったのかな
5.0版でね
変わったんだけど
変わったのは原則入れろっていう話
だから入れたら
ちゃんとやんなきゃいけないし
その
伸びたんだよね
必須なのが
なんか2025年3月から
もうちょっと伸びて
まず伸びたっていう話と
ぐらいしか多分
差分がない認識で
明示されてない
っていうだけの話のような
気がするんだけど
ある程度その各社に
その辺の
なんか
うーん
もしくはこの
欧州のヨーロッパの方が
結構明示的に書いてあるのかもね
こういう場合はもうやんなくてオッケー
みたいな書き方をしてるのかもしんない
まぁ確かにそうなんであれば
まぁ日本の方が割と
ちょっと
そうであればそこはそう認識は
ズレてないっていうか
うん
はいごめんなさい詐欺しちゃいましたが
全然いいっすね
でまぁこの過誤値
まぁ売上落ちるリスクと
不正のリスクのバランスで
風邪の回復にかかる時間
でこれを
じゃあ現実問題みんなどういう選択してるのか
で言うとまぁイギリスドイツイタリアスペイン
といった国では約9割の取引で
SCAが免除されてるとの
報告がありますって書いてあって
SCAっていうのはその要するに認証
みたいなところですね
なんでまぁ結構多いなって
個人的に思って9割
9割かみたいな
なんか
まぁでも
いやぁまぁその不正決
そうだよなっていう
なんか仮面店目線
そのリテラシーがないとか
危機感が低いとかあんまり被害に
合ってないとかだったらまぁ確かに
やって売上落ちんならやらないわみたいな
スタンスとかは
あんのかもなぁってちょっと思った
この9割の背景みたいなとこあんまり
言及がなかったんですけど
というところですね
9割
9割なんか体幹部がちょっと
多くない?って思っちゃったんですけど
これってあっちでもさぁ
その
3Dセキュア
まぁ石破厚号の話もあると思うんだけど
3Dセキュア入れてればチャージバック
なしでいいよみたいな面積
あったりするのかなぁ
あるんだけど
あるんだけどこのSCAを
免除っていうのはもう
3Dセキュア自体を実行してないから
不正決であったら
加盟店の責任
100ゼロで
加盟店の責任になる
そこがもしない
そもそもそのチャージバックの免除がない
だったら別にやる意味ない
一生思ったんだけど
多分あるはずかな
それがね
いい感じにその参加セッションレポート2の方で
若干振り回れてるんで
よかったよかった
こっちの方が面白いなぁと思ったので
話しちゃいますけど
これはちゃんと
セッションのレポートで
割とタイトルがいい感じに
内容を言ってるなと思ってるんですけど
チャージバック問題の話で
まずチャージバック
大変ですと
医者も加盟店も大変って話で
まず医者に関しては
結構大体のお客さんが不正利用されたときに
加盟店じゃなくて
連絡をしてくるので
その事務所員に追われていて
仕事にならんというのが
ざっくり返って困ってると
FRBっていう
なんかちゃんとした探偵の調査
で
詐欺取引の損失
すみません
ちゃんとした探偵
あれかな
ちゃんと書いてある
FRB
米国連邦準備制度理事会
そうですね
では
詐欺取引の損失の33.5%を
医者が負担してるらしいと
一方で加盟店も大変で
詐欺取引の損失の
こちらは医者よりちょっと
47%は加盟店が結局
負担してますと
そのアクアエラー経由で
医者に書類を提出しなきゃ
多分いけないんですよね
不正利用不正決裁になりましたので
この取引でこれで
その書類を提出する際に
高い手数料
払わなきゃいけなかったり
またその書類を作ること自体のコスト
っていうのが問題になってますと
で
このチャージバックの手続きの過程で
結構詳しく
記事を読んでもらうと
分かるんですけど
7ステップかな
流れみたいなものが書いてあるんですけど
その過程で
加盟店と一緒や
それぞれどれぐらいの責任分担をするのか
みたいなのを決めるプロセスが
あるみたいで
で
これを多分揉めて
カードブランドが仲裁入んなきゃいけないっていう
手前のプロセスで
事前仲裁っていうプロセスが
あるらしくて
記事中で言うと
7番のプロセスなんですけど
多分揉める前に
カードブランドから
あなたが
責任で責任取ってください
みたいな判断をするっていう話だと思うんだけど
ここの部分が
多分加盟店目線も一緒や目線も
証拠を揃えたりするのが
大変なんで
その証拠のフォーマットみたいなのを
ビザ側はCE3.0
っていう名前で標準化をしていて
書いてあるんで
読んでくれって感じなんですけど
例えば購入明細でこういうカラーも書いてね
とか過去の取引の証拠を
こういうものを出してねとか
そういうのを
ある程度標準化してて
マスターカードも同じような目的で
基準を公開する予定ですよって話が
書いてありましたって感じですね
なんで
大変大変だなっていう
僕らから見えてない世界
ですけど
っていう感じの記事でした
健康管理の重要性
俺もうちょっと見えてるべきなんだろうけど
あんま興味がなくて知らないんだよね
うーん
いや多分見えるか
僕らは加盟店の立場ではあるから
裏側ではもしかしたら
こういうことかもっていうのかもしれない
よね
うーん
記事中で触れられてた
気がするけど多分
欧米の方がやっぱ不正のボリューム自体が
高いから
課題の温度感みたいなのが日本より高いんだろうね
言うて日本もな
年々増えてるって話もあるし
だんだん
課題として大きくなってくるんだろうけど
またなんかこの
個人的に思ったのはこのチャージバックになった段階で
その事務処理に
コストが高いの
やっぱ不毛すぎるからやっぱ手前で
頑張って潰したいよねって気持ちで
そうね
思ったりは
加盟店の立場であるんだったら
まあ
いやでももう無理なのか
カード盗まえちゃったらとかあるから
まあでもむずいなと思いました
ちょっと
カード盗まれちゃっただけだとオンライン決済は
3Dセキュアあれば通せないから
ああ確かにね
うん
だからちゃんと3Dセキュア入れるって話になるのかな
3Dセキュア入れてもやられちゃったら
まあ
向こう持ちでっていうセリになるし
うん
なかなか
まあでも面白いイベントだなって個人的には
思いましたね
カードでこれなんだからさ
コード決済とか
無理だよなと
コード決済この辺
どうなってんだろうね
なんていうか
もう
全然わからんわ
一応なんか
プレカガイドラインとかには
コード決済のやつ
研究があったんですけど
読んでないんだよなチャット
あとは
サマリーに書いてないし話さなかったけど
まあもう一個
セッションレポートの話とかあって
この辺も面白いんで
まあ読んでみてください
結構ねあんま知識なくても
読めるんじゃないかな
いい感じのリュートの
いい感じのセッションをピックしてくれてる
気がするのか
まあなんか
このイベントの傾向がそうなのかちょっとわかんないですけど
完全にスルーしちゃってるから
読みますわこれは
ぜひサクッと読めると
はい以上でございます
じゃあ次
次私だ
私も一旦ここでおしまい
はいじゃあ次は
まあ詳しくないまま
頑張って読んだって感じ
なんですけど
Google
セフティ&セキュリティかの
カンパニーニュースなのかな
SAIF
セキュアアセスメント
A new tool to help secure AI systems across the industry
っていう記事でして
何かというと
冒頭で言ったSAIFっていうのは
セキュアAIフレームワークの略で
これを
作りましたって話ですね
でまあなんかね
100番一見に近づでそのサイトがあるんで
SAIF.google
っていう記事
サイトがあってそこを見るとね
わかりやすいんですけど
まあその
AIモデルを実装するときに
その安全性を保証するための
フレームワークですと
このSAIF
IF.googleでは
このフレームワークに
沿って
評価したときに
あなたのモデルの実装方法もしくは
ちょっとね
ちゃんと読み込んでないんだけど
アンケートを答えると
だけどそのモデルを利用して何かを
実装する立場の人に対して
その
何に気をつけなきゃいけないですよとか
何が担保できてませんよっていうのを簡易的に
出してくれるサイトになってたりは
します
この一番下の
take the self-assessmentっていうとこ押すと
そのまあセルフアセスメント
みたいなアンケート形式で
答えられて
モデルクリエイターとモデルコンシューマー
っていう選択肢があって
こういうふうに
なるほどね
yesのmaybeみたいな感じで
ちゃんとセンシティブデータ
運用してますかみたいな答えていくと
リザルトが出ると
リザルトはちょっとNotionのほうに貼ってみたんですけど
軽くやってみて
結果の形式とか
僕がやってみたやつだと
12個のリスクっていうのが
あなたの回答から
見られますと
っていうようなところがあって
それぞれのリスクに対して
簡易的な
ディスクリプションと参考になる
リンクみたいなのが貼られてて
どの質問に
答えたからこのリスクがあるよ
っていうものを
ピックしてくれてる
って感じですね
なんかでもGoogleらしい
なんだろう
表現できないんだけど
Google結構こういうのをよくやるような
っていうイメージがある
なるほどね 確かに
あとはこのExplorer the SAIF
マップっていうのが結構
いいなって個人的に思ってて
そのリスクを図に
起こしたものみたいなのがあって
データソースがあって
これを
トレーニングデータとしてモデルに加わせて
そのモデルを
アプリケーションが使うっていう一連の流れの中で
それぞれの箇所にどういうリスクがあるのかっていうのを
図解中間
してくれてるみたいな記事があって
これはね すごい
そうですね
AIモデルを
提供するような会社が
自分たちのモデル生成のプロセス
モデル利用のプロセスって大丈夫なんだっけ
っていうのを評価するときとか
モデルを作らずとも
でもどうなんだ 裏側は
ChatGPTですみたいになったときに
そのChatGPT
オタの利用の部分って
危なくないんだっけみたいなところ
とかを評価するのに結構使えるかもな
取っ掛かりとしてすごい
いいかもなと思ったっていう感じですね
LM使えるのかな
使えなくはないのか
使えなくはないのか
LM
ChatGPTとか
にも適用できる
できるのか
モデルのクリエーションとモデルの利用性値だから
普通に
ChatGPTだと
ちゃんと汎用的な
フローになってるのかな
そうだね このアンケート
アンケートっていうか
セルフアセスメントでね
コンシューマーのほうやると結構
分かりやすい
何個か
質問内容全然覚えてないんだけど
本当だ 書いてあるね
データセッツ
面白い
そうだね モデルに対するコントロール
データセットとかちゃんとやってますか
とか
おすすめです
なんか
これ自体がいいよね
っていうのもそうなんだけど
マップ
ああいうマップを書けるようになりたいよね
そうだね
いや分かるよ
いや書けるっしょ
こんな綺麗には書けないかもしんないけど
そうね
なんか
お上手って感じ
まあ
Google様ですから
すごいね
いいと思います
ぜひ読んでみてください
はい
次は
これか 記事は読んでないけど
話は分かった どうぞお願いします
久々に私の番ですが
Oktaが
AD LDAPの
Delegated Authenticationに脆弱性があったよ
っていうのを発表していて
ニュースリリースなのかな
なんか
記事なのかな
セキュリティアドバイザリーっていう形で
出してますね Oktaが
AD LDAPの
Delegated Authenticationという機能が
あるんだけど
キャッシュキーの生成に脆弱性が見つかったよ
って話で
いまいち仕様とかが分かんないんだけど
成功した認証の
キャッシュに対するキーを
生成して保存しているらしくて
要は
認証状態 Okta側が持っている
状態なんでしょうね
そのキャッシュに
アクセスするためのキーを
提供すると
提供した側が認証を通すことが
できるようになるっていう
感じらしくて
キーがユーザーIDとユーザーネームと
パスワードを結合した文字列の
Bクリプト生成されているが
52文字以上の
長さのユーザー名であるなど
いくつかの前提状況を満たすと
キャッシュキーが
要はパスワードなしで
キャッシュキーが
生成されてしまう状態が
成立するので
キャッシュキーが
悪用されてしまうよみたいな
話 要は公知の情報
パブリックの情報だけでキャッシュキーが
生成できてしまうよ
という話らしい
おだしょー ありがとうございます
知ってる人は
知ってると思うんだけど
Bクリプトがサポートするパスワードの長さが
72バイトまでなので
こういう問題が起こるよっていうのがあって
なのでユーザーIDが
20バイトなんでしょうね
20バイトプラス52バイト以上の
長さのユーザー名の場合に
52バイト以上ってことは
ごめん
21文字なのかな
違うな 嘘ついたわ
52文字以上 そうだね
53文字
ユーザーID
ユーザーネームの直後にパスワードが来るから
これで言うと
73文字目にパスワードが
来る状態が作れれば
常に固定の
パスワードなしの
キャッシュキーが生成されるから
ユーザーIDが20文字だってね
なるほどね
なるほど 理解したか
で
PHPの場合は
切り詰める実装になっていて
多くは裏の言語が何なのかとか
ちょっと分かんないんだけど
PHPの場合は
切り詰める実装になっていて
5の割とメジャーっぽいやつは
72文字を超える場合はこける
エラーを返す
とか 結構地味に実装によって
差があるので
気をつけないとねって
気づかずに使ってる場合は
えーと
そもそも論の話をすると
これって用途外の使い方じゃないですか
うーん
Eclipseってパスワードハッシュを生成するための
ものであって
ユーザーIDとかユーザーネームとか
固定の
プレフィックスがつくことを基本的に
想定してないはずなんですよね 用途として
なので
用途外の使い方をすると
こういう感じでまずいことが
起こるんだなっていう案件でございました
ありがとうございます
ちなみにDartは?
わかんねえな
調べるか
DartのBcryptは
どこ見たらわかるのかな
Bcryptが
その標準パッケージで
あんのかな そもそも
標準パッケージでないかもしんないですね
そもそも
うん ないわ
フラッタービークリフト
あるけど
実装によるって感じかな
パッと調べて2つぐらい出てくるから
でも
そうっすね イシューがあるからまだ
公式のSDKでBcryptはないっす
ノラのやつで
使うとしたら
これに引っかかんない
っていうのはちょっと意識しないといけないかも
2021年は最後に
アップデートがないから多分
入んないっすね
需要が フラッターとかでさ
使わないんだろうから
多分そういう意味で需要がないんだろうね
おそらくですけど
アルゴン2とかは
ないよね 多分ね
アルゴン2
うん
あー
どうだろう
アルゴン2はないと思うんだよね
文字数の制限が
ないと思うんですが
ウォースプでも
基本的にアルゴン2
文字数制限ないですね
へー
なるほどね
なので
今だったら別に
アルゴン2とか使えばいいんじゃないの
って思うんだけど
なんかワースプのチートシートに結構書いてあるかも
詳しく
へー
いやーこういうのさ
もはや読まなくなっちゃったけど
ちゃんと読まないとダメだね
うーん
いやーなんか1回ぐらい
いやでもすごい量あるな
なんか自分がかかりそうなものとか
僕はなんか
人生でまだ1回も目を通してないんで
なんかちゃんと目通したいとこがいいんだろうな
まあなんかさ
その難しいね
そのなんか
本当に難しいんだけど
こうBクリプト使っとけば
別に大丈夫だよって言いがちやん
うーん
まあアルゴン2とかさ
使っとけば安全だよって言いがちじゃん
ちょっとよろしくないなって
今改めて思ったわ
なんかちゃんと
自分で何が
何を持って
それが良いとされているのかっていうのを
ちゃんと理解して
説明できるようになったかないと
うーん良くないね
確かに
僕もあんまり説明できない正体感が
ものすごい
基本的な部分はさ
別にさすがに説明できるけど
うーん
ありがとうございます
はい
次もお願いします
はい
ASM導入を進めるためのガイダンス
基礎編ということで
えーっと
JNSAの
急ぐJっていう
株組織みたいなのが
そういう言い方をしていいのかわからないけど
ワーキンググループが
おそらく出してくれている
やつです
ASMって
Attack Surface Managementのことなんですが
それを導入するにあたって
検討を進めるための
ガイダンスっていう形で
えー
まあ難しいな
導入の手引き的なやつを出してくれましたよ
っていうものです
ブログ記事とかではないんですけど
まあ
ちょっと細かくは説明しないんだけど
ぜひ読んでみてくださいっていう感じですかね
うんうん
すごいなこれ
えー
ありがてえ
なんかいい
いいなっていう
なんかその
すごい偏見かもしんないけどさ
その
セキュリティフィードをざっくり読んでると
まあ
マーケティングワードとして
ASMっていう言葉を使ってる
漢字の記事も
なんか少なくはないからさ
こういうリソースは結構ありがたいよね
普通に
本質的に何がしたくて
何を解決できて
具体的にどうして
何に注意すればいいのかみたいな
体系だったり
なんかねざっと読んだんだけど
かなり歯不足なく説明してるなっていう印象があって
うん
ASMってそもそも何?みたいなところから
ちゃんと踏み込んでるし
うんうん
これはいいね
ASMって資産管理するためのプロセスであるのか
コンセプトであるのか
難しい位置づけにありますよねみたいな
ふわっとした現状もちゃんと説明してるし
うんうん
ASMって
うちに必要なのそれみたいな
話とかがちゃんと
わかるっていうのが
なんかいい具合だなっていう風に
うんうん
ありがとうございます
これはいいじゃないですか
最高の2週間だったな
これは
読もう
週末に読もう
そんなに長くない
読めるぐらいの分量なんで
ぜひ読んでみてください
ちなみにこれをfacebookに貼ると
スパム扱いされて投稿消されます
わかんない
僕も消された
多分だけど
ピッシングのさレポートでさ
その
正規のURLのサブドメインを
使うケースが増えてますみたいなのあったじゃないですか
これgithub.ioの
サブドメイン部分が
やたら長い文字列になってますよみたいな
多分その辺で引っ掛けられる
なるほどね
多分ね
SQLインジェクションとその影響
facebookさん頑張ってよ
URLだけ見たらそれ引っ掛けるよな
できませんではないので
なんとも言えんけど
安全外に倒してるんだろうね
はい
ありがとうございます
じゃあ次もお願いいたします
はい次がですね
White Rabbit Neo
High Powered Potential of Uncensored AI Pen Testing for Attackers and Defenders
という記事でございます
セキュリティミック
っていうところの記事ですね
えーと
ちょっとあんま時間なくて翻訳したのを
さらーっと読んだだけなんで
細かい部分の話はできないんだけれども
えーとペンテステム系の
ケースというかフィルターなしの
LLMを
出しましたよっていう
話
だいぶ前から出てたのかな
バージョン2.5って書いてあるから
で
それがなんで今出てきたのかとか
全然よくわかってないんだけど
なんかあるんですよっていう記事です
えーと
まぁなんか製作者も危険性がある
っていうのは理解してて
でも一方でメタスプロイトのAI版って
考えるとなんかバランスが取れるな
っていう風に納得できたらしいので
メタスプロイトも
当初は反感多かったけれども
最終的には攻撃者が
こうエクスプロイト書くのに
メタスプロイトの
エクスプロイトが出てくるよりも
早いケースとかもあったりするから
問題ないよねっていうのが
なんか出てからやっぱわかったし
今では別に誰もそんな
メタスプロイトは悪だみたいなこと
誰も言ってないよねっていう感じ
うん
確かにね
でなんか結構LLMの話も
この攻撃する側守る側
両面で使えるツールの話っていうのも
過去何度かこのポッドキャストで
扱ってると思うんだけれども
結構極まってきてる感じがあるな
と思っていて
個人的には割と
メタスプロイトとの比較で
かなりしっくりきたというか
これに関してはね
どうせその
前にもどっかで話した気がするけど
攻撃者側がどうせその
攻撃に使えるLLM
誰か作るでしょって話を
毎日聞かせてるんだけど
まさに
結局そうなるところまで
見越すんだったら守る側も
使わなきゃ追いつけなくなるよね
確かにな
守る側が
胸を張ってじゃないけど
なんか
妙なサービスを
使わずに済むっていうのはめちゃくちゃ
価値があることかもね
分かんないけど
フィルターなしのLLMで
攻撃をコード化したい
もしくはコード化された
前提でペンテストしたい
ってなった時に
こういうサービスがもしないとしたら
っていうか
よくわからんやつが
作ってるよくわからん
SSAIのサービスを探したり
自前でモデル組むとかもすごい
大変だしさ
求められてることではあるし
必要なものでもあるよね
遅かれ早かれって話だとは思うんだけど
いやー
まあいいんじゃないですか
正しい気はする
あとなんか
この2週間だったか分かんないけど
持ち込まなかったけど
SSAI使って結局
攻撃者もそんな別に
めちゃくちゃコードなことはまだできてない
みたいな記事をなんかで読んで
せいぜいフィッシングとか
の
メール文明作るとか
画像生成するとか
っていう話もありつつ
カオスなんだよな
一方で
GPT-4 MOだっけ
なんか
音声喋れるやつを使って
詐欺電話できるようになって
なんか
10%程度だけど成功しちゃうみたいな
リサーチもあったりして
なんていうか
あの時だなーって気はしますね
なるほどね
そういう時期においては
プロが
こうして作って出してくるっていうのは
もしかしたら
まずい側面っていうのはあるのかもしれないね
もしかしたら
もうちょっと枯れてから
まあまあある程度
何されるか分かった上で
みたいなところはもしかしたら
バランスが難しいですね
結局検閲ありで
安全性頑張ってます
ちょっとGPTが出して
それが悪意されてって話もあるから
これがあってもなくても
話は変わらないのかもな
議論を呼びそうだなと思うんで
紹介しましたが
これ知らなかった
カトキに生きてる感じがして
面白いですね
逆にこれについていけないと
振り落とされるんだろうなと思うので
どうしたらいいんだろうね
結構悩ましくない
あんままだ
信じ切れてないんだけど
自分で調べたり
自分で考えたりする
時間の節約程度には
使えるケースがある
それぐらいの認識
むしろ変な先入観が入る分
嫌だなと思うんだけど
個人的に
変なもの見せないでほしい
俺もたぶんまだ
うまく付き合えてない側の人間だけど
ケースはケースかな
向き踏み木があるから
置いてかれないためには
ひたすら使うしかない気がする
書き捨てスクリプトとかは
マジで便利だなと思うけどね
シェルとかさ
頭の中で全部汲めてるんだけど
その
APIとか暗記してるわけじゃないから
3,4個ググって作んなきゃいけない
みたいなパターンとかは
やらせちゃったりするな
マジで嫌すぎるな
なんかよくわからんものが入ってきた
コードを実行する気にならんわ
結局
俺らはコードを評価できる側だから
そうだね
時間の節約って話だけで
進むことが
分かるよ
分かる一方で
慣れてきたときにやらかしそうな気がしてて
そこは
差し加減っていうか
どこまでいっても
これは古い人間になって
いってしまうんだろうな
まずは使ってからやな
使ってるんだけど
もうちょっと使おう
ありがとうございます
この後さ
ほぼずっと俺なんだよね
頑張ってください
じゃあいきますか
次がアクティブレコードエスケルインジェクションクイズ
です
タイトルがキャッチーすぎて
好きなんだけど
会議オンレイル
なんか
やってたね
ペチパー会議の
イメージが強すぎるけど
レイルズの会議
会議オンレイルズなんすかねずっと
レイルズのカンファレンスだと思うよ
ずっとこの名前
レイルズ会議とかないのか
ルビー会議はあるけど
このレイルズ
ルビー会議と会議オンレイルズ
なのか
でも会議オンレイルズは
確かに
初めて見た気がする
一応2020年からやってますね
あまりにも
レイルズ会議はルビー会議との
接点が薄いから
分かりやすい
意図自体は結構長いんで
読んでくださいって感じなんだけど
レイルズのアクティブレコードのエスケルインジェクションの
あるあるケース
みたいなのなんか紹介してくれてる
発表です
どこだっけな
何ページ目だこれ
21ページ目か
エスケルインジェクションの脆弱性があるのは
どれ
findbyというメソッドと
whereというメソッドと
orderというメソッドと
existsというメソッドの4つを
例にしてどれが脆弱性が
ありますかっていうのを
クイズとして出してくれてて
面白い
このスライドの例でいくと
whereとexistsの
使い方がダメらしくて
裏で何が起きてるのっていう話を
ざっと紹介してくれていて
結構興味深かったんですが
まとめとしては
breakmanっていう静的コード解析をしてくれる
ツールが標準で今ついてるらしくて
それが一応
見つけてくれるらしいんだけれども
false positiveも多くて大変だよ
みたいな話で締めくくられていた
はず確か
これ
無理だよ
本当に
きついなって思ったのが
シグネチャーがシンプルになってる一方で
振る舞いに全然一貫性が感じられない
なというのを思って
JSの
set intervalとset timeoutが
第一引数のタイプに応じて振る舞いが変わるみたいな
脅迫さを感じる
文字列で渡すとイーバルとして振る舞うし
そうだね、これ2と3
ってなんで2だけだめやねん
みたいな
その辺の話もね
読み進めていくと理解はできるんだけど
そのシグネチャーからさ
全く想像できないじゃん
はね、難しいよね
なるほどね
この渡し方でOKなんだ
はぁ、みたいななんか
これ面白いな
これネタに
エスケルインジェクション探してみたい
まであるな
まぁ出てきそうだけどね、GitHubとかで検索したら
まぁでもそんなのみんなやってるかな
夢どころはもう
レールズ
使ってる人みんなこれ知ってんのかな
まぁ知ってんのかな
まぁでもそのブレイキマンが
見つけてくれるんじゃないか
知らんけど
これはね、脅迫だよ
ガチキツイこれ
これ結構
これ結構
キツイよね、だってこれもう
これだけ見せられて分かんないもん、これ
ガチで分かんなかった
使いたくないなってすごくシンプルに思っちゃう
うーん
2と3がダメなんじゃないかな
って思ったんだよね、最初
はいはいはい
そうだね、4と2
セキュリティライン
ってのがあるんだ
2と3は分かんないよね
これヤバいよ
SQLインジェクション
一応公式ドキュメントにありますね
このスライドの中にも紹介されてるんだけど
えー
ちょっと見てみよう
これを
補ってあまりある利便性があるから
まぁ使ってるんでしょうけど
いやーこれはキツイよ
これ安全に使うの本当に難しいと思うわ
うーん
セキュリティツールの必要性
そうだね
とりあえず
まぁ現実はブレークマンと付き合って
みんなどうにかしてんのかもね
あー
うわーすごいね
うん、面白い
うん、いやSQLインジェクションでこんなに笑えるっていうか
こんなに面白くなった
そうだね
こんなシンプルに
こんなシンプルにSQLインジェクションで
なんか面白い話がまだできたんだ
この界隈っていう
この界隈としてに
なんかその界隈がダメっていう話じゃなくて
そのSQLインジェクション界隈の方の話ね
うーん
とりあえずもう8.0.0になった
0渡るというのに
うーん
うわー面白いなー
ちょっと久々に
いい笑顔になれた
久々に面白い記事だった
ありがとうございます
はい
で、次が
えーと、またなんか面白い記事なんですけど
えーと
カンパニー
forced to change name
that could be used to hack websites
っていう記事で
ガーディアンだね
うーん
で、えっと
ガーディアンなんでイギリスのニュースなのかな
多分わかんないけど
情報もなんかほんとネタ記事みたいな感じだから
あんまり面白く読んでないんだけど
XSSのペイロードっぽい社名を
統計したら社名変更
強制されたよっていう話です
なるほどね
なんかちょっと記事読んでいくと
微妙になんか刺さったっぽい
はいはいはい
刺さったっぽくて
その
スクリプト要素の
ソース属性に
SRC属性に
自分のところのウェブサイトを指定してたんだと思うんだけど
そこにリクエスト来たんだろうね
きっとね
微妙に刺さったっぽいようなことが書いてあって
なるほど
一応すぐ報告したんだけど
っていう
結局強制的に
変更させられたらしい
これ
ちょうど
ここ3日ぐらいさ
これが刺さる
刺さりうるソースコードを
見つけててさ
その
何かっていうとそのリンクが
あーでもどうなんだ
リンクがあった時にそのリンクの
いやでも刺さんないかな微妙か
いやなんかその
見てたコードはその
マークダウンの
URLがあったらそのURLを
ノーションとかのブックマークとか
果て部とかのリンク貼った時に
いい感じのカードになるじゃん
あのカードのHTMLに
変換するっていうマークダウンのリマークの
プラグインみたいなやつがあって
でそれを
見ててその作りが微妙だったから
自分で作り変えて気づいたんだけど
自前でビルドしなきゃいけないわけ
でそのOGPの
URLをフェッチしてきて
メタタグのタイトルとか
ディスクリプションをそのまま
HTMLの中に突っ込むからちゃんとサニタイズしないと
これ死ぬじゃんって思って
なんか
分かんないけどそういうなんていうか
社名
どこからどうって引っかかったのか
分かんないけど
普通に刺さりそうだなっていうのを
予言で想像できた
いや面白すぎる
いつか会社作ることがあったらやってみたいな
日本の会社名はこの記号使えるのか
イギリスは使えるから
セーフだと思ってたみたいな
分かんないんだけど
なんか
全部全格になっちゃいそう
確かにね
でもさその
いやこれでもさ
どうなんだろ社名がどこに登録されて
どこから刺さったんだろうな
その実際全格で登録されてもさ
自社サイトのサイト名は
いやでも微妙か
まあまあいいや
投稿機だからさ
多分その
なんて言ってるんだろ
公的な
機関の何かで
多分刺さったんだと思うんだけど
機関システムどっかに刺さってたら
マジでおもろいな
ちなみに
日本はダブルコートとか
ダイナリーショーの例は使えないですね
使えないんだ
残念すぎる
&とシングルクオート
とかかな
&とシングルクオートか
&とシャープは
シャープは無理だね
&シングルクオートカンマ
ハイフン
ドット
SQLインジェクションはじゃあできるじゃん
そうだね
ハイフンがこれ全格かな
多分だけど
投機場は全部全格で取り扱われちゃうような
気がするんだよ
日本人つらいところですね
まあある意味
セキュアということで
間違いない
いやでもね
世の中にはびっくりシステムがある
わざわざ反格に変換して死ぬ
システムもあるかもしれない
あるかもしれない
ありそう
ありそうなんだよな
はい
はい
私が紹介していきますが
次が
WhatsApp Now Encrypts Contact Database
for Privacy-Preserving
Thinking
フリーピンコンピューターですね
WhatsApp
僕使ってないんですけど
メッセージングアプリですね
WhatsAppが
連絡先をE2EEで
端末間同期できるようにしたらしい
です
で
面白いなと思ったのが
クラウドフレアと提携して
これマジで仕様をちゃんと理解するのが
もう無理だったんだけど
オーディタブルキーディレクトリの
更新
オーディタブルキーディレクトリっていうのがまずあるらしくて
その更新を
WhatsAppがなんかよくわからないけどするらしいんですよ
その時の保証人
要は監査とかをするような立場に
クラウドフレアを据えて
ある種の
第三者機関的なところからも
お墨付きをもらえるような仕組みっていうのを
構築しています
あとセキュリティ
セキュリティファンサーの結果も
公表してるらしくて
要はこれこれこういう脆弱性とか
評価とかがされたけど
今こうなってるよみたいなところまで全部
見えるようにしているらしい
なるほど
用語がちょっと地味にわからなすぎて
わかんないね
ポップって何?
全然全然なんもわからなかった
とりあえずETEで端末間同期できるようになった
っていうところまでは
仕組みはなんていうのか
わかったけど
オーディットの仕組みとか
全然よくわからなかったし
ちょっと難しすぎた
まずメタが運営してるんだねっていうのが
知らんかったわと思って
Facebookメッセンジャーとかで食い合わないのかな
と思うんだけど
そうなんだね
ほんとだ
ブログメタになってる
なんか
出てきた
感染の結果みたいなのも
公開されてるらしくて
誰でもちゃんとやってるねっていうのが
確認できるようになってるらしい
すごく透明性があるやり方を取っていて
めちゃくちゃ興味深いというか
いい先行事例になりそうだなっていう風に
うん
なんか
この事業者
中立
と言っていいのかわかんないけど
ある程度第三者的な
ところが保証するっていうスキーム
はなんか
流行ってるんですか流行ってるんですかっていうか
なんかOHTDPの話を
すごい思い出して
GoogleがIPアドレスの
特化を
するために
オリビアスHTTPっていう仕様があって
これの
リレーをファストリーがやるみたいな
Googleは知りたくても
知れないしファストリーがちゃんと管理してる
みたいな話があって
なるほどねみたいな
そうなんかそれと似た
話じゃないけど
それぐらい
世間が
求めてるというかどうなんだろうね
面白いね
自分でちゃんとやってます
ちゃんと暗号化してます
は何も保証になってないじゃんって話
に対して誠実に対応してるって感じ
なのかな
結局さ
この透明性の話って
行き着く先は
最終的にはその会社
どれだけ信頼できるかっていうところにしか
落ち着かなくって
どこまで行ってもね
何をどこまで見せても
どうしてんじゃないのって言われ続ける
っていうのは絶対あると思っていて
っていうところに対してこういう手を
要は何ていうか
企業側が出すようになってきたんだなっていうのは
全然ない
なるほどね確かに
いいっすね
それでもじゃあクラウドフレアが
信用できるのみたいな話とか出てくるんだけど
それに対してもだからこの
透明性っていうのはある程度担保できるような
仕組みっていうのを提供してるというのが
割と
特色のあるところなのかなと
確かに
また時代とかもあるのかな
メッセージアプリ作る人も
大変やな今から新しくメッセージアプリ
とかもしんどそう
きついよね
求められるセキュリティ要件とか
プライバシー要件がやっぱ
実はめちゃくちゃ
上がってるんだね
法律面とか
取り締まりの面でも結構大変だろうな
確かに確かに
すぐ悪用されちゃうからな
ありがとうございます
これは面白い
E2Eって本当に
マインドマインド難しくてさ
大変だな
分かんないなって思いながら
仕様を理解するな
こういうのちょっとチェックしてみてください
いやでも怪しいんだよ分かんないんだよな
確かどうか
そうなんだよ
一時ソースにすごく近いところを
当たりたくなるじゃん
一時ソースを探してこいっていう
とかもありかもね
これとこれが
ありがとうございます
じゃあ
WhatsAppの事例を出してくれるかって
言うと
どうなんだろうな
いや
でももっと使って
リアルな部分を知らないと
もうごめんね
それやってる間に自分で調べるわって
なっちゃうんだよな
調べるし
社内のスラッグで投げたら
誰か知ってんだよ大体
それは一番いいね
シンプルにAより性能のいい
人間がいたらそれが一番
それはベストではある
なんかいらなくないって思っちゃうんだよな
確かにね
はい
次は
オフトピーですね
中堅の停滞期
緩やかな死っていう
記事です
ふるまとまさんの記事ですね
ピクシブの
ご存知ですか
最後に
なんか
観測したときはピクシブの
モバイルエンジニアだったときは
今はわかんないです
直接の知り合いではないから
でも優秀じゃないエンジニアの方ですね
おお
優秀じゃないエンジニアの人なんていないんですよ
知らんけど
そうですよ
えーと
我々は中堅というには
年を取り過ぎている気もするんですが
成長の停滞
なんかつらーってなったので
紹介しようかなと思います
中堅層になると
急に成長が鈍化するよ
っていう
その原因は何なのっていう部分に関する
考察というか
記事です
ヘッダーだけさらっていくと
褒められなくなる
こなしがうまくなる
っていうのが挙げられていて
まあゆえに成長が鈍化するんじゃない
っていう
考察をしてくれてる記事です
えー
まあなので
ゆえにコンフォートゾーンから抜け出す動きをしなければ
まあそこそこ仕事ができる
そこそこの人になるよと
でもそれって別に問題があるわけじゃないよね
そこそこ仕事ができてそこそこの人で
そこそこお金がもらえて
それって何が問題なのっていう
でもどこかでこれがいいのかって
これでいいのかってなるんだけれども
多くの場合手遅れだよね
みたいなことを書いてくれてる
きっつっていう
きっついよ
まあわかるよね
100点ではなく
70点を取り続ける仕事がうまくなっていく
みたいなのマジでしんどいな
そうね
まあでも
100点取りたいかなんじゃないって思うけどな
どうなんだろう
うーん
まあ
100点取りたいかっていうのもそうだけどさ
なんかその
70点を100点にする労力がさ
あまりにも
なんかこう
時短に見合わない
ような感覚をもう
抱いてしまってないかなってちょっと思った
安定と危機感
それはでもあるんじゃない
それってあんまり
常にそうなんだろうけど
悪いことじゃない気もして
その
本当に人によるんだけどその
仕事より大事なものが
できたとかその
生活
いやーなんかね
ここの記事には触れられてないけど
その環境の変化とかその
あるとは思っていて
新卒の頃は仕事が楽しくてしょうがないの
新卒というか新人の頃は楽しくてしょうがないじゃないですか
まあしょうがない
しょうがなくない人もいると
思いますけど
オクトケ野球したらたぶんしょうがなかったが
あの人間で
それはもうやりますよ楽しい
やればやるほど楽しいから
だけど
そのなんだろうな
うまい例えば思いつかないけどさ
その
僕の場合は人生で初めて
やったゲームって64の
スーパーマリオ64なんですけど
あの時のと同じ感動を
今最新のゲームに
何万円払っても
味わえないわけですよ
まあね緑の悪魔とかいないしね
ググってください
緑の悪魔いないね
そういう話はあるんじゃないかな
という気はしていて
コンフォトゾーンから
立ち動き
はそうだね
コンフォトゾーンから
価値観とか求められる
振る舞い立ち振る舞いみたいな
部分もあると思っていて
100点を1個出すより
70点を3つ出すことを求められてないか
みたいなのもあると思うんだよな
たぶん95%の会社や環境は
70点でいいと思うんだよね
個人的には
それは悪い意味じゃなくて
100点求められる環境ってなかなかないじゃん
あるかな
俺の100点のイメージは
たぶんこの100点でなく
70点っていうのが
意味するところって
70点の位置を100点として
しまってないかっていう話なんじゃないかな
いやーというか
100点っていうさ
マイルストーンがさ
上がってんじゃないかな普通に
自分に
だってさ
新卒の頃にこの人みたいになりたい
みたいなウェブエンジニアがいたとして
僕とかいましたけど
こんな感じに何でもこなすようになりたいって思って
今たぶんそのライン超えてるんだけど
じゃあ100点取ったなって思ってるかっていうと
100点だと思ってたけど
全然もっと上あるなみたいな
でもそのもっと上は
その環境では求められないし
何ならその上が求められる環境って
結構特殊な環境じゃないとないみたいな
状態っていうのが
実態な気もした普通に今
それで言うと別に70点が
悪いかどうかは
そうだね価値観次第
というか
しょうがないよね
なんか
だからその
それを良しとせずに楽しくないし
もっと頑張りたいから
コンフォートゾーンから抜け出す
もしくは抜け出すことを習慣に
していくのか別にこれで何が
悪いのって思うかみたいな感じなのかな
あとはまあ分かんないのはこの
手遅れなタイミングが
本当に来るのかっていう
分かんねえよな
10年後に今の発言公開してるかもしんないけど
まあでも
いやあ
いや後悔しない人生を
送りたいものですね
いやもうおごりかもしんないけどさ
俺ら基準70点取れる
人材なんてさ
一握りだと思うんすよ
本当に
おおすごい
いや本当そう
思うけどね
個人的には
そうなのかな誰でも
俺基準70点ぐらいは
誰でも取れそうだけどな
いやだから
自分70点なんか100点を目指したくて
100点みたいな人をツイッターで
フォローしまくって80点90点の人が
集まる勉強会にばっか行ってるから
もうその
嘘を感じてるだけで
下がいるって言い方は
良くないけど
相対的に見たときになんか
社会的な価値というのは
まあ素直に
高く見積もっていいんじゃないかって気持ちが
個人的にはあるけど
そういう方向に行くのかこの話
なんか
思ったことをちょっと
ほらほら喋って
早くなってきて
いや全然
そうだね
いやなんかまあ
目的次第なのかな
年収2500万になりたいとかやったら70点じゃだめだと思うけど
まあそうじゃないな別に
70点でもいいかなって個人的には思うし
まあでも
僕個人としてはこの褒められなくなる
指導注意されなくなるのはマジで嫌だから
結構これは
褒められなくなるは無理だけど
指導注意されなくなる環境は
避けるように結構してるな
コンフォートゾーン
を
頑張って避けるというか
あとなんかの回で話してその
分からないって頑張って言うとか
ちゃんとお叱りを
受けやすくする
なんかね結局
あれちょっと待って
来週の分に入れたんだっけな
入れ
入れてないから
紹介しちゃうんだけど
まあちょうど
コニファーさん
またコニファーさんなんだけど
iファンになってきてるんだけどこのブログ
ちょうどなんか毎回自分の意見が通って
しまう不安を需要するっていう記事を
出してくれていて
一時期これあったなー
ってなんとなく思ってて
そのさっきの
指導注意されないっていうところに
多分通ずる部分があると思うんだけど
この
自分より深い
知見とか
自分より強い人
何らかの面で
自分より強い人と
関わる機会が
減っていくと
なかなか成長とか
進化とかをしていくのって難しいよな
転職の選択肢
みたいなの
これ読んですごく思って
なるほどね
指導注意されないっていうのは
それに近い部分があるのかなとは思ったけど
確かに
個人的にね
これ嫌だなと思ったのはね
この
こなしで筋肉が緩んだ中堅が
そのこなしをしている余裕がないほどに
激しい現場に行くしかない
みたいな
こなしを続けると
まずいなってなったときに
こなしをしている余裕がないほどに激しい現場に行くしかないけれども
あるいはこなしを続けると
まずいと自分で気づくか
みたいな
こなしをやめるみたいな部分に
おいてこなしで筋肉が緩んだ中堅が
そのエネルギーを持っていることは少ない
っていうのが嫌って思ったんだけど
この
これになりつつあるなって思うから
なんかちょっと嫌だなって思った
これになりましたって
人の話が聞きたいな
ふまともさんはなったわけではないんじゃないかなと
勝手に思ってるけど
なった人これ書けないでしょ
これ書いてたら
たぶん途中でなんかもう
心がボロボロになってたぶん下書きに封印すると
わかんないけど
その
いや
生存バイアスと言ってもらって
たぶんに結構なんですけど
その
2年前に
ほぼゼロからセキュリティやって思ったけどね
やればどうにかなるよ何でも
俺ら優秀だから大丈夫マジで
いや結構どうにかなると思う
いやなんか
そのまあ幅はあるよ
例えばなんか今からグーグルの
なんか暗号化の
研究チームに入るって言われたらさすがに吐くけど
なんかその
自分たちも自分たちを
巻き巻いてるからさ
だしその放り込まれる機械も
環境がよほど特殊じゃないけど
そんなわけわからん
ジャンパしないからさ
意外とどうにかなるんじゃない
まあね経験としてはさ
わかるんだけどさ
明らかにそのメルカリに転職した時のエネルギーをもう
失ってるなっていうのも自分で思うわけですよ
まあまあまあまあ
同じ会社長くいるとそうなっちゃうのは
個人的には
普遍的にあるんじゃないかな
そうだよね
仕事んじゃないかなやっぱり
パブリックですよ
大丈夫
社内でもパブリックだから実質
そうですか
大丈夫です
まあまあいろいろと考えさせられるね
まあ
転職はわかりやすいコンフォートゾーン抜け出す
手段ではあるよね
それはフラットに思う
しなきゃだったら転職しないでする方が
嬉しいんだけどな
そうだよね
そんな感じですか
そんな感じですオフトピーでした
今週のオフトピーマークでした
ありがとうございます
次が
発火ニュースですね
ゴーフィッシュっていう
標的型メル攻撃訓練のための
OSSがありまして
それが実際に
攻撃に使われましたよっていう
話です
先週もEDRサイレンサー
っていうソフトウェアの
話があったと思うし
さっきの
なんだっけ
ホワイトラビットのようか
とかの話もあるんだけど
実はそんなに話すことなくて
悲しいねっていう話なんだけど
そうだね
どうしたらいいんだろうねっていう
歳を取る影響
まあ
トレドフを
飲んでる子って飲んでる
っていう事実を知ることから
だよね
一定ハードルを下げているっていう
側面が絶対あるんだけれども
結局裏で出回るだけなんだろうし
こういうツールは
誰かが作ってね
あるだけましては
EDRサイレンサーよりは
個人的に今の環境でって話だけど
使う余地があるから
その余力とかやっぱ体力ある
組織とかは
レッドチーミング頑張るのがいいんじゃないかな
って気がするけどね
シンプルな話さ
これ使って社内で訓練してみて
ガバガバだったら
じゃあもう攻撃者これ使ったら罪だよねっていう
話になってそこからアクションにつなげられる
って話ある気がしてて
そういう意味ではこういうニュースを
それでいくとこれ自体は別にシンプルな
あれなんですよ
開封率がこれぐらいですね
とかが分かるだけのツールなんで
攻撃者目線を知るっていう意味では
どうなんだろう
逆に言うと別に
攻撃者が必要としているその
機能って多分ごくわずかなはずで
これに関しては
にもかかわらず
ハードルを下げてるっていう側面が
やっぱりあって
なるほど
まぁ
まぁでもしょうがないんじゃないですか
いや受け入れて
まぁこう
まぁもうこの世界観でずっと来てるもんね
多分この
ソフトウェア界隈というか
うん
これはいつまで続けるのか
まぁそれで言うと
まぁそうだね
はい
そうなんだよね
まぁちゃんとキャッチャップし続けること
かなぁって個人的に
最近はそういう
気持ちで受け入れてますなっていうか
いやぁバランスがね難しいよね
うーん
健康の知識
いやぁ
向き合っていきましょう
うん
それで言うとチート対策の機能がなんかもう
完全に動きが凶悪すぎるみたいな話とか
どうみんな折り合いつけてるのかな
ちょっと気になってくるよね
チート対策の
っていうのは
PC上で動く
ゲームのチート対策をするために
かなり深いところまで
ゲームのソフトウェアが入り込んでくる
みたいな
このカーネルレベルまで入ってくるみたいな話
動きが凶悪すぎるよねっていう
APEXが直近話題になってましたね
そうそうそうそう
まぁね
まぁでも
あれもまた違った意味での
バランスのなんか
話かなと思っていて
そうだね
まぁ確かに
あれはなぁなんていうか
まぁでもAPEXの気持ちは分かりよって
気持ちやな
守ってらんねーよな
うん
はい
まぁね難しいよね
その
いや難しいよな
配信っていうのが全然この話から忘れちゃう
ゴフィッシュどこ行ったって話になっちゃうんだけど
配信っていうのが難しいよね
チート対策の話で言うと
うーん
これは別になんか対人じゃなければさ
なんか
チートやったら別にただゲームがつまらなくなるだけ
なゲーム設計にしておけばさ
なんかいいわけじゃん
ほうほうほう
あんま分かってないかも
対人?
対人でその競技性があるから
チートをやるメリットが生まれるわけでしょ
利益があるって
確かに確かに
それはそうだね
そうだね
まぁ
いやぁ
まぁむずいっすね
うん
はいむずいっすね
PCゲーの限界感があるのかもね
PCオンラインゲーか
エピックスとか多分その
フロンテンバーに処理を異常しないと
折り上げ
折り上げがつかないというか
解除できないんだろうね
っていうのは普通に思った
それゆえになんか
チートの幅が
広がってしまう感というか
まぁGoogleさんの
あのなんだっけ
オンラインでなんかできるやつね
あったよね
あれがトンザした時点でこの未来は
確定してたのかもしれない
うん
はい
いきましょう
次ですね
SPAプラスバックエンド構成のウェブアプリへの
OIDC適用パターン
っていう
R伊藤さんなのか利藤さんなのかちょっと僕分かんないんだけど
OIDCとか
オース界隈で有名な方の
ブログ記事です
えーと
マシュマロでSPAプラス
バックエンド構成のウェブアプリでオースや
OIDCしたいって話をよくもらうよ
っていうところから始まって
えーと
よく来る話なのでブログ記事にまとめて
まとめたそうです
はい
で
個人的にはなんかわりと頭が
こんがらがるっていうか混乱するような
っていう話題だと思っていて
えーと
まぁフィッシャー曰く個人的には
ログイン成功した時点でOIDCの処理は終わって
後から
えーと
あとはSPAプラスバックエンド
が独自のセッションクッキーなり
トークンを用いてよろしくやったらいいよ
っていう設計を適用すると
うん
で
えーと個人的には
僕は結論一緒で
まぁそれでいいんじゃないっていう風に
たぶん同じこと言うなと思うんだけど
このさっき言ったように
わりと混乱しがちで僕もパッと出てこないんですよ
この回答実は
そういうのをパッと説明できるレベルに
まだ自分が達してないので
すごく助かるなと思って
確かに
解説まで説明していくと
大原則として
IDトークンとアクセストークンの
用途というか
用途ですね用途をねじ曲げないっていうのを
まず考えましょう
っていうのを紹介してくれて
IDトークンは
RPがログイン機能に利用するために
利用が
重なってるんですけどこれは原文ままですね
アクセストークンは
RPがRSに対して
リソースアクセスをする際に利用
この原則をまず
ねじ曲げないようにしましょうね
っていう話をしてくれて
いくつかシナリオを用意してくれてるんですけど
SPAプラスバックエンドで旧来の
いわゆる普通のセッション管理をしている状況だったら
普通にまずやるだけですよね
っていうのがあって
その前提において
外部IDPを追加する場合
バックエンドが
IDトークンを検証して
ログイン処理をします
SPAあるいはバックエンドが
アクセストークンを使って外部の
RSにアクセスするよっていう形
この時の登場人物が
IDPとRSが
外部IDPになりますよ
RPが
SPAとバックエンドを合わせたものを
要は一つのアプリケーション
リライングパーティーとして見ますよ
という登場人物の
構成になりますよねと
この時に何でみんなここで
混乱するのかというと
バックエンドがRSとなるケースが
あるから
要は
その時の登場人物はIDPが
まずWeb Appになりますよと
要は
難しいな
アクセスしようとしているアプリケーションそのものが
IDPになるような
ケースですね
その時にRPはIDPとは
疎結合になっている
別のWebアプリケーションになっていて
認証状というのはSPA単体で
管理しますよと
その場合RSはバックエンドになりますよと
多分ね
強盗で説明しても何
もないけど
今手元で図を見ながら
読んでくださいという感じなんだけど
この時バックエンドはリソースサーバーとして
振る舞うのでアクセストークンを受け取って
検証するだけという
振る舞いになるんですね
SPAが
JSの
SDKの機能を使うだけでログインできて
トークンももらえるパターン
まさにオースゼロとかがこういうユースケースだよね
というふうに紹介してくれている
なるほどね
この場合
IDトークンとかアクセストークンは
SPA側が持つという形になるんですよね
こういう記事
いいですね
うちとかは構成は多分
これになっていると思うんだよな
おそきのサービスの
フロントエンドがいて
そこからSPA
SPAじゃないと思うけど
SPAと言っていいのかな
ネクストだったと思うから
ネクストってジャンルとしてはSPAになるもん
SSR
なんじゃないですか
モードにもよるけど
バックエンドと
紹介リクエストだけバックエンドが
レンダリングして返して
以降はSPAとして動く
大枠SPAになる感じだよね
そうだね
認証サーバーからトークンを受け取ってきて
SPAがそれを持って
バックエンドである
APIにアクセスするよという形になるから
そういう構成になっているはず
バックエンド側では
トークンの検証をしているので
まさにここで言うようなケースに
うちの場合はなっているはず
SSRの場合は
SSRサーバーをプロキシにする
そうなるともっとややこしくなるかもね
あんまりしないかな
どうなんだろう
最近の事情はわかんないですけど
こういう
スペックとか
うんぬんは置いておいて現実問題どうするの
みたいなところの整理みたいな
こういうのって社内で議論して
全然ドックみたいな形で
あったりするかもしれないけど
こういうふうにアウトプットしてくれている人って
あんまりそんなに多くないかと
割とモーラ的に正しく
風邪の回復プロセス
信頼性のある情報を出している人って
そんなに多くない気はしていて
こういうのは
ブックマークしておきたい系記事ですね
なんか認可で
この人じゃないけど別の人が
似たような記事を出してて
現実どうすんねんみたいなところに対して
いろんなリファレンス引っ張って
こういう感じでやりましょうみたいな
やるといいかもみたいな記事を出してくれて
ありがてぇみたいな
こういう人たちが
100点に近い人たち
74位は上の層の
人たちの方
前もそのジャンルにおいて
話は終わるけど
まあまあまあ
じゃあこれは相多基準
100点ということでいいですか
それ
おこがましい
やめてやめて
そういうとなんか
違うじゃん
違うじゃん
ごめんなさいよ
まあいいまとめでした
将来にまた
参照できる記事になりそうな
予感
すみません
長かった
長らく私の紹介が続きましたが
最後ですね
最後僕が
すごい軽めの記事ですけど
ブリーピングコンピューターの
Microsoft wants $30
if you want to delay Windows
11 switch
マジでタイトルの通りで
Windows
10のサポート延長したい場合は
30ドル払えば1年間延長します
ってなりましたって話です
これ系有料にしたのは
初めてらしくて
一部は有料じゃなくて
その産業機械とか
産業機器なんだ工場のやつ
エンベデントってやつだよね
もともと昔払ったやつでいうと
今バージョン分かれてないと思うんだけど
なるほど
それ系とかはお金払わなくても
更新されるらしいんですけど
一般顧客とか
ビジネス契約とか
多分有料なんじゃないかって感じ
で
実体どうなのって話で言うと
2021年10月に
Windows10が発売したらしいんですけど
そこから3年経ってる今でも
Windowsシステム62%以上が
Windows10で動いてるらしい
っていう感じ
の回想とは
いやー
個人的には
個人的にはいいんじゃないっていうか
コストかかるじゃないですか
サービス提供者目線は
サービス利用者側
文句言う人すごいいっぱいいると思うけど
いや
楽じゃないからさ
古いのメンテするのもいいんじゃない
と思っていて
これ受けて
30ドル喜んでみんな払うのか
お金かかるなら
頑張ってアップデートするわってなるのか
金も払わないし
放置
アップデートせずに大丈夫だろうっていうのか
その辺の結果は
1年後2年後ぐらいに
Windowsから教えてほしいな
Microsoftからレポート出してほしい
実際どうだったのかは
気になるなって感じですね
割と割れそうだなと思いつつ
でもな
Windows7で動いてる世界線もあるし
みたいな感じですね
いや
なんかさ
ずっとMacをもう使ってしまってるからさ
OSにお金払うのしんどくない?
って思っちゃうんだよね
あー
なるほどね
まあまあそうだね
Windows
言ってさ
そこそこの頻度でさ
アップデートされるじゃん
俺の時間が
圧縮されすぎてるのかもしんないけど
Windows11はついこの間じゃないの?
ついこの間じゃないと思うんだけど
なんか
Windows10なんて
別になんか
まだまだ最近じゃんと思っちゃうんだよな
Windows11
Windows
使ったのははるか前すぎて忘れてたけど
Windows11に移行するのに金払わなきゃいけないのか
うーん
そう
いやーそりゃアップデートせんか
いやでもさ
マイクロソフト目線そこで金取るしかないもんね
PCやってるわけじゃないから
そう
そこはだからMacと全然違う
Appleと全然違うから
そこはもうしょうがないよねとは思うんだけど
うんうん
なるほどね
Macを使い続ける一つの理由ではあるのかな
と今気づいたというか
今思った
これ
3通り
アップデート
でもなんかできそうだけどな
できないのか
多分一定期間とかできるのかもしんないね
出たてのときも
もしかしたらだけどね
Windows自体あんまり
無料でできるみたいだけど
期間限定らしい
いずれ終了するってなってて
期限は決まって
えー
それで言うと
まあ大変なのかな
うん
ブレイキングチェンジでかすぎるのかな
わかんないけど
Goose結構ぬるっとアップデートしてくれるもんね
うん
でかなり古いさ
デバイスまでサポートされるでしょ
確かにもうそんなに長く使わねえや
っていうところまでちゃんとサポートされるから
結構長く使えちゃうんだよね
デバイス側が
そっかそうだね
あとな
あーなんか過去の
信頼とかもあんのかな
なんだっけどっかのタイミングでさ
わけわからんぐらいUI変わってめっちゃ不評だったよね
タイミング忘れちゃったけど
あーWindows8じゃないかな
あー8か
8で変わって8.1でちょっと戻して
っていう感じだったと思う
あれは伝説だったな
うん
いやというか
そっか
年取ったな
はい
まあ緩め記事でした
はい
うん
Windowsタグないんだなあとで追加しとこう
そんなとこかな
いやーまあいい分量でしたね
2週間分
いやー
SKエジプションはおもろかったな
こなし感が出てきたね我々もね
うん
いいんじゃないですか
いやでも本当にあんまり
この2週間は
おもろい記事なかったよね
別に喋ろうと思えばいくらでも喋れるんだろうけど
なんか
深掘っていけばいくらでも深掘れると思うんだけど
まあそこまで深掘るほどでもないかな
うん
そんな気は個人的にはしましたね
MRCVegasのレポートとか
多分いくらでも深掘りできるな
と思ったし
うん
あとASA面の導入検討の話とかも別に
中身見ていけばいくらでも深掘れるし
まあでもなんか
自分で読むのが一番価値がある系
記事でもまああるっちゃあるから
うん
まあまあって感じですよね
うん
だからなんかこれぐらい
これぐらい平常だったんだよ
知らんけど
それでも2時間喋ってるよね
もうね
1時間45分だ
うん
まあまあまあ
来週は風邪ひかずに頑張りたいな
頑張りたいですね
来週もなんか今んとこちょっと記事薄めなんだよね
確かにね
大量にオフトピ突っ込んどこうかな
いや
かかってこいよ
お
そう
あーでもね
2つ面白そうなのがあるんだよね
まだ読んでないんだけど
フロントエンドのセキュリティの話が
これは楽しみですね
僕も手元にね
まだ写してないのあるんで
お楽しみですね
はい
そんな感じですか
いやー
もう今年は祝日がないらしいですよ
祝日はあるけど
祝日で休みがないんだよね
週休2日制の
完全週休2日制の人たちにとっての
祝日というか休日がない
23日は労働
勤労感謝の日だけど
勤労感謝だからね
労働しないわけにはいかないよね
感謝しても
逆に
そうですよね
感謝の勤労
感謝の勤労かー
音置き去りにしてこう
するかー
いやー
来週も元気にこの場で
お会いしましょう
はいお願いします
はいお疲れ様でした
はいおやすみなさい
おやすみなさい
