サーバサイドでJWTの即時無効化機能を持っていないサービスは脆弱なのか？ - くろの雑記帳

2022/04/18 179 users JWT サーバサイド グロ OWASP TOP 徳丸さん

きっかけ 昨年(2021年9月ごろ)に徳丸さんのこのツイートを見て、「2022年にはJWTを用いたセッション管理に代表される、ステートレスなセッション管理は世の中に受け入れられなくなっていくのだろうか？」と思っていました。 OWASP Top 10 2021 A1に「JWT tokens should be invalidated on the server after logout.」（... 続きを読む

JWT アクセストークンからの個人情報漏洩 - Qiita

2021/11/09 16 users Qiita アクセストークン 帰結 個人情報漏洩 ステ

内包型アクセストークン、典型例としては JWT アクセストークンは、関連するデータを自身の内部に持っています。下記の条件が成り立つと、論理的な帰結として、そのようなアクセストークンから直接個人情報が漏洩します。 個人情報が含まれている 暗号化されていない ステートレス 意図しない者に盗まれる ここで「ステ... 続きを読む

"JWT=ステートレス"から一歩踏み出すための考え方

2021/09/11 295 users JWT OWASP TOP 実装 個別 脆弱性診断

この話に乗っかっていきます。 3行で ログアウト時にJWTを無効化できない実装は今後脆弱性診断で「OWASP Top 10 2021違反」と指摘されるようになりそう(今も個別にされてるかもしれないけど) JWTは単純なフォーマットなので、ステートレスなセッション管理においてログアウトしたときに文字列自体を無効化できない件は独... 続きを読む

早い！簡単！30分でCloud Runを使ってphpMyAdmin環境構築！ | GMOアドパートナーズグループ TECH BLOG byGMO

2020/03/10 9 users byGMO GCP phpMyAdmin サーバーレス 30分

GMOアドマーケティングのy.yです。 今回は 2019/11/14  に一般提供版(GA)となった GCPのCloud RunとCloud SQLでphpMyAdminを構築したいと思います。 Cloud Run は、ステートレス コンテナを自動的にスケールするマネージド型のコンピューティング プラットフォームです。Cloud Run はサーバーレスです。 元となるDockerf... 続きを読む

Googleの「Cloud Run」が正式サービスに。KnativeベースでDockerコンテナをサーバレスとして実行 － Publickey

2019/11/27 26 users サーバレス Publickey Dockerコンテナ 実行

Cloud RunはHTTPでアクセス可能なステートレスなサービスを提供するコンテナを、サーバレス環境で実行可能なサービスです。 すなわち、負荷がない場合にはサービスはまったく起動されず、負荷に応じて自動的にスケール。Dockerコンテナであれば、どんな言語で作られたサービスであっても関係なく利用できます。 課金もお... 続きを読む

スティッキーセッションを使っていなければApplication Load Balancer障害に耐えれたかも？？？ Amazon EC2をステートレスにする為にやるべきこと ｜ DevelopersIO

2019/08/29 34 users 加藤 申し訳 DevelopersIO タイトル 影響

はじめに おはようございます､加藤です｡煽り気味なタイトルで申し訳ございません､念の為より詳細に記載しますが､スティッキーセッションを使っていなければApplication Load Balancer障害の影響を受けるの […] 続きを読む

gRPCに関する初のカンファレンス、gRPC ConfがGoogle本社で開催 | Think IT（シンクイット）

2019/04/22 81 users grpc Think シンクイット カンファレンス コンテナ

マイクロサービスのベースとなるRPCフレームワークのgRPCに関するカンファレンスが、Google本社で開催された。 クラウドネイティブなアプリケーションでは、アプリケーション全体を小さなプロセスに分割してステートレスなコンテナの集合体として実装することが最近のトレンドだ。その際の「プロセス間の通信をどうする... 続きを読む

Google、Dockerコンテナをサーバレスで実行できる新サービス「Cloud Run」パブリックベータで公開。Knativeベースの互換性実現。Google Cloud Next '19 － Publickey

2019/04/11 73 users パブリックベータ サーバレス Publickey http

Googleは、Dockerコンテナをサーバレス環境で実行できる新サービス「Cloud Run」を、サンフランシスコで開催中のイベント「Google Cloud Next '19」で発表。パブリックベータとして公開しました。 Cloud RunはHTTPでステートレスなサービスを提供するコンテナを、サーバレス環境で実行可能。すなわち、負荷がない場合に... 続きを読む

キャッシュフレンドリーなステートレスアプリケーション設計について考える #CDN_Study - mizchi's blog

2018/04/14 153 users mizchi's blog Akamai CDN Study

2018 - 04 - 15 キャッシュフレンドリーなステートレスアプリケーション設計について考える #CDN_Study CDN _Study という勉強にいってきた。 https://http2study.connpass.com/event/81469/ そこで、 Akamai の方が、「個人の意見だけど、アプリケーション側がもっと基礎設計でステートレスでキャッシュフレンドリーな設計になって... 続きを読む

AWS Lambdaにおける「ステートレス」なキャッシュ利用 - エンタープライズギークス (Enterprise Geeks)

2017/04/22 52 users サーバーレス アーキテクチャ AWS 関数 イベントドリブン

2017 - 04 - 21 AWS Lambdaにおける「ステートレス」なキャッシュ利用 AWS AWS Lambda AWS Lambda は、 AWS が提供するイベントドリブンなプログラム実行環境であり、昨今ではサーバーレス アーキテクチャ の実現手段として注目を集めている。 AWS の公式ドキュメントによると、 AWS Lambda の関数はステートレスな実装にする必要がある。一方でステ... 続きを読む

VuexとPDS、immutable modelの所感 - 猫型の蓄音機は 1 分間に 45 回にゃあと鳴く

2017/04/10 6 users PDS 蓄音機 Vuex イミュータブル 所感

2017 - 04 - 10 VuexとPDS、immutable modelの所感 Twitter に書いた内容再掲。 最近Vuexについて考えてるのは、Vuex使って PDS 実現するとなると、状態はVuexのレイヤーで持つことになるから、モデル層はステートレスで作るのが相性良い（というか自然とそうなる）だろうな その時にJSでイミュータブルに寄せて行く辛さがどれくらいキツいものなのかの知見が... 続きを読む

[翻訳] Airbnb React/JSX Style Guide - Qiita

2016/05/29 253 users Qiita 翻訳 括弧 引数 和訳

この翻訳について Airbnb React/JSX Style Guide の和訳です。 間違っていたり分かりにくい箇所があれば、ご指摘いただけると幸いです。 Airbnb React/JSX スタイルガイド 目次 基本的なルール クラス vs React.createClass vs ステートレス 命名規則 宣言 アラインメント 引用符 空白 引数 括弧 タグ メソッド 順序 isMounted... 続きを読む

技術/HTTP/REST設計思想の "Stateless" との付き合い方 - Glamenv-Septzen.net

2015/02/11 203 users Stateless http サーバサイド Prev REST

id: 1350 所有者: msakamoto-sf    作成日: 2015-02-11 21:34:52 カテゴリ: HTTP プログラミング  [ Prev ] [ Next ] [ 技術 ] RESTfulなAPIやWebアプリケーションを開発する際に、一つの疑問が生じる。 RESTでは「ステートレス」を重視して、サーバサイドでのセッション管理ではなく、クライアント側で認証情報や状態を保持... 続きを読む

logspoutでDockerコンテナのログの集約・ルーティング | SOTA

2014/05/15 91 users Sota ルーティング Dockerコンテナ リアルタ 集約

progrium/logspout logspoutは，ホスト内で動かした全てのDockerコンテナの出力を集約して，好きなところに飛ばす（ルーティングする）ためのツール．開発者はDokkのJeff Lindsay． 以下の2つの特徴がある コンテナとして起動（ステートレス） HTTP APIによるルーティングの設定 ログを貯めて管理したり，検索するといったことはできない．コンテナのログをリアルタ... 続きを読む

アプリケーション・サーバのセッションの保存先の話 - プログラマになりたい

2013/08/02 358 users プログラマ サーバ アプリケーション セッション Tomcat

Webシステムの方式設計をする際に、わりと悩むのがアプリケーション・サーバのセッション（session）の保存先です。アプリケーションサーバとは、TomcatやJBoss,IISやRuby on Railsなどで利用するUnicornやPassengerなどです。そもそもHTTPの基本仕様がステートレスな為、状態を保持する為にはどこかに状態を保持する必要があります。その解決策がセッションになります... 続きを読む

"リアルタイム Web" に関するプラクティスのアウトプット - Block Rockin’ Codes

2011/12/26 366 users Codes ステートフル Socket.IO プラクティス

Socket.IO, Node.js, RealtimeWeb introductionWebSocket なんかをつかって、従来のステートレスな処理以外に、コネクションを継続するステートフルな処理が可能になりました。これを利用すると、これまで実装が難しかったリアルタイムな表現を Web に持ち込むことができます。 そして、 WebSocket を用いたプログラムを作成する上で、Node.js と... 続きを読む

「安全なWebアプリケーションの作り方」を読んでセッションを復習してみた - As a Futurist...

2011/03/06 210 users セッション As a Futuri Webアプリケーション

タイトルが長くて略称があれば知りたい感じの「安全なWebアプリケーションの作り方」を暇を見つけて読んでいます。今まであいまいなままだった部分を順を追って説明してくれるので、本当に助かります。Webアプリ作りの初心者は卒業したかなーという人は必ず目を通しておくと良いと思います。Cookieを用いたセッションについて復習「HTTPはステートレスで」とかいう話はよく聞きますが、じゃあどうやってセッション... 続きを読む

ステートレスとは何か

2007/10/28 322 users ステート やりとり 箇所 発見 人間

RestWiki をたまに見直すと新たな発見があって面白い。 たとえば先日、「ステートレスなやりとりとは何か(What is Stateless Interaction?)」という箇所を見つけて、興味深く読んだ。このページは以前も絶対に読んでいるはずなのだが、 人間は忘れてしまうものである。 RestWiki の例でも充分わかりやすいのだけれど、自分でも例を思いついたので書きとめておく。 ステート... 続きを読む