セキュリティ– tag –
-
パスワードを乱暴にリセットさせない|lazy rehash で既存ユーザーをbcryptに段階移行する方法
「全員にパスワード再設定して」が無理だった話 Firebase Auth から bcrypt の自前認証へ移行しようとした時、最初にぶつかった壁がこれでした。 「既存ユーザーのパスワード、どうする?」 パスワードはFirebase側に保存されていて、自分のDBには無い。し... -
「全部POSTでよくない?」がモヤる人へ|HTTPメソッド使い分けの正論と現場のリアル
「全部POSTでよくない?」って言われてモヤッとした話 API設計の話をしていると、毎回のように出てくる議論があります。 「全部POSTでよくない?」 RESTfulに書くべし派と、全部POSTで何が悪い派の対立。最近もエンジニア界隈のSNSで燃えていて、片方が「H... -
Google認証だけ実装したら「ログインできない」と言われた!アプリ内ブラウザのOAuthブロック問題と対策まとめ
「ログインできないんですが…」個人開発でやりがちな落とし穴 個人開発でWebアプリを作り、ログイン機能に Google 認証だけを実装した。設定も完了、動作確認もバッチリ。いざ X(Twitter)でシェアして広めてみたら…… 「ログインできないんですが?」 実... -
GitのHTTPS接続とSSH接続、「なんとなくSSHの方が安全」って本当に正しい?
「SSHの方が安全でしょ」は本当か Git リポジトリへの接続方式を選ぶとき、「なんとなく SSH の方が安全そう」と感じていませんか? X(旧 Twitter)でもこんな議論が話題になっていました。「HTTPS 接続より SSH の方がよっぽど安全」という意見に対し、... -
GitHub Actionsのワークフローに潜む罠、気づいてた?スクリプトインジェクションの実例と対策
そのワークフロー、本当に安全ですか? GitHub Actions を使っている開発者なら、こんなワークフローを書いたことがあるはずです。 on: pull_request: jobs: example: runs-on: ubuntu-latest steps: - run: echo "PR title is ${{ github.event.pull_requ... -
個人開発の利用規約・プライバシーポリシーの作り方|テンプレ活用からAI生成まで実践ガイド
個人開発でも利用規約とプライバシーポリシーは必要? 個人開発でアプリやWebサービスをリリースするとき、機能の実装に意識が集中しがちですが、見落としてはいけないのが利用規約とプライバシーポリシーです。 「趣味の延長だし、ユーザーも少ないから大... -
Claude Code Securityとは?AIが脆弱性を検出し修正パッチまで提案する新時代のセキュリティツール
Claude Code Securityとは何か 2026年2月20日、AnthropicがClaude Codeに新機能「Claude Code Security」を発表しました。コードベース全体をスキャンしてセキュリティ脆弱性を検出し、修正パッチまで提案してくれるAI駆動のセキュリティスキャンツールで... -
マルチテナントって何?SaaSのDB設計でよくある「あの構造」を解説
マルチテナントって何?SaaSでよくある「あの構造」の正体 SaaSを開発していて、こんな悩みにぶつかったことはありませんか? 「企業ごとにデータを分けたいけど、DBを分けるべき?テーブルにIDを持たせるべき?」 「A社のユーザーがB社のデータを見えない... -
BFFは本当に便利?フロントエンドエンジニアがサーバサイドを触る危険性
「フロントエンドしか分からない人がサーバサイドをさくっと弄れてしまうBFFが健全とは全く思わないんですよね」 BFF(Backend For Frontend)パターンは、フロントエンドとバックエンドの橋渡し役として注目されていますが、この発言は現場で起きている重... -
【緊急】React CVSS 10.0脆弱性CVE-2025-55182!Next.js/React Router使用者は今すぐアップデート
2025年12月3日、React TeamがCVSS 10.0(最高深刻度)の脆弱性CVE-2025-55182を公開しました。Next.js、React Router、Expo等のReact Server Componentsを使用しているアプリは、認証なしでリモートコード実行(RCE)が可能になる重大な脆弱性の影響を受け...
12
