技術 2026年1月28日(水) 約3分 OpenSSL に認証不要でRCE可能な深刻な脆弱性 CVE-2025-15467 OpenSSL 3.0〜3.6 に高深刻度のスタックバッファオーバーフロー脆弱性が発見された。CMS AuthEnvelopedData の処理で認証なしに攻撃可能。今すぐアップデートを。 セキュリティ OpenSSL 脆弱性
技術 2026年1月28日(水) 約4分 GitHub Repo Squatting攻撃: 公式URLを装うサプライチェーン攻撃 GitHubのフォーク機能とコミット表示仕様を悪用し、公式リポジトリのURLでマルウェアを配布する新たな攻撃手法について解説する。 セキュリティ GitHub サプライチェーン攻撃
技術 2026年1月20日(火) 約4分 Svelte/SvelteKitに5件の脆弱性、今すぐアップデートを 2026年1月に公開されたSvelte/SvelteKitエコシステムの脆弱性5件をまとめた。DoS、SSRF、XSSと深刻なものが含まれる。 Svelte SvelteKit セキュリティ CVE
技術 2026年1月14日(水) 約3分 Androidの「何もしなくても攻撃される」脆弱性(CVE-2025-54957) 2026年1月のセキュリティアップデートで修正されたDolbyデコーダの脆弱性。音声ファイルを受信しただけで任意コード実行が可能だった。 Android セキュリティ
技術 2026年1月14日(水) 約3分 Node.js 2026年1月セキュリティリリース - 延期続きの末ようやく公開 2025年12月から延期を繰り返していたNode.jsのセキュリティパッチがついにリリース。HIGH 3件を含む8件の脆弱性修正の詳細をまとめた。 Node.js セキュリティ 脆弱性
技術 2026年1月12日(月) 約3分 TOTP認証(Google Authenticator等)を自社サービスに実装する Google AuthenticatorなどのTOTPアプリを使った2要素認証を自社サービスに組み込む方法。仕組みの解説とTypeScriptでの実装例。 認証 セキュリティ TypeScript
技術 2026年1月12日(月) 約4分 SupabaseのAPIキーが丸見えでも安全な理由とRLSの重要性 SupabaseのAPIキーがフロントエンドで露出する仕様の理由と、Row Level Security(RLS)による保護の仕組みを解説。AIコード生成ツールで作られたアプリが狙われている背景も紹介。 Supabase セキュリティ RLS BaaS
技術 2026年1月11日(日) 約9分 投票システムの本質は「投票権」の設計にある キャラ投票を例に、時間制限・SNS認証・シリアルコードなど投票権パターンの設計と実装を解説 設計 セキュリティ 認証
技術 2026年1月9日(金) 約4分 pnpm 10.26未満に深刻な脆弱性:今すぐアップデート pnpm 10.0.0〜10.25に2件の深刻な脆弱性(CVE-2025-69263、CVE-2025-69264)が発見された。ロックファイル整合性バイパスとリモートコード実行の危険性があり、即座のアップデートが必要。 pnpm セキュリティ 脆弱性 Node.js
技術 2025年12月23日(火) 約5分 Mintlify脆弱性はReact2Shellとは別物:フレームワークの責任と実装者の責任 Mintlifyで発見された脆弱性とReact2Shellの違いを解説。フレームワーク側の問題と実装者側の問題を区別することの重要性について。 セキュリティ Next.js Astro Nuxt
技術 2025年12月19日(金) 更新 約5分 Claude Codeの権限設定、なんもわからん Claude Codeで毎回Askされるのをなんとかしたいと思って設定ファイルをいじり始めたら沼にハマった話。公式が「バイパスされうる」「tricky」と言っている時点で、完璧な制御は諦めた方がいい。 Claude Code AI 開発効率化 設定 セキュリティ 実験
技術 2025年12月18日(木) 約4分 React2ShellがめんどくさすぎてNext.jsからAstroに移行した CVSS 10.0のReact2Shell、修正したら別の脆弱性、また修正…。もう疲れたのでAstroに移行した。shadcn UIを60個入れて1個しか使ってなかった反省も込めて。 Next.js Astro セキュリティ 実験
