皆さん。こんにちは。BASEの藤川です。 今年の4月頃に、BASEドメインの常時SSL化の取り組みについて発表させていただきました。 thebase.in リリース時は、新規登録ショップのみの対応だったのですが、本年の9月末に、全てのBASE社においてご提供しているドメイン（thebase.inや、shopselect.netなど...）をご利用のお店においてSSLがお使いいただけるようになりました。 3月末以降に登録したお店は、最初からSSL対応になっていたのですが、それ以前からお店を開いている場合は、

RESTful APIはモデルごとにパスを作成し、IDをつけてCRUDなデータの操作を行えるようにしています。これはとても分かりやすい反面、クライアント側ではレスポンス形式を指定できないという欠点があります。 場合によって欲しいデータが異なる際には ?include=friends のようなパラメータをつけたり、別なAPIを追加したりして対応します。こうした拡張はRESTful APIに比べると打算的で、あまり良い設計になっていないことが殆どです。 そうした問題を解決できるかも知れないのがFacebook

こんにちは。何でも屋をやっています山田です。 ここ数年、脆弱性に関する注意喚起が多く、セキュリティ対策を重点施策の一つとしているKDDIグループであるmedibaでは、日々対応に追われています。 medibaが管理するシステムはかなり多く、管理が煩雑になっているためVulsを使って品質管理グループの管理業務が効率化出来るかトライアルを始めましたのでその紹介を致します。 なお、トライアル中のため、開発したものはプロトタイプであることをご了承下さい。 Vulsとは NVD(National Vulnerabi

今回は、メール配信やメールマガジンサービスにおいてAPIが提供されているサービスをまとめました。メールマーケティングは今なお根強く使われている手法で、API連携によってマーケティングオートメーション、ワントゥワンマーケティングが実現できます。 WEBCAS WEBCASは、毎時300万通にも及ぶ大量高速メール配信が可能なメール配信システムです。既存システムに連携するためのAPIも用意しているため、想定のシステム構成に合わせて自由に設計が可能です。 WEBCASのAPIではバッチ処理がサポートされており、顧

こんにちは。技術基盤部の磯野です。 弊社ではここ数年、HOME'Sのクラウド化やマイクロサービス化を推進しています。 アプリケーションのクラウドサービスへの移行に関してはそろそろ終わりが見えてきているのですが、 マイクロサービスに関してはまだまだ道半ばということもあり、推進していくにあたって、 各サービス間の依存関係やトレース情報を可視化する手段としてzipkinをAWS上に試験的に導入してみました。 今回はZipkinサーバーの導入までの手順についてまとめたいと思います。 Zipkin とは データスト

情報システム課の宮澤です。 今回は、OneLoginを利用して、WordPressのID管理を簡単にできて、セキュリティの強化も図れる方法を紹介します。

Apple原理主義者の大坪です。人は思いがけない出来事に直面すると、その理由を探さずにはいられない。お財布を落としてしまった！なぜだろう？きっと今朝黒猫印をつけた車が私の前を横切ったのがいけなかったのだ、とかなんとか。 いきなり何を書いているかといえばあれですよ。年に一度行われるAppleの開発者向け会議WWDCのチケットが当たったんですよ。いや、大丈夫。ちゃんと理解してます。これは奇跡でもなんでもなくarc4random_uniform関数 *1 がたまたま「参加」の値を返しただけ、と。しかしこれは私の

最近のAPIはJSONを基本フォーマットとして提供していることもあり、Webアプリケーションから利用したいという要望が強くなっています。しかしWebアプリケーションでのAPI利用は、サーバサイドとは異なる問題点が幾つもあります。 非同期 Webアプリケーションの場合、基本的に利用する言語はJavaScriptになります。JavaScriptはシングルスレッドな実装なので、ネットワークやデータの処理に時間がかかるものを同期処理にすると、処理が完了するまで全く何も操作できなくなってしまいます。それを防ぐために

APIは自動処理であるという点において、セキュリティリスクの大きい技術と言えます。もし認証情報が漏れると、次のようなリスクが起こりえるでしょう。 データを一気に消される プライバシーや機密に関わるデータを一気に抜かれる 違法なデータをアップロードされる 不要なデータが大量に送られる そうした状態を防ぐためにもセキュリティについて十分な配慮が必要です。 1. アクセス制限をかけましょう 企業同士の提携によるAPI利用の場合、IPアドレス単位でアクセス制限しても良いでしょう。そうすることで提携先の企業からの正

技術2課の白鳥です。 ついに AWS Summit Tokyo が始まり、本エンジニアブログも関連記事で賑わっています。一方、実は Box World Tour 2016 Tokyo も近づいてきていますので、この記事ではあえてBoxの話をします。 はじめに サーバーワークスでは、業務で使用するファイルの保存・共有にBoxを使っています。Boxは、主に法人向けに提供されている、クラウド上にファイルを保存するサービスです。企業がもつ機密情報を保存するにふさわしいセキュリティ機能（例1, 例2, 例3）と、モ

技術２課の鎌田です。 Active Directoryは、別にサーバーを用意するとSaaSのサービスにもActive Direcroyのアカウントを使うことができるようになります。 今回は、Active DirectoryのアカウントでAWSにログインする方法をご紹介します。 目次はこちら。 Active Directoryアカウントを外部連携する時の構成とバージョン ADのアカウントでログインした時のIAMのポリシー 実際に構成してみる ADアカウントとセキュリティグループの準備 ADFSのインストール

各社がボットAPIをリリースしています。メッセージはテキスト主体のサービスなので、開発がしやすいこと、メッセージを解析することでユーザに自然言語的なレスポンスを返してサービス提供できるのが魅力です。 そこで今回は各社がリリースしているボットAPIをまとめて紹介します。 HipChat - API v2 - Getting started 企業での利用が多いチャットサービスHipChatではREST APIによるメッセージの送信とWebHooksを使ったメッセージの受信をサポートしています。さらにカード型と

こんにちは！BASE CTOの藤川 ( id:f-shin )です！ 連休直前の4/27にBASE社開催のMeetup「Commerce & Payment - BASE Talk」を開催しました。 いつもは、BASE drinkというプレゼン資料なしのカジュアルトークイベントをやっているのですが、今回はLT形式で当社のエンジニアと外部参加の方にプレゼンしていただきました。 今回は、その内容であるBASEとPAY.JPのプレゼンの紹介をいたします。 どれも決済とECに携わっている人であれば当たり前

APIの利用者が増えないという悩みは良く聞くところです。そのために行いたい施策を紹介します。 1. インタフェースを他と合わせる もしすでに同分野においてAPIが存在するのであれば、そこに合わせたAPI設計を選択するという手があります。あえて独自性を貫くのは、あまり良い選択肢ではありません。開発者にとっても似たAPIは乗り換え対象にもなるので、全く別な構成よりは似ている方が手軽と言えます。 ただしGoogleとOracleの裁判で見るように、APIにも著作権が認められようとしています（最終的な判決は執筆時

IISのHTTPレスポンスにはデフォルトで「Server」ヘッダーにバージョン情報が格納されています。 セキュリティ上好ましくなく、バージョン情報を消したい時は、Microsoftが提供するURL Writeという機能により実現することが可能です。 以下URLからURL Rewriteをダウンロードし、インストールする。 http://www.iis.net/downloads/microsoft/url-rewrite IISマネージャから「URL 書き換え」を選択する。 「規則の追加」-「送信規則」-