ImageMagick の InterpretImageFilename で見つかった off-by-one read overflow

参考: GHSA-hm4x-r5hc-794f まとめ ImageMagick の InterpretImageFilename に「連続パーセント記号 %% を処理する箇所」で off-by-one error があったバグの本体は書き込みではなく読み込み側のポインタが \0 を 1 バイト飛び越えること 1 バイトの read overflow 自体は軽症（...

2026/05/28 security

SSH秘密鍵を「複製不可能」にする運用と、会社PCでできる現実的な代替

参考: 複製不可能なSSH鍵運用のススメまとめファイルとして置かれた SSH 秘密鍵は、コピー・同期・マルウェアによる窃取のリスクから逃げられない「複製不可能」とは、秘密鍵をハードウェアの中で生成して外部にエクスポートできない状態にし、外に出るのは公開鍵と署名結果だけにする運用 OpenSSH 8.2+ なら FIDO セキュリティキー（YubiKey 等）を ...

2026/05/22 security, infrastructure

S3 で「バケット内のリスト」だけを無効化し、個別オブジェクトの public-read 配信は維持する

まとめバケット ACL を public-read にすると、誰でもバケット直下に対する ListObjectsV2 が叩けてしまう（オブジェクトキー・サイズ・LastModified が匿名で取得できる情報漏洩リスク）個別オブジェクトの public-read 配信（CarrierWave の asset_sync / Rails アセット等）は維持しつつ、バケットレベル...

2026/05/21 aws, security

AWS CLI v2 の pager で画面が切り替わる挙動を抑制する

まとめ AWS CLI v2 は出力が一定量を超えるとデフォルトで less を起動し、ターミナルが全画面の pager 表示に切り替わる抑制方法は 3 通り: コマンド単位の --no-cli-pager、環境変数 AWS_PAGER=""、~/.aws/config の cli_pager 永続化したいなら .zshenv に export AWS_PAGER="" を...

2026/05/21 aws, devtools

「計画する」を分解するとAI時代の生存戦略が見える

参考: 「依頼された仕事をやらない人」は、なぜ仕事をしないのかまとめある記事は「依頼された仕事をやらない人」の本質を「考えるのが嫌」と診断し、処方箋として「考えなくていい仕事に閉じ込めろ」と提案しているしかしその処方箋が指す領域は、ちょうど今 AI が一番得意な領域と重なる「計画が苦手」を 8 要素に分解すると、AI で代替できる部分と人間に残る部分がはっきり分か...

2026/05/20 management, ai

macOS の Background Items 表示名は plist の ProgramArguments で決まる

まとめ macOS「システム設定 → 一般 → ログイン項目と機能拡張 → バックグラウンドでの実行を許可」に表示される名前は、plist の Label ではなく ProgramArguments[0] の basename から取られる ProgramArguments[0] を /bin/zsh にして第二要素にスクリプトを渡すと、表示名は「zsh」に丸め込まれて識別不能に...

2026/05/20 macos, devtools

SKILL.md の決定的処理はシェルに任せる

まとめ Claude にファイル探索や有無判定を「自然言語の指示」で任せると、似た名前のファイルを巻き込んで読んでしまう決定的に判定できる処理は test -f などのシェルコマンドに移譲し、echo で次にやるべき指示文を直接返す SKILL.md の手順は「決定的処理（スクリプト）」と「判断・生成（Claude）」に分けて記述すると迷いが減る起きたこと Clau...

2026/05/19 devtools, ai

CLAUDE.md に細かいコーディングルールを全部書くのはアンチパターン

まとめ CLAUDE.md はセッション中毎ターンプロンプト先頭に積まれるので、細かい規約を全部書くとトークンを毎回払うトークン以上に深刻なのはアテンションが薄まること。長くなるほど一行一行の効きが弱くなり、肝心の禁止事項が守られなくなる長セッションでは CLAUDE.md もコンパクションで要約に巻き込まれて潰れる。細かいルールほど消えやすい推奨は薄...

2026/05/19 devtools, ai

誰も上のグレードを取れない評価制度に起きること

まとめ誰も達成できていないグレードが存在する場合、それは個人の問題ではなく制度の失敗かもしれない「何をすれば上のグレードになれるか分からない」は評価基準の透明性の欠如が原因の一つである担当案件の重さが評価機会を左右する構造は、努力が報われにくい状況を生みやすいマネジメントが「聞くだけ」で終わると、制度への不信感が蓄積しやすい「予防」の貢献は見えにくく、評価者...

2026/05/14 engineering, management

force-push しても GitHub に残る dangling commit と特定リスク

まとめ git push --force で書き換えた旧 commit は GitHub 上に約 90 日残る（dangling commit）。SHA を直接指定すれば誰でも閲覧可能 private repo であってもリポジトリ所有者にアクセス権がある人なら旧 commit URL から内容を読める完全に消したいなら (1) GitHub のガベージコレクション待ち (...

2026/05/11 git, github

稼働中バイナリを差し替えるときの atomic rename パターン

まとめ稼働中の ELF バイナリに cp で上書きすると Text file busy (ETXTBSY) で失敗する一時ファイルに書き出して mv -f で差し替える atomic rename で回避できる rename(2) はディレクトリエントリだけを書き換え、古い inode は実行中プロセスが使い続ける Rails で同じ問題に遭遇しなかったのは Capi...

2026/05/09 linux, infrastructure

GitHub App の @-mention が初回は auto-link されない仕様

まとめ GitHub App の bot user (<slug>[bot]) を @<slug> で mention しても、bot がその repo の participant になるまで auto-link されず plain text のまま表示される bot が participant になる条件は「その repo で 1 度でもコメント済み」「...

2026/05/09 devtools, github

RDS Multi-AZ failover には2種類ある — 別 AZ 切替と同一 AZ 復旧の見分け方

参考: Amazon RDS event categories and event messages まとめ RDS Multi-AZ の failover は「別 AZ への切替」と「同一 AZ での復旧」の2パターンがある RDS-EVENT-0015 (Multi-AZ failover to standby complete) → 別 AZ への切替 RDS-EV...

2026/05/08 aws

AI に技術要件を伝えるときの3要素 — スコープ・ロジック・データソース

まとめ AI への技術指示が誤解されるのは「出力例」だけ提示しているケースが多い出力例に加えてスコープ（実行範囲）ロジック（生成ルール）データソース（入力源）を併記すると一発で伝わる出力例単独だと AI 側が前提を勝手に補完してしまい、間違った方向に作り込みが走るきっかけ AI コーディングエージェントに「フェールオーバー検証スクリプトの出力で 1a → ...

2026/05/08 ai

HTTPSでドメインを公開すると即座にボットに発見される仕組みと対策

参考: HTTPS公開サイトへの即座の攻撃についてまとめ HTTPS証明書を発行すると CT Log（証明書透明性ログ）に即座に記録され、誰でも検索できる攻撃者はcertstreamでCT Logをリアルタイム監視しており、証明書発行から数分以内にスキャンが来る開発・ステージング環境はBasic認証＋IP制限で守る。本番はWAF サブドメイン名を隠すにはワイル...

2026/05/08 security, infrastructure