CVE-2026-40175 の HTTP Request Smuggling を検証した | jsmz の覚書 axios の Prototype Pollution ガジェットを悪用した CRLF ヘッダインジェクション・HTTP リクエストスマグリングについて，PoC の構築と実際の攻撃条件の検証を行いました．

だいたい理解できたので書いた

blog.jsmz.dev/blog/2026/cv...

axios の脆弱性の再現コード書いてみたけど，
tcp adapter を自前で用意してないと刺さらない？
これすっごい条件が限られるんじゃないかな

github.com/vinyl-umbrel...

S3 Files 癖があるな
レプリカラグとの付き合いが難しい
コスト削減を目的に、EFS から移行できるようなワークロードは少ないかも

ここ半年くらいで、大きめのサプライチェーンアタックの頻度が急増してる気がする

サプライチェーンアタックによる infostealer とか，AI による誤操作対策としてのローカルのクレデンシャル管理は何がいいんだろう？

astral も bun も AI 企業に買収されると思わんかった

言語サーバと会話してくれる SAST ツールってあったっけ？
CodeQL がくらいかな

S3 にすごいの来た！と思ったら期待してたのとは違った

aws.amazon.com/jp/about-aws...

Trivy security incident 2026-03-01 · aquasecurity trivy · Discussion #10265 Trivy has been attacked today via GitHub Actions, along with other popular projects: https://www.stepsecurity.io/blog/hackerbot-claw-github-actions-exploitation. We believe the vulnerability came f...

乗っ取られたんだ
インターネット怖い
github.com/aquasecurity...

trivy 消えてる
ちょっと困った

AI の進歩がすごいけどやっぱりこの考え方は合ってると思ってる
人間が UT を作成するのは AI の速度に合わないから、もうちょっと抽象度の高いテストが欲しい

仕様駆動が雰囲気的には近い

python のエコシステムを学びなおしてるけど pyproject.toml すごくえらい
setup.cfg はもう書きたくない

packaging.python.org/en/latest/gu...

VPN, DNS, メールサーバを自前で管理するのは避けたい
ほんとに面倒事が多すぎる

クラウドネイティブ会議 【2026/05/14,15】名古屋で開催される、クラウドネイティブ技術、プラットフォームエンジニアリング、SREに関する国内最大の技術カンファレンス

申し込んだ！
平日に名古屋まで行けるんかな
kaigi.cloudnativedays.jp

Zenn のシンタックスハイライターが shiki.js に変わったのいいですね

shiki.js に .tf, .tfvars のサポートを追加したのは実は私です

github.com/shikijs/text...

Cloudflare Email Routing の右上のフィルタバグってる

日時選択で投げられる値は，datetime_geq, datetime_leq が期待されているけれども，なぜか datetimeEnd もくっついて POST される

Opus 4.5 高い...
Haiku 4.5 の 10 倍だ

minisearch を理解した．
個人のサイトレベルの全文検索だとこれで十分そう．

git diff に difftastic 使うのすごくいい

カスタムドメイン + メールボックスでまともに運用できそうなのは，iCloud+，さくらのメールボックス，Zoho Mail，WorkMail くらいかな．
iCloud+ が一番バランスがいいのかな．

2025年は、要件定義から運用まで一貫して経験することで、機能要件/非機能要件を分離して考えられるようになったり、CI/CD や監視設計もしっかり身についた。
人を使う難しさも経験できた。

2026年は、上のプロジェクトが落ち着くので Web セキュリティ屋さんに戻れるかな。

テストを必ず書こうはかなり言われ始めたから次は CI/CD, 監視もちゃんと設定しようを広めたい．
開発して終わりではなく，本番ワークロードにデプロイされて初めて価値が出る．

OCI みたいなマイナークラウドに関する操作はバイブコーディングだと無理だな

技術選定とか設計するときは3年後も保守できるかをよく考えてる
3年の間に、チーム体制や担当者が変わったり、EoL 対応も経験することになるはずで、いかに運用負担を小さくできるかを重要視している

技術を深掘っていけば、最終的にセキュリティとかパフォーマンスに行き着く気がする

H4sIAAAAAAAAA... が base64 エンコードされた gzip ファイルであることを学んだ

過去の自分が偉すぎる
ちゃんと SES のバウンス監視入れてた

最近，AWS イベント関連の監視を強化しているけど，少し AWS の深いところまで見えるようになってきた

Linux というとカーネルを指す単語だと思ってたけど、今いる環境ではディストリビューションを指すことのほうが多そう

久しぶりに HTML 4.01, frameset と戦った
いつになったらこれらはなくなるんだろう？

re:Invent まだ始まってないけどおもしろいアプデがいくつか発表されてる