Hackers' Pub is a place for software engineers to share their knowledge and experience with each other. It's also an ActivityPub-enabled social network, so you can follow your favorite hackers in the fediverse and get their latest posts in your feed.
„Es ist nicht deine Schuld, dass die Welt ist wie sie ist.
Es ist nur deine Schuld wenn sie so bleibt!“
あとおすしが通過してクラッシュもしてた 
店員さん疲れてるのかな
"젊고 경력도 있으면 좋겠어요"...신입 취업, 불가능한 도전이 된 이유 [청년 표류기: 일자리를 찾아서]
www.hankookilbo.com/News/Read/A2...
"과거보다 사회 진출 시점이 늦어질 수밖에 없는 구조에서, 이 기간 취업에 성공하지 못할 경우 사실상 '장기 미취업자'로 남을 가능성이 높다. 지난해 11월 15~29세 '쉬었음' 인구는 41만6,000명으로, 2020년 이후 5년 만에 11월 기준 가장 많았다. 청년층의 사회 진입이 늦어지고 있는 현실과 무관치 않다는 분석이다."
[단독] "젊고 경력도 있으면 좋겠어요"...신입 취업...
소피아 @async3619@hackers.pub
X-Frame-Options 의 악몽에서 깨어나세요, 프록시 서버 개발기 X-Frame-Options? 그게 뭔가요? 우리가 아는 몇몇 대형 웹 서비스들(유튜브 등)은 보통의 경우 다른 웹 사이트에서 iframe 요소를 통해 임베딩 되는 것을 거부하지 않습니다. 다만, 몇몇 웹 서비스는 다른 웹 페이지에서 iframe 요소를 통해 표시되길 거부합니다. 제품 정책 및 보안상의 이유로 표시를 거부하는 목적이 있겠습니다.
이러한 니즈를 충족시킬 수 있는 HTTP 헤더가 X-Frame-Options 입니다. 이 헤더의 값을 SAMEORIGIN 내지는 DENY로 설정하면, 직관적인 값에 따라 알맞게 프레임 내 임베딩 가능 여부를 결정할 수 있습니다.
위 이미지에서 볼 수 있듯, 네이버는 X-Frame-Options 헤더를 명시함으로써 그 어떠한 출처에서도 프레임 내에 임베딩 되는 것을 거부한 상황입니다. #
웹 페이지 내에 다른 웹 페이지가 임베딩 되어 '미리보기' 처럼 제공되는 경험을 보신 적이 있으신가요? Omakase AI는 자사 프로덕트의 데모를 위와 같이 제공하고 있습니다. 캡쳐하여 실시간으로 전송되는 영상의 화면 위에, 자사 컨텐츠를 올려두어 실제 적용 시에 어떤 네러티브를 제공할지 데모 형식으로 보여줍니다.
문제는 이 모든 경험이 영상을 통해 진행 된다는 점 입니다. 영상 전송은 필연적으로 지연 시간이 존재할 수 밖에 없습니다. 여러분이 스크롤을 내리고, 클릭을 하는 등의 작은 인터렉션 하나가, 큰 지연 시간 뒤에 처리가 된다고 하면 유저는 답답하고 매끄럽지 않음을 느낄 것이고 이는 곧 이탈로 이어질 가능성이 있습니다. (구글은 비슷한 맥락에서 Core Web Vitals로써 INP를 설명하고 있습니다)
따라서 저는 영상을 보내는 나이브한 방법 이외의 유저의 브라우저에서 외부 웹 서비스를 표시할 좋은 방법을 찾아야 했고, 그것이 바로 프레임 내지는 iframe을 사용하는 방법 이었습니다. 이런 맥락에서 X-Frame-Options를 우회할 필요가 생긴 것 입니다.
우리는 정상적인 방법으로는 제 3자 출처의 요청을 가로채어 응답 데이터 및 헤더를 조작할 수 없음을 잘 알고 있습니다. 여기서 필요한게 중간자 (Man in the Middle) 입니다. 누군가를 클라이언트 - 원격지 서버 사이에 두어, 서로에게 오가는 요청과 응답을 수정하는 작업을 수행하도록 하는 것 입니다. 그렇게 하면, 둘은 각자 수신한 요청과 응답이 모두 원본인지, 수정한 것인지 알 수 있는 방법은 거의 없을 것 입니다.[1]
이 중간자 역할을 하는 프록시 서버를 중간에 두어 요청을 모두 프록시 서버를 거치도록 하는 방법을 이용하는 것 입니다. 간단하게는 X-Frame-Options 응답 헤더의 제거가 있을 것 입니다. 중간자가 X-Frame-Options 헤더를 제거함으로 응답을 수신하는 클라이언트 브라우저의 iframe 요소는 큰 문제 없이 내용을 표시할 수 있게 됩니다.
처음에는 그저 GET Query Parameter로 프록시 서버에게 어떤 원격 URL을 프록시 할 것인지 명시하도록 구현 했습니다. 예를 들면 다음과 같은 형식이 될 수 있겠습니다:
https://example.com/proxy?target=https://www.naver.com/...보통의 경우에는 별 문제 없이 동작 했습니다만, 재앙은 그다지 먼 곳에 있지 않았습니다. 만약 다음과 같은 코드가 원격지 웹 서비스 코드에 있다고 해봅시다. 아래 코드는 무신사 웹 페이지의 빌드된 소스코드 입니다:
import {E as k0} from "./vendor/react-error-boundary.js";
import {b as o0, d as Wt} from "./vendor/react-router.js";
import {d as F0} from "./vendor/dayjs.js";
import {L as Qt} from "./vendor/lottie.js";
import "./vendor/scheduler.js";
import "./vendor/prop-types.js";
import "./vendor/react-fast-compare.js";
import "./vendor/invariant.js";
import "./vendor/shallowequal.js";
import "./vendor/@remix-run.js";
import "./vendor/tslib.js";
import "./vendor/@emotion.js";
import "./vendor/stylis.js";
import "./vendor/framer-motion.js";
import "./vendor/motion-utils.js";
import "./vendor/motion-dom.js";무신사는 내부적으로 ESM을 사용해서, import 구문을 통해 필요한 에셋을 불러오는 코드를 사용중에 있습니다. 문제는 여기서 발생합니다. import 의 대상이 되는 소스코드가 상대 경로를 따르게 되어 아래와 같은 결과를 초래하게 됩니다.
https://example.com/proxy?target=https://www.naver.com/...
위와 같은 URL을 표시하고 있는 `iframe` 요소에서,
`import "./vendor/framer-motion.js"` 구문을 만난다면..
https://example.com/proxy/vendor/framer-motion.js 를 요청하게 됨.이를 해결하기 위해, 프록시 된 대상 URL에 대한 개념의 도입이 필요 했습니다. 상대 경로 진입에도 안정적으로 작동할 수 있는 새로운 방식의 접근이 필요 했습니다. 저는
를 생각해 냈어야 했고, 그 결과는 이렇습니다. https://section.blog.naver.com/BlogHome.naver?directoryNo=0¤tPage=1&groupId=0 를 예시로 들면, 프록시화 (Proxified) 된 URL은 다음과 같은 것 입니다.
https://example.com/proxy/section/blog/naver/com/_/BlogHome.naver?...URL hostname의 . 구분자를 /로 치환하고, 이후의 모든 pathname, search 등은 모두 _ 구분자 뒤로 넘김으로서 URL의 원형을 유지할 수 있게 됩니다. 추가적으로 상대 경로 접근에도 안전한 URL을 만들 수 있습니다.
우리는 상대 경로 문제를 해결하기 위해 URL을 프록시화 하는 방법을 사용했고, 이는 제대로 동작하는 듯 해보였습니다. 악몽은 React, Vue 등의 SPA 웹 앱을 프록시하여 표시하는 데에서 시작 되었습니다.
React, Vue 와 같은 프레임워크들은 History API 및 window.location 객체를 기반으로 한 Routing 기능을 제공하고 있습니다.[2] 이 말은, 결국엔 어떤 프레임워크가 되었든 저수준 빌트인 자바스크립트 API를 사용할 수 밖에 없다는 것을 의미 합니다. 그렇다면 직관적으로 생각 해봤을 때,
window(및globalThis) 객체의location속성의 값을 변경해주면 되지 않겠나?
라고 생각할 수 있습니다. 그러나 이는 불가능 합니다.
어떠한 이유 때문인지는 알 길이 없었지만, 자바스크립트는 그렇게 만만한 존재가 아니었습니다. 다른 좋은 방법을 찾아야 할 필요가 있었고, 결론에 도달하는 데에는 오랜 시간이 걸리지 않았습니다. 그것은 바로 원격지 웹 페이지에서 실행되는 모든 스크립트의 window.location 객체 접근을 감시하면 어떨지에 대한 아이디어 였습니다.
번들된 소스코드의 경우 대체적으로 다음과 같은 형식을 가지게 됩니다:
const l = window.location;
/* ... */ l.pathname /* ... */여기서 우리는 변수 l이 window.location의 별칭인지 소스코드만 분석해서는 알기 매우 어렵습니다. 따라서, babel을 사용해서 소스코드를 AST로 분석하고, 모든 프로퍼티 접근을 특정 함수 호출로 변환하면, '특정 함수'에서 모든 것을 처리할 수 있으니 좋을 것 같다는 생각이 있었고, 실행에 옮겼습니다:
const l = window.location;
l.pathname;
// 위 코드는 아래와 같이 변환됨
const l = __internal_get__(window, 'location');
__internal_get__(l, 'pathname');__internal_get__ 함수 내부에서 첫번째 인자가 window.location 과 동일한 인스턴스를 가지고 있는지 비교하거나, 두번째 인자인 프로퍼티 키를 비교해서 href 등의 값이라면, 원하는 값을 반환하도록 후킹 함수를 만들 수 있겠습니다.
function __internal_get__(owner, propertyKey) {
if (owner === window.location) {
return {
get href() { /* proxified 된 url을 기반으로 Router를 속이는 URL을 반환하는 로직 */ }
}
}
// ...
}글에 열거한 내용 이외에도 정말 많은 기술이 사용 되었는데, 아주 재밌는 경험 이었습니다. 혹여나 이러한 비슷한 기능을 하는 기능을 개발할 일이 있으시다면, 도움이 됐으면 좋겠습니다.
여기서 거의 라는 표현을 사용한 이유는, 제 짧은 식견에서 보자면 비슷한 맥락에서 사용하는 기법으로 integrity 속성이 있을 수 있겠습니다. ↩︎
예를 들면, location.pathname을 읽어 현재 Route가 어떤 Route인지 감지하는 등의 동작이 있겠음. ↩︎
공모전 이름 3개 모두 이과의 그것이라서 너무 불미스러움...
RE: https://bsky.app/profile/did:plc:msjb5rmnahqvjgacib6gcmwq/post/3mbdhrnhkps2p
ぽぷら先輩
2026年、養命酒初め
나도 자동백업에 GPG같은 암호화 정도는 추가할까?
狐桜さんすごい時間に寝てすごい時間に起きてない...?
I don't follow people with genAI avatars
Or who've very recently posted some slop uncritically
Less in my life of that, please, not more.
#genAIslop #AIslop #noToAI #NoAI #no_ai_bullshit
쓰시는구나..One of the [to german or english native speakers] more cryptic signs put up at various locations of #39c3. I had to use cyrillic OCR and a ukranian to english translation software to make sense of it. Very nice, congrats to whoever did that.
店員さんが出す酒の銘柄をお間違えになったため、
2種類日本酒消費していいことになった
早寝早起き民は そろそろ 寝る支度を始めます 
の 皆様も 
今日も 
では また明日ね 
```
env PGPASSWORD=${cnpg_pass} pg_dump --format=custom --quote-all-identifiers --compress=${COMPRESS} -h ${cnpg_ip} -U ${cnpg_user} -d ${database} | gpg --encrypt --output "${backup_root}/${namespace}/${cluster_name}/${database}.gpg.tmp" --recipient "${GPG_ID}"
mv "${backup_root}/${namespace}/${cluster_name}/${database}.gpg.tmp" "${backup_root}/${namespace}/${cluster_name}/${database}.gpg"
```
머야 내꺼 왤캐 복잡함;
絶妙にお腹の調子が悪いような
영상을 보니 더 어이 없는데 뒤에 무언가 있는 거 자체는 인식을 한 것 같은데 냅다 후진을 해 버리네;; 초음파 센서 넣었음 이런 일은 방지할 수 있었을 것 같은데 모든 걸 카메라로 해결하겠다는 방식만 밀고 나가니...
ほかのところ閉まってたからおすしたべにきた、すいてる
코니님꺼 DB덤프 명령어 보는데
GPG로 암호화하는건 처음보네
我々はコインランドリーへ
Happy New Year!
Looking for testers for a new Mastodon TUI.
tooi is a re-implementation of the TUI included with toot, using a more modern framework which is easier to work with. It supports most features `toot tui` does, and some new ones too.
tooi is set to replace `toot tui` which has proven to be troublesome to support and extend.
まっこと太ぅなっちゅうきに! #方言でノートして
新年恒例 
お年玉箱 2026 、今回は 海外ノートPC Ryzen5 オフィスなし(70,000円)で久々にPCのお年玉箱を入手しました。あとは前から気になっていたPanasonic のホットマット DC-SN20 を買ってみました 
극우 불링계 쿠팡 알바 돌기 시작함 @: 선택적 분노 토악질나네
2025 in #solar (2 kWh balcony solar, 3.2 kWh battery).
Total energy use: 5.8 MWh
Drawn from grid: 3.89 MWh
Solar produced: 1.91 MWh
Returned to grid: 0.37 MWh
Own use: 1.53 MWh (80%!)
Battery storage: 0.32 MWh (21% of own use)
Total saving: 661€
Lifetime accumulated savings: 1033€
ETA break even: 4.5 years total, 3 more to go.
We use energy for baseline draw, laundry & car charging.
That’s all 150% of what we expected. Savings will go down by 12% in 2026 due to cheaper energy pricing.
🌞✌️🫶
새해 복 많이 받으세요.
“정부가 온라인 간첩 직접 초대” 북한 매체 개방이 무서운 국힘
www.mediatoday.co.kr/news/article...
"통일부는 “우회 접속이 만연한 상황과 우리 사회 성숙도 및 체제 자신감을 고려할 때 현행 규제와 현실의 간극이 극심하다”면서 “정보통신망법 개정을 통한 웹사이트 차단 해제를 추진하겠다”고 밝혔다. 그러면서 “국민이 북한 정보에 자유롭게 접하고 북한 실상을 스스로 비교·평가·판단하도록 북한 정보 개방을 지속적으로 확대할 계획”이라고 밝혔다."
“정부가 온라인 간첩 직접 초대” 북한 매체 개방이 무...
Motto für 2026:
Vorsichtig bleiben
Wo immer Daten für einen scheinbar legitimen Zweck gesammelt werden, wird sich auch schnell jemand finden, der sie für einen illegitimen Zweck verwenden möchte. Wer seine Daten preisgibt, weil er oder sie „nichts zu verbergen“ hat, ebnet Unbefugten damit den Weg.
공모전 이름 3개 모두 이과의 그것이라서 너무 불미스러움...
RE: https://bsky.app/profile/did:plc:msjb5rmnahqvjgacib6gcmwq/post/3mbdhrnhkps2p
이건 좀 어이가 없어서 웃기네 😂
ジャンプしたら主人公が手すりに股間を連続強打した後に落ちた判定になるの何故なにどうして
痛そう過ぎて見てるこっちが悶える
어제 38분만에 제출한 공모전이 이거임 >김평식<
공지 나왔군
3일 신촌 현대백화점 옥상 바로 아래층에 노래틀러갑니다! https://x.com/i/status/2006687694282437058
보카로 등 덕후노래 많을 예정(저도 덕후노래 틈)
Show HN: BusterMQ, Thread-per-core NATS server in Zig with io_uring
Link: https://bustermq.sh/
Discussion: https://news.ycombinator.com/item?id=46449812
아니 이게 뭐지.... 내가 이런 걸 만들어서 집사한테 줬다고...?
밥도 맛있게 먹었겠다... 밖에서 불 피워놓고 불멍이나 때릴까
I think this is the spirit animal I want for 2026....
今気づいたけど YouTube さんのコメントの返信見やすくなっている。
There’s a lot I miss about living in The Netherlands, but not their wilfully irresponsible attitude to New Year’s Eve fireworks.
The destruction of the Vondelkerk in Amsterdam, other fires, two deaths, & violence last night are consequences of that.
A legal ban on the general public buying anything beyond sparklers & indoor fireworks will likely be in place this time next year.
But the carnage will probably continue with fireworks smuggled in from Germany 🙄
https://www.rte.ie/news/europe/2026/0101/1551088-amsterdam-fire/
상어학땡스 
わしゃ
MJ+
ハンドメイドアクセサリー 
.dev
