対策遅らせるHTMLエンコーディングの「神話」
クロスサイト・スクリプティングという言葉は元々,WebアプリケーションのHTMLエンコード漏れなどを利用することによって第三者にJavaScriptを実行させる手法を指す。広義では,HTMLのエンコードによる画面改変などを含むこともある。 前回述べたように,クロスサイト・スクリプティングのぜい弱性はWebアプリケーションに見付かるぜい弱性の半分以上を占める。数年前から指摘されているにもかかわらず,一向になくならない。その理由として,クロスサイト・スクリプティング対策あるいはHTMLエンコード注1)に対する「神話」があり,正しい対策の普及を遅らせているように思う。その「神話」の数々について説明しよう。 注1)実体参照(entity reference)というのが正式だが,あまり普及していない用語なので,HTMLエンコードという用語を用いる 「すべからくHTMLエンコードすべし」が鉄則 HTM
「全事務職員がLinuxデスクトップを使用している町役場」は実在する:ITpro
二宮町は栃木県にある人口約1万7000人の町。二宮尊徳ゆかりの町名と「いちご産出量日本一」で知られる。同町は,町役場の事務用パソコンのすべて,約140台をLinuxに入れ替えるという前代未聞の挑戦を行っている。OSをLinuxにするだけでなく,オープンソースのOpenOffice.orgやFirefox,Thunderbirdでワープロ,Web,メールによる業務を行う。記者の知る限り,日本で例のない試みだ。 同町が役場をあげてLinuxに移行することになったのは,IPA(独立行政法人情報処理推進機構)が実施した「自治体におけるオープンソース・ソフトウエア活用に向けての導入実証」に参加したからだ。この事業は,オープンソース・ソフトウエアを自治体のデスクトップ機で使用する実現性と課題を明らかにするための実験である。同町は2月にLinuxへの移行を開始した。 この実験には二宮町のほか,北海道札幌
「HTML画面をそのまま仕様書に」,5カ月で1000画面を構築した就職サイトPuffの高速開発手法:ITpro
上段左からティーアンドエフカンパニー 事業推進統括責任者 情報化戦略コンサルタント 西岡祐弥氏,ティーアンドエフカンパニー 代表取締役社長 佐藤裕司氏,パフ 代表取締役社長 釘崎清秀氏,下段左よりティーアンドエフカンパニー 最高技術責任者 出羽健一氏,パフ 取締役兼株式会社プロシンクワーク代表取締役社長大場京子氏,パフ 事業サポートグループ グループマネージャー 保坂光江氏 Webシステムを開発する際にはほとんどの場合,ユーザーとの打ち合わせのためにHTMLによるモックアップを作る。「このHTMLがそのまま仕様書になれば」と思ったことはないだろうか。就職情報サイトPuffの再構築プロジェクトでは,まさにモックアップをそのまま仕様書した。「十数人の開発者で,5カ月で1000画面のシステムを開発する」必要に迫られたからだ。 HTMLに仕様とメモを埋め込み,CSSで切り替え 「この未体験のスピー
Winnyをキッカケに考えた匿名BBS(電子掲示板)の姿
2006年を振り返ってみると,ファイル交換ネットワーク構築ソフト「Winny」を舞台とした各種のニュースが思い起こされる。有名企業や公共機関の情報漏えい事件に始まり,ユーザーによる著作権法違反や開発者によるほう助の裁判といった話題が世間を賑わせた。 ところが,Winnyの新版に相当するWinny2の機能に関しては,あまり話題に上っていないように思える。記者はWinny2の機能に高い関心を持っている。そしてWinny2は,古くて新しい話題である“匿名性”について再度考えるきっかけとなってくれた。 Winny2はBBS(電子掲示板) まず,Winny(ウィニー)のしくみについて,軽くおさらいしておこう。一言で言えば,キャッシュ機能を持つ「匿名串(プロキシ)」を多段に通すことによって,匿名性とファイルのヒット率(効率性)を両立する,というアイディアだ。要求を受けたもののキャッシュを持っていないノ
鵜飼裕司のSecurity from USA : P2PソフトShareの暗号を解析,ネットワーク可視化システムを開発
1. はじめに Shareと呼ばれるP2P型ファイル交換・共有システムがここ二年ほどで急速に普及し、Winnyについで第2の巨大P2Pネットワークを構成している事は皆様もご存知かと思います。以前、ネットワーク脆弱性スキャナ「Retina」(http://www.scs.co.jp/eeye/)にWinnyの検出機能を実装致しましたが、同様にShareの検出機能も実装して欲しいという強い要望を日本の皆様から頂いておりました。このためには、Shareを解析せねばなりません。 どうせShareを解析するならば、利用されている暗号アルゴリズムやプロトコルを詳細に解析し、現在日本で大きな社会的問題となっているShareネットワークでの情報漏えい問題に何か手を打てればと思い、年明けからShare EX2の解析に着手しました(以降、「Share」 = 「Share EX2」とする)。この甲斐あって、Re
Winny裁判の判決に思う
ついに、無線LANルーターのLa Foneraが届いた。次回は、FON 後編としてLa Foneraのレビューをしたい。 もう去年の話題になってしまいましたが、Winnyの作者である金子勇氏に対する裁判で12月13日、150万円の罰金判決が出ました(参考記事:【速報】Winnyの開発者,金子勇被告に有罪判決、【続報】金子氏サイドがWinny裁判報告会,「判決には納得いかない,今日中に控訴する」)。今回は、この裁判について私の考えを書きたいと思います。 私が通う筑波大学には、ソフトウエアを作ることが大好きな人がいっぱいいます。空気を吸うのと同じ感覚でプログラミングしているように見えるくらい、ソフトウエア作りは日常に溶け込んでいます。プログラミングが数週間できなくなると、イライラしたり、体調が悪くなる人もいるのです。 プログラミング好きの友人や私から見ると、今回の判決は素直によかったと思います
ブックマークに入れておきたいお役立ちサービス/Webページ一覧:ITpro
出典:日経NETWORK 2006年11月号 35ページより 記事は執筆時の情報に基づいており、現在では異なる場合があります。
シリコンバレーでは常識,850万人が使うビジネス特化SNS「Linkedin」:ITpro
2人寄ればビジネスや採用の情報を交換し合うネットワーク社会,シリコンバレー。そこでビジネスに広く利用されているソーシャル・ネットワーキング・サービス(SNS)がある。Linkedinである。シリコンバレーでコンサルティング業を営む筆者にとって,Linkedinは日々の仕事に欠かせないものとなっている。 ビジネスに特化,130カ国で850万人が利用 Linkedinは2003年にカリフォルニアのPalo Alto市で生まれたビジネス特化型SNSである。当初シリコンバレーで広まったが,現在は米国のみならず130カ国で850万人が利用している。創業したその年に,シリコンバレーの名門ベンチャ・キャピタルであるSequoia CapitalやGreylock Partnersが投資を行ったことでも知られている。 Linkedinをうまく使いこなすことは,シリコンバレーでのビジネスを進める上でのカギと
今からでも遅くない!アルゴリズム入門---目次
高速なハードウエア,至れり尽くせりのユーザー支援機能を備えた開発ツール,高機能なクラスライブラリやフレームワークなどなど,近ごろのプログラムを書くためのお膳立ては,とても充実しています。しかし,どんなに環境が整っても,ソフトウエアを作るには何らかのアルゴリズムに従って問題を解きほぐし,プログラムにするという作業が相変わらず必要です。 そこで本特集では,まずPart1で身近な例からアルゴリズムというものに迫ってみます。皆さんが普段接している便利なソフトやサービスがどのような仕組みで動いているのか,その仕組みをのぞいてみましょう。教科書で勉強するようなアルゴリズムの話とはちょっと違うものも出てきます。中には,サービスの重要な要素をプログラムで処理せず,手作業に頼って実現しているものもあります。実用ソフトの世界で本当に使いやすいものを作るには,アルゴリズムだけわかっていてもダメなことが少なくない
初心者がJavaを“超高速”で学ぶためのコツ:ITpro
皆さんの中には,「いまどきJavaくらいできなきゃねぇ~」と言われてからもう何年も過ぎちゃった…なんて人も多いのではないでしょうか。いつ何時「新しいプロジェクトはJavaでいくから」なんて上司に言われたりしないか,内心ドキドキしてる方もいらっしゃるでしょう。私が受け持つJavaの授業でも,受講生の方からそういった悩みをよく聞きます。 しかしよく聞いてみると,なんだかとても効率の悪い勉強をしているなあと驚くことがあります。なぜなら多くの方が「Javaの入門書で勉強しているのにJavaのプログラムを作れるようにならない」と言われるからです。COBOLやC言語のプログラミング経験があるにもかかわらずです。 なぜJavaの学習がなかなか進まないのでしょうか。残念ながら「Javaのスキルが上がらない」という方の多くは,「データとアルゴリズム」「Javaの文法」「オブジェクト指向」の三つをきちんと学べ
【初級】暗号・認証技術を基礎から理解する 前編:ITpro
情報データを様々な攻撃から守る安全なシステムを構築するためには,セキュリティ技術の理解が欠かせない。ここではセキュリティ確保の中核技術とも言える,「共通鍵/公開鍵暗号」,「デジタル署名」,「バイオメトリクス」といった暗号・認証技術を取り上げ,基本的な仕組みや利用動向を解説する。 今や日本の企業のほぼすべてがインターネットを利用しており,一般家庭を見ても利用人口は約5割に達するという。ITは水道や電気と並ぶ,欠かすことのできない社会インフラとなった。 しかし,コンピュータの数が増え,ユーザーが様々なサービスを享受できるようになった一方で,深刻な問題が発生してきた。それは,一つひとつのコンピュータに監視の目が行き届かなくなり,悪意のある人間による不正操作が行われやすい環境になってきたということだ。実際に,コンピュータ上のデータが盗まれたり,改ざんされるといった事件が多発するようになり,連日のよ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Windows Vista開発史---目次 | 日経 xTECH(クロステック)