JavaでさくさくWebアプリ開発 - しんさんの出張所 はてなブログ編
かなり久々の技術エントリ。 運用はお堅い重いサーバーを使ったとしても開発は軽いほうがいい。当たり前ですね。 というわけでさくさく開発する方法を書いてみる。DIコンテナはCDIやGuice、Springなど好きなものでよいが、今回は省く。軽いこともあって開発中はGuiceを使うことをお勧めしたい。注入は@Injectを使うため、開発中と運用中でコードが変わるってのは少ないはずだ。 まずはJAX-RS まず、アクションベースのWebアプリはJAX-RSを使うこと。これが基本。サーブレットAPIを使わずに開発することについては今までも書いてきた。サーブレットAPIを触らないことにより開発効率とテストのしやすさを両立できる。 こんな感じ。 @Path("/") public class Hoge { @GET @Path("add/{a}/{b}") public Response add(@Pa
首相官邸ホームページのリニューアル構築費用に対して製作者側からの考察
首相官邸の公式ホームページが2012年4月2日、リニューアルされた。 これが「お金をかけすぎている」とインターネット上で批判の嵐となっている。増税や公務員削減などが実施されようとしている中、無駄使いではないかという声が多くあがっているのだ。 首相官邸HP、リニューアルに4500万円 ネットで怒りの声 「もっと安くできる」 – J-CASTニュース この記事ですが、ネット上での「高い」という声は一般消費者感覚としては理解出来ますが、Web業界で働く私の周囲のリアルな同業者からも、ネット上の一般の方と同じように「高い」「騙されてる」「金のムダ使い」というような意見が出まして、ちょっと違和感を覚えました。 また一方で、同業の方でも実際このクラスの規模の案件を受託しているような受託業者さん界隈からは「これくらいはかかる」「この金額以下だと受けられない」という声も聞かれました。 私は後者の声に同感で
安全なWebアプリを作りたければ新しいフレームワークがオススメ | 水無月ばけらのえび日記
例えば,Railsの入力のセキュリティ対策はセキュアであるとは言えません。Railsのバリデーションは「データベースにデータが保存される前」に行われます。データベースにデータを保存する必要がないようなアプリケーションの場合,入力のバリデーションをフレームワークとして行う仕組みになっていません。本来入力はデータベース利用の有無に関わらず入力を受け入れた直後に行うべきです。多くのフレームワークがRailsの影響を受け同様の仕様となっています。Railsが脆弱な仕様を採用したことは不幸なことだったと思います。 ……。 まず、バリデーションはセキュリティのためにする処理ではありません。たまたまセキュリティの役に立つこともありますが、役に立たないこともあります。たとえば、問い合わせフォームに本文の入力欄があり、任意のテキストが入力できて、DBにはText型 (任意の長さの任意のテキスト) として保存
法と技術とクローラと私 - 最速転職研究会
こんにちは、趣味や業務で大手ポータルサイトのサービスで稼働しているいくつかのクローラの開発とメンテナンスを行っているmalaです。 さて先日、岡崎市立中央図書館Webサイトをクロールしていた人が逮捕、勾留、実名報道されるという事件がありました。 関連URL: http://librahack.jp/ 電話してみた的な話 http://www.nantoka.com/~kei/diary/?20100622S1 http://blog.rocaz.net/2010/06/945.html http://blog.rocaz.net/2010/07/951.html この件につきまして法的なことはともかくとして技術者視点での私見を書きたいと思います。法的なことは差し置いて書きますが、それは法的なことを軽んじているわけではなく、法律の制定やら運用やらは、その法律によって影響が出る全ての人々の常識
WEBプログラマー必見!WEB脆弱性基礎知識最速マスター - 燈明日記
以下は、WEBプログラマー用のWEB脆弱性の基礎知識の一覧です。 WEBプログラマーの人はこれを読めばWEB脆弱性の基礎をマスターしてWEBプログラムを書くことができるようになっているかもです。 また、WEB脆弱性の簡易リファレンスとしても少し利用できるかもしれません。 WEBアプリケーションを開発するには、開発要件書やプログラム仕様書通りに開発すれば良いというわけにはいきません。 そう、WEB脆弱性を狙う悪意のユーザにも対処しないといけないのです。 今回、WEBアプリケーションを開発にあたってのWEB脆弱性を、以下の一覧にまとめてみました。 このまとめがWEBアプリケーション開発の参考になれば幸いです。 インジェクション クロスサイト・スクリプティング セッション・ハイジャック アクセス制御や認可制御の欠落 ディレクトリ・トラバーサル(Directory Traversal) CSRF(
無精で短気で傲慢なプログラマ 技術者・SE・プログラマ面接時の技術的な質問事項
最近、技術者やプログラマの方と面接する機会が多いです。 毎回質問事項を考えるのにも飽きたので、再利用できるようにまとめておきます。 もしさわりの質問に対する反応が良かった場合は、さらに突っ込んだ質問 (インデントが深いもの) をします。経験がないようなら、さらっと流します。 当ページ管理人は、現在 EC サイト構築・運営を担当しているため、 そっち方面に偏っています。 最小限の質問でその人のスキルを見極めるのは難しいなぁ…。 ------- ●追記 ホッテントリに載ったようなので、このチャンスに 人材募集 を再アピールしておきます。 興味のある方はぜひ。 念のため言っておきますが、全部できないとダメというつもりは全くありません (当ページ管理人も、CSS・Eclipse・Struts・Spring・Hibernate・Ruby・アセンブラなど、 弱い部分が多々あります)。 「~はできますか
ウェブ開発ブームの終焉 | OSDN Magazine
読者の皆さんもご存じの通り、アメリカにおける昨年の金融危機に端を発して、世界は空前の大不況に突入しつつある。今後もそれなりに成長が見込めるということもあってか、IT産業の求人・雇用状況は製造業などの他業種と比べれば状況はややマシのようだが、それでも予断を許さないのは確かだ。首筋が寒くなってきた方もおられるだろう。 ITスキルの需要変化 ところで、調査会社Foote Partners LLCが最近出した発表によると、市場におけるITスキルへの需要に興味深いトレンドの変化が見られるらしい。というのは、プロジェクトマネジメントやITアーキテクチャといった分野のITスキルへの需要が増加傾向あるいは堅調なのに対し、ウェブ開発に関連したスキルへの需要はここ2年で減少傾向にあるらしいのである(Internet Evolutionの記事)。といっても、アンケート調査の対象はアメリカとカナダの1960社に勤
PerlのWebアプリケーションに特化したインストーラー付きパッケージャーみたいなのが欲しい - とほほのN88-BASIC日記
先週id:kazuhookuさんとかid:yappoさんとかと飲みながら話してた中で出てた話題をおぼろげな記憶の中から掘り起こすてみた。 Perl Web Applicationを簡単に配布したい 極力Pure Perlにすることが求められる mod_perlに頼らないでそこそこのスピードが求められる そこでCGIな軽量WAF 美麗なWizard方式のインストーラが欲しい パッケージする時にインストーラも自動生成 言ってみればWindows Installerで.msiパッケージ作るような仕組み アプリケーションが依存しているモジュールも簡単にインストールさせたい パッケージする時に中で使っているCPANモジュールを自動的に探してextlib以下に押し込んでbundleさせる仕組 もしくはJapanizeのようなリポジトリを共有する仕組み(ちょっとよくわかってないけどYet Another
Webアプリ脆弱性オタがふつーのSEの彼女に脆弱性世界を軽く紹介(ry
まあ、どのくらいの数の脆弱性オタがそういう彼女をゲットできるかは別にして、 「オタではまったくないんだが、しかし自分のオタ趣味を肯定的に黙認してくれて、 その上で全く知らない脆弱性の世界とはなんなのか、ちょっとだけ好奇心持ってる」 ような、ヲタの都合のいい妄想の中に出てきそうな彼女に、Webアプリ脆弱性のことを紹介するために 説明するべき10パターンを選んでみたいのだけれど。 (要は「脱オタクファッションガイド」の正反対版だな。彼女に脆弱性を布教するのではなく 相互のコミュニケーションの入口として) あくまで「入口」なので、時間的に過大な負担を伴うような図解などは避けたい。 できれば、秋葉原とか筑波とかから突っ込みがはいるような微妙な奴も避けたいのだけれど、つい選んでしまうかもしれない。 あと、いくら脆弱性的に基礎といっても古びを感じすぎるものは避けたい。 プログラム言語オタがCOBOLは
たった2週間でWEBサービスを6つ立ち上げる究極の方法! - 粋blog
恵比寿のIT関連の会社で営業マンをする今をときめく21歳。IT業界のえがちゃん♂こと永上裕之です。 いろんな人と話したんです!超気軽に連絡ください♪ TEL:090-2033-5444 メール:egachan★gmail.com Twitter:egachan Skype:hiroru123 メッセ:hiroru123@msn.com mixi:165462 NEW!!→→ラジオで喋って来ました(笑)ラジオ版:その1、その2 ニコニコ版:その1、その2←← サービスのコンセプトは全て統一 どうも、今をときめる21歳。IT業界のえがちゃんです(笑) 今回のテーマは『検索』でした。 具体的に6つのサービスをカテゴライズしつつ紹介します。 ●画像検索 画像in - サクサク画像検索しちゃう ●動画検索 YouTube2.in - サクサク動画検索しちゃう ●2
PHPやJavaのJSPやRubyのeRBのクールじゃないところ - 矢野勉のはてな日記
Java, PHP, Ruby, Wicket この話題はPHP限定でもないので上の記事とは切り離しました。PHPのいいところを褒めてるところに書くと、褒めたい意図が壊れてしまうので。 symfonyの10分デモを見てて考えたことがきっかけではあるんだけど、実はRuby on Railsの勉強で本を読んでた時にも思ったこと。彼らはHTMLファイルにコードを書くことをなんとも思ってないんだね。もちろん、プログラマからすればその方が早いのかもしれないけどね、私には「HTMLはプログラマのものなの?」という思いがあります。 PHP(Ruby on RailsもeRB使ってる関係でそういう気があるんだけど)はなんでもかんでもHTMLページに書いちゃう傾向があるのだけども、仕事でデザイナの主張を聞くこともある身としては、HTMLにコードを書くことはちょっとこれからのウェブ開発フレームワークとしては受
つくるぶガイドブログ: ひとりサービスをリリースするまでやっておくこと10個 - 僕は発展途上技術者
» つくるぶガイドブログ: ひとりサービスをリリースするまでやっておくこと10個 を書きました。 今回は、開発はひとやすみにして、サービスをリリースする前にやっておくべき細々としたことを紹介したいと思います。 これらは筆者がひとりサービスをリリースするときに、毎回なんとなく思い出しながらやってきたことで、サービスによっては忘れてしまっているものもあります。 ですから、次からはこれをチェックリスト代わりに使おうと思っています。 以下、書いたあとに思い出したもの。 ntp で時刻をあわせておく trackfeed を使い、サイトにリンクされたブログをチェックできるようにしておく コンタクトフォームを用意しておく 最近、というか今日知った AddClips のタグをはっておいて、ユーザーが簡単にブックマークできるようにしておく head タグ内 keywords と description を忘
つくるぶガイドブログ: ひとりサービスをリリースするまでやっておくこと10個
Ruby(とRails)を担当している石原です。 ソーシャル「OSを入れた後にインストールする10のアプリケーション」(仮) を作る過程をレポートしています。 今回は、開発はひとやすみにして、サービスをリリースする前にやっておくべき細々としたことを紹介したいと思います。 これらは筆者がひとりサービスをリリースするときに、毎回なんとなく思い出しながらやってきたことで、サービスによっては忘れてしまっているものもあります。 ですから、次からはこれをチェックリスト代わりに使おうと思っています。 Rails に限った話とWebサービス一般の話が混ざっています。ほかの言語やフレームワークを使っている方にも、Rails に限った話を自分の使っている環境に読み替えれば、いくらか参考になるかもしれません。 参考までにこれまでのエントリーはこちらです ↓ つくるぶガイドブログ: Ruby on Rails を
ブログが続かないわけ | 初心者プログラマーが簡単なフォームを作るときにやりがちな6つのミス
お問い合わせフォーム、登録フォーム、キャンペーンの申込フォーム。 Webにはいろいろなフォームがある。 Webプログラマーであれば誰もが一度は作ったことがあると思う。 新人プログラマーの初めての実務がフォームであることも多いだろう。 新人が作っているというのにもかかわらず、技術的にも面白い部分がないせいか、正しい知識のある人がレビューすることが少ないと思われる。 単純さゆえにテストが不足しているということもあるかもしれない。 上記の理由は憶測にすぎないが、杜撰なフォームがたくさん出回っているのは事実だ。 もう、CAPTCHAの話とか以前の問題だ。 よく見かける悪い例を簡単にあげておく。新人が初めての実務に当たるときにこれを気にしてくれれば、世の中のフォームがだいぶ良くなると思う。 1. クライアントサイド(JavaScript)でのチェックのみ。 2. 選択肢式の入力欄に対するチェックの漏
確認画面でhiddenに入力値を埋め込むのはセキュリティ的にダメか? | ブログが続かないわけ
お礼 先のエントリー(初心者プログラマーが簡単なフォームを作るときにやりがちな6つのミス)で、自分でもびっくりするくらいのブックマークを頂いた。この内容が参考になると思ってブックマークしてくれた人より、他の人にも紹介したいとか、よくあるよねといった共感に近い気持ちでブックマークしてくれた方が多かったのは、素直にうれしいしと思ったし、安心もした。 本題 ただ、何人の方から「確認画面でhiddenに入力値を埋め込むこと」に対して疑問を抱かれた。これに対して僕なりの解釈を付け加えておきたいと思う。 以下は、あくまでもフォームの話。 セッション管理されたシステム内におけるなんらかの書き込みシステムでは、話が全く変わってくることにご注意を。 結論から言うと「確認画面でhiddenに入力値を埋め込むこと」はセキュリティ的には問題ない。 (以下、この方法をhidden方式と呼ぶ) そもそも、セキュリティ
.NETエンタープライズWebアプリケーション開発技術大全 ポストバック処理(1/4) - @IT
.NETエンタープライズWebアプリケーション 開発技術大全 ― エンタープライズWebアプリ開発に必要な知識と設計セオリー ― .NETエンタープライズWebアプリケーション 開発技術大全 本記事は、日経BPソフトプレス/マイクロソフトプレスが発行している『.NETエンタープライズWebアプリケーション開発技術大全 Vol.2 ASP.NET 基礎編』の「第3章 ポストバック処理」から、同社の許可を得てその内容を転載したものです。 同書はマイクロソフトのコンサルタントが執筆した.NETシステム設計/構築のための技術解説書で、全5巻で構成されています。このうち、第1巻から第3巻までがすでに発売されています(第4巻と第5巻は、2004年秋以降の発行が予定されています)。 Insider.NETでは、全6回に渡り、.NET開発者にとって特に重要だと思われる個所をこの3巻より抜粋して掲載していく
Webアプリのセッション管理はデスクトップアプリのメモリ管理と同じ - プログラマの思索
Webアプリ開発で必ずぶち当たる課題、Webアプリ特有の技術、アーキテクチャについて考えてみる。 古くから続く課題を知れば、次世代Webフレームワークがどのように解決しようとして、何を提示しようとしているか分かりやすくなるだろう。 #以下、セキュリティ関係などを除く。 Webアプリは、Ajaxが登場するまで、UIがブラウザで制限されているため、それほど難しい機能を実装できなかった歴史があった。 古くはPer/PHP、そしてJavaに至るまで、Webアプリはステートレスだったから、殆どの機能は閲覧機能とマスタメンテナンス機能にすぎなかった。 なぜなら、Webアプリでは、6時間以上もかかるようなバッチ処理を実装したとしても非現実的だから。 しかし、以前から知られているアーキテクチャ上の課題はあるし、Ajaxの出現によって更にその課題が複雑になった現状もある。 Webアプリを作る時はいつも、下記
ゆーすけべー日記: 「エロサイトにおけるコンテンツマッチ型広告APIの自作」の資料
サキとは彼女の自宅近く、湘南台駅前のスーパーマーケットで待ち合わせをした。彼女は自転車で後から追いつくと言い、僕は大きなコインパーキングへ車を停めた。煙草を一本吸ってからスーパーマーケットへ向かうと、ひっきりなしに主婦的な女性かおばあちゃんが入り口を出たり入ったりしていた。時刻は午後5時になる。時計から目を上げると、待たせちゃったわねと大して悪びれてない様子でサキが手ぶらでやってきた。 お礼に料理を作るとはいえ、サキの家には食材が十分足りていないらしく、こうしてスーパーマーケットに寄ることになった。サキは野菜コーナーから精肉コーナーまで、まるで優秀なカーナビに導かれるように無駄なく点検していった。欲しい食材があると、2秒間程度それらを凝視し、一度手に取ったじゃがいもやら豚肉やらを迷うことなく僕が持っているカゴに放り込んだ。最後にアルコール飲料が冷やされている棚の前へ行くと、私が飲むからとチ
はてなスターのJSにExpiresヘッダ云々の件 : blog.nomadscafe.jp
はてなスターのJSにExpiresヘッダ云々の件 Twitterでぼやいたらmala氏からレスがついたついでに。 以下の画像はlimilicのyslowの画面 s.hatena.ne.jpの画像やJavaScriptにはExpiresヘッダがありません サーバから送り出されるコンテンツにExpiresヘッダがあると、ブラウザは指定された時間までキャッシュし、ブラウザのリロードボタンを押したとき以外はIf-Modified-Sinceのリクエストも送りません。サーバにもクライアントにも優しくなれます ってことで、yslow対策(笑)だけではなく、はてなスターにもExpiresつけたらいいんじゃねと思っているのですが、難しいのはmala氏も指摘するHatenaStar.jsが外部からリンクされているため「ファイル名を変更しての強制Expires」ができない問題。Expireを設定するとブラウザ
ひとり開発ブログ | » ロボット投稿型スパムをさくっと防ぐ超簡単な方法
なんと、このideamiというしょぼいサイトにも海外からのロボット投稿型スパムが来るようになってしまいました。悲しい。 何とか対策をしようと思っていたところ、dotliveのオカダ君がいい方法を教えてくれました。(Thanks!) やり方は簡単。 ロボットスパムは、htmlのソースからformを見つけ、そこにデータを自動的に入れて投稿しているわけです。その投稿の仕方は単純で、どうやらnameでよく使われるような単語を見つけて、それに投稿しているぽい。 たとえば、「name」は名前、「mail」はメール欄、「url」はurl入力欄、みたいな感じです。 今回の対策では、これを逆手に取ります。つまり、偽物のフォームを作り、それに入力があるもの=ロボットによる投稿、と見なし、投稿させないというものです。 偽物のフォームを作り style=”display: none” しておいて、ユーザーには見
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
