5分で絶対に分かるSSL-VPN − @IT
SSLって何だったっけ? SSL-VPNを学ぶ前に、まず「SSL」についておさらいしてみましょう。 SSL(Secure Sockets Layer)は、Webサーバとのやりとりを暗号化してくれるもので、ショッピングサイトなどでクレジットカード番号を入力するページでおなじみでしょう。SSLは「やりとりを盗聴されていないこと」「相手が偽物ではないこと」「やりとりを誰かが改ざんしていないこと」を証明してくれる、縁の下の力持ちとなります。 SSLという言葉を知らなくても、この鍵のマークにはお世話になっている人も多いと思います。SSLはPC向けのブラウザだけではなく、携帯電話やゲーム機、PDAなどのブラウザでも実装されている、とても一般的なプロトコルです。 SSLの歴史は古く、1995年に登場したNetscape Navigator 2や、1996年に登場したInternet Explorer 3
今夜分かるSQLインジェクション対策 ― @IT
【関連記事】 本内容についてのアップデート記事を公開しています。あわせてご確認ください(編集部) Security&Trustウォッチ(60) 今夜こそわかる安全なSQLの呼び出し方 ~ 高木浩光氏に聞いてみた http://www.atmarkit.co.jp/fsecurity/column/ueno/60.html Webアプリケーションに対する攻撃手法の1つであるSQLインジェクションの存在は、かなり広く知られるようになった。しかし、その対策はまだ本当に理解されていないように思える。フォームから渡された値の特殊文字をエスケープしたり、PHPのmagic_quotes_gpcといった自動エスケープ機能をオンにするだけで対策したつもりになっていないだろうか。 基本はもちろん、セカンドオーダーSQLインジェクションやマルチバイト文字を利用したSQLインジェクションの攻撃パターンや、その対
CSSクロスドメインの情報漏えいの脆弱性「CSSXSS」とは ― @IT
あるWebページにアクセスしたら、自分のYahoo! JAPAN IDやHatenaのID、mixiで使っている名前などが表示された。何の縁もゆかりもないページにこれらのプライベートな情報がなぜ表示されてしまったのだろうか。 これは「CSSクロスドメインの情報の漏えいの脆弱性(CVE-2005-4089)」という、Webブラウザがスタイルシート(CSS)を呼び出す機能にある脆弱性を利用した攻撃だったのだ。この脆弱性は通称「CSSXSS(CSS Cross Site Scripting)」とも呼ばれている。 CSSインポート時にCSS以外のファイルがテキストとして読み込める 最近のWebページは、文書の構造をHTML形式で記し、フォントや色やレイアウトなどの視覚的な表現をスタイルシートで記述するというHTMLの仕様に従っていることが多い。 HTMLファイルから外部のスタイルシートを呼び出すた
これだけは知っておきたいアルゴリズム〜共通鍵暗号編 ― @IT
実際に運用中の情報システムで利用されている暗号アルゴリズムを移行することは、大規模なシステムであるほど、大変な労力とコストが必要となる。従って、規模が大きく、また長期運用が前提となっているシステムほど、暗号の選定には慎重になるべきである。 その意味で、「システム性能要求上問題がない範囲内であれば、現時点における最も高い安全性が確認されている暗号の中から選択するのが望ましい」というところに、暗号技術の2010年問題【注】の本質がある。いい換えれば、現在のデファクトスタンダードだからとの理由だけでその暗号を採用することは必ずしも勧められない。 【注:暗号技術の2010年問題とは】 米国は、現在利用されているすべての米国政府標準の暗号技術を2010年までにより安全な暗号技術へ交代させていく方針を明確に打ち出している。現在、世界中で使われているデファクトスタンダードの暗号技術は、そのほとんどすべて
真のデータベースエンジニアを目指そう!(1/3) ― @IT
本連載は、ITシステム開発の現場でプログラミングやSQLのコーディングを行っているエンジニア(データベース利用者)が、データ管理者(DA)やデータベース管理者(DBA)へステップアップするための第一歩として有効な基礎知識を紹介する(編集局) はじめに 本連載は、データベースを利用したアプリケーション開発にプログラマとして携わっている読者を対象として、データベースの利用者から設計者へとステップアップするために、いまから身に付けておきたい必須知識を解説していきます。いまはまだ「データベースエンジニア」が何であるか、どんな仕事をするのかがよく分からないといった方にも、本連載を通じて少しでもこの職種に興味を持っていただければ幸いです。 第1回は、「データベースエンジニアの役割、およびデータベースエンジニアに必要とされるスキル」について解説します。 データベースエンジニアとは? データベースエンジニ
第2回 実用的になったディスク・クォータ機能
Windows Server 2003 R2では、新しく「ファイル サーバー リソース マネージャ(以下FSRM)」という機能が導入された。FSRMは、ファイル・サーバの管理を効率化するために用意されたツール・スイートであり、改善されたクォータ機能やファイルのスクリーニング機能、サーバの利用状況をまとめるレポート機能などが含まれる。管理者はこれらの機能を活用することにより、従来は困難であった、ユーザーごとの使用量の制限やサーバ・リソースの利用状況の把握などが容易になる。今回は、FSRMの機能のうち、クォータ機能についてみていこう。 FSRMはデフォルトではインストールされていないので、最初にこれをインストールする。このためにはまず[サーバーの役割管理]ツールで[役割を追加または削除する]を実行し、[サーバーの構成ウィザード]を起動する。そして[ファイル サーバー]を選択して[次へ]をクリッ
Windows XP SP2のZoneIdとは?
解説 Windows XP Service Pack 2(以下XP SP2)のInternet Explorer(IE)では、セキュリティ対策の一環として、新たに「ZoneId(ゾーンID)」と呼ばれる仕組みが導入された。インターネットゾーンからダウンロードしたファイルや、Outlook Expressで保存したメールの添付ファイルに対して、ZoneIdと呼ばれる一種の「目印(マーカー)」を付けておき、エクスプローラなどでダブルクリックして実行しようとすると、本当に実行してもよいかどうかがユーザーに対して問い合わせられる機能である。そして、ユーザーが許可した場合にのみプログラムの実行が行われる。従来は、いったんローカルにダウンロードすれば何の制約もなくファイルを実行することができたが、ZoneIdにより、インターネットゾーンから取得したファイルに対しては、ある程度の制約を課すことができるよ
オープンソースWebアプリのセキュリティを調査 - @IT
2006/2/25 Webアプリケーション・セキュリティに関心を持つ企業や個人が参加する「Web Application Security フォーラム」(WASフォーラム)は2月24日、東京都内でセミナーを開催、フォーラムの製品評価分科会で2005年11月に実施したオープンソース・ソフトウェア(OSS)のセキュリティに関する調査の結果を報告した。 この調査では、オープンソースの電子商取引アプリケーション数種を、推奨される構成でインストールし、これに対してWebアプリケーション検査ツールを実行、それぞれについてクロスサイト・スクリプティングやSQLインジェクションなどの脆弱性を確認した。 さらに、それぞれのアプリケーションに対して3種のWebアプリケーション・ファイアウォール(WAF)を適用し、再びWebアプリケーション検査ツールを実行し、適用前との違いを調べた。 調査の対象となったのは、O
Webシステム・セキュリティの責任は誰に? - @IT
2005/12/9 神奈川県・横浜のパシフィコ横浜で開催されているInternet Week(主催:日本ネットワークインフォメーションセンター)で12月8日、Webを利用したアプリケーションのセキュリティに関するパネルセッションが行われた。この場では、Webシステム開発の受発注におけるセキュリティ要件や、運用担当者のかかわり方について話し合われた。 まず、モデレーターを務めた日本ネットワークセキュリティ協会(JNSA)理事でラックの西本逸郎氏が発言。Webアプリケーションにおけるセキュリティ管理の現状を説明。数年前に作られたまま何回も改変を受けながら使われているシステムが多いこと、システムインテグレータ(SI)業者の瑕疵担保責任が明確化されていないこと、事件発生に気づくケースが少ないこと、短期間に安価で作ることをSI業者に要求する企業が多いこと、サイトのオーナーがITを知らない場合が多いこ
@IT:Wabアプリケーションファイアウォールの必要性 第1回
機密情報に合法的に近づけるWebアプリケーションを守れ:Webアプリケーションファイアウォールの必要性(1)(1/3 ページ) 「SQLインジェクション」や「クロスサイトスクリプティング」という用語に聞き覚えはないだろうか。セキュリティに関連する用語であることを知る人は多くても、詳細な説明をできる人はまだ少ないかもしれない。どちらもWebアプリケーションの脆弱性を指す用語である。 個人情報の保護に関する法律(個人情報保護法)の施行によって、より多くの注目を集めるようになった個人情報漏えいに関するニュースが毎日のように流れている。漏えいした個人情報が、もしWebサイトから盗み出されたものであれば、原因はSQLインジェクションであった可能性がある。 この連載では、Webアプリケーションの脆弱性、攻撃手法の実例を挙げて解説するとともに、その脆弱性を防御する装置として市場に現れたWebアプリケーシ
誰でもWeb管理画面に入れる気前のいい会社
転職してから2年、晴れて念願の「Web担当」チームに配属になった星野君。着任早々、右も左も分からぬまま3日間でWeb申し込みフォームを作る(第1回)ことに。ところができ上がった申し込みフォームは、あやうくスパムメールの踏み台に……。 まこと先輩の助言によって事なきを得た星野君。さてさて、次なる仕事は? 週が明けて月曜日。セミナー申し込みフォームの制作を一通り終えた星野君は、さっそく次の仕事に取り掛かることにした。スケジュール表によると、次の仕事は「Web管理ツールの整備」となっている。 Web管理ツールとは、Webの更新などに使用しているWebアプリケーションのことらしい。これを使いやすいように整備してほしいというリクエストのようだ。期限まで3日間しかなかった初仕事とは異なり、今回は意外と長い期間が設けてある。 先週はセミナー申し込みフォームの制作で手いっぱいだったので、これまで全体スケジ
セミナー申し込みフォームがスパムの踏み台?
セミナー申し込みフォームがスパムの踏み台?:星野君のWebアプリほのぼの改造計画(1)(1/4 ページ) 朝7時。いつもより30分早く起きる。星野君、27歳の秋。 今日は、星野君がかねて希望していたWeb担当へ配属替えになる日。星野君の会社では創立記念日の今日を機に、Webに力を入れるための新しいチームが発足するのだ。 足取りも軽く、星野君は会社へ出社する。まだ、「Web担当になる」ということ以外、具体的なことは一切知らされていないが、とてもわくわくしている。 この会社では、人事発令があるときは1人ずつ社長室に呼ばれる。星野君が自席でそわそわしていると、一番に声が掛かった。 社長 「星野君、入りなさい」 星野君は2年ほど前にこの会社へ転職してきた。前職では、簡単なWebアプリケーションの作成やFlash作成などのコーディングが中心のWebデザインの仕事をしていた。Webデザインの仕事を希望
多様化するWebアプリケーションへの攻撃
第1回「機密情報に合法的に近づけるWebアプリケーションを守れ」では、「Unvalidated Input(許可されていない入力)」における「Hiddenフィールドマニピュレーション」の手法について説明した。いままでアプリケーションセキュリティに携わらなかった方にも、Webサイトが攻撃されるメカニズムが、意外に単純なものであることが理解してもらえたと思う。 前回の内容に対して、周囲からいくつか質問をもらった。「こんなこと書いていいのか?」というものである。つまり、誰もが簡単に攻撃を行えることを示すことによって、かえって被害を増加させるのではないか、という懸念を持たれたわけだ。今回の記事では、より多くの攻撃手法を説明していくため、本論に移る前にこういった質問に回答しておきたい。 私たちはすでに本連載で記しているような脅威の中にいる。それは、Webアプリケーションセキュリティに携わったことのあ
Webアプリのユーザビリティを改善しまくるAjax ― @IT
Ajax うきうき Watchでは、Ajaxを使ったWebアプリケーションやサービス提供者、ベンダの動向から「うきうきするような」面白いもの、確実に押さえておきたいものを厳選してお届けしていきます。 Ajax、それはWebアプリケーションのユーザビリティを改善する切り札である。古い技術を組み合わせ、魔術のごとく生まれ変わった新しいファッションである。 今回より、なるべく密に、Ajaxの動向をウォッチングしていきたいと思う。 基本的には、新しい話題を中心に、厳選した面白い話題を提供していきたいと思うが、今回だけは初回でもあり、これまでのAjaxに関する話題から面白いもの、確実に押さえておきたいものをピックアップしてみたい。 なお、ここでは主に日本語で読める情報について取り上げていく。ただし、特に重要なものについては、英語の情報を扱う場合がある。 Ajax: Web アプリケーション開発の新し
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
