教科書に載らないWebアプリケーションセキュリティ 第1回 [これはひどい]IEの引用符の解釈 − @IT
XSSにCSRFにSQLインジェクションにディレクトリトラバーサル……Webアプリケーションのプログラマが知っておくべき脆弱性はいっぱいあります。そこで本連載では、そのようなメジャーなもの“以外”も掘り下げていきます(編集部) 小さな話題が面白い 皆さん、はじめまして。はせがわようすけと申します。 「教科書に載らないWebアプリケーションセキュリティ」ということで、Webアプリケーションのセキュリティに関連する、普段あまり見掛けないような小さな話題を取り上げていきたいと思います。 セキュアなWebアプリケーションを実現するために、開発者の方だけでなく、Webアプリケーションの脆弱性検査を行う方々にも読んでいただきたいと思っています。重箱の隅を楊枝でほじくるような小さな話題ばかりですが、皆さんよろしくお願いします。 さて第1回は、Internet ExplorerがHTMLを解釈する際の引用
![教科書に載らないWebアプリケーションセキュリティ 第1回 [これはひどい]IEの引用符の解釈 − @IT](https://cdn-ak-scissors.b.st-hatena.com/image/square/82de8989bb7acc1ec9333bef18042c097988bca5/height=288;version=1;width=512/https%3A%2F%2Fimage.itmedia.co.jp%2Fait%2Farticles%2F0902%2F27%2Fwebapp0101.jpg)
転回点を迎えたAmazonのクラウド:[Analysis] - @IT
Web 2.0の特徴とされる「永遠のベータ」。その典型的サービスの1つと見られていたアマゾンのクラウドサービス「Amazon Web Services」(以下、AWS)が2008年10月23日、ついにベータの冠を取って正式サービスとなった。同時に99.95%のアップタイムを保証するSLA(サービス品質保証契約)の提供も開始した。 Amazon Web Servicesの転回点を告げる3つの発表 クラウドコンピューティングの狭義の定義として「PaaS」(Platform as a Service)を使えば、現在急速に技術・サービスの拡張を続けているビッグプレーヤーは、グーグル、アマゾン、マイクロソフト、セールスフォースの4社だろう。 PaaSとは、ハードウェアやOSとは無関係に、インターネット上のサーバ群を使ってソフトウェアを実行するプラットフォームを実現、提供するサービスのことだ。もちろん
![転回点を迎えたAmazonのクラウド:[Analysis] - @IT](https://cdn-ak-scissors.b.st-hatena.com/image/square/6e84fc6ab06f31b2e64248cbfc92fe06deb5bab5/height=288;version=1;width=512/https%3A%2F%2Fimage.itmedia.co.jp%2Fimages%2Flogo%2F1200x630_500x500_ait.gif)
暗号化仮想ドライブで手軽にファイルを暗号化 ― @IT
重要な情報の入ったノートPCや、USBメモリなど、持ち運びが簡単なものは紛失や盗難の可能性も高い。万が一、誰かの手に渡ってしまったときを想定し、その情報を利用されてしまうことを防ぐ効果的な手段がある。それは、情報を暗号化して保存しておくことだ。 ファイルなどを暗号化するには、いくつかの方法や、それを実現するソフトウェアがある。ここでは、重要な情報の保存や、持ち運びの際に便利な「暗号化仮想ドライブ」について紹介する。 暗号化仮想ドライブを使おう 「仮想ドライブ」は、物理的なディスクドライブに対して、ソフトウェアで実現した仮想的なディスクドライブという意味である。CD-ROMのISOイメージなどをマウントして、あたかも実際にドライブがあるかのように利用することができるものだ。暗号化仮想ドライブは、その名が表すとおり、暗号化された仮想ドライブである。 暗号化仮想ドライブは、以下の特徴を備えている
マイクロソフト社のシステム管理者に聞く(1/2) - @IT
.NET管理者虎の巻 マイクロソフト社のシステム管理者に聞く .NETの社内展開、管理の実際 1.マイクロソフトはいかに.NETを活用しているのか マイクロソフト株式会社 Microsoft ITディレクター 荒瀬 達也 氏 聞き手:Windows Server Insider編集長 小川 誉久 2007/08/23 ツールやライブラリなどの開発環境が整い始め、ソフトウェア開発者にとって.NETは、アプリケーション開発を強力に支援してくれる開発プラットフォームに発展した。しかし、.NETアプリケーションの展開・運用を避けたがるシステム管理者はいまなお少なくない。.NET Frameworkの追加によって、システムが不安定になったり、管理の手間が増えたりするのでは、と考えるシステム管理者が多いためのようだ。 それでは、開発元として、.NETアプリケーションの展開・運用を早期から進めているだろ
Windows Server 2008が「検疫」のハードル下げる - @IT
2007/11/28 マイクロソフトは11月28日、Windows Server 2008で提供する検疫ネットワーク機能「ネットワークアクセス保護」(NAP)の企業への導入を目的としたパートナープログラムを開始したと発表した。16社が参加し、NAP対応ネットワーク機器やアプリケーションの検証を行う。 NAPは2008年4月にマイクロソフトが発表するWindows Server 2008の目玉機能の1つ。社内ネットワークに接続するクライアントPCのセキュリティ状態をチェックし、セキュリティポリシーに合致しないクライアントPCは社内ネットワークに接続させないことができる。ポリシーに合わないクライアントPCは検疫ゾーンに送られ、Windows Updateやウイルス対策ソフトウェアの更新プログラムによってセキュリティ状態を向上させる。ポリシーに合致するセキュリティ状態になった段階で、社内ネットワ
@IT:DRBD+iSCSI夢の共演(前編)(1/3)
Linux上で動作するオープンソースソフトウェア「DRBD」とiSCSIを組み合わせ、部門内のWindows端末のデータをバックアップするシステムを構築してみよう(編集部) 株式会社サードウェア 岩崎 登 2008/8/4 Linux上で動作するオープンソースソフトウェア「DRBD」では、ミラーリングによって企業内のさまざまなデータを保護することができる。これに、ハイパフォーマンスなiSCSIを組み合わせ、部門内のWindows端末のデータをバックアップするシステムを構築してみよう。 ネットワークミラーリングを実現するDRBD Distributed Replicated Block Deviceの頭文字を取り「DRBD」と呼ばれるこのアプリケーションは、オーストリアのLINBIT社が開発したミラーリング技術であり、オープンソースとして提供されている。 DBBDはその名のとおり、ハードディ
サイオス、Google Apps導入でSIサービス開始 ― @IT
2007/08/23 サイオステクノロジーは8月23日、企業や学校における既存システムとグーグルが提供するSaaS型アプリケーションサービス「Google Apps」を連携させるサービス「SIOS Integration for Google Apps」の販売を開始した。同サービスを用いることで、既存システムのアカウントをGoogle Appsと同期することができ、シングルサインオンやパスワード同期を実現する。Google Appsではデータの保存先はグーグルのサーバになるが、法人のコンプライアンス対策を想定して、メールログやメールアーカイブの企業側での保存にも対応する。 料金は個別見積もりでの対応だが、小規模であれば数百万円から。アカウント数の多寡よりも、カスタマイズが必要とされる程度によってコストが決まるという。また、年間保守料金としてヒアリングから運用・教育までの初期費用の20%が必
Gmailは現在1億アカウント、1日数百万ペースで増加 ― @IT
2007/07/27 日本大学やlivedoorといった、すでに数万~数百万のメールアカウントを抱える組織がメールシステムやワープロ、表計算のITインフラとしてグーグルが提供する「Google Apps」を採用する例が増えている。今後、どこまで普及が進むのか、グーグルはSaaSというソフトウェア提供形態について、どういうビジョンを持っているのか。パートナープロダクトを担当するダン・スティッケル(Dan Stickel)氏に話を聞いた。 米グーグル プロダクト・マネージメント・ディレクター ダン・スティッケル(Dan Stickel)氏。検索サービスのシンジケーションやGmail、Google DocsなどGoogleのパートナープロダクトを担当。AT&T研究所、米マクロビジョン、米アルタビスタなどで要職を歴任し、2005年に米グーグル入社。ハーバード大学および大学院を卒業している。 数百万
グーグル エンジニアのまじめな日常 ― @IT
グーグルがどのようにソフトウェア開発を行っているかは、これまであまり詳細が明らかにされてこなかった。だがグーグルは6月10日、開発者向けイベント「Google Developer Day 2008 Japan」を開催し、グーグルのソフトウェアエンジニアがグーグルでの仕事術を語る「Google ソフトウェアエンジニアの日常」という講演会を実施した。スピーカーは、NECでITエンジニアとして勤務した経験がある藤島勇造氏。2006年からグーグルのソフトウェアエンジニアとして働いている。藤島氏は、グーグルでのソフトウェア開発方法について、グーグルのカルチャーと自身の見解を織り交ぜて語った。 グーグル ソフトウェアエンジニアの1日の流れ 藤島氏の1日は、朝10時ごろ出社し、メールをチェックすることから始まる。この時間にメールを見る理由は、米国にいる同僚に連絡が付きやすい時間帯だからだ。 午前中の主な
すばらしいソフトを作るには、カリスマが講演 ― @IT
記者という職業柄、これまで非常に多くのプレゼンテーションを見てきたが、プレゼンテーションの1枚目が半裸の女性モデルの写真だったのは初めてだった。 2月13日、14日の予定で東京・目黒で開催中の「デベロッパーズ・サミット2008」で講演したFog Creek Softwareの創業者でCEOのジョエル・スポルスキー(Joel Spolsky)氏のプレゼンテーション「Joel on Developers Summit――素晴らしいソフトウェアを作るということ」は、型破りに楽しく、なおかつソフトウェア開発者にとって示唆に富む内容だった。 スポルスキー氏は米マイクロソフトのExcelチームで、Excel用マクロ言語を、後にVBAと呼ばれることになるモダンなオブジェクト指向言語に置き換える仕事でプログラムマネージャを務めたことがあるなどソフトウェア開発のベテランだが、エッセイの書き手としても名を馳せ
HTML5が持つ本当の意味 ― @IT
2008/01/25 ウェブ関連技術の標準化団体「W3C」(World Wide Web Consortium)が「HTML5」の策定に向けて活動を本格化しました。1月22日には「HTML5」の最初の草案を公開。2010年9月に正式な勧告としてリリースする予定だと発表しました。 普段からウェブ関連技術をウォッチしている方は別として、「なぜ今ごろ?」と、この突然のW3Cの動きに驚かれた方が多いのではないでしょうか。「そもそもW3Cがやる意味があるの?」という疑問の声も聞こえてきそうです。 標準化団体としてのW3Cのプレゼンスは、近年あまりに高いとは言えません。かつて1990年代後半から2000年ごろにかけて、誰もがW3Cの一挙手一投足に注目していた時期がありました。彼らの出してくる標準技術仕様こそが、インターネットを形成する共通言語だと、多くの人が信じていました。 ところが、現在広く使われて
HDD以上に便利なオンラインストレージ“Dropbox” ― @IT
2007/04/09 OSのファイルシステムに統合され、Windows上からは通常のフォルダとして扱えるオンラインストレージサービス「Dropbox」の詳細が明らかになった。Dropboxは、複数のPCから同一フォルダが扱えるだけでなく、バックアップや変更履歴管理、ローカルファイルシステムと完全な透過性を備えた高機能なオンラインストレージサービスだ。 rsync、trac、subversionのいいところ取り 「ほかのオンラインストレージや同期サービスは、どれも使うのが面倒だったり、十分にスケールしなかったり、あるいは何か制限があったりするので不満だった。それじゃあということで、自分たちで、まともなものを作ろうと決めた」。DropboxのCEOで開発者のDrew Houston(ドゥリュー・ヒューストン)氏は@ITのメールインタビューに答え、開発の動機をそう語る。マサチューセッツ工科大学で
Ajaxの弱点を補うscript.aculo.usの楽しいエフェクト
Ajaxの弱点を補うscript.aculo.usの楽しいエフェクト:パターンとライブラリで作るAjaxおいしいレシピ(4)(1/4 ページ) script.aculo.usの一歩進んだテクニック 今回紹介するscript.aculo.usは、以下のような機能を提供するAjax(JavaScript)フレームワークです。 ビジュアルエフェクト ドラッグ&ドロップ DOM操作 オートコンプリート スライダー 単体テスト prototype.jsをベースのライブラリに使用しているので、prototype.jsとともに利用したことがある方も多いのではないでしょうか。 今回はscripot.aculo.usのエフェクト機能に焦点を絞り、より突っ込んだ使い方を紹介していきます。 ■ Ajaxの弱点を補う「エフェクト」の必要性 Ajaxを活用することで、画面全体を再描画せずに画面上の一部分のみを変更し
Excelからプログラムを作る多言語対応オープンソース(1/4)―@IT
ソースコード自動生成の黒歴史を塗り替えるブランコ Excelからプログラムを作る多言語対応オープンソース NTTデータ ビジネスブレインズ 伊賀敏樹 2007/12/25 開発現場の夢をかなえるブランコ ソフトウェア開発をしていて、「設計書を書き終わったら、そのままソースコードができちゃったらいいな」なんて思ったことはありませんか? この記事では、まさに「設計書(Excelブック形式)からソースコードを自動生成」してしまう「blanco Framework」(Sourceforgeのページ)というツールの紹介をします。 blanco Frameworkが提供しているExcel様式に、Microsoft Office(Excel)やOpenOffice.orgを使って所定の必要項目を記入すると、Java、.NET、JavaScript、PHP、Ruby、Pythonのソースコードが自動生成で
まつもと×笹田、Ruby 1.9を語る ― @IT
2007/12/25 「そういえばあのretryの話、どう思う?」、「誰も使ってないから害悪が多いっていう話は説得力ありますよね」、「じゃあなくすか……、うん、なくしといて」、「あ、決まっちゃった(笑)」――。 まつもとゆきひろと、笹田耕一。いま、世界が注目するプログラミング言語「Ruby」の生みの親と、開発コアメンバーの2人は、こともなげにRubyの仕様を記者の目の前で変更してしまった。Rubyの開発はどのように行われ、どこへ向かおうとしているのか。現行のバージョン1.8系から大きく様変わりする次期開発版「Ruby 1.9」のリリースを12月25日に控えた2人に、師走の秋葉原で話を聞いた(文中、敬称略)。 Rubyの仕様は密室で決まる!? 冒頭に紹介した2人の会話は、「retry」というRubyの文法の2種類ある使い方のうち、これまでほとんど使われた形跡がない方を文法仕様から取り除くかど
Web上に登場した3種類の“プラットフォーム” ― @IT
2007/11/26 マーク・アンドリーセン氏が2007年9月16日のブログエントリで、非常に興味深いことを書いている。Web上に登場した3種類の“プラットフォームについてだ。 アンドリーセン氏のことを忘れてしまった読者、あるいはよく知らない若い読者のために氏の来歴を少し書いておくと、アンドリーセン氏は世界で初めて広く普及したWebブラウザ「Mosaic」(モザイク)を作ったことで知られている。1993年にネットスケープコミュニケーションズを共同で設立。1995年の同社IPO以後、ドットコムバブルまでの間は米TIME誌のカバーを飾ることもあった時代の寵児だった。 アンドリーセン氏は、その後もいくつかのスタートアップで成功を重ね、2005年には参加者が自由にSNSサイトを構築できる一風変わったソーシャルネットワークサービスのプラットフォーム「Ning」を提供する同名のベンチャー企業を創業して
大規模分散処理向けの国産“ウェブOS”をRubyで開発中 − @IT
2007/11/26 2007年11月24日、「楽天テクノロジーカンファレンス2007」において、Ruby言語の開発者で楽天技術研究所フェローのまつもとゆきひろ氏は、開発中の大規模分散処理基盤「Roma」(ローマ)と「Fairy」(フェアリー)のコンセプトを語った。研究段階ではあるものの、米グーグルなど世界トップクラスのネット企業だけが持つ大規模分散処理技術に真っ向から挑戦する試みだ。 米グーグル、米ヤフー、米アマゾンなど世界トップクラスの大手ネット企業は、巨大なトラフィックに対処するため、大規模データセンターの信頼性、可用性、性能などを確保する大規模分散処理基盤の研究開発を進めている。最近では、こうした大規模分散処理基盤は“ウェブOS”と呼ばれることもあり、注目を集めている。つまり世界トップクラスのネット企業は“ウェブOS”を自社開発しているわけだが、楽天でも国産の“ウェブOS”が生まれ
Silverlight開発を始めるための基礎知識(1/3) - @IT
編集部注:本稿はSilverlight 1.0の入門連載です。Silverlight 2アプリケーションの開発の仕方について詳しく知りたい読者は、連載「Silverlight 2で.NET技術をカッコよく使おう」をご参照ください。また、最新版のSilverlight 3に関しては、記事「Silverlight 3、ここがすごい!」をご参照ください。 次世代のRIA(Rich Interactive Application:表現力/操作性に優れたアプリケーション)技術として脚光を浴びているマイクロソフトのSilverlightですが、まだまだ事例も少なく、資料も日本語ではほとんど用意されておりません。そのため、言語としては多くの優れた機能と可能性を秘めているSilverlightの恩恵を受けることが簡単ではありません。 そこで、本連載では初心者から中級者を対象にSilverlightが持つ機
管理者必携! 最強のデータ・サルベージ・ツールを自作する - @IT
システムに突然トラブルが発生。ハードディスクは生きているのだが、Windowsがセーフ・モードでも起動しなくなってしまった……。そんなとき管理者は、ユーザーから「Windowsを直すのは後回しでいいから、今日のミーティングに必要なファイルを今すぐ取り出してくれ」などと頼まれることも多いのではないだろうか。 だが、ネジを外してケースを開け、ハードディスクを取り出して、別のPCに接続し……ああ、変換アダプタが必要だった……、などとやっていてはそれなりに時間がかかる。もし、CD/DVDからすぐに別のWindowsを起動して、必要なファイルをハードディスクからUSBメモリやファイル・サーバへコピーできれば、ユーザーも管理者も大いに助かるだろう。 また本格的に修復をする場合でも、もしすぐに別のWindowsを起動できれば、ファイルやレジストリを調査・修正しやすく、トラブルシューティングの役にも立つ。
Ubuntu Linuxが注目される理由 - @IT
10月18日にリリースされたDebian GNU/Linuxの派生ディストリビューション「Ubuntu 7.10」(ウブントゥ)が英語圏で非常に注目を集めている。デスクトップOSとして、Windows VistaやMac OS Xに対する代替OSとなれるものがあるとしたら、その座にいちばん近づいたLinuxディストリビューションはUbuntuだという。 ニューヨークタイムズやウォールストリートジャーナルといった一般紙までもがUbuntuを記事に取り上げ、ブログやソーシャルブックマークサイトでも日々誰かがUbuntuについて何かを言って話題になっているような状態だ。 「Just works」(ちゃんと動く) Ubuntu Linuxが掲げているウリ文句は「導入後すぐ、ちゃんと動く」(Just works, out of the box)。これは既存のLinuxユーザーに対しては誇張のない表現
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
