10分間だけすぐに使える使い捨てメールアドレス「10 Minute Mail」 - GIGAZINE
サイトにアクセスするだけで、10分間だけ使えるあなた専用のメールアドレスが表示されます。 試しに手元のメールソフトから送信してみればわかりますが、ちゃんとウェブ経由で受信でき、件名や本文などすべてふつうに表示可能です。日本語も問題なく表示されます。 また、10分間だけ使えるメールアドレスから返信することも可能。10分間何もしないとそのメールアドレスは消えるのですが、時間を延長することも可能ですので、一時的に使い捨てのメールアドレスが欲しい場合には最適。 使い方は以下の通り。 10 Minute Mail http://www.10minutemail.com/ サイトにアクセスしたら、「Get my 10 Minute Mail e-mail address.」をクリック するとメールアドレスが表示されます。これだけでメールアドレス取得完了。「10 more minutes!」をクリックす
MEGAUPLOAD (50GB無料のオンラインストレージ) : ワークスタイル・メモ
ワークスタイル・メモ カレンダー・手帳術からグループウェア、ライフハックやWeb2.0系ツールまで、インターネットが変えようとしているワークスタイルの未来を考える。 記者発表会やイベントの様子を伝えるビデオブログにも挑戦中です。 ワークスタイル・メモ > ファイル共有・交換系 > MEGAUPLOAD (50GB無料のオンラインストレージ) MEGAUPLOADは、オンラインストレージとファイル転送サービスが組み合わさったサービスです。 先日、海外のブログを見ているときに言及されていて、気になったのでレビューしてみました。 驚いたことに既に20近い言語でサービスが提供されており、日本語でもサービスが提供されています。(どうやら香港の企業が提供しているようです) 何といってもMEGAUPLOAD最大の特徴は、無料会員登録で50GB(!)ものストレージがタダで使えること。 利用しなければファイ
RapidShare (容量1000テラバイトの無料オンラインストレージ) : ワークスタイル・メモ
ワークスタイル・メモ カレンダー・手帳術からグループウェア、ライフハックやWeb2.0系ツールまで、インターネットが変えようとしているワークスタイルの未来を考える。 記者発表会やイベントの様子を伝えるビデオブログにも挑戦中です。 ワークスタイル・メモ > ファイル共有・交換系 > RapidShare (容量1000テラバイトの無料オンラインストレージ) RapidShareも、先日紹介したMEGAUPLOADと同種のオンラインストレージ兼ファイル配信サービスです。 MEGAUPLOADやYouSendItと類似のサービスとして紹介されていたのでレビューしてみました。 MEGAUPLOADが非常に多機能だったのに比べると、このRapidShareは「1 Click Webhosting」と副題がついているように、非常にシンプルです。 ただ、サービスの説明を読むと正直目を疑います。 何と、無
内部統制時代の統合ログ管理を考える ― @IT
川原 一郎 インフォサイエンス株式会社 プロダクト事業部 マネージャー 2006/12/1 日本版SOX法という言葉はここ数年で一般に知られるようになったが、実際に何をすべきかという点まで理解している人は少ないのではないだろうか。 エンジニアが普段慣れ親しんでいる「ログ」は、さまざまなアプリケーションで出力されている。そのログを内部統制で利用するには、単にログが取られているというだけでは不十分である。 そこで、内部統制の観点から統合ログ管理システムが持つべき機能について紹介する(編集部) ログは遍在している ログとは、一般的にはコンピュータにおける利用状況や、データ通信の記録を取ったデータのことを指します。具体的にはコンピュータにおける操作やデータの送受信が行われた日時、誰によってどんな操作が行われたのか、どんなデータが送受信されたのか、などの情報が記録されます。 現在、企業システムで通常
【特集】Java Persistence API + H2徹底解説 - EJBじゃなくてもDBへ永続化 (1) Java Persistence APIとは | エンタープライズ | マイコミジャーナル
Java Persistence APIとは Java Persistence API(以下、JPA)は、JSR 220で仕様が標準化されているEJB 3.0(Enterprise JavaBeans, Version 3.0)の一部として新たに導入された、Javaオブジェクトの永続化のためのAPIである。EJB 3.0以前は、永続化に関する主要なAPIとしてJDO(Java Data Object)とEJB Entity Beanの2種類があった。しかしこの両者の間には互換性がないため混乱の元となっていた。このJDOとEntity Beanの整合性を取るために新たに設計されたのがJPAで、機能的には従来のEntity Beanに相当するPOJOベースのAPIとなっている。 JPAはEJB 3.0と同様にJSR 220においてその仕様が定められているが、APIとしてはEJBからは独立してい
T.Teradaの日記 - ログイン直後のレスポンスの返し方
多くの会員制Webサイトでは、ID/PWによるログイン処理がある。ユーザにログイン画面を提示し、ユーザがフォームにID/PWを入力してsubmitする。ID/PWがOKであれば、ユーザのブラウザにはログイン後の画面が表示される。 以下に、これを実現するための2通りのシーケンス図を描く。セキュリティの観点で望ましいのはA、Bのどちらだろう?というのが今回のテーマ。 Aではログイン要求に対してHTTPステータス200応答とともにログイン後画面をブラウザに返している。Bではログイン要求に302応答を返して(HTTP1.1では303応答)、ログイン後画面にリダイレクトしている。 結論を言うと、セキュリティの観点では、私はBの方が望ましいと考えている。 逆に言うと、Aにはどうにも気に入らないところがある。それは、ID/PWを含むリクエストに対して200応答を返していることだ。200応答のページは、ブ
"週"記(2006-11-30)
_ [webappsec] エスケープだけしてれば、セキュリティ対策が万全になる訳ではないですよ select password from usertable where id = 入力値 (idが数値型) 入力値に 1 or 1 = 1 が与えられると・・・ といった攻撃を防ぐことは出来ません。このケースでは、前もって入力値が数値型であることを確認しておかなければなりません。 違いますよね。数値かどうかはDBがチェックすべきものでしょう。それをしてくれないのだとしても、最初から入力値を「'」で括っときゃいいんです。 <input type="hidden" value=入力値> を防ぐことはできません、って言ってるのと同じじゃないですか? 入力値の数値チェックをしなくていいわけじゃないけど、入力値チェックを組み込む手間と、「'」を2つ追記する手間を考えたら、どっちが簡単で美しい対策かわか
エスケープだけしてれば、セキュリティ対策が万全になる訳ではないですよ - masaのメモ置き場
本題 「サニタイズ言うなキャンペーン」私の解釈 読みました。分かりやすくとてもよい記事だと思いますが、ホワイトリスト型のアプローチが補助的な対策であるとも読み取れてしまうこともありそうなため、エスケープだけしておけば大丈夫という誤った認識を持ってしまう開発者さんが増えてしまいそうなのが心配です。ということで、いちお書いておきます。 SQLの特殊文字をエスケープすることで対策可能なセキュリティの問題は、特殊文字が混在することにより構文が破壊されるといった限定された状況だけです。 例としては、SQLインジェクションの解説でよく取り上げられる select password from usertable where id = '入力値' 入力値に ' or '1' = '1 が与えられると・・・といった攻撃は防ぐことは出来ますが、 select password from usertable w
[ThinkIT] 第4回:Webサイトのセキュリティを維持・向上する施策 (1/3)
第3回までは、Webサイトのセキュリティを高めるために必要な施策を「外部からの脅威」「内部からの脅威」にわけて解説してきました。脆弱性の内容によっては、情報漏洩など大きな問題に直結する可能性があります。すでにWebサイトにまつわる多くの事件が発生している現状を考えると、自社で運営しているWebサイトで思いあたる脆弱性があれば、速やかに対策状況を確認する必要があるといえます。 対策状況を確認していく中で問題が見つかった場合には、まず応急処置が必要となりますが、次のステップとして、今後のエンハンスや新規のWebサイトの開発における再発を防止するために、継続的にセキュリティ対策に取り組むことが必要です。 また、セキュリティ対策が進んでいる企業では修正コストを抑えるために開発の上流工程(要件定義、設計フェーズ)からセキュリティを検討する施策も設けています。 そこで今回は組織として、Webサイトの構
「悪質プログラムは仮想マシンを回避する」,商用ツールを利用するケースも
米SANS Instituteによれば,仮想マシンを検出する機能を備えた悪質なプログラムが最近増えているという。同組織のスタッフが現地時間11月19日,公式ブログで明らかにした。解析されることを防ぐために,仮想マシン上では動作しなかったり,自分自身を消去したりする(関連記事:「ボットネットは“目立たない”ように工夫を凝らす)。仮想マシンを検出する機能の実装には,商用ツールが使われている場合もあるという。 ウイルスやボットといった悪質なプログラムの“捕獲”には,仮想マシンが利用されることが多い。仮想マシン上のゲストOSで“罠(ハニーポット)”を稼働させ,悪質なプログラムをわざと感染させて,その挙動などを解析する。 それを防ぐために,最近の悪質なプログラムは,仮想マシンの検出機能を備え始めた。SANS Instituteのスタッフが最近捕獲した悪質なプログラム12種のうち3種が,仮想マシンVM
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
OP25Bは利用者の同意なしでは「通信の秘密」の侵害、ただし正当業務行為
Microsoft Learn: Build skills that open doors in your career
lucanian.net