不正アクセスを防止する通信技術(SSL)
「盗聴」「改ざん」「なりすまし」 インターネットが我々の生活基盤として浸透するにつれて、多くの人がその安全性を重要視するようになってきた。いわゆる電子商取引(EC)はもちろんのこと、個人間での私的な情報のやりとりにおいても、その重要性は日増しに高まっている。 インターネットの安全性とは何だろうか。それは大きく3つのポイントに絞られる。 通信相手は本人に間違いないか 通信内容が他人に盗み読まれないか 通信中に内容が改ざんされていないか である。これらのポイントが、インターネットの安全性を考える上で重要となる訳は、話を電話にたとえてみると分かりやすい。 次の図1では、左の女性が通信販売会社「AtMark通販」に電話をして、お気に入りの赤ワインを1本、クレジットカードで購入しようとしている。日常的にもよくあるシチュエーションだ。この図の中には、前出の3つの観点から安全性を損なう要素が盛り込んであ
Linux Kernel Watch 6月版 君は知っているか? 2.6.30の変更内容を(1/2) − @IT
6月版 君は知っているか? 2.6.30の変更内容を 小崎資広 2009/7/1 今年の「セキュリティ&プログラミングキャンプ」(注1)の講師をすることになってしまい、講義準備とこの原稿の締め切りがバッティングして大忙しの筆者です。皆さま、いかがお過ごしでしょうか。 今月は、6月10日にリリースされた2.6.30を中心に見ていきたいと思います。それではどうぞっ。 注1:http://www.jipdec.or.jp/camp/。この記事が公開されるころには締め切り間近だと思うのですが、これはすごいよ。有料のカンファレンスでも、この面子が一堂に集まるなんてあり得ない講師陣です。Linux以外のコースも注目です。……お盆の時期に時間が取れる学生限定ですが。 ファイルシステム周りの追加 ■日本発のログ構造化ファイルシステム「NILFS」 NILFS(New Implementation of a
【詳報】Google Waveとは何なのか? − @IT
2009/05/29 米グーグルは5月28日、米国サンフランシスコで開催中のイベント「Google I/O 2009」で、まったく新しいメッセージングおよびコラボレーションのためのプラットフォーム、「Google Wave」を発表した。同日、開発者向け早期プレビューとして公開。限定的にアカウントを発行して、外部の意見を取り入れながら開発を進める。年内にも一般向けサービスを公開し、それに続いてサーバの実装も順次、Apache2.0ライセンスのもとでオープンソースで公開していく予定だという。 プロジェクトリーダーで、Google Waveの基調講演でデモンストレーションを行ったラース・ラスムセン氏は、Google Waveは「3つのP」からなると説明する。 Google Waveのプロジェクトリーダー、ラース・ラスムセン(Lars Rasmussen)氏は、Google Waveは「3つのP」
開発チームが明かす、Google Waveの実装概要 - @IT
2009/06/01 グーグルが発表した新しいコミュニケーションプラットフォームの「Google Wave」が大きな反響を呼んでいる。技術的な詳細がかなり明らかにされているので、何が可能かはだいたい予想ができそうだが(だからこそ発表時に会場を埋めていた4000人あまりの聴衆は興奮のあまり立ち上がって喝采を送ったのだが)、誰も想像できなかったようなキラーアプリケーションが登場するのかどうか、あるいはWave自体がキラーアプリケーションなのか、それはまだ誰にも分からない。 レポート記事(【詳報】Google Waveとは何なのか?)への反響を見ると、さまざまな疑問を感じている人がいる。そこでここでは、直接Waveのプロジェクトリーダーに話を聞いたり、別セッションで開発チームが行った説明、およびオンラインドキュメントから読み取れたことなど、いくつか追加情報をまとめたい。ちなみに、Google I
Knowledge:Active Directoryでグループのメンバー・アイコンが白髪になる - @IT
この変化を初めて経験した管理者は、Active Directoryの機能に何か問題が発生しているのではと心配になるかもしれないが、これはユーザー・インターフェイスが変更されただけで、Active Directoryの動作には何ら支障はない。 実は最初のダイアログはグループ・メンバーが500人の場合のもの、2つめの白髪になってしまったダイアログは、グループ・メンバーが501人の場合のものである。グループ・メンバーが501人以上になると、性能上の理由から一覧表示の方法が変更され、それをはっきりと管理者に提示するためにアイコン表示が白髪になる。ただし意味が分かりにくいので、初めて見たときはびっくりするだろう。本稿では、このようなインターフェイスになっている理由と、デフォルト設定(500人までは通常表示、など)の変更方法などについてまとめる。 なぜ、500人を超えると白髪アイコンになるのか? いま
SSDだとOracleは速い? サンの技術者がベンチ公表 - @IT
2009/05/12 既存データベースサーバのハードディスクをSSDに置き換えた場合、どの程度パフォーマンスが向上するのか? この問いへの回答の1つとなり得るベンチマークテストを、“MrBenchmark”を名乗るサン・マイクロシステムズのチーフ・エンジニアのBenoit Chaffanjon氏が5月11日付けのブログで公開している。 ベンチマークは2種類。1つはオンメモリで処理が完了するもの、もう1つはキャッシュメモリに乗り切らずにドライブ(HDD/SSD)へのアクセスが発生するもの。テストに用いたサーバのコンフィギュレーションは以下の通り。 Solaris 10 Update 6 Oracle 10.2.0.2 Java 1.7 build 38 SLAMD 1.8.2、iGenOLTP Sun Blade X6270(Xeon X5560@2.8GHz×2、DDR3 32GB) In
RCUの全面書き直しも! 2.6.29は何が変わった?(1/2) - @IT
4月版 RCUの全面書き直しも! 2.6.29は何が変わった? 小崎資広 2009/5/8 いやあ、文字数の都合で書けませんでしたが、4月最終週はIngoがいい出した「カーネル専用コンパイラを作ろうぜ!」スレッドが大盛り上がり。おバカな話題ほどスレッドが伸びるのは、全世界共通ですね。 それでは予告どおり、今回はカーネル2.6.29についてのよもやま話をお送りいたします。どうぞ。 カーネル2.6.29の主な変更点 ■ランダムシード受け渡し方法の変更によるアプリケーション起動の高速化 最近のgccには、glibcと連携してスタック破壊を検知するSSP(Stack Smashing Protector)という機構が実装されています(-fstack-protectorオプション)。これはスタックに「カナリア値」と呼ばれる特殊な値を埋め込み、関数リターン時に、その値が無変更であることを確認することで
KVMの導入と基本的な使い方
アナウンス後わずか2カ月でLinux Kernelにマージされたことで一躍注目を浴びることになった仮想化技術「KVM」。しかし、その具体的な仕組みや使用方法となると、意外と知られていないのではないでしょうか。この連載ではそんなKVMについて紹介します(編集部) 前回「Linux標準の仮想化技術『KVM』の仕組み」では、、KVM(Kernel-based Virtual Machine)の概要について説明しました。今回はそれを踏まえて、基本的な使い方を説明します。KVMはGUIツールで操作することもできますが、今回は基本を押さえるため、すべてコマンドラインで行ってみましょう。 実際にKVMを使う場合にはGUIツールを使うことが想定されますが、コマンドラインでの操作を押さえておけば、GUIツールの裏側で実際に何をやっているのかを理解できるかと思います。 今回の話の流れは以下のとおりです。
ソーシャル化するOSS開発者たち - @IT
ロング・テール理論の名付け親で、雑誌「Wired」の編集長としても知られるクリス・アンダーソン氏が3月12日付けのブログでオープンソースソフトウェア(OSS)プロジェクトの運営体制に関する誤解を指摘をしている。 アンダーソン氏によれば、多くの人はオープンソースプロジェクトというのは草の根から立ち上がり、自律的に組織化し、民主的に運営されているという誤った認識を持っている。ところが現実はまったく逆で、1人か2人の「慈悲深い独裁者」によって運営されている、という。 これはオープンソースプロジェクトに参加していたり、あるいは日常的に成果物を利用している人であれば、そういうものだと首肯するかもしない。メーリングリストで客観データに基づいて議論したり、リーダーを民主的に選ぶようなプロジェクトもあるかもしれないが、おおかたのオープンソースプロジェクトには、それを開始し、中心に位置し続ける“独裁者”がい
教科書に載らないWebアプリケーションセキュリティ 第1回 [これはひどい]IEの引用符の解釈 − @IT
XSSにCSRFにSQLインジェクションにディレクトリトラバーサル……Webアプリケーションのプログラマが知っておくべき脆弱性はいっぱいあります。そこで本連載では、そのようなメジャーなもの“以外”も掘り下げていきます(編集部) 小さな話題が面白い 皆さん、はじめまして。はせがわようすけと申します。 「教科書に載らないWebアプリケーションセキュリティ」ということで、Webアプリケーションのセキュリティに関連する、普段あまり見掛けないような小さな話題を取り上げていきたいと思います。 セキュアなWebアプリケーションを実現するために、開発者の方だけでなく、Webアプリケーションの脆弱性検査を行う方々にも読んでいただきたいと思っています。重箱の隅を楊枝でほじくるような小さな話題ばかりですが、皆さんよろしくお願いします。 さて第1回は、Internet ExplorerがHTMLを解釈する際の引用
![教科書に載らないWebアプリケーションセキュリティ 第1回 [これはひどい]IEの引用符の解釈 − @IT](https://cdn-ak-scissors.b.st-hatena.com/image/square/82de8989bb7acc1ec9333bef18042c097988bca5/height=288;version=1;width=512/https%3A%2F%2Fimage.itmedia.co.jp%2Fait%2Farticles%2F0902%2F27%2Fwebapp0101.jpg)
SystemTapで真犯人を捕まえろ!
SystemTapで真犯人を捕まえろ!:Linuxトラブルシューティング探偵団 番外編(3)(1/4 ページ) NTTグループの各社で鳴らした俺たちLinuxトラブルシューティング探偵団は、各社で培ったOSS関連技術を手に、NTT OSSセンタに集められた。普段は基本的にNTTグループのみを相手に活動しているが、それだけで終わる俺たちじゃあない。 ソースコードさえあればどんなトラブルでも解決する命知らず、不可能を可能にし、多くのバグを粉砕する、俺たちLinuxトラブルシューティング探偵団! 助けを借りたいときは、いつでもいってくれ! OS:高田哲生 俺はリーダー、高田哲生。Linuxの達人。俺のようにソースコードレベルでOSを理解している人間でなければ、百戦錬磨のLinuxトラブルシューティング探偵団のリーダーは務まらん。 Web:福山義仁 俺は、福山義仁。Web技術の達人さ。Apache
Java SE コアAPI 使用コード例一覧 - @IT
@IT編集部 2009/3/24 最終更新: 2012/04/11 17:57 このページは、Java開発者/プログラマのための、Java SE(旧、J2SE)のコアAPIの使用コード例の記事へのリンク集です。パッケージごとに表でまとめてあります。メソッドやコンストラクタ、例外などAPIの使い方の参考にしてください。パッケージやクラスの並び順は、標準のJavadoc(「Java Platform, Standard Edition API 仕様」)と同様にしています。 すべてのクラス java awt(Abstract Window Toolkit) event image io(In/Out) lang(LANGuage) reflect math(MATHmatics) net nio(New In/Out) charset(CHARacter SET) rmi(Remote Meth
Solaris ZFSの基本的な仕組みを知る
本連載では、Solaris ZFS (以下 ZFS) の基本的なコンセプトやアーキテクチャから、その機能や実用・応用例を解説するという流れでZFSをご紹介させていただきます。 今回は、ZFSの基本的コンセプトとアーキテクチャの解説です。 Zの文字に込められた意味 ソースコードの複雑化と、扱うデータ量の増大に伴い、既存のファイルシステムでは管理性、拡張性、安全性、完全性、機能、性能が問題となることが多くなってきました。このような中、サン・マイクロシステムズ(以下、サン)のエンジニアチームは、まったく新しい、まるでコンピュータのメインメモリのように扱えるファイルシステムの開発を始めました。 目的は、既存のファイルシステムが抱える問題点をすべて解決し、管理が容易で、拡張性があり、安全でかつ完全性が保持され、便利な機能を持ち、高性能な、ある意味、究極のファイルシステムを作ることでした。 ZFSの「
世間の認識と脅威レベルのギャップ――XSSは本当に危ないか?
皆さんこんにちは、川口です。コラムの第6回「IPSは“魔法の箱”か」でまっちゃ139で講演をしたお話を書きましたが、今度は関東でやっている「まっちゃ445」にお招きいただき、お話ししてきました。 まっちゃ445は募集開始から定員が埋まるまでがとても速く、今まで参加したことがなかったのですが、今回は運良く(?)講師側ということでキャンセル待ちにならずに参加することができました。ロックオンの福田さんがオープンソースのECサイト構築システム「EC-CUBE」に脆弱(ぜいじゃく)性が発見された際のインシデントハンドリングのお話をされていました。EC-CUBEにSQLインジェクションとクロスサイトスクリプティング(以下、XSS)が発見されたあとの対応のお話です。JSOCで日々インシデントにかかわっているいる自分としてはとても興味深い内容でした。 日本のエンジニアのセキュリティ意識は過剰? 今回のよう
“セキュアなWebアプリ”に立ちはだかる課題
“セキュアなWebアプリ”に立ちはだかる課題:セキュリティ、そろそろ本音で語らないか(4)(1/3 ページ) SQLインジェクションによる情報漏えい事件がクローズアップされています。対策は簡単なこと……と言われ続けているのですが、なぜWebアプリケーションの脆弱性は無くならないのでしょうか。第4回ではその理由に迫ります(編集部) 私は前職で、Webアプリケーションの脆弱(ぜいじゃく)性による個人情報の漏えいの脅威を広く知ってもらうために実在のサイトの脆弱性を公開する、ということをしていました。最初のレポートが2001年10月で、恐らく日本で最初ではないかと記憶しています。 それから何年もたちましたが、相変わらずWebアプリケーションの脆弱性はなくならず、いまもさまざまな対策ソリューションが発表されています。 Webアプリケーションの脆弱性対策は、おおむね以下のように分類できます。 開発時に
Oracle VMの概要と特徴(1/3)
Oracle VMとは、オラクルが提供している無償のサーバ仮想化ソフトウェアである。Xenをベースとしているが、さまざまな機能追加や使いやすさの改善が行われている。本連載では、Oracle VMの製品コンセプトから機能、利用シーンまでを解説する Oracle VMは、オープンソースの仮想化エンジンの Xenをハイパーバイザに採用した、オラクルが提供する仮想化ソフトウェア製品です。まず Oracle VMの正体について種明かしをしましょう。Oracle VMの実体は、ざっくり以下のようなものだといえます。 Xen + 独自拡張 + Oracleサポート コアとなるハイパーバイザ部分については、オラクルがスクラッチから開発したものではなく、オープンソースの仮想化ソフトウェアとしてデファクトスタンダードのポジションにあるXenを採用しています。Xenの性能と安定性については定評があり、すでに多く
[これはひどい]IEの引用符の解釈
セキュリティ上の問題 さて、このバッククオーテーションの扱いがセキュリティに及ぼす影響ですが、典型的には次のようなコードの場合に問題が発生します。 <div id="div1"> <input type="text" value="ここに攻撃者の指定した文字列が挿入可能"> …… (1) </div> <div id="div2"> </div> <script> document.getElementById( "div2" ).innerHTML = document.getElementById( "div1" ).innerHTML; …… (2) </script> Webアプリケーション側で生成したHTMLの一部を、JavaScriptのinnerHTMLを利用して複製しています。このとき、例えば攻撃者がvalue属性に「``onmouseover=alert(1)」のような文
robocopyでフォルダをバックアップ/同期させる - @IT
robocopyコマンドとは 2つのフォルダの内容を同期させ、ファイルやフォルダの内容を同じ状態に保つ機能は、ファイルサーバのバックアップや個人的なデータのバックアップ、リモートオフィス同士でのデータの同期など、システム管理のさまざまな場面で利用される。 このような用途に利用できるコマンドとして、Windows OSにはcopyやxcopyコマンドが標準装備されている。 フォルダの同期に利用できる標準装備のツールとしては、この他にも「robocopy.exe」というコマンドラインツールがある。 robocopyは、もともとはリモートのファイルサーバ同士でファイルやフォルダ、ユーザープロファイルデータなどを同期させるために作られたコマンドである。その名前は「Robust File Copy」の略であり、堅固(robust)で確実なファイルコピーという意味を持つ。具体的な機能の例を以下に記す。
CISO考――ところで、CISOって必要ですか?
CISO考――ところで、CISOって必要ですか?:セキュリティ、そろそろ本音で語らないか(3)(1/3 ページ) CIOやCOOなど、アルファベットで構成される役職が日本でも目立つようになりました。しかしその役割の意味がよく分からないまま、その役職が付いている人もいるのではないでしょうか。第3回では耳にすることの多くなった「CISO」をテーマに、その役割のあるべき姿に迫ります(編集部) 情報セキュリティ対策を組織的に推進するためには、CISOなる人物が必要であり、欧米の大企業には必ず優秀なCISOがいる、と聞くことが多くありませんか? このCISOってなんでしょうか? CISOは「Chief Information Security Officer」の頭文字を取ったものとされていて、情報化推進統括責任者、あるいは、情報セキュリティ統括担当役員、情報セキュリティ最高責任者などと一般的に訳され
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
[無視できない]IEのContent-Type無視