第7回Webアプリを作ろう#4──Omnibox、Context Menus 吉川徹 2011-07-11
![Webアプリを公開しよう! Chrome Web Store/Apps入門 記事一覧 | gihyo.jp](https://cdn-ak-scissors.b.st-hatena.com/image/square/7241c583676d54fc052c4388a6edd25e4c7f280b/height=288;version=1;width=512/https%3A%2F%2Fgihyo.jp%2Fassets%2Fimages%2Fgihyojp-ogp.png)
第7回Webアプリを作ろう#4──Omnibox、Context Menus 吉川徹 2011-07-11
SQLインジェクションについて書くときに以下のメッセージを必ず含めて欲しいです。 単にプリペアドステートメントを使え 絶対に文字列結合でSQLを構築しようとしてはいけない IPAの「安全なSQLの呼び出し方」を読むこと なんでこんなことを書くかというと、同僚が献本されてた「プロになるためのWeb技術入門」なる本のSQLインジェクションの項で、SQLインジェクションの対策として以下のように書いてあったからです*1。 a) 値をバリデーションする b) プリペアドステートメントを使う ダメです。間違っています。単に間違っているだけでなく救いがたく間違っています。正しいSQLインジェクション対策はこう書くべきです。 単にプリペアドステートメントを使え 文字列結合でSQLを構築するな イケてない本を書く人はなんで値のバリデーションをプリペアドステートメントよりも先に書くんですか?値のバリデーション
モバイル・ペイメントにおける仕様の決定権を持つのは、現時点では携帯電話事業者である。携帯電話機で非接触クレジットカード・サービスを提供する場合、アプリケーション・ソフトウエアはSIMカードに格納されるため、海外の金融機関や日本のクレジットカード発行会社は携帯電話事業者の許可なしにはサービスができないからだ。また、クレジットカード決済の決定権を握っていた米Visa World Wide社や米MasterCard World Wide社も、NFC搭載携帯電話を使ったシステムの標準化過程では、ほとんど食い込めず、携帯電話事業者が決めた仕様を受け入れざるを得なかったのは、前回までで述べた通りだ。 ところが、携帯電話事業者がNFC搭載の携帯電話機を使ったモバイル・ペイメントの支配者であるという状況に、早くも陰りが見え始めている。そのきっかけはスマートフォンの普及にある。最終回となる今回は、今後のモバ
2007年ごろから、フランスのCitiziプロジェクトなど欧州で、NFC搭載携帯電話機を使ったペイメント・サービスが始まる機運が出てきたことを前回述べた。今回は、舞台を日本に戻し、携帯電話機へのNFC搭載に向けた動きを紹介する。 2007年ごろになると、KDDIやソフトバンクモバイルなどの携帯電話事業者を中心に日本でNFC搭載携帯電話機を使ったサービスの実現可能性を検証する動きが始まった。この背景には、第1回に述べたように、KDDIやソフトバンクモバイルにとって「おサイフケータイ」の利用が期待したほど伸びないという悩みがあった。FeliCa機能は、携帯電話機に付随するさまざまな機能(ワンセグ、カメラ、赤外線通信、Bluetoothなど)の中でも、コストが高い。利用頻度が少ないのであれば単なるお荷物でしかない。 ただし、海外ではPay-Buy-Mobileなど、NFCを携帯電話機に搭載するた
最近のセキュリティインシデントの中でインパクトが最も大きいのは、Apacheに脆弱性が見つかったことだろう。 Apacheソフトウエア財団は、Apache Webサーバーの全バージョンが影響を受ける脆弱性を明らかにした。DoS(サービス不能)攻撃を可能にする弱点で、すべてのWebサイトの最大65%が攻撃を受ける危険性があるという。既にこの脆弱性を突く攻撃ツールも出回っていることから、英ソフォスはブログで注意を呼びかけた。 DoS攻撃は、サーバーに情報要求を大量に送りつけ、過剰な負荷を与えて接続不可能な状態にする。通常、大規模なWebサイトに攻撃を仕掛けるには相当な馬力が必要になるが、最新の脆弱性ではそれほどの労力を必要としない。 この脆弱性は、ダウンロードを停止、再開できるようにする機能に存在する。最近では、ダウンロードを途中で止めても、最初からやり直さずに、停止したところからまた再開する
以前、Gumblar攻撃の被害に遭ったクライアントPCの調査から判明した、クライアントパソコン(PC)に放置されやすい脆弱性について解説した(関連記事)。前回の調査では、クライアントPCに放置されやすい脆弱性の1位はJava、ほぼ同数の2位がAdobe Readerという結果だった。前回の調査から1年経過し、この傾向に変化があるか、改めて同様の調査した。その結果について解説する。 前回の調査では、Gumblar攻撃の被害に遭ったクライアントPCを対象としたが、今回は、Black Hole Exploit Kitと呼ばれるドライブバイダウンロード攻撃ツールの被害にあったクライアントPCを対象にした。この攻撃ツールは、2011年上半期に日本IBM セキュリティー・オペレーション・センター(以下、東京SOC)の観測範囲において最もウイルス感染の被害が多かった攻撃ツールである(表1)。 表1●Ex
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 企業がクラウドを導入するにあたって必ず課題となるのがセキュリティだ。しかし、結局のところ、セキュリティの責任は誰が持つのだろうか? 8月5日、その本音を語りあうため、クラウド事業者とユーザー企業の直接交流の場が設けられた。呼びかけ人は、トレンドマイクロだ。 参加者は、クラウド事業者側から4名、ユーザー企業側から4名の計8名。中にはクラウドを利用して企業向けサービスを提供しているという、事業者かつユーザー企業の参加者もおり、クラウドに関わるさまざまな立場の人が集まった交流会となった。 オブザーバーとして、ノークリサーチのシニアアナリスト 岩上由高氏の参加も急きょ決定。岩上氏は終了後、「実に新鮮で興味深い議論だった」と振り返っている。 早く
米McAfeeは9月7日、車載システムのセキュリティ問題にスポットを当てた報告書を発表し、こうしたシステムが不正アクセスされて消費者の安全が脅かされる危険が高まっていると警鐘を鳴らした。 自動車のあらゆる部分に電子システムが組み込まれるようになった今、こうしたシステムに対するハッキングの危険が浮上してきたとMcAfeeは解説。これまでの研究でも、自動車の電子部品に物理的にアクセスできれば安全装置をハッキングできてしまうことや、RFIDタグを使って車を追跡できてしまうことなどが実証されていると指摘した。 車内でもネットやメールを使いたいというコンシューマーの要望を受けて、自動車メーカー各社はスマートフォンやタブレット端末と自動車との連携を強化する方向にある。しかしこうした機能強化を急ぐあまり、セキュリティ対策が後手に回ることもあるという。 報告書では、車載システムが不正アクセスされた実例を検
G Data Softwareは、2011年上半期のマルウェア動向について取りまとめた。前期からWindows関連のマルウェアは1.5倍、モバイルマルウェアは13.8倍に増加したという。 レポートによれば、2011年上半期に確認された新種マルウェアは124万5403種。2011年通年で約250万種に達すると同社は予測している。2010年の約210万種から1.2倍となり、12秒に1件の新種マルウェアが発生していた。 新種マルウェアをOS別に見ると、Windows関連が全体の99.5%を占めて圧倒的に多く、2010年下半期から1.5倍になっている。今期の傾向としては、「トロイの木馬」が依然として多数を占める状況。「ダウンローダー」と「バックドア」が続いた。 またモバイルマルウェアの急増が目立っている。確認された新種マルウェアは803件で、前期の55件から13.8倍に拡大した。その大半はAndr
2011/09/08 オランダの認証局DigiNotarが不正アクセスを受け、偽のSSL証明書を発行していた問題は、さまざまなところに影響を及ぼしている。 この被害は8月29日に明らかになった。米Googleのメールサービス「Gmail」のユーザーに対する中間者攻撃の動きがあったことを機に、DigiNotarが不正なSSL証明書を発行していたことが発覚。詳しく調査した結果、DigiNotarの認証局インフラが7月19日に不正アクセスを受け、管理者権限でアクセスされて500以上の偽証明書を発行していたことが明らかになってきた。その中には、google.comのほか、skype.com、twitter.com、www.facebook.comや*.windowsupdate.com、*.wordpress.comなど、広く利用されるドメインが含まれている。またDigiNotarの証明書は、オラ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く