XHRによってやり取りされるデータによるXSS 皆さんご存じの通り、Internet Explorer（以下、IE）ではContent-Typeに従わずにコンテンツをHTML扱いすることがありますので、XHRでやり取りされるデータを直接IEで開いた場合にXSSが発生することがあります。

2020年12月9日、CentOS Projectは、2029年5月31日までサポート予定だった「CentOS Linux（CentOS） 8」のサポートを2021年12月31日で終了すると発表しました。CentOS 7は予定通り2024年6月30日までサポートされる一方、CentOS 9はリリースしないとしています。 CentOS Projectは今後「CentOS Stream」というディストリビューションの開発に注力するとしていますが、これまでのCentOSが「Red Hat Enterprise Linux（RHEL）」のダウンストリームだったのに対して、CentOS StreamはRHELのアップストリームに相当するもので、その位置付けは異なります。これまでCentOSがエンタープライズにおいて商用本番OSとして採用されてきたのは、無料、オープンソースでありながら、RHELのダウ

大きく変化した「人とシステム」の関係 企業におけるDX（デジタルトランスフォーメーション）の取り組みが加速する中で、「マイクロサービスアーキテクチャ」（以下、マイクロサービス）の注目度が増している。マイクロサービスは、複数の小さなサービスを組み合わせて一つのシステムを構成するという考え方だ。 マイクロサービスのような「疎結合アーキテクチャ」自体は以前からあるが、「クラウド」「モバイル」といった技術や考え方が普及したことで最近特に注目されている。こう語るのは、Scalarの深津 航氏（CEO、COO＜最高執行責任者＞）だ。 「技術の進歩によって人とシステムの関係が大きく変化した2000年ごろは、社内の情報は社内のシステムに格納され、他社と情報をやりとりするのは主に“人”だった。しかし、2010年ごろになると企業と企業のやりとりも、メールや電話だけでなく、スマートフォンのアプリケーションやWe

Linuxの「シグナル」って何だろう？：“応用力”をつけるためのLinux再入門（16）（1/2 ページ） 前回、ジョブを停止させる際に使用した［CTRL］＋［Z］キーや、コマンドの実行を中断したいときの［CTRL］＋［C］キーは、どんな意味を持つ操作なのでしょうか。今回は、Linuxの「プロセス」や「ジョブ」の制御に関わりの深い「シグナル」を解説します。 連載目次 Linuxのシグナルとは何か？ 「シグナル」はプロセスとプロセスの間で通信を行う際に使用される“信号”のことで、シグナルを受け取ったプロセスは“何らかの動作”を行います。その動作は、例えば「再起動」であったり、「終了」であったりします。 ［CTRL］＋［C］は「SIGINT」というシグナルを行うキー操作、［CTRL］＋［Z］は「SIGTSTP」というシグナルを行うキー操作です。 シグナルの種類 シグナルには多くの種類があり、名

ユーザー定義変数の使い方 変数は、シェルの世界、とくに英語のドキュメントでは「パラメータ」と呼ばれていますが、日本語でパラメータというとどうも違う意味にとられがちなので、ここでは「変数」と呼ことにしたいと思います。ではシェルスクリプトにおける「変数」の取扱と特徴について見ていくことにしましょう。 シェルやシェルスクリプトで変数を定義する場合は、 のように記述します。とくに前もって変数を宣言したりする必要はありません（宣言することもできますが）。‘=’の両側にスペースをあけたりしてはいけません。C言語などの変数代入などの際にスペースをあける癖のある方は気をつけてください。 格納された値を参照する場合は、変数の先頭に‘$’をつけます。ためしにechoを使って標準出力に変数を表示してみます。

星野君の会社では7月に人事異動が行われた。その結果、星野君は、いままでいた7階のWeb担当チームから6階の技術担当で新設されたセキュリティグループへと移ることになった。とはいっても、星野君がWeb担当で行っていた仕事をセキュリティグループで行うという形になっただけで、仕事の内容がまったく変わるというわけではなかった。 高橋さん　「あ、赤坂さん。それ、始めるのもうちょっと待ってね。お客さんからの連絡待ちになってるから」 赤坂さん　「はーい」 セキュリティグループは、高橋さんがリーダーでほかに数名という小さなグループだ。その中に赤坂さんもいる。 Web担当にいたころもうすうす気付いてはいたが、高橋さんがほとんど席にいなかったのは主に技術担当のフロアで仕事をしていたからだったようだ。さすがに星野君も1日の大半の時間を喫煙所で過ごしているといううわさはおかしいと思っていた。事実、技術部門へ席が移っ

メールアドレスの登録チェックが、余計なお世話に？：星野君のWebアプリほのぼの改造計画（8）（2/4 ページ） メールアドレスを重複して登録できないってことは 次の日、星野君は引き続き検査の作業に没頭した。会員登録して退会して……という作業を繰り返しているうちにあることに気が付いた。 星野君　「（重複チェックが行われるってことは逆に……）」 星野君は、普段ユーザーとしてさまざまなサービスを利用する際に、すでに登録してあるサービスに重複してユーザー登録をすることはほとんどないため、すぐには気付かなかった。しかし、何度もやっているうちに、メールアドレスの重複チェックを行うという作りは悪用できるのではないかと思いついたのだ。 このWebアプリケーションでは、会員登録の登録情報入力時に入力したメールアドレスが、すでにシステムに登録済みのメールアドレスであった場合、「入力されたメールアドレスはすでに

BFF（Backends For Frontends）の5つの便利なユースケース：マイクロサービス/API時代のフロントエンド開発（2） マイクロサービス/API時代のフロントエンド開発に求められる技術の1つ、Backends For Frontends（BFF）について解説する連載。今回はBFFの代表的なユースケースを5つ紹介します。 マイクロサービス/API時代のフロントエンド開発に求められる技術の1つ、Backends For Frontends（BFF）について解説する本連載「マイクロサービス/API時代のフロントエンド開発」。前回の「BFF（Backends For Frontends）超入門――Netflix、Twitter、リクルートテクノロジーズが採用する理由」では連載初回ということで、BFFの概要を紹介しました。 まだBFFは何をするサーバなのか分かりにくい面もあるかと思

データベースの暗号化、まず「何を、どのように」実施すべきか：今さら？　今こそ！　データベースセキュリティ（6）（1/3 ページ） 本連載では、データベースセキュリティの「考え方」と「必要な対策」をおさらいし、Oracle Databaseを軸にした「具体的な実装方法」や「Tips」を紹介していきます。今回は「データベースの暗号化で、まず実施すべきこと」を解説します。 連載バックナンバー 前回は、データベース暗号化が必要となった背景と、データベース暗号化には用途別に3つの異なる方式があり、それぞれにメリットとデメリットが存在することを説明しました。 今回は具体的に「どんなデータをどのように暗号化すべきか」の指針を順に解説していきます。 「暗号化するかどうかに迷うものは、全て暗号化する」を基本指針とする 企業活動で生成されるデータにはまず、「コンプライアンス要件などで、必ず暗号化しなければなら

データベース暗号化が必要な「理由」と「3大方式」を理解する：今さら？　今こそ！　データベースセキュリティ（5）（1/2 ページ） 本連載では、データベースセキュリティの「考え方」と「必要な対策」をおさらいし、Oracle Databaseを軸にした「具体的な実装方法」や「Tips」を紹介していきます。今回は、「なぜ、データベースを暗号化しなければならないのか」について解説します。 連載バックナンバー 暗号化は万能ではない セキュリティ対策といえば「暗号化」を思い浮かべる人は多いでしょう。しかし、「セキュリティ対策＝（イコール）暗号化」ではありません。 個人情報保護委員会によるセキュリティ対策ガイドライン「個人情報保護法ガイドライン（通則編）」には、「持ち運ぶ個人データの暗号化」「個人データを含む通信の経路又は内容を暗号化」というように、移動中のデータの情報漏えいを防ぐための手法の例として暗

「データベース暗号化」の必要性と注意すべきポイント：システムインテグレーションとセキュリティ（2）（1/2 ページ） “SI視点”に立って、システム担当者が考慮すべきセキュリティについて、身近な例を参考に解説する本連載。第2回のテーマは、前回に引き続き「データベースセキュリティ」です。特に、重要なデータを保護するために欠かせない「暗号化」について解説します。 連載目次 システム開発・運用担当者の視点から考慮すべき「セキュリティ」について解説する本連載。第2回のテーマは、前回に引き続き「データベースセキュリティ」です。 前回は「ユーザー管理」「監査証跡（ログ）」について解説し、これらの対策を適切に実施することでデータベース上での不正な操作を行いにくい環境を作ることができると説明しました。しかし、それだけでは、データファイルやDBバックアップファイルを“丸ごと盗み出す”ような不正行為には対処で

これまでのインターネットラジオとRSSを活用したポッドキャスト。番組の更新情報の送り方や仕組みを分かりやすく説明する 何が新しいの？「ポッドキャスティング」 Web2.0の代表サービスとして「ポッドキャスティング」（Podcasting）がよく挙げられます。昔からあるネットラジオとポッドキャスティングは何が違うのでしょうか？ Web1.0時代のネットラジオは、サーバ上にアップロードされた音声ファイルをダウンロードしたり、ストリーミングしながら聞くパターンが一般的でした。欠点としては新しい音声ファイルが提供されても、ユーザーは手動で配信元をチェックしなければ、それを知ることができませんでした。 そこで登場したのがポッドキャスティングです。ポッドキャスティングは音声ファイルをブログやWebサイトで公開するのですが、Web1.0のインターネットラジオと違ってRSS（参照：5分で分かるRSS）と連

業務で作成したソフトウエアの著作権は誰にあるのか？――退職社員プログラム持ち出し事件：「訴えてやる！」の前に読む IT訴訟 徹底解説（20）（1/2 ページ） 東京高等裁判所 IT専門委員として数々のIT訴訟に携わってきた細川義洋氏が、IT訴訟事例を例にとり、トラブルの予防策と対処法を解説する本連載。今回は、自分が作成したソフトウエアを持ち出して起業したエンジニアが、元職場に横領罪で訴えられた裁判を解説する。

The Linux Foundation Japanは2021年2月18日、日本語のオンライン講座「Linuxシステム管理入門（LFS201-JP）」の提供を開始した。Linuxシステム管理に必要なスキルとプロセスを学習する「Essentials of Linux System Administration（LFS201）」の日本語版で、Linuxシステム管理者認定試験「Linux Foundation Certified System Administrator」に向けた学習から認定試験までを日本語で受けられる。 オンライン講座と認定試験はそれぞれ有料で、5人以上で受講する場合は団体割引を受けられる。 IT初心者やLinux以外のOS経験者が対象 Linuxシステム管理入門の対象はこれからLinuxシステムの管理に携わろうとする、IT初心者やLinux以外のOSを使用した経験がある人。講

本当は持っていないスキルや経験を“盛って”しまうスキルシート詐欺。未経験や微経験エンジニアを襲う犯罪行為は、なぜなくならないのでしょうか。 複雑怪奇なIT“業界”を解説する本連載。これまで、IT業界にまん延する多重下請け構造と偽装請負、多重下請け構造が起こる仕組み、「案件ガチャ」が起こるメカニズム、SI業界のエンジニアが陥りがちな「3つの地獄」など、IT業界の理不尽な現実を取り上げてきました。 今回は、少し前に話題になった「SI業界のスキルシート詐欺」の実態と、詐欺が横行するメカニズムを解説します。 エンジニアになるためには、前科者にならなければならない……のか 人手不足だからと未経験者や微経験者をSI業界に引きずり込み、漏れなく経歴詐称者にするスキルシート詐欺事件が後を絶ちません。 ここでは未経験＝「プログラミングスクール卒で、プロジェクト経験ゼロのエンジニア」、微経験＝「運用やテスター

【 eval 】コマンド――文字列を評価、連結して実行する：Linux基本コマンドTips（170） 本連載は、Linuxのコマンドについて、基本書式からオプション、具体的な実行例までを紹介していきます。今回は、文字列を評価、連結して実行する「eval」コマンドです。

猛威をふるったBlasterワーム。これが大流行したのは2003年でしたが、いまだにこのワームの痕跡はインターネット上に残っています。その理由の1つは、いまだにセキュリティパッチが適用されていないホストが残っていることにもあります。今回は脆弱なホストや設定ミスによって発生する「穴」への攻撃を見抜く方法を解説します（編集部） ※ご注意 他社および他組織のWebサイトなどへのポートスキャンおよびデータの取得などの行為で得た情報を侵入などに悪用するか、または同じ目的を持つ第三者に提供した時点で違法となります。ご注意ください。 本稿の内容を検証する場合は、必ず影響を及ぼさない限られた環境下で行って下さい。 また、本稿を利用した行為による問題に関しましては、筆者およびアイティメディア株式会社は一切責任を負いかねます。ご了承ください。 不正中継、踏み台といった脆弱なホストの悪用 インターネット上には、

Linux基本コマンドTips一覧 本連載は、Linuxのコマンドについて、基本書式からオプション、具体的な実行例までを紹介していきます。今回は、端末を閉じたりログアウトしたりしても処理を続行させるための「nohup」コマンドです。 nohupコマンドとは？ コマンドを実行している際に、仮想端末（Terminal）の画面を閉じたりログアウトしたりすると、実行中のコマンドも終了してしまいます（コマンドをバックグラウンド実行していても終了する）。 コマンド起動時に「nohup コマンド &」と指定することで、このような場合でもそのままコマンドの実行を続けることができます。 例えば、リモート先で時間のかかる処理を始めたい場合に、「sshでログインし、nohup付きでコマンドを実行し、ログアウトする」という形で活用します。