Tomcatを安全にするセキュリティマネージャとは? (1/3) - @IT
Tomcatを安全にするセキュリティマネージャとは?:Tomcatはどこまで“安全”にできるのか?(6)(1/3 ページ) 本連載「Tomcatはどこまで“安全”にできるのか?」では、いままでTomcat 6の新機能と、できるだけセキュアなWebアプリケーションサーバをTomcatで構築するためのヒントをいろいろと紹介してきました。 今回は、Tomcatセキュリティ連載の最後として、「セキュリティマネージャ」を利用したTomcatでのセキュリティの確保について解説していきたいと思います。 Tomcatの安全性を高めるセキュリティマネージャとは? 「セキュリティマネージャ」(java.lang.SecurityManagerクラスが使われる)とは、信頼されていないコードを実行することでローカルファイルシステム上にあるファイルへとアクセスしたり、Javaアプレットのダウンロード元のホスト以外と
「テストをすべきなのは知っているが,現実にはできない」という現場の状況をいかに打破するか,気鋭のソフト開発者とテスト技術者がパネル討論
「テストをすべきなのは知っているが,現実にはできない」という現場の状況をいかに打破するか,気鋭のソフト開発者とテスト技術者がパネル討論 Developers [Test] Summit 2008(デブサミTest) 「建前ではなく実際にテストを普及させるにはどうすればいいのか」。2008年4月23日,東京・九段で開催されたテストに特化したソフトウエア開発者向けカンファレンス「Developers [Test] Summit 2008(デブサミTest)」で「【徹底討論】テストなんていらない?!-テストを,どこまでやるべきか?」というパネル・ディスカッションが開催された。 司会を務めたのはタワーズ・クエスト プログラマ兼取締役社長であり,テスト駆動開発(TDD)の日本での第一人者である和田卓人氏。同氏に,オープンソース・プロジェクト「Seasar」のチーフコミッタであるひがやすを氏,テストの
他人を幸せにする方法
「10 Ways To Make Others Feel Good」 という記事がありました。 最後の1項目が大事なんだろうと思いました。 以下、要約です。 意訳してある部分が多いので、原文もご覧下さい。 1. 褒める 髪型、笑顔、何でもいいので褒めましょう。 2. 緊迫した雰囲気を氷解する冗談を 苦しい時のサポートは重要です。 3. 良き聞き手になる 最後まで話を聞きましょう。沈黙は金なり。 4. 人を待たせるな 遅刻は相手の気分を害し、その後の行動の出鼻をくじきます。 5. ありがとう、ごめんなさい、お願いします 3つの言葉が困難な状況をも変化させます。 6. 冷戦状態を打破 友人と友人との間、自分と友人の間の冷えた関係を打破しましょう。 問題解決には、問題を理解することです。 7. 熱い抱擁を 熱い抱擁には癒しがあります。 8. 道を譲りましょう ちょっと人に譲る事で他人を幸せにでき
会社でブチ切れる原因:Geekなぺーじ
会社で社員がブチキレる原因になるかもしれない事柄を色々と限り考えてみました。 なお、フィクションです。 ご注意下さい。 もう一度言います。 フィクションですよ。 休暇を取得させてくれない 納期が短すぎ 給料が上昇しない 他の社員がどんどん辞めていく 仕事が集中していく クレーム電話の受付ばかりをしている 忙しいのに新しい案件が降って来た コードの設計に関して意見が合わない 信義に反する内容の仕事を依頼された 相手と利益が相反する この前言っていたことと違う 要求が無理難題 要求の意味が理解できない 理不尽 会議が長すぎ 会議のための会議を行いすぎ バグの責任を押し付けられた 信じられないぐらいアホなバグを連発する人がいる 成果物の品質が低すぎる 他人の尻拭いをさせられている 寝不足でイライラしていた プライベートでイライラしていた 自分自身が許せなくてイライラしていた 事業に新規制を感じら
情報セキュリティ入門
コンピュータやネットワークが一般社会に浸透し,情報を扱う利便性は向上してきました。しかし利便性の向上は,同時にセキュリティの低下も招きました。サービスの利便性を享受するには,自分の身は自分で守り,他人には迷惑をかけないようにしていかねばなりません。 この連載コラムでは, ●情報セキュリティに関する知識を増やしたい ●何をすればどうなるのかはわかっているけれど,その舞台裏を知りたい ●情報セキュリティ関連の資格試験を受験するための基礎知識を固めたい という方々を対象に,知っておきたい情報セキュリティの概念,技術,規約などを解説していきます。 忙しい方は,各回の冒頭にある「ポイント」だけを読んでいただければ話の大枠は理解できるようにしました。ポイント部分に目を通して興味がわいてきたり,自分の弱点だと感じたら,そのあとに続く本文もぜひ読んでみて下さい。 毎週水曜日に1本ずつ記事を掲載して行く予定
セカンドオーダ・クロスサイト・スクリプティング
このところ,検索エンジンへのiframeインジェクション攻撃が大量に発生している。これについて,何人かが詳しい情報を寄せてくれた。Dancho Danchev氏ブログ投稿記事は,これまでの経緯を知るのにうってつけで,さらに被害を受けた人気ニュース・サイトを何カ所か掲載している。かなり多くの攻撃を受けているらしい米USAトゥディ紙も,記事に米IBMの研究開発チームX-Forceの見解を載せている(関連記事:IFRAME攻撃,USAToday.comなど主要なWebサイトが続々とターゲットに)。 米グーグルの検索エンジンが攻撃の発端となっていることから,多くの注目を集めている。ただし,ここではっきりさせておきたいのは,今回のぜい弱性そのものはグーグル(あるいは,そのほかの主要検索エンジン)の中に存在しない。攻撃の中心となるのは,Webサイト上のアプリケーションが「searched-for」コン
「SQLインジェクション攻撃をログから検出」、IPAが無償ツールを公開
情報処理推進機構(IPA)は2008年4月18日、Webサーバーのアクセスログから、Webサイトへの攻撃を検出するツールを公開した。IPAのWebサイトからダウンロードできる。現在のところ、検出できる攻撃は「SQLインジェクション」のみだが、今後は他の攻撃にも対応する予定。 最近、Webサイトを狙った攻撃(特に、SQLインジェクション攻撃)が相次いでいる。攻撃の結果、ウイルスを感染させるようなコードをWebページに仕込まれたり、Webサイトのデータベースから顧客情報を盗まれたりしている。 そこでIPAでは、Webサーバーのアクセスログを解析して、「SQLインジェクション攻撃をどの程度受けているのか」や「攻撃によって被害が発生していないか(攻撃が“成功”していないかどうか)」を調べるためのツール「iLogScanner」を公開した。 このツールは、Webブラウザー上で実行するJavaアプレッ
第39回 Java EE勉強会 - Pixel Pedals of Tomakomai
割と毎月行ってるんですが、今月面白かったのでメモメモ。 そんなわけで、第39回Java EE勉強会のレポートです。 ポジペ こんなのあったら読みたい書籍 角田さんの紹介していたパターン認識と機械学習 上が面白そうでした id:koichikさんの話にちらっと出たのが、数学パズル ものまね鳥をまねるですが、絶版とのこと Java並行処理プログラミング 11章(id:hiratara) まあ、頑張りましたw Software Transaction Memory (id:koichikさん) トランザクショナルメモリの概論 STMとHTMとHyTMがある atomic, retry, orElse の操作で表現 DSTM2のアーキテクチャ解説 @atomicアノテーション付きのインタフェースから、ファクトリが自動でオブジェクトを生成 Adapter(アトミックオブジェクトの実現)とLocato
InfoQ: Google Gearsの現状、そして未来を占う
ローカルサーバとは、Webページの「キャッシュ」を提供する仕組みです。基本的なキャッシュ機能はWebブラウザ自身も保持していますが、残念ながらそれらはオフラインの状態では利用できませんし、プログラマティックに操作することもできません。 ローカルサーバは、ブラウザがWebサイトにアクセスしようとする動作を横取りし、ローカルのキャッシュからリソースを供給する、と言う仕組みで動作します。例えば、「http://example.com/index.html」と言うURLのリソースがキャッシュ内にあるなら、そのURLにブラウザからアクセスしようとすると、サーバへのアクセスが横取りされ、キャッシュからそのファイルが読み出されることになります。 これならサイトがダウンしていたり、クライアントがオフラインの状態でも、問題なくWebページを表示することができます。また、サイトへのHTTPリクエストを行わずに
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
海洋堂、ティラノサウルスの親子のプラスチックモデルを1/35スケールで予約販売
IBM Developer
橋本正徳の「あなたのためのシステム開発」 : 大好きだから守るもの - livedoor Blog(ブログ)