実は厄介、ケータイWebのセッション管理
実は厄介、ケータイWebのセッション管理:再考・ケータイWebのセキュリティ(3)(1/3 ページ) “特殊だ”と形容されることの多い日本の携帯電話向けWebサイト。そこには、さまざまな思い込みや性善説の上しか成り立たないセキュリティが横行しています。本連載は、ケータイWebの特殊性をていねいに解説し、正しいケータイWebセキュリティのあるべき姿を考えます(編集部) 「Cookieを使えない端末」でセッションを管理する方法は? 第2回「間違いだらけの『かんたんログイン』実装法」ですが、多くの方に読んでいただきありがとうございました。 今回は、前回に引き続き架空のSNSサイト「グダグダSNS」のケータイ対応を題材として、ケータイWebのセッション管理の問題点について説明します。携帯電話向けWebアプリケーション(ケータイWeb)のセッション管理は、かんたんログインよりも対策が難しく、厄介な問
JSPのインクルードに関連する文字化けを解消
JSP/サーブレット・プログラミングで誰もが一度は遭遇するトラブルが文字化けだ。予期せぬ文字化け発生に、デバックに苦労した経験を持つ読者も多いだろう。本連載では、JSP/サーブレットにおける文字列の扱いの基礎を復習した上で、文字化けの解決策を要点よく解説してきた。今回が最終回。(編集部) 質問1:JSPのインクルードで文字化けを防ぐには? 解答:親ページではcontentType属性を、子ページではpageEncoding属性を指定しましょう JSPのインクルード機能は文字化けが起こりやすいポイントの1つである。その原因を明らかにする前に、まずは同機能について簡単におさらいしておこう。JSPでは、外部のJSPページやHTMLページをインクルードする手段として、以下の2種類を提供している。 includeディレクティブ:<%@ include file="ファイル名" %> includeア
間違いだらけの「かんたんログイン」実装法
「DNSリバインディング」による攻撃 今度は、契約者固有IDのなりすまし(変更)をしないでかんたんログインを攻撃する、「DNSリバインディング(DNS Rebinding)」と呼ばれる手法を紹介します。 DNSリバインディングは受動的攻撃の一種です。なりすましのターゲット(対象者)の携帯電話ブラウザ上で攻撃用スクリプトが動作することで攻撃が起こります。図3を用いて、DNSリバインディング攻撃の概要を説明します。 図3のexample.jpが攻撃対象サーバ、trap.example.comは攻撃者が管理している「罠」のサーバです。攻撃者は罠サイト上に、JavaScriptを仕込んだHTMLを用意し、example.jp利用者が閲覧するのを待ちます。以下に攻撃シナリオを示します。 【1】罠サイトを閲覧すると、JavaScriptがダウンロードされる 【2】罠を閲覧したタイミングで、ローカルに保
‘愛’で学ぶ文字コードと文字化けの常識
Javaで文字エンコーディングを使ってみよう 前述のように、Javaは内部的に文字エンコーディングとしてUTF-16を用いています。このUTF-16をほかの文字エンコーディングに変換するための機能がJava APIとして提供されています。世の中にあるさまざまな文字エンコーディングを取り扱うために、この機能は必要になります。 バイト配列を16進表記文字列にする便利クラスを差し上げます まず、バイト配列を一般的な16進表記文字列にするためのユーティリティクラス(HexStringUtil.java)を準備しておきます。 public final class HexStringUtil { /** * 与えられたバイト配列を16進表記の文字列に変換します。 * 2バイト目以降には、前のバイトとの区切りのために * 半角空白を付与します。 * 変換例。入力:[愛植岡]のシフトJIS化バイト配列 *
‘愛’で学ぶ文字コードと文字化けの常識 (1/4) - @IT
本連載は、Java言語やその文法は一通り理解しているが、「プログラマー」としては初心者、という方を対象とします。Javaコアパッケージを掘り下げることにより「プログラマーの常識」を身に付けられるように話を進めていきます。今回は、文字コードや文字化けについて。OSや携帯電話の機種の違い、メール、Webブラウザ、DB入出力、国の違いなどさまざま原因で起きる文字化けを徹底解説! 文字コードや文字化けの知識はプログラマーの常識 今回は、文字コードや文字化けなどの文字に関する常識をJavaを通して身に付けていきます。 私たちプログラマーにとって、文字や文字列を扱うことはとてもありふれたことです。ほとんどのプログラムにおいて、何らかの形で文字や文字列を扱っていることでしょう。 インターネット時代には必須の知識 コンピュータ1台で動作するプログラムを扱っている範囲では、皆さんは特に何の困難に出合うことも
いま購読するべき15の開発者ブログ
「Java News.jp(Javaに関する最新ニュース)」の安藤幸央氏が、CoolなプログラミングのためのノウハウやTIPS、筆者の経験などを「Rundown」(駆け足の要点説明)でお届けします(編集部) そもそも開発者ブログ・ラボブログとは 世の中に多くのブログが存在します。もともと「blog」は「web」+「log」の意味の造語で、2000年ころから平易に使えるブログツールや無料サイトなどが増え、浸透してきました。皆さん自身も日記のように気軽にブログを書かれている人も入れば、ブログを読むことを楽しんでいる方も多いでしょう。 技術者であれば、メモ的に技術情報をブログで公開している方から、さまざまなトラブル時や困ったときに、どこかの誰かのブログの記述に助けられることもあったかもしれません。 今日、企業活動の一環として、意欲的にブログを活用しているところから、広報活動的にブログを活用してい
「Linux標準教科書」がiPad対応、6月中旬より無償で提供 - @IT
2010/06/03 エルピーアイジャパン(LPI-Japan)は6月3日、「Linux標準教科書」をiPad対応アプリケーション化し、6月中旬から無償で提供することを発表した。 LPI-Japanは、Linuxおよびオープンソース技術に関するスキル習得支援を目的とした特定非営利活動法人で、日本国内でLinux技術者認定試験(LPIC:Linux Professional Institute Certification)を実施している。Linux標準教科書は、Linuxの普及を目的に開発し、無償で提供している技術教材。2008年9月の提供開始以来、すでに10万ダウンロードの実績を持つ、全246ページのコンテンツだ。 LPI-JapanはこれをiPad向けアプリとして提供することにより、教科書を気軽に持ち運び、いつでも利用できるようになるため、Linuxの学習環境がさらに広がるとしている。今
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
