GNU系OSSライセンスに関する一考察
GNU LGPLが産まれた経緯 LGPLは、v2.1では「Lesser GPL」と表記します。ところがv2.0では「Library GPL」という名称でした。 名称が変更になったのにはいくつか理由があります。「ライブラリ形式のフリーソフトウェアは無条件に、GPLではなくLGPLを採用するものだ」という誤解を与えないようにすることが1つです。もう1つは、ソフトウェアによっては、本来ならばライセンスをGPLにしたいけれど、戦略的に譲歩して一段劣等(Lesser)な「フリー」とすることがあります。そうした際に、あくまでも「仕方なく」LGPLにしているのだというニュアンスを明確に表すためです。 この辺りの詳しい説明は、「あなたの次のライブラリにはライブラリGPLを適用するべきでない理由」をご覧ください。 では、なぜ、わざわざ劣等なGPL(=LGPL)というライセンスを作成したのでしょうか。Linu
x86コードのサンドボックス、グーグルの「NaCl」は安全か? - @IT
2009/08/06 Webブラウザ上で、ネットワークからダウンロードしたx86バイナリを安全に実行する――。2008年暮れにグーグルがオープンソースプロジェクトとして公開した「NaCl」(Native Client)は、本当に安全なものに仕上げることができるのか。先日グーグルが主催したセキュリティ・コンテスト、「Native Client Security Contest」でNaClの脆弱性を2つ発見して、日本人で唯一入賞したサイバーディフェンス研究所 上級分析官の福森大喜氏に話を聞いた。 静的解析で安全にx86コードを実行 福森氏は、Webブラウザ上にx86バイナリを実行するサンドボックスを載せるというアイデアを評価する。「基本的には、いい考え。コードに悪意がある場合でも、WebブラウザやOSが被害を受けないようにできている。ソースコードを見た印象ではOSのカーネルに似ている」(福森氏
セキュリティ&プログラミングキャンプ2009、開講 - @IT
2009/08/13 高度なIT人材の早期発掘・育成を目的とした「セキュリティ&プログラミングキャンプ2009」が、8月12日より16日にかけて行われている。 セキュリティ&プログラミングキャンプは、IT技術者の空洞化という問題に対処すべく、22才以下の学生を対象に、セキュリティやプログラミングに関する正しい知識を習得させることを目的としたイベントだ。ひいては、国際的に通用する優秀な人材の発掘、育成も目指している。 キャンプという名前の通り、セキュリティおよびオープンソース、プログラミングに関する正しい知識を、4泊5日の合宿形式で缶詰めになって学ぶ。「セキュリティコース」と「プログラミングコース」の2つがあり、それぞれさらに専門的なコースに分かれて座学と実習を行う予定だ。期間中には、IT企業の見学会や専門家による特別講演も行われ、IT業界の生の姿に触れることができる。 6回目となる今年のキ
[気になる]JSONPの守り方
XSSにCSRFにSQLインジェクションにディレクトリトラバーサル……Webアプリケーションのプログラマが知っておくべき脆弱性はいっぱいあります。そこで本連載では、そのようなメジャーなもの“以外”も掘り下げていきます (編集部) JSONPだって、セキュリティを気にしてほしい 皆さんこんにちは、はせがわようすけです。今回は、JSONPを使用する場合のセキュリティについて解説しましょう。 JSONPとは、JSON with Paddingの名称が示しているとおり、JSON形式のデータにコールバック関数の呼び出しのためのコードを付加することで、クロスドメインでデータの受け渡しを実現するためのデータ形式です。JavaScriptからクロスドメインでのデータが簡単に扱えることなどを理由に、多数のWebアプリケーションでAPIの一部としてJSONP形式でデータの提供が行われています。 具体的な例を見
[柔軟すぎる]IEのCSS解釈で起こるXSS
[柔軟すぎる]IEのCSS解釈で起こるXSS:教科書に載らないWebアプリケーションセキュリティ(3)(1/3 ページ) XSSにCSRFにSQLインジェクションにディレクトリトラバーサル……Webアプリケーションのプログラマが知っておくべき脆弱性はいっぱいあります。そこで本連載では、そのようなメジャーなもの“以外”も掘り下げていきます (編集部) なぜか奥深いIEのXSSの話 皆さんこんにちは、はせがわようすけです。 第1回「[これはひどい]IEの引用符の解釈」と第2回「[無視できない]IEのContent-Type無視」でInternet Explorer(IE)の独自の機能がクロスサイトスクリプティング(XSS:cross-site scripting)を引き起こす可能性があるということについて説明してきました。 第3回でも引き続き、IE特有の機能がXSSを引き起こす例ということで、
Security&Trustウォッチ(58) Perl Mongersはセキュリティの夢を見るか? − @IT
Perl Mongersはセキュリティの夢を見るか?:Security&Trust ウォッチ(58) 筆者の課題の1つに「セキュリティに興味を示さない人々に、いかにしてセキュリティの情報を伝えるか」があります。例えば、このコラムを連載している@IT Security&Trustフォーラムの読者は“セキュリティにすでに興味を持っている人々”が大半のはずです。では、そうでない人にどうアプローチすべきでしょうか。 2009年4月22日、Perlユーザーグループのイベント「Shibuya Perl Mongers テクニカルトーク #11」が開催されました。Perl Mongers(パールモンガース)は、プログラミング言語であるPerlのユーザーグループのことで、地域ごとにコミュニティが形成されているという特徴があります。ニューヨークが発祥で世界各地に存在し、日本では Shibuya.pmやKan
ブラウザでのクロス・ドメイン通信のセキュリティ保護(1/3) - @IT
アーキテクチャ・ジャーナル ブラウザでのクロス・ドメイン通信のセキュリティ保護 Danny Thorpe 2009/04/20 本コーナーは、マイクロソフトが季刊で発行する無料の技術論文誌『アーキテクチャジャーナル』の中から主要な記事を Insider.NET 編集部が選び、マイクロソフトの許可を得て転載したものです。基本的に元の文章をそのまま転載していますが、レイアウト上の理由などで文章の記述を変更している部分(例:「上の図」など)や、図の位置などを本サイトのデザインに合わせている部分が若干ありますので、ご了承ください。『アーキテクチャ ジャーナル』の詳細は「目次情報ページ」もしくはマイクロソフトのサイトをご覧ください。 ■概要 買い物客は、事実上どの店に入っても、プラスチックのカードと写真付きの身分証明書以外の何も持たずに商品を購入できます。買い物客と店主の通貨、国籍、言語が異なってい
[無視できない]IEのContent-Type無視
[無視できない]IEのContent-Type無視:教科書に載らないWebアプリケーションセキュリティ(2)(1/2 ページ) XSSにCSRFにSQLインジェクションにディレクトリトラバーサル……Webアプリケーションのプログラマが知っておくべき脆弱性はいっぱいあります。そこで本連載では、そのようなメジャーなもの“以外”も掘り下げていきます(編集部) 無視できないIEの「Content-Type無視」問題 皆さんこんにちは、はせがわようすけです。 第2回では、Internet Explorer(以下、IE)の仕様でも特に悪名高い「Content-Type無視」について説明します。 IEのContent-Type無視問題は非常に複雑で、私自身も完全に説明できる自信はないのですが、それでもセキュアなWebアプリケーションを開発するうえで避けては通れない問題ですので、取り上げることにしました。
![[無視できない]IEのContent-Type無視](https://cdn-ak-scissors.b.st-hatena.com/image/square/f8699f6fec76c2d2b8f650af7a420b6f67f0ebfe/height=288;version=1;width=512/https%3A%2F%2Fimage.itmedia.co.jp%2Fait%2Farticles%2F0903%2F30%2Fwebapp0201.jpg)
世間の認識と脅威レベルのギャップ――XSSは本当に危ないか?
皆さんこんにちは、川口です。コラムの第6回「IPSは“魔法の箱”か」でまっちゃ139で講演をしたお話を書きましたが、今度は関東でやっている「まっちゃ445」にお招きいただき、お話ししてきました。 まっちゃ445は募集開始から定員が埋まるまでがとても速く、今まで参加したことがなかったのですが、今回は運良く(?)講師側ということでキャンセル待ちにならずに参加することができました。ロックオンの福田さんがオープンソースのECサイト構築システム「EC-CUBE」に脆弱(ぜいじゃく)性が発見された際のインシデントハンドリングのお話をされていました。EC-CUBEにSQLインジェクションとクロスサイトスクリプティング(以下、XSS)が発見されたあとの対応のお話です。JSOCで日々インシデントにかかわっているいる自分としてはとても興味深い内容でした。 日本のエンジニアのセキュリティ意識は過剰? 今回のよう
教科書に載らないWebアプリケーションセキュリティ 第1回 [これはひどい]IEの引用符の解釈 − @IT
XSSにCSRFにSQLインジェクションにディレクトリトラバーサル……Webアプリケーションのプログラマが知っておくべき脆弱性はいっぱいあります。そこで本連載では、そのようなメジャーなもの“以外”も掘り下げていきます(編集部) 小さな話題が面白い 皆さん、はじめまして。はせがわようすけと申します。 「教科書に載らないWebアプリケーションセキュリティ」ということで、Webアプリケーションのセキュリティに関連する、普段あまり見掛けないような小さな話題を取り上げていきたいと思います。 セキュアなWebアプリケーションを実現するために、開発者の方だけでなく、Webアプリケーションの脆弱性検査を行う方々にも読んでいただきたいと思っています。重箱の隅を楊枝でほじくるような小さな話題ばかりですが、皆さんよろしくお願いします。 さて第1回は、Internet ExplorerがHTMLを解釈する際の引用
![教科書に載らないWebアプリケーションセキュリティ 第1回 [これはひどい]IEの引用符の解釈 − @IT](https://cdn-ak-scissors.b.st-hatena.com/image/square/82de8989bb7acc1ec9333bef18042c097988bca5/height=288;version=1;width=512/https%3A%2F%2Fimage.itmedia.co.jp%2Fait%2Farticles%2F0902%2F27%2Fwebapp0101.jpg)
サーバって何ですか? ポートって何ですか?~これで入門書が読める!超初心者のためのインターネットの仕組み~
芽衣子 「そんなむつかしいこといわれても分からないわ。私、物分かりが悪くて……」 正男 「あ……。まあ、いいですか。むつかしいことは明日にしましょうかね。この分だと私引っ越しも手伝わないといけませんね。ズズー」 芽衣子 「じゃあ、今日の引き継ぎはこのくらいにしましょうね、じゃ!」 面倒なことは先送りにするライフハック能力を遺憾なく発揮する芽衣子さんです。 芽衣子 「ああ、数字とか面倒だわ。でも、あのデブには甘いもの与えとけばいいってのが分かったからずいぶん楽になったわね」 このように引っ越しを目前に控えているのにもかかわらず、すっかり遅々として進まなくなってきた引き継ぎですが、出張で日本に来ていた正男さんの元上司に遅れていることがバレてしまいます。 成沢 「正男さん。引き継ぎはまだなんですか?」 正男 「いや、ちょっと、担当者の飲み込みが思ったより悪くて……。引っ越しまで面倒見ようかなと」
あの人、あの技術に会いたい、ただそのために - @IT
伊藤 耕介 株式会社ラック 2008/12/8 BHJを楽しむために必要な、ちょっとしたTips ここでは、筆者の経験から、BHJを楽しむための準備やコツをいくつか紹介させていただきます。 ●その1 ノートPCを持参しよう! 無線LAN対応のノートPCの持参をオススメします。可能であれば、CD/DVD-ROMドライブも用意できるとベター、さらに長時間対応であるとモアベターです。 講演資料がCD-ROMで当日配布されるため、CD-ROMドライブがないと困ります。ノートPCにCD-ROMドライブが付いていない場合は、あらかじめUSBのCD-ROMドライブを携帯すると便利です。周囲の困っている人に貸してあげることで、コミュニケーションのきっかけにもなります。筆者はCD-ROMドライブが付いていないPCを持参していた「困っている人」だったのですが、残念ながら周囲にCD-ROMドライブを持ち合わせて
あの人、あの技術に会いたい、ただそのために - @IT
伊藤 耕介 株式会社ラック 2008/12/8 1日目の様子に引き続き、後編では2日目に数多く登場した日本人スピーカーの姿、そしてイベントを楽しむためのTipsや心構えをレポートします(編集部) 前編に引き続き、「Black Hat Japan 2008」(以下BHJ 2008)をレポートします。今回は2日目に開催されたセッションにフォーカスしつつ、筆者の視点からBHJの楽しみ方を紹介させていただきます。 日本人スピーカー、続々登壇 5回目を迎えるBHJ 2008では、前編で紹介したネットエージェントの長谷川陽介氏を含め、合計5人の日本人技術者が登壇しました。どのスピーカーも名だたるセキュリティエキスパート。第1回のBHJ 2004以降、日本人スピーカーが減少傾向にあったところを一気に盛り返した感じです。 クロスサイトスクリプティングは日本から? - ラック 川口洋氏 「朝早くからこんなに
日本から世界へ広がれ、セキュリティエンジニアの輪 - @IT
私はこう見た、Black Hat Japan 2008(前編) 日本から世界へ広がれ、 セキュリティエンジニアの輪 金子博一 三和弘典 株式会社ラック 2008/12/4 日本人も多数登壇したBlack Hat Japan2008。専門性の高いイベントは、参加する人の立場や経験によって、見えてくるものが異なるはずです。そこでコラムでのレポートに引き続き、セキュリティエンジニアという立場で「Black Hat Japan」を見たイベントレポートを2回に分けてお送りします(編集部) 2008年10月8、9日に東京・新宿の京王プラザホテルで行われた「Black Hat Japan 2008」に参加しました。本記事ではこのイベントのレポートの前編として、1日目の講演や会場風景を紹介します。 Black Hat Japanをおさらい Black Hat Japan(以下、BHJ)は世界的に有名なセキ
技術は言葉の壁を越える! Black Hat Japan 2008&AVTokyo2008(後編)
前回は国際セキュリティカンファレンスとして知られた「Black Hat」を紹介しました。今回は昨年まではBlack Hat Japanの参加者のみのプライベートパーティだった「AVTokyo2008」についてレポートをお届けします。 技術は言葉の壁を越える AVTokyo2008は、今年から行われたセキュリティカンファレンスで、プレゼンテーション中心のDay Sessionと、「no drink, no hack」のスローガンで行われるAfter Partyの2部構成になっています。 Black Hat Japanのアフターイベント的な位置付けにもあり、Black Hatの主催者のジェフ・モス氏や基調講演を行ったダン・カミンスキー氏をはじめとし、数多くのBlack Hatのスピーカーなどが訪れました。 AVTokyoは、昨年まではAV200XとしてBlack Hat Japanの後に行われ
レッツ、登壇――アウトプットのひとつのかたち
皆さん、こんにちは、川口です。2008年10月9日、10日に京王プラザホテルで行われた「Black Hat Japan 2008」で講演する機会がありました。セキュリティの国際的カンファレンスであるBlack Hatで話すことができたことは大変光栄なことです。今回はスピーカーとして見たBlack Hat Japan 2008をレポートしましょう。 「スピーカーとしての参加」と「リスナーとしての参加」 いままではリスナーとして3回、Black Hat Japanへ参加してきました。リスナーとして参加していたころは自分の興味のある分野のセッションに参加して、面白い情報を集め、参加者同士の交流をすることが目的でした。会社に報告する義務はあるものの、自分が発表することがないため特別に緊張することはありませんでした。 しかし、今回はスピーカーとしての参加です。スピーカーに応募しようと思った理由は「日
技術は言葉の壁を越える! Black Hat Japan 2008&AVTokyo2008(前編)
技術は言葉の壁を越える! Black Hat Japan 2008&AVTokyo2008(前編):Security&Trust ウォッチ(55) 2008年10月9、10日に開催された「Black Hat Japan 2008」と、翌日の11日に開催されたBlack Hat Japanのアフターイベントとしても位置付けられている「AVTokyo2008」に参加してきました。 国際セキュリティカンファレンスとして知られたBlack Hatと、昨年まではBlack Hat Japanの参加者のみのプライベートパーティだったAVTokyo2008について、前後編の2回に分けてお届けします。 10年以上の歴史を持つBlack Hat(ブラックハット)は、最先端の技術やセキュリティの現状を知ることができる国際セキュリティカンファレンスで、日本で開催されるBlack Hat Japanもすでに5度目
キャンプに集まれ! そして散開!
「セキュリティ&プログラミングキャンプ2008」に講師兼取材で参加してきました。情報セキュリティに興味を持たない人に、いかにリーチするかというヒントがここにあるのかもしれません。今回のコラムでは、主にセキュリティコース側のレポートをお届けします。 多様な人材が『セキュリティ』というキーワードで集った 自己紹介では「音楽の学校に通っていて、将来は音楽ビジネスに携わりたい」「普段はドレス作っています」「けん玉の大会に出ています」と話し、「JPCERT/CCを知っている人はいますか?」と問い掛けたら、誰一人として知らなかった――そんな彼、彼女たちは、学生たちにとって夏休み真っ最中、2008年8月13日から17日に開催されたセキュリティ&プログラミングキャンプ2008の受講生たちです。 このイベントは、経済産業省が優秀なセキュリティ人材の早期発掘、育成を目的として2004年から毎年行っていた「セキ
DEFCONの向こうにある安全な世界を目指して - @IT
滝口 博昭 株式会社ラック JSOC事業部 MSS部 アナリスト CISSP 2008/9/29 DEFCON16セッションで現在の脅威を認識し、将来に向け私たちができることを考えよう。DEFCONレポートシリーズ最終章。(編集部) DEFCON独特の雰囲気を紹介した「突撃! ハッカーの祭典「DEFCON16」in ラスベガス」に続き、本記事ではそこでの講演内容をもとに、セキュリティインシデントに対するトレンドを中心にレポートしよう。 DEFCON、そして海外セミナー参加の心構え 講演全体についての感想だが、マルウェア解析やFuzzing、ハードウェア関連のハッキングなどの講演が多いと感じられた。最終的にどのような被害に遭うのかを分析する技術。脆弱性そのものを見つける技術。ハードウェアに対するセキュリティ技術。いずれも時代が変化してもセキュリティ対策を考えるうえでは必要不可欠な技術だ。今後
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
https://atmarkit.itmedia.co.jp/news/200901/29/l_infosec02.jpg
