サポート切れ企業に脅威、システム構築ソフト「ストラッツ1」、自社対策へ。 | SECURITY SHOW
NTTデータなど 企業の情報システムに新たな脅威が迫っている。多くの企業で使われているソフト「ストラッツ1」について、安全上の欠陥(脆弱性)を修正するプログラム「パッチ」の配布が4月に停止したためだ。実害はまだ無いが、専門家は「攻撃者はここぞとばかりに攻撃意欲を高めている」と話す。IT(情報技術)各社が対応を急いでいる。 ストラッツ1は設計情報が開示されており、自由に改変・再配布ができるオープンソースソフト(OSS)。OSSなため、商用ソフトに比べ低コストでシステム構築できることから、2000年初頭から企業での採用が増えた。 「複雑だったウェブの開発を簡単にして、一世を風靡したソフト」(ストラッツ1を使う業務ソフトを提供する企業の社長)と高い評価を得た。その後、競合ソフトも開発されたが、まだ相当数の企業がストラッツ1を使っているとみられる。 「パッチ配布が停止した今、使い続ける危険性は非常
Actionの共通処理をどこに実装するか? - 日記のような何か
Struts(1.2.x以下)からSAStrutsへの置き換えをするときに、Actionの共通前処理をどこに実装するかで迷った。 ここで言う共通前処理とは、個々のActionを実行する前に共通で実行したいような処理のこと。 Strutsでは、org.apache.struts.actions.DispatchActionを継承したクラスを作成し、dispatchMethodをオーバーライドして、そこに実装していたが、SAStrutsはPOJO ActionなのでDispatchActionに該当するものがない。 まず、考えたのはAOPで実装する案。 個々のActionに共通のスーパークラスを作成し、共通前処理メソッドを実装した上で、Interceptorを作成し、共通前処理メソッドを呼び出すようにする。 せっかくPOJO Actionなのにスーパークラスの継承を強要させるのは微妙な気がしな
Struts1.xがEOL - R42日記
2014-04-23追記 昨今の状況を鑑みるに、新規案件でのStruts2の採用は余りお勧めできないと言わざるを得ません。 僕はStruts2およびOGNLのソースコードを実際に読み込んだ上で、自分で危険と判断したところは独自でパッチを当てているため、報告されているような脆弱性に対して、最初から耐えられるようになっています。 そもそも、OSSを採用するというのは、そういうことですし。 ただし、新規案件でそのような運用を最初から織り込むのは正しい判断とは言えないでしょう。 Struts1.xがEOLになりました。お疲れ様でした。 5年ほど更新が無かったので、やっと正式にEOLかという思いです。 さて、国内における一定規模以上のWebシステム構築では、ベンダーお抱えの『フルスタック型Webアプリケーションフレームワーク』を使うことが前提になります。NTTデータ系列ならTerasolunaとか。
struts「設計パターン」についてまとめてみる - @ledsun blog
strutsの設計パターンについてまとめ。struts1の話。ASP.NETerなのでASP.NETとの比較が多め。 まず読んどけ struts1の思想とか、基本的な流れとかわかりやすい。 Struts1日入門 株式会社ナレッジエックス 推薦図書 strutsの本はやっぱり テッド・ハスティッド の 'STRUTS・イン・アクション' が一番面白い。絶版なのが残念だが、今さら読む人も居ないだろうからしょうがない。1系なら今でも役に立つので、古本で見つけたら捕獲すべし。訳してくれた芦沢さんに感謝。 哲学 Action First strutsはRailsのようなリソース指向でもないしASP.NETのようなページ指向でもない。まず第一にaction。たとえばdo/loginのようなURLでログインを実行して、ログイン後のページを開く。ログインページを開くのではない。ASP.NETから入った人は
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Struts 1が寿命を迎える
