株式会社パソナが提供するオウンドメディアサイトです。
株式会社パソナが提供するオウンドメディアサイトです。
Webサーバにおけるコネクション受付制御方法 「第1回:コネクション受付制御とは?(http://www.thinkit.co.jp/article/118/1/)」で説明したように、ユーザーはWebサイトに対して、確実なコネクションの確立および高速な応答の双方を求めている。これらトレードオフにある要望に対し、Webサイトでは可能な限り応えていかなければならない。そこで今回は、これらの要望に応えるべくWebサーバにおいて設定可能である代表的なパラメータについて説明を行う。 対象とするWebサーバー構築ソフトウェアは、さまざまなOSに対応し最も普及しているApacheとし、バージョンは2.0とした。また、WebサーバとWebブラウザ間でリクエストおよびデータの送受信に使われるHTTP(HyperText Transfer Protocol)のバージョンは1.1とした。 Apache 2.0は
最近になってセッション変数を使用したアプリケーションを見かけるケースが増えてきている。セッション変数とは,セッションIDとひも付けてサーバー側に格納する変数のことである。開発環境により実装の仕方は様々だが,ログイン成功時に保存される認証情報もセッション変数の一つである。 セッション変数をサーバーに格納すると,アプリケーションはセッションが有効な間,変数の値を再利用できる。これにより,例えばクライアントから送信された大量の入力項目をサーバー上で保持しながら複数の画面を遷移するようなアプリケーションを比較的容易に,かつ低コストで実装できるようになる。 筆者がアプリケーションの開発現場にいたころは,サーバー・リソースを圧迫するという理由から使用を控えていることが多かったが,マシン・スペックの向上や,アプリケーションに要求される機能の複雑さの向上といった背景により事情が変わってきているようだ。 実
今回はセッションに関連する代表的なぜい弱性の一つである「セッション・フィクセーション」について解説しよう。 セッション・フィクセーションとは,セッションIDを詐取するのではなく,攻撃者が知っているセッションIDをユーザーに使わせて,後からユーザーになりすます攻撃のことである(図1)。クッキーとして有効なセッションIDを攻撃者によりセットされ,そのセッションIDがユーザー情報とひも付けられてしまう。 図1の例では,http://example9.co.jp上の攻撃者が,ユーザーのブラウザに任意のクッキーをセットしている。このセッションIDは,攻撃者があらかじめターゲット・サイトにアクセスし,取得したものである。問題は,攻撃者がこのクッキーを,ユーザーのブラウザにセットできてしまうことだ。この攻撃が成立する大きな要因はクッキーがセットされるメカニズムにある。このメカニズムはCookieMons
地方公共団体が運営するホームぺージの改ざん防止等を図り、安定的な電子行政に資するため、ウェブアプリケーションの脆弱性の有無を診断し、その対処方法をお知らせします。ハッカーからの攻撃等による個人情報漏えいの危険性がある脆弱性についても診断できます。 ※診断実施希望団体(平成20年度)の募集は終了しました。 ウェブ健康診断とは? 「ウェブ健康診断」とは、地方公共団体が運営するWebアプリケーションについて、インターネットを介して脆弱性の有無を診断するものです。地方公共団体であれば、無償で診断を受けることができます。本事業は、人間に例えるなら、その名のとおり 「健康診断」にあたるような位置づけの診断です。人間ドックに比べたら精密ではありませんが、昨年度事業での診断結果傾向等を考慮しながら重要な診断項目を網羅してあります。基本的な対策が出来ているかどうかを診断するものとお捉えください。 We
著者: 金床 <anvil@jumperz.net> http://www.jumperz.net/ ■はじめに ウェブアプリケーション開発者の立場から見たCSRF対策について、さまざまな情報が入り乱れている。筆者が2006年3月の時点において国内のウェブサ イトやコンピュータ書籍・雑誌などでCSRF対策について書かれている記事を調べた結果、おどろくべきことに、そのほとんどが誤りを含んでいたり、現実的 には使用できない方法を紹介したりしていた。そこで本稿ではウェブアプリケーション開発者にとっての本当に正しいCSRF対策についてまとめることとす る。また、採用すべきでないCSRF対策とその理由も合わせて紹介する。 ■あらゆる機能がターゲットとなりうる ウェブアプリケーションの持つ全ての機能がCSRF攻撃の対象となりうる。まずこのことを認識しておく必要がある。 Amaz
■ クロスサイトリクエストフォージェリ(CSRF)の正しい対策方法 「クロスサイトリクエストフォージェリ」がにわかに注目を集めている。古く から存在したこの問題がなぜ今まであまり注目されてこなかったかについて考 えているところだが、引越しやら転勤やらでいまひとつ日記を書く時間がない。 しかし、 @ITの記事などのように混乱させる解説も散見されるので、一点だけ対策 方法について書いておくとする。 クロスサイトリクエストフォージェリ――Cross-Site Request Forgeries (CSRF)を防止する簡潔で自然な解決策は以下のとおりである。 前提 ログインしていないWeb閲覧者に対するCSRF攻撃(掲示板荒らしや、ユーザ登 録を他人にさせる等、サイト運営者に対する業務妨害行為)はここでは対象と しない。 ログイン機能を持つWebアプリケーションの場合、何らかの方法でセッション 追
「mixi」上で、あるURLをクリックすると「ぼくはまちちゃん!」という日記が勝手にアップされてしまうという現象が多発した。その原因はCSRFの脆弱性だ。 4月19日以降、ソーシャル・ネットワーキングサイトの「mixi」で、URLをクリックすると勝手に「ぼくはまちちゃん!」というタイトルで日記がアップされてしまうという現象が多発した。 サービスを提供しているイー・マーキュリーでは、この現象について一応の対処は取った模様だ。ただ、技術的な詳細については「ハッキングでもなく、サーバ攻撃やウイルスでもない。ID盗難などの被害は発生していない」という回答のみで、「それ以上はコメントできない」と述べるにとどまっている。 だがある意味、このコメントは正しい。「はまちちゃん」現象は、ウイルスなどの仕業ではないからだ。 正規ユーザーの操作で「意図しない」結果に URLをクリックすると勝手に日記が書き込まれ
こんにちは。中村です。 MySQLにはMyISAM、InnoDB、CSVなどのいくつかストレージエンジンがありますが、皆さんはSpiderというストレージエンジンを聞いたことはありますでしょうか。Spider Storage Engineは斯波健徳さんにより作成されたDatabase Shardingを可能にするストレージエンジンでMySQL 5.1で利用可能です。 先日、某集まりで斯波さんとお会いしたときにSpiderを作っているということを教えてもらったので、早速詳しい内容を教えてもらうことにしました。 ※Spiderについての説明資料はMySQLカンファレンス 2009にて斯波さんが発表されたときのスライドがあります。スライドの直リンク(zip) Spider Storage Engine について posted by (C)フォト蔵 Spider Storage Engineとは?
先日、紹介した「JPEG画像の最適化テクニック」に続いてSmashingMagazineから、PNG画像をより美しく、より軽量に最適化するテクニックを紹介します。 追記:2009/07/27 本エントリには続きがあります。 続:PNG画像をより美しく、より軽量に最適化するテクニック Clever PNG Optimization Techniques 下記、各ポイントをピックアップして紹介します。 最後のはCS3向けで不明だったので、途中省略しています。 はじめに PNG画像フォーマットの概要 1. ポスタリゼーション 2. 手のはいってない透過 3. 透過による分離 4. マスクを活用 はじめに ウェブデザイナーとしてあなたは既にPNGのフォーマットに精通しているかもしれません。PNGは劣化のないフォーマットとして、GIFの非常に良い代わりとなります。 Photoshop(あるいは他の画
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く