Webアプリケーションの脆弱性を総括する
セッション系の脆弱性 セッション系の脆弱性には、「Session Hijack」「Session Replay」「Session Fixation」がある。これらの脆弱性は基本的にセッション管理の不備が原因で発生する。セッション管理の不備とは、以下のような項目に問題があるということである。 セッションを維持する方法 セッションIDの生成アルゴリズム セッションIDの発行タイミング セッションIDの有効期間 セッション管理は基本的に「認証状態を維持する方法」であるため、この部分に脆弱性があると個人情報が漏えいする場合が多い。 脆弱性が存在する可能性がある個所 基本的にセッション管理の仕組み自体が対象となる。 Session Hijack セッションIDの生成方法に問題がある場合に、推測や総当たりによって有効なセッションIDを見つけられてしまう。 Session Replay セッションIDの
「要求定義/基本設計/詳細設計の範囲」(2) アーキテクチャ - @IT
業務アプリとツールや組み込み系ではかなりちがうし、流行のUMLと なるとまた違うのでしょうけど... 業務アプリの場合、 ■要件定義 ・業務要件:現状、新業務フロー等 ・システム要件:インフラ系を中心にネットワークやプロダクト等 ・セキュリティー要件:セキュリティに関しての要求事項等 ・機能要件:大まかな機能や、「これを実現して欲しい」等の要求 ・運用要件:運用まわり、バックアップ、容量見積等 ・その他:ケースバイケースで他に何かあれば ※昔はレスポンス要件等もあったんですが、WEB等は保証できないですからねぇ ■基本設計 ・システム設計:インフラ、ネットワーク、機器構成、プロダクト構成等 ・画面設計:デザイン、項目定義等 ・DB設計:論理/物理設計、ER図等 ・処理設計:DFD、IPO、URUD、コード設計等 ・業務・運用設計:サービススケジュール、バックアップ、リカバリー方法 新業務フ
@IT:Open Laszloを使って作るリッチクライアント(1)
Open Laszloを使って作るリッチクライアント(1) オープンソースのリッチクライアントを使おう 浅野守 2005/4/22 本連載はオープンソースのリッチクライアント製品として最近急速に注目を集めつつある「Laszlo」を紹介する。Laszloはサーバサイドで生成したコンテンツをFlashとしてクライアントのWebブラウザに配信するもので、Macromedia社のFlexと非常によく似たアーキテクチャを採用している。その実力を検証してみよう。 ■ Laszloとは? Open Laszloとは、Laszlo Systems社が開発したリッチ・インターネット・アプリケーションを開発、配布するためのプラットフォームです。Laszlo Systems社は、米国カリフォルニア州サンマテオに本社を置くソフトウェアベンダです。ちなみに、Laszloはラズロと発音します。 Laszlo Syst
Adobe AIRでiTunes×Twitterクライアントを作ってみた(1/2)− @IT
Adobe AIRでiTunes×Twitterクライアントを作ってみた:これ、俺ならこう使う(2)(1/2 ページ) 日々生み出されるネットサービスやテクノロジーに詳しい著者による、こんなふうにサービスに取り込んだら面白いのではないか、という提案。技術的な応用面にフォーカスしていく(編集部) Webサービス開発者の徒労が軽減!? こんにちは。以前「音ログ」というネットサービスをやっていた立薗です。当時の音ログの運営で、一番苦労したのはサービスと連携するクライアントアプリの開発でした。 音ログは、iTunesで聴いている楽曲のタイトルをサーバに次々投稿して再生履歴(音ログ)を公開するというコンセプトだったのですが、Mac OS X用のクライアント、Windows用のクライアントをそれぞれ用意して、さらにOSのバージョンの違いによる問題にも対応しなければならず、サーバ側の開発だけでも手いっぱ
あなたのサイトはiPhoneで見られますか? - @IT
「Java News.jp(Javaに関する最新ニュース)」の安藤幸央氏が、CoolなプログラミングのためのノウハウやTIPS、筆者の経験などを「Rundown」(駆け足の要点説明)でお届けします。(編集部) “小さな画面”の台頭 数々の新携帯端末が出るに従って、ごくごく普通にスマートフォンを使う人を見掛けることが多くなりました。WILLCOM(SHARP) W-ZERO3[es]が登場し、女性が普通にスマートフォンを使う姿も見掛けるようになり、不自然さもなくなってきたように思えます。 さらに最近、Apple社からiPhone/iPod touchの発表もあり、ますます携帯デバイスの利用者が増えてくることが予想されます。 そこで重要視されるのが、“小さい画面”のためのサービスや“小さい画面”で使いやすいWebデザインの手法です。 ■主なスマートフォンとその表示スペック(2007年9月14日
あなたのサイトをOpenID対応にしている2行の意味 ― @IT
OpenIDが知られるようになり、自分のURLにおいたHTMLヘッダに、link rel="openid.server"……から始まる2行を追加することで、自分のURLをIDとして利用ができる、ということを知っている方も多いかと思います。今回はヘッダに書かれた2行が、OpenIDの仕様ではどのように定義され、利用されているのかを解説します(編集部) 第1回ではOpenIDの基礎知識を取り上げ、登場する用語について説明していきました。今回は動作の概要として、具体的にClaimed IdentifierがVerified Identifierとなるための手続きについて説明します。前回紹介した用語をもう一度復習しながら読んでみてください。 Claimed Identifierの宣言 まずはOpenIDの動作概要について説明します。End UserがどのようにしてConsumerに対して自分のCl
AIRアプリはドラッグ&ドロップでこんなことまで!(1/3) ─ @IT
Apollo改めAIRプログラミング入門(1) AIRアプリはドラッグ&ドロップでこんなことまで! クラスメソッド 横田聡 2007/7/12 2007年6月11日、Adobe AIR(Adobe Integrated Runtime)の公開ベータ版がAdobe Labsのサイトよりリリースされました。いままでApolloというコードネームでしたが、今後AIRという名前になります。 編集部注:今回より、連載「Apolloプログラミング入門」は本連載「Apollo改めAIRプログラミング入門」にリニューアルしました。この連載をより深く理解するためには、連載「Apolloプログラミング入門」も併せてご覧ください。 連載中に新しいバージョンが出ましたので、AIRベータ版の新機能をご紹介しようと思います。今回は、ドラッグ&ドロップに注目して2つのサンプルを作成します。 デスクトップとドラッグ&ドロ
twitterブームの陰で注目を集める“Erlang” - @IT
2007/04/27 “twitter”がブームだ。140バイト以内の短いメッセージで“現在進行形”の自分のステータスをほかのユーザーとシェアするだけのオンラインサービスだが、本国の米国はもとより、日本でも非常な人気を集めている。Alexaでアクセス数の推移を調べると、今年に入ってから本格的にブレークしている様子が分かる。4月22日にはニューヨークタイムズもtwitterと、サンフランシスコ在住の創業者2人を記事で取り上げている。 twitterのコミュニケーションツールとしての新しさ twitterに参加してみると、チャットやメール、SNSといった、既存のコミュニケーションツールのいずれとも異なる、不思議なつながり方が新鮮で楽しい。熱心にメッセージを更新するユーザーを見ていると、CUSeeMe、ICQ、mixiなどが登場したときに人々が示した熱狂に近いものを感じる。 twitterでは、
虫眼鏡のアイコンは『検索』か『拡大』か? - @IT
ユーザビリティのヒント(3) 虫眼鏡のアイコンは『検索』か『拡大』か? 「インタラクションデザイン」 ソシオメディア 上野 学 2006/9/13 Webにおいては、別のページに移動するためのリンク(ナビゲーション)と、処理開始するためのリンク(アクション)が、画面中に混在するのが普通です。その際、あるリンクがどちらのものなのか、視覚的に区別することが望まれます。 一般的に、テキストリンクはほかのページに移動するナビゲーション、フォームボタンは入力内容を送信してサーバ上のプログラムを実行するためのアクションとして認識されますが、画像で作られたリンク(特にボタンの形状をしているもの)はどちらにも見えるので、混乱の原因になりやすいといえます。 例えば、次のようなボタンをよく見かけます。 これはボタンに見えるため、クリックすると「最新ドライバ」のダウンロードが開始されるように思われます。しかし実
BIND 9のチューニングと大規模運用
ゾーン転送のチューニング マスター/スレーブサーバ間で行われるゾーン転送は、クエリー問い合わせよりもBINDに大きな負荷を強要します。そのため、ゾーン転送に多くのリソースが使用されないように、デフォルトでは低い値が設定されています。数百ものゾーンファイルを扱うサイトではより効率を上げるために、ゾーン転送に関連するパラメータの修正を行う必要があります。 スレーブサーバ側 ゾーン情報をマスターからコピーするスレーブ側では、次のような設定が有効です。 options{ (省略) transfer-per-ns 2; (1) transfers-in 10; (2) max-transfer-time-in 120; (3) tcp-clients 100; (4) min-refresh-time 1800; (5) max-refresh-time 86400; (6) min-retry-t
VLOOKUP関数でExcel帳票への自動入力を可能にする【ページ中腹:ダウンロードが便利】
解説 注文書や見積書のような定型帳票を入力する際、いちいち商品コードと商品名、単価、あるいは顧客コードに顧客名、住所を入力しなければならないことに回りくどさ(あるいはいら立ち)を覚えるケースも少なくないだろう。 商品コードを入力すれば、そのまま帳票内に商品名や単価など、一意に決まる項目が自動入力されれば、どんなにか入力効率は向上されるだろう。そもそも入力が自動的になされるようになれば、商品名や単価などの入力ミスもなくなる。 本TIPSでは、Excelワークシート関数の1つ、VLOOKUP関数を用いることで、商品コードを入力するだけで商品名と単価が自動的に補完入力される注文書帳票を作成してみる。 操作方法 ●手順1―注文書のテンプレートを作成する まずはExcelを起動して、注文書のテンプレートを作成してみよう。 作成した注文書のテンプレート 作成する注文書のテンプレート。コードを入力すると
Apacheで作るファイルサーバ(LDAP認証編)(1/4) ― @IT
WebDAV+SSLで、ファイルサーバとして最低限の運用は可能になった。この環境にLDAPを導入して、各種の権限をディレクトリベースで管理できるようにしよう。(編集部) 前回は、WebDAVを用いてインターネットからでもアクセスできるファイルサーバを構築しました。また、SSLを導入することでセキュリティにも配慮しています。今回は、さらにLDAPを連携させて、組織上の権限に応じたアクセス制御を実現します。 LDAPのインストールと基本設定 LDAPにはOpenLDAPを使用します。ここでは、Fedora Core 4(以下FC4)を例に簡単にインストール方法を紹介します。ソースからインストールする場合の方法と設定については、「Appendix:ソースからのインストール」を参照してください。 FC4の場合、必要なパッケージは以下のとおりです。openldap-serversのインストールを忘れ
Ajaxをコーディングレスで作成するAjaxBuilder - @IT
Google Mapsへの驚きから始まったAjaxブームは、とうとうAjaxを基盤技術として国産ソフトウェアベンダまで生み出した。株式会社HOWS(ハウズ)は、あのBiz/Browserを生み出したアクシスソフトの創業者である大塚裕章氏が新たに起業したベンチャーである。 同社の主力製品はAjaxBuilderだ。AjaxBuilderはAjaxを利用したWebアプリケーションをGUIで構築できる開発ツールで、そのライトバージョン(基本機能のみを提供)が年内に出荷される予定だ(2005年11月現在)。 ■コードを1行も書かないAjax開発ツール AjaxBuilderは、GUIのインターフェイスのみでAjaxアプリケーションを構築できるユニークなツールだ。Ajaxアプリケーションでよく利用されるコードがコンポーネントで用意されているため、アプリケーション作成者は、これらを組み合わせるだけでA
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
