getter/setterがなぜマズいか - kawasima
getterとsetterは、クラスをみせかけのデータ構造に変える。で、そのデータ構造は独自のAPIをもつことになる。XとYの属性を持てば、getXとsetX, getYとsetYというように。で、これを使う人はこれらを使って業務をどう組み立てなくてはならないかを学ぶ必要がある。 まぁ、これはまだ良いのだが、データモデリングの観点からいうと、問題を先送りできちゃうことがよりマズいのだ。「Xが変わる可能性があるので、Xをセットできる必要があります。このオブジェクトをインスタンス化した後で変更する必要があるかもしれません。」というように。Xをセットするとして、その変更が業務上何を意味するのか? 全く考えていない。「Xがいつ変更されるのか、またどのような条件下で変更するのかを決めるのは、コードの他の部分に任せるつもりです。」
Oracle DBの「非公開バグ」が表面化、大阪市基幹システム障害の真相
大阪市で住民票などの証明書発行業務を担う基幹システムが停止。復旧まで21時間を要し、8000件近い証明書発行業務に影響が及んだ。原因はOracle Databaseのクラスタ機能に潜むバグだった。ネットワークの不調をきっかけにシステムが停止し、再起動もできなくなった。米オラクルはバグの存在を把握しながら対外開示をしていなかったとみられる。 2019年6月7日午後0時5分頃。大阪市内の24の区役所や出張所、梅田・難波・天王寺のサービスカウンターで、住民票の写しや記載事項証明書、国民健康保険や税務関連の証明書などが印刷できなくなった。金曜日の昼休みということもあり、週内に書類を発行してもらおうと区役所など窓口に来ていた住民からは悲鳴と怒号が上がった。 同じ頃、大阪市西区の阿波座にある大阪市ICT戦略室も騒然としていた。システム障害を知らせる警報が鳴り、各区役所からトラブル発生を知らせる電話が相
基本情報技術者平成28年春期問40 パスワードリマインダ
Webシステムのパスワードを忘れたときの利用者認証において合い言葉を使用する場合,合い言葉が一致した後の処理のうち,セキュリティ上最も適切なものはどれか。 アあらかじめ登録された利用者のメールアドレス宛てに,現パスワードを送信する。イあらかじめ登録された利用者のメールアドレス宛てに,パスワード再登録用ページヘアクセスするための,推測困難なURLを送信する。ウ新たにメールアドレスを入力させ,そのメールアドレス宛てに,現パスワードを送信する。エ新たにメールアドレスを入力させ,そのメールアドレス宛てに,パスワード再登録用ページヘアクセスするための,推測困難なURLを送信する。 パスワードを忘れたユーザーを救済するための仕組みをパスワードリマインダといいます。パスワードリマインダを設けることでユーザーの利便性は高まりますが、認証の機会が増えることでセキュリティが弱くなるため仕組みや設置の可否を慎重
20190702 タピオカセキュリティ 参加レポ|akiko.pusu
みなさまこんにちは。 今回は、20190702の「第1回タピオカセキュリティ」への参加レポになります。 久しぶりにiPadでの下書きをしていましたので、そのあと着色となり、少しお時間がかかってしまいましたが、当日参加をご希望されていたみなさんの参考になればと思いまして、まとめて掲載いたします! (絵だけでなく文字での補足も随時追加いたします!) ※このイベントはなんぞや??という点は、ぜひ「第1回タピオカセキュリティ」の案内をご覧くださいませ! 1. オープ二ング / 会場の様子 2. LT No.1 川田さん (1) 3. LT No.1 川田さん (2) & LT No.2 竹添さん (1) 4. LT No.2 竹添さん (2) 5. LT No.3 松本さん (1) 6. LT No.3 松本さん (2) 7. 徳丸先生「こんな脆弱性診断はいやだ!」(1) 8. 徳丸先生「こんな脆
7Payの失態で露呈した本当は怖いIDの話|楠 正憲(デジタル庁統括官)
セブンイレブンのQR決済「7Pay」がリリース翌日から大規模な不正アクセスの被害を受け、少なくとも約900人が、計約5500万円の被害を受けた。原因は杜撰なIDの設計にあり、被害者はいずれもIDを乗っ取られて、クレジットカードから不正にチャージされた。 自分の設定したIDとパスワードを入力して、どちらも正しい場合にログインできる仕組みは1960年代前半に発明されて以来、今もインターネット上で最も広く利用されている。GAFAはじめYahoo!や楽天といった大手企業が今も使っていることから、十分に安全と思われがちだ。 ところが実際のところ特にここ数年は非常に激しい攻撃に晒されており、血の滲むような努力と不断の改善によって維持されている。利用者は自分が入力したIDとパスワードしか意識しないけれども、その裏では端末環境の特徴やアクセス元のIPアドレスや位置情報、同時に利用している他の端末など、実に
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
https://jp.techcrunch.com/2019/07/05/7pay-unauthorized-access/
