インジェクション系攻撃への防御の鉄則
前回までは,主にクロスサイト・スクリプティングのぜい弱性とその対策について解説してきた。最終回となる今回は,クロスサイト・スクリプティング以外の「インジェクション系」ぜい弱性について解説する。具体的には,SQLインジェクション,OSコマンド・インジェクション,HTTPヘッダー・インジェクション,そしてメールの第三者中継である。 SQLインジェクション対策にはバインド変数の利用が最適 まず,SQLインジェクションから見ていこう。対策には二つの方法がある。一つは,SQLの「バインド変数(注1)」を使う方法である。バインド変数の書式はプログラミング言語によって異なるが,一例として,Perlを使った場合に,パスワード認証のSQLをバインド変数で書き換えた例を示す(図1)。 (注1) 「準備された文(Prepared Statement)」というのがJIS SQLでの用語だがあまり普及していない。バ
驚くほど速いRaspberry Pi 2、重かったWebアクセスも快適に
小型PCボード「Raspberry Pi」(ラズパイ)の新機種「Raspberry Pi 2モデルB」(以下、Pi2)が2015年2月2日に発表され、同時に出荷も始まりました(関連記事:Raspberry Piの2世代目が登場、性能6倍で価格は据え置き)。早速、入手して触ってみると、その速さに驚かされました。 Pi2では、搭載するSoC(CPU)が従来の「BCM2835」から「BCM2836」に変わりました。動作周波数が700MHzから900MHzに上がり、CPUコア数が1個から4個に増えました。CPUアーキテクチャーがARMv6からARMv7(Cortex-A7)に変わり、全体の性能が向上しています。 ボードサイズや入出力ポートは、従来の「Raspberry PiモデルB+*1」とすべて同じです。写真1に示すように、上のPi2は、ボード中央左側のCPU(SoC)が大きくなった以外は、右側
第1回 役に立たない情報システムができる本当の理由
経営者にとって、情報システムは頭痛の種になりがちだ。業務に必須だが投資に見合った効果が出るとは限らない。ほかの設備投資に比べて専門的で難解でもある。 野村総合研究所で約20年間勤務した後に、人材派遣大手スタッフサービスのCIO(最高情報責任者)を務め急成長を支えた著者が、ベンダーとユーザー両方の視点から、“システム屋”の思考回路と、上手な付き合い方を説く。 貴社は、金融危機に端を発したこの不況を乗り切るための施策として、何をお考えでしょうか? 新たな顧客・販売チャネル開拓、低価格品の開発、間接部門のスリム化、あるいはリストラなど、様々な選択肢があるでしょう。 このような状況において、貴社の情報システムは効果を上げていますか? 決断を下すのに当たって、顧客情報や製品・サービス情報は分析・洞察・予測を支援する形で提供されますか? あるいは、そもそも不況が来る前、あるいは好況期において、情報シス
[Windows 7編]ネットワーク設定を標準で使ってはいけない
Windows 7のネットワーク設定を標準で使ってはいけない。標準では「SNP(Scalable Networking Pack)」と呼ばれるネットワークを最適化する機能が有効化されている。この「SNPが有効化」されている設定のままPCを動作させると、ネットワーク処理が不安定になったり、ネットワーク処理とは関係ないアプリケーションの処理に影響を与えたりする可能性があるからだ。 SNPとは、通常はPC上のプロセッサが行っているネットワーク処理を、PC内部のNIC(ネットワークインタフェースカード)に担当させるなどしてプロセッサの負荷を下げる機能だ。 ハードにネットワーク処理を分担させるSNP SNPは三つの機能からなる。「SNPが有効」とは三つのうち、少なくとも一つが有効化していることを指す。 (1)TCP Chimney Offload TCPのネットワーク制御をプロセッサからNICにオフ
よりぬき「フリー・プログラマの華麗な生活」
1960 年生まれ,独身フリー・プログラマの生態とは? 日経ソフトウエアの人気連載「フリー・プログラマの華麗な生活」からより抜きの記事をお送りします。2001年上旬の連載開始当初から,現在に至るまでの生活を振り返って,順次公開していく予定です。プログラミングに興味がある人もない人も,フリー・プログラマを目指している人もそうでない人も,“華麗”とはほど遠い,フリー・プログラマの生活をちょっと覗いてみませんか。 (記事は執筆時の情報に基づいており,現在では異なる場合があります) ・青色申告はスリリング ・フリーの生活は自己管理がキモ ・さらなる刺激を求めて ・遊べない奴は使えない ・好きな言語,そうでもない言語 ・月イチ,昼下がりのカラオケボックスで ・有限会社ねこなっく設立 ―― 社長と呼ばないで ・開発者の悪夢と9匹のしもべ達 ・初夏,農閑期のせつなさ ・Apacheのせいでドキドキな2週
第3回 Xenによる仮想環境のネットワーク構築
Xenのインストールが完了し,仮想OSを起動できたら,次は仮想OSをネットワークで接続してみよう。Xenの仮想ネットワークは,ドメイン上に仮想的なネットワーク・インターフェースを作成し,それらに対してMACアドレスやIPアドレスなどを設定することで通信できるようになっている。シンプルに設計されており,基本的なネットワーク構成の組み合わせで,複雑なネットワーク構成を実現できる。 仮想イーサネットで接続 今回は検証環境として,SUSE Linux Enterprise Server10を利用した。Xenのドメイン0(ホストに相当)から新たにドメインU(ゲストに相当)を起動すると,ドメイン0とドメインUを接続する1対の仮想的なネットワーク・インターフェースが作成される。仮想的なクロス・ケーブルで,ドメイン0とドメインUが直接接続されているイメージだ(図1)。 このときドメインU側のデバイス名には
まつもとゆきひろ×結城浩,Rubyを語る - 特別対談:ITpro
結城浩 (ゆうき ひろし) Java,Perlなどの書籍でおなじみの著者。 最新刊は「数学ガール」。 このイラストは結城浩さん書き下ろしのもの。 http://www.hyuki.com/ 日経ソフトウエア2007年8月号,特集のテーマはプログラミング言語のRubyです。「Ruby大作戦」と題した本特集の中で,Ruby作者のまつもとゆきひろ氏と,JavaやPerlの書籍や本誌連載の執筆,Web上での活動で著名な結城浩氏の対談を設けました。以下は,日経ソフトウエア2007年8月号に掲載した対談の全内容です。ぜひお楽しみください。なお,この対談では,お二人のファンで日経ソフトウエア特集「Ruby大作戦」のPart5にも寄稿いただいた松岡浩平氏にも同席していただきました。この対談でRubyに興味を持たれた方は,ぜひ日経ソフトウエア2007年8月号をお読みください。 はじめてのRuby ――結城さ
特集:基礎から理解するデータベースのしくみ - 特集:基礎から理解するデータベースのしくみ:ITpro
「データベースはブラックボックス。どんなSQL文を投げたらどんな結果が返ってくるかさえ知っていればよい」---そう思っている人も多いかもしれません。 しかし,本物のソフトウエア・エンジニアを目指すのであれば,データベースが動く仕組みを学ぶことは避けて通れません。パフォーマンスなどに問題が生じたときどこから手を付けていいのか皆目見当がつかない,といった事態に陥りかねません。 市販のRDBMSの内部はかなり複雑ですが,基本的な部分を理解するのはそれほど難しくありません。この特集でデータベースの動く仕組みを理解してください。 イントロ ●ブラックボックスのままでいいの? 基礎から理解するデータベースのしくみ(1) Part1 ●SQL文はどのように実行されるのか 基礎から理解するデータベースのしくみ(2) 基礎から理解するデータベースのしくみ(3) 基礎から理解するデータベースのしくみ(4) 基
すごい現場
皆はどんな現場で,どんな仕事をしているのだろう。何に悩み,どうやって乗り越えているのだろう。プロの仕事とそうでない仕事の境目はどこにあるのだろう。システム開発や運用の現場を歩き,そこで見聞きした面白い話,感動的な話,すごい話を紹介します。 ・大企業からベンチャーまで ぼくはこんな現場を歩いてきた ・SEを潰した値引き 信頼も連帯感も消えた ・期限は明日――若手SEの気迫を見た ・寝不足のプレゼン ドリンク剤も効かず ・中国の開発現場もすごい 若き社長が率いる修羅場 ・オンラインダウン発生! あの日,何もできなかった ・建築設計事務所で見た 巨匠のすごいレビュー ・コンサル泣かせの現場 “小さな王国”の弊害 ・逝去した巨匠への追悼 感激したあの言葉 ・人の話を聞かない40代 あるコンサルの失敗 ・過ぎたるは及ばざるがごとし 作りすぎたRFPの悲劇 ・人間万事塞翁が馬 得難いレクチャーの裏事情
第7回■文字エンコーディングが生み出すぜい弱性を知る
文字コードに関する問題は大別すると文字集合の問題と文字エンコーディングの問題に分類できる。前回は文字集合の取り扱いに起因するぜい弱性について説明したので、今回は文字エンコーディングに起因するぜい弱性について説明しよう。 文字エンコーディングに依存する問題をさらに分類すると2種類ある。(1)文字エンコーディングとして不正なデータを用いると攻撃が成立してしまう点と,(2)文字エンコーディングの処理が不十分なためにぜい弱性が生じることがある点だ。 不正な文字エンコーディング(1)――冗長なUTF-8符号化問題 まず,(1)の不正な文字エンコーディングの代表として,冗長なUTF-8符号化問題から説明しよう。前々回に解説したUTF-8のビット・パターン(表1に再掲)を見ると,コード・ポイントの範囲ごとにビット・パターンが割り当てられているが,ビット・パターン上は,より多くのバイト数を使っても同じコー
見積もり2億円のIP電話を820万円で構築した秋田県大館市から学べること:ITpro
秋田県大館市は2008年12月,市庁舎にIP電話を導入したことを公開した。同市は2005年6月に1市2町が合併して現在の大館市となった。以前の市と町の庁舎を有効活用するため分庁舎制をとっていたが,8庁舎9事務所間の連絡を公衆回線で行っていたため「多大な電話料金が生じていた」(大館市)。2006年,本庁舎の構内交換機を交換する時期に合わせ更新を検討した。電話料金の削減を狙いIP電話を検討したが,ベンダーからの見積もりは約2億円。電話料金の削減をあきらめて従来と同じアナログ交換機を更新する場合でも約2000万円との見積もりだった。 このとき,自前でのIP電話導入を提案した職員がいた。前述の中村芳樹氏である。中村氏は同市商工課の職員。電話網を担当する総務課ではなかったが,趣味で中学生のころからパソコンを使っており,独学でプログラミングも学んでいた。市でIP電話の導入を検討していることを耳にした中
RAMディスク
RAMディスクとは,メイン・メモリーの一部を確保し,デバイス・ドライバ経由でアクセスすることによってあたかもディスク装置であるかのように利用できるメモリー領域です。ハード・ディスクのような物理的な可動部がないため,高速なアクセスが可能な反面,メイン・メモリーの一部を割り当てるため,あまり大容量のRAMディスクは利用できません。 Linuxにおいては3種類のRAMディスク,(1)initrd,(2)容量が可変の/dev/shm,(3)固定容量の/dev/ramdiskなどが主に利用されています。 initrdはシステム起動時に,カーネルによってメモリー上に展開される容量が数MバイトのRAMディスク・イメージです。ハード・ディスクを備えないマシン上でもLinuxが利用できるようにするための仕組みです。ハード・ディスクにLinuxをインストールした場合は,ハード・ディスクをマウント後,メモリーか
Linuxチューニング 第1部第1回 ファイル・アクセスを高速化:ITpro
ファイルの入出力性能の改善は,システム全体の処理速度向上に大きく貢献する。高速なプロセッサを搭載する現在のコンピュータでは,ファイルのアクセス速度がシステム・パフォーマンスのボトルネックになっているためである。不要なディスク・アクセスの削減とアクセス速度そのものの向上が,チューニングの要となる。 アクセス時刻の記録を省略しファイル読み込みを高速化 ファイルにアクセスしたときには,最終アクセス時刻が属性情報として記録される。この情報を記録しないように設定することで,ファイルの読み込み速度を向上できる。最終アクセス時刻の記録を止めるには,ファイル・システムのマウント時に,noatimeオプションを指定する。ベンチマークでは,読み込み速度が2倍強に改善できた。 atimeは無駄 LinuxなどのUNIX系OSでは,statやfstat,lstatというシステム・コールを使って,ファイルの属性情報
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
笑ってダマされタメになる!きたみとまなめのIT用語集 - 目次:selfup