プロキシ・サーバー:ITpro
ポイント ●通常,届いたパケットにはアクセス元の情報(送り元IPアドレス)が記述されている ●プロキシ・サーバーを介してアクセスしてきたパケットには,大もとの情報(送り元IPアドレス)が記述されていないため,アクセス元のセキュリティ向上につながる ●プロキシ・サーバーはアプリケーション・データをチェックしたり書き換えたりできるため,コンテンツ・フィルタリングなどの機能を持たせることができる 企業などの組織内からインターネットへアクセスする際に,DMZなどに配置したプロキシ・サーバーを経由する場合があります。プロキシ・サーバーを介してインターネットへアクセスする理由はいろいろありますが,セキュリティを向上させる目的もあります。今回は,プロキシ・サーバーを経由させることで,なぜセキュリティが向上するのかを確認していきます。 ルーターを介すだけなら,送信元IPアドレスは変わらない プロキシ・サー
【PHPカンファレンス2006】PHPで書かれた実際のアプリケーションに潜む危険なコード
「(PHPで書かれたアプリケーションには)アバウトなコードが多い」。エレクトロニック・サービス・イニシアチブの大垣靖男社長は,2006年8月19日に開催されたPHP関連イベント「PHPカンファレンス2006」の講演「危険なコード」で,PHPで書かれたアプリケーションに存在する危険なコードを指摘した。講演の中では,実際に存在するアプリケーションの名前を出し,そのソースコードからセキュリティ上危険な個所を挙げていった。「安全なコードを書くには悪い例も知っておかなければならない」というのが同氏の主張である。 大垣氏はまず,「セキュリティのリスクはサブシステムとの境界の部分で発生する」と指摘した。サブシステムとは,データベース,メール・システム,ユーザーのWebブラウザといった外部のシステムのこと。「境界で入力時にきちんとバリデーション,出力時にきちんとエスケープ処理(フィルタリング)を行えば,か
[MySQLウォッチ]第27回 MySQL 5.0 および 4.1 にSQLインジェクションのセキュリティ・ホール
先日,MySQL 5.0 および 4.1 に関してSQLインジェクションの危険性に対応するためにバージョンアップが行われた。 SQLインジェクションとは,入力されたデータにより意図せざるSQL文が実行されてしまうという攻撃である。データベースのデータを書き換えられたり,データが読み出されることにより情報が漏洩したりする恐れがある。セキュリティ・ホールというとWebサーバーやWebアプリケーション言語の専売特許だという印象があるが,データベースにも存在する。十分な注意が必要である。 以下,SQLインジェクションの原理と,MySQLに存在した問題の詳細とその対応について解説する。問題の発見から修正にいたるやりとりはWeb上で公開されており,誰がいつ問題を指摘し修正したのかもたどることができる。 mysqli_real_escape_string()関数によるSQLインジェクションの防止 プログ
[PHPウォッチ]第25回 PHPフレームワークの本命「Zend Framework」登場
日経クロステック登録会員になると… ・新着が分かるメールマガジンが届く ・キーワード登録、連載フォローが便利 さらに、有料会員に申し込むとすべての記事が読み放題に! 春割キャンペーン実施中! >>詳しくは
取得時のご褒美が多い資格は何?20万円以上は技術士とシステムアナリスト
多数のIT関連資格が乱立する中、ビジネスに本当に役立つ資格は何か。それを探るために、日経ソリューションビジネスは2005年10月、上場およびそれに準ずる有力ソリューションプロバイダ134社に対して「IT関連資格の有効性に関するアンケート調査」を送付し、72社から回答を得た(有効回答率54%)。その結果、技術職に取らせたい資格の1位は「情報処理技術者試験プロジェクトマネージャ」、営業職に取らせたい資格の1位は「情報処理技術者試験初級システムアドミニストレータ」となった(該当記事)。 公的資格の一時金は減額傾向 資格取得の奨励策として最も一般的なのは、やはり金銭面での支援だ。資格を取得した社員に対して毎月手当を支給するパターンと、取得時に一時金を支給するパターンとがあるが、毎月手当を支給する企業は少数派だ。今回の調査でも、毎月の手当を支払っている企業は72社中10社に過ぎなかった。しかも手当を
【連載◎開発現場から時代を眺める by arton】第2回
【連載◎開発現場から時代を眺める by arton】第2回 テスト駆動開発(TDD)が分かると従来の設計手法の問題が見えてくる(前編) 本稿では,テスト駆動開発(Test-driven Development――以降TDDと略す)について解説する。TDDは,その名の通りテストを主としてプログラムを開発する手法だ。ここで重要なのは,TDDはテスト手法ではないということだ。では何かと言えば,TDDはその名の通り開発手法なのだ。さらに正確に言えば,プログラムの開発工程を設計,実装,テストの3段階に分割した場合の最初の段階,すなわち設計を主眼とした開発手法なのである。その意味では設計手法と言い切ってもそれほど間違いではない。TDDによってプログラムの開発工程(設計,実装,テスト)がイテレーション(反復)される以上,最初に来る「設計」がTDDの主眼となることはある意味当然のことだ。 本稿の目的は,T
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
