「おれがやる」――必然だったサンドボックスの搭載 - @IT
第2回 「おれがやる」――必然だったサンドボックスの搭載 株式会社フォティーンフォティ技術研究所 取締役 最高技術責任者 金居良治 2009/11/26 閉鎖空間でウイルスの挙動を見る「サンドボックス」。純日本製ウイルス対策ソフト「FFR yarai 2009」のサンドボックス開発でエンジニアは何を目指したのか?(編集部) yaraiが持つ複数のエンジン、その成り立ち 第1回「限界を迎えつつある『パターンマッチング』という手法」で、“パターンマッチングに依存しない”ウイルス対策ソフト、FFR yarai 2009(以下:yarai)の誕生にまつわるエピソードをお話したが、今回はこのソフト開発の技術面についてお話したい。 【関連記事】 シグネチャに頼らず未知の攻撃を検出、FFRが国産対策ソフト http://www.atmarkit.co.jp/news/200904/30/ffr.html
[気になる]JSONPの守り方
XSSにCSRFにSQLインジェクションにディレクトリトラバーサル……Webアプリケーションのプログラマが知っておくべき脆弱性はいっぱいあります。そこで本連載では、そのようなメジャーなもの“以外”も掘り下げていきます (編集部) JSONPだって、セキュリティを気にしてほしい 皆さんこんにちは、はせがわようすけです。今回は、JSONPを使用する場合のセキュリティについて解説しましょう。 JSONPとは、JSON with Paddingの名称が示しているとおり、JSON形式のデータにコールバック関数の呼び出しのためのコードを付加することで、クロスドメインでデータの受け渡しを実現するためのデータ形式です。JavaScriptからクロスドメインでのデータが簡単に扱えることなどを理由に、多数のWebアプリケーションでAPIの一部としてJSONP形式でデータの提供が行われています。 具体的な例を見
![[気になる]JSONPの守り方](https://cdn-ak-scissors.b.st-hatena.com/image/square/6e84fc6ab06f31b2e64248cbfc92fe06deb5bab5/height=288;version=1;width=512/https%3A%2F%2Fimage.itmedia.co.jp%2Fimages%2Flogo%2F1200x630_500x500_ait.gif)
まずは、mixiアプリを使ってみよう、作ってみよう
まずは、mixiアプリを使ってみよう、作ってみよう:基礎から分かる、mixiアプリ作成入門(1)(1/3 ページ) mixiのアプリ?それって何? 「mixiアプリ」は、iGoogleのガジェットのように、SNS「mixi(ミクシィ)」上に組み込まれて実行される、Webアプリケーションです。主に、JavaScript+XML+HTML+CSSで作ります(やり方によっては、Flashなども使える)。 誰でも開発でき、人が開発したmixiアプリを自分のマイページなどに自由に組み込むことができます。また、Webアプリケーションのため課金方式は異なりますが、iPhoneアプリのようにmixiアプリを作って公開することで報酬を得ることもできます。 mixiアプリは、2009年6月現在、オープンβ環境のみで利用可能となっています。正式版は、8月公開予定です(参考:「mixiアプリ」8月に正式公開 販売
ミクシィ採用担当が語る 1年目エンジニア奮闘記
本連載では、学生がITエンジニアとして就職する前に身に付けておいた方がいいスキルを紹介する。第1回は、Web系企業を代表してミクシィが、1年目エンジニアの仕事内容、役割、求められる能力について語る。 こんにちは。ミクシィで採用を担当している水本です。今回はミクシィの「Webエンジニア」について、弊社の新卒メンバーを中心にご紹介します。 WebのITエンジニアに求められる主体性 WebのITエンジニアに求められる能力の大前提にあるのは、“自分で調べて何かを作った経験がある”ことです。ミクシィでは「本当に興味があれば、Webページや書籍を通じて、ある程度の情報は簡単に手に入るのだから」という考え方を基に、技術に対してどれだけ主体的に取り組んでいるかをとても重要視しています。 この点にはかなりこだわっているので、結果的に、技術への興味がとても強い(=技術力が高い)人たちが集まってきているのだと思
【詳報】Google Waveとは何なのか? − @IT
2009/05/29 米グーグルは5月28日、米国サンフランシスコで開催中のイベント「Google I/O 2009」で、まったく新しいメッセージングおよびコラボレーションのためのプラットフォーム、「Google Wave」を発表した。同日、開発者向け早期プレビューとして公開。限定的にアカウントを発行して、外部の意見を取り入れながら開発を進める。年内にも一般向けサービスを公開し、それに続いてサーバの実装も順次、Apache2.0ライセンスのもとでオープンソースで公開していく予定だという。 プロジェクトリーダーで、Google Waveの基調講演でデモンストレーションを行ったラース・ラスムセン氏は、Google Waveは「3つのP」からなると説明する。 Google Waveのプロジェクトリーダー、ラース・ラスムセン(Lars Rasmussen)氏は、Google Waveは「3つのP」
脱Excel! Redmineでアジャイル開発を楽々管理
ソフトウェア開発のタスクをチケットに登録すると、作業を始めるチケット管理をメインに、進ちょく管理、問題管理などができる。 バグ管理システムだけでなく課題管理システム(ITS:Issue Tracking System)で運用する開発プロセスは、チケット駆動開発(TiDD:Ticket Driven Development)と呼ばれ、最近注目されている。 Ruby1.9の開発はRedmineで管理されているように、近ごろは事例も増えている。 Redmine運用前の問題点 筆者がRedmine運用前に持っていたプロジェクト管理の問題点は下記2点だった。 1.Excelでのタスク管理の限界 従来からプロジェクトマネージャやプロジェクトリーダーの多くは、進ちょく管理やタスク管理をExcelで行ってきた。 プロジェクト管理では顧客へ進ちょく報告するために、残工数と残タスク数を計算する必要がある。だが
アマゾン、ウィザードだけで使えるHadoopサービス開始 - @IT
2009/04/02 米アマゾンの子会社、Amazon Web Services(AWS)は4月2日、多数のOSインスタンスを起動して大規模分散処理を行える「Amazon Elastic MapReduce」のベータサービスを開始した。 Amazon Elastic MapReduceは、オープンソースの分散処理フレームワークApache Hadoop 0.18.3を利用したサービスで、Webブラウザベースの管理コンソールやコマンドラインツール、APIを使ってジョブを投入することで、大量データの解析や計算量の多い科学計算、統計処理が可能。大量のログ処理や機械学習、金融計算、データマイニング、Webサイトのインデクシング処理などに使えるという。 ジョブを処理するノードは、従来からAWSが提供しているAmazon EC2で稼働し、データの入出力にはAmazon S3が使える。データの入力にはイ
教科書に載らないWebアプリケーションセキュリティ 第1回 [これはひどい]IEの引用符の解釈 − @IT
XSSにCSRFにSQLインジェクションにディレクトリトラバーサル……Webアプリケーションのプログラマが知っておくべき脆弱性はいっぱいあります。そこで本連載では、そのようなメジャーなもの“以外”も掘り下げていきます(編集部) 小さな話題が面白い 皆さん、はじめまして。はせがわようすけと申します。 「教科書に載らないWebアプリケーションセキュリティ」ということで、Webアプリケーションのセキュリティに関連する、普段あまり見掛けないような小さな話題を取り上げていきたいと思います。 セキュアなWebアプリケーションを実現するために、開発者の方だけでなく、Webアプリケーションの脆弱性検査を行う方々にも読んでいただきたいと思っています。重箱の隅を楊枝でほじくるような小さな話題ばかりですが、皆さんよろしくお願いします。 さて第1回は、Internet ExplorerがHTMLを解釈する際の引用
![教科書に載らないWebアプリケーションセキュリティ 第1回 [これはひどい]IEの引用符の解釈 − @IT](https://cdn-ak-scissors.b.st-hatena.com/image/square/82de8989bb7acc1ec9333bef18042c097988bca5/height=288;version=1;width=512/https%3A%2F%2Fimage.itmedia.co.jp%2Fait%2Farticles%2F0902%2F27%2Fwebapp0101.jpg)
世間の認識と脅威レベルのギャップ――XSSは本当に危ないか?
皆さんこんにちは、川口です。コラムの第6回「IPSは“魔法の箱”か」でまっちゃ139で講演をしたお話を書きましたが、今度は関東でやっている「まっちゃ445」にお招きいただき、お話ししてきました。 まっちゃ445は募集開始から定員が埋まるまでがとても速く、今まで参加したことがなかったのですが、今回は運良く(?)講師側ということでキャンセル待ちにならずに参加することができました。ロックオンの福田さんがオープンソースのECサイト構築システム「EC-CUBE」に脆弱(ぜいじゃく)性が発見された際のインシデントハンドリングのお話をされていました。EC-CUBEにSQLインジェクションとクロスサイトスクリプティング(以下、XSS)が発見されたあとの対応のお話です。JSOCで日々インシデントにかかわっているいる自分としてはとても興味深い内容でした。 日本のエンジニアのセキュリティ意識は過剰? 今回のよう
情報セキュリティコスト削減、4つのアプローチ
情報セキュリティコスト削減、4つのアプローチ:セキュリティ、そろそろ本音で語らないか(2)(1/3 ページ) セキュリティコストの削減はいつ、どのようにして実行すべきなのでしょうか。その削減方法と考え方は日本的になっていませんでしょうか。言いたくても言えなかったことをズバリ指摘する連載、第2回はコスト削減の手法について解説します(編集部) 第1回の「IT界の埋蔵金? 手付かずのセキュリティコストと戦う」は、これまで脅威論誘導型でその場その場で増改築を繰り返してきた情報セキュリティ対策にかけられているコストを削減するときが来た、というお話をさせていただきました。そういえば、情報セキュリティの基本中の基本としていわれている「PDCAサイクル」ですが、振り返ってみると「Doばっかり」「DoなしPCA」になっている組織も少なくありません。 ぞうきんは絞れる方がいい 私は上場会社の社長をやっていた経
IT界の埋蔵金? 手付かずのセキュリティコストと戦う
IT界の埋蔵金? 手付かずのセキュリティコストと戦う:セキュリティ、そろそろ本音で語らないか(1)(1/3 ページ) あなたの会社は、従業員に負担を強いるセキュリティ対策を行っていませんか? 本連載ではコンサルタントの視点から「やったつもりの対策」や「やる気をそぐ対策」、「守れもしない対策」を本音で語り、これらも含めた「情報セキュリティコスト」を考えます(編集部) 筆者は日本における情報セキュリティビジネスの黎明(れいめい)期からこの世界にかかわってきており、1995年よりセキュリティビジネスの立ち上げ、セキュリティコミュニティ主催者、脆弱(ぜいじゃく)性発見者、緊急対応案件対応、上場企業トップを経て、物理セキュリティとの融合の模索、情報セキュリティアドバイザーなどさまざまな経験をしてきました。そのような経験から、これまで積み重ねられてきた情報セキュリティ対策の棚卸しと再構築、そしてシステ
CISO考――ところで、CISOって必要ですか?
CISO考――ところで、CISOって必要ですか?:セキュリティ、そろそろ本音で語らないか(3)(1/3 ページ) CIOやCOOなど、アルファベットで構成される役職が日本でも目立つようになりました。しかしその役割の意味がよく分からないまま、その役職が付いている人もいるのではないでしょうか。第3回では耳にすることの多くなった「CISO」をテーマに、その役割のあるべき姿に迫ります(編集部) 情報セキュリティ対策を組織的に推進するためには、CISOなる人物が必要であり、欧米の大企業には必ず優秀なCISOがいる、と聞くことが多くありませんか? このCISOってなんでしょうか? CISOは「Chief Information Security Officer」の頭文字を取ったものとされていて、情報化推進統括責任者、あるいは、情報セキュリティ統括担当役員、情報セキュリティ最高責任者などと一般的に訳され
エラーメッセージの危険性
※ご注意 他社および他組織のWebサイトなどへのポートスキャンおよびデータの取得などの行為で得た情報を侵入などに悪用するか、または同じ目的を持つ第三者に提供した時点で違法となります。ご注意ください。 本稿の内容を検証する場合は、必ず影響を及ぼさない限られた環境下で行って下さい。 また、本稿を利用した行為による問題に関しましては、筆者および株式会社アットマーク・アイティは一切責任を負いかねます。ご了承ください。 完璧なアプリケーションをいきなり作り上げられる人はまずいないだろう。多くの人はアプリケーション中にデバッグ用のメッセージやコメントを残しながら開発を進めていくことになる。またユーザーにとって重要なのがエラーメッセージである。エラーメッセージを頼りにアプリケーションを利用していく。しかし、ユーザーにとって有用な情報なのだが、同様に攻撃者にも有用な情報を与えてしまうことにもなることがある
「正直、衝突もあった」、Yahoo!知恵袋開発のプロマネ術は ― @IT
2005/11/29 ヤフーが11月7日に正式版を公開したQ&Aサイト「Yahoo!知恵袋」。ヤフー リスティング事業部 技術 門川百合子氏は1年7カ月のベータ開発期間を振り返って、「正直いってプロジェクト内で衝突もあった。プロジェクト・マネジメントの重要性をあらためて感じた」と語った。 知恵袋自体は韓国のYahoo! Koreaのサービスを移植した。しかし、日本のユーザーに受け入れられるサービスに仕上げるには数多くの作業があった。また、Q&Aサイト自身が立ち上がり時期だっただけに「やりたいことがたくさんあった」(門川氏)。知恵袋のプロジェクトはヤフーのほかのサービスと異なり、比較的多くのメンバーが集まって開発した。それでも問題となったのは「人が足りないこと」。 左からヤフーのリスティング事業部 検索企画室 Yahoo!知恵袋プロジェクトリーダー 岡本真氏、リスティング事業部 技術 門川百
自動車業界のAjaxを活用したキャンペーンを目撃せよ ― @IT
Ajaxとそれに関連する話題を紹介します。 バーグラフがぐんぐん伸びるWeb投票 dPolls.com (Ajaxによるリアルタイム投票システム) Ajaxによる投票システムです。投票すると結果がリアルタイムに表示されます。また、なかなかきれいなビジュアル効果も付いています。スクロールバーにマウスポインタを置くだけでスクロールしたり、棒グラフもゆっくりと伸びていくアニメーション付きで表示されます。単に選択して投票するだけであれば、投票システムというのは、技術的にさほど難しいものではありません。しかし、このようなビジュアル効果を付けて、皆で共有すると楽しいツールになるといえます。 AJAXデータのやりとりが分かるGIFインジケータ AJAX Activity indicators XMLHttpRequestオブジェクトで通信が行われていても、Webブラウザのローディングアイコンは動作しませ
Ajaxの特徴に潜むリスクをサンプルアプリで確認しよう ― @IT
第1回 Ajax技術の目に見えない通信内容をのぞいてみようでは、Ajaxの技術背景を解説しました。今回は、「セキュリティ」という観点でAjaxを見ていきたいと思います。 2回目の今回は、非常に幅広く、奥が深い「Ajaxの特徴に潜むセキュリティリスク」を、実際のサンプルアプリケーションの通信や、マウスの動きを動画で見ながら、理解しましょう。スパイウェアやキーロガーへの基本的な対策も解説します。 通常のWebアプリと異なるAjaxの特徴に潜むリスク 「Ajaxのセキュリティ」といきなりいっても、『Ajaxとはいえ、単なるWebブラウザで動作するアプリケーションなのだから、これまでのWebアプリケーションのセキュリティとあまり変わらないのでは?』と予想される方も多いでしょう。確かに、Webアプリケーションとして注意すべきセキュリティのポイントは、Ajaxにおいても共通して当てはまると考えて問題あ
CSSクロスドメインの情報漏えいの脆弱性「CSSXSS」とは ― @IT
あるWebページにアクセスしたら、自分のYahoo! JAPAN IDやHatenaのID、mixiで使っている名前などが表示された。何の縁もゆかりもないページにこれらのプライベートな情報がなぜ表示されてしまったのだろうか。 これは「CSSクロスドメインの情報の漏えいの脆弱性(CVE-2005-4089)」という、Webブラウザがスタイルシート(CSS)を呼び出す機能にある脆弱性を利用した攻撃だったのだ。この脆弱性は通称「CSSXSS(CSS Cross Site Scripting)」とも呼ばれている。 CSSインポート時にCSS以外のファイルがテキストとして読み込める 最近のWebページは、文書の構造をHTML形式で記し、フォントや色やレイアウトなどの視覚的な表現をスタイルシートで記述するというHTMLの仕様に従っていることが多い。 HTMLファイルから外部のスタイルシートを呼び出すた
ブラウザキャッシュでパフォーマンス向上
キャッシュ制御の方法 サーバサイドからキャッシュを制御するには、以下の2つの方法がある。 HTTPヘッダによる制御 METAタグによる制御 まずは、これらがどのようなものか、軽くおさらいしておく。 ■HTTPヘッダによる制御 HTTPプロトコルでは、HTTPヘッダにさまざまな情報を格納することができる。そのうちいくつかの情報は、キャッシュ制御のためのヘッダである。リクエスト(クライアント→サーバ)用のものと、レスポンス(サーバ→クライアント)用、リクエスト/レスポンス共通のものが存在する。 ■リクエスト用 If-Modified-Since 日時を指定する。指定した日時より新しいコンテンツの場合のみデータを返却するようにサーバに指示する。ローカルキャッシュの最新確認に使用される If-None-Match 指定したエンティティタグに一致しない場合のみコンテンツを返却するようにサーバに指示す
@IT:特集 「テスト駆動開発」はプログラマのストレスを軽減するか?
新しいソフトウェア開発技法へチャレンジできるか? ソフトウェア開発の世界にも日々の進歩がある。そしてその中には、使えばさまざまな恩恵を受けられる技法もある。しかし、それらを現場ですぐに活用できるとは限らない。例えば、1990年代末に生まれ、1つのブームを形成したエクストリーム・プログラミング(XP)という開発技法がある。これは、とても優れた開発技法だと思うのだが、開発プロジェクト単位で、顧客まで巻き込んだ形で使われることが前提となっている。しかし、顧客ぐるみでまったく新しい方法にチャレンジできるかといえば、できないことの方が圧倒的に多いだろう。では、エクストリーム・プログラミングの技法を全部使おうとせず、使うことができる部分だけを取り出して試みることができるかというと、そういうわけにもいかない。エクストリーム・プログラミングは、いくつかのプラクティスと呼ばれる項目から成り立っているのだが、
MySQLの高度な管理とチューニングテクニック
MySQLの高度な管理とチューニングテクニック:快速MySQLでデータベースアプリ!(11)(1/2 ページ) 本連載もついに最終回。今回はMySQLサーバの運用・管理に必要な状態監視、チューニング、バックアップ、セキュリティについて解説する。以下のテクニックを駆使すれば、MySQLをさらに安定稼働させられるだろう。 前回までは、さまざまな言語やアプリケーション、とりわけWebアプリケーションからMySQLを利用することを主眼に説明してきました。皆さんの中には、それらを応用した実用的なプログラムを考えている方もいるかと思います。そこで、今回は運用上必要となるテクニックをいくつかのトピックに分けてご紹介します。「まだまだ実用は先だ」と思われている方も、いつかくる日のためにこんなこともできるということだけでも知っておいてください。 ロギング機能と動作ステータスの取得 障害発生を防ぐための一番の
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
