小笠原 啓 日経ビジネス記者 早稲田大学政治経済学部卒業後、1998年に日経BP社入社。「日経ネットナビ」「日経ビジネス」「日経コンピュータ」の各編集部を経て、2014年9月から現職。製造業を軸に取材活動中 この著者の記事を見る
![グーグル? すごいとは思わないね:日経ビジネスオンライン](https://cdn-ak-scissors.b.st-hatena.com/image/square/05f492a9ba706b05ca8fd61b1840b099fb59fdc9/height=288;version=1;width=512/https%3A%2F%2Fbusiness.nikkeibp.co.jp%2Fimages%2Fn%2Fnbo%2F2011%2Fcommon%2Fnbologo_ogimage.png)
コミュニティーサイト構築に詳しい専門家は、「CSRF対策は基本的なところ。Amebaなうが対策していなかったのは意外だ」と話している。 「CSRF対策は基本的なところ」と言われると、発見も対処も容易であるような印象を受けますが、これは少し違和感がありますね。 半年ほど前の話ですが、弊社 (www.b-architects.com)のクライアントが新規のECサイトを立ち上げるにあたって脆弱性診断をしようという話になり、外部の会社に見積もり依頼をしたことがあります。その際、業界では知らない人がいないような大手会社の診断メニューも見せていただきました。 そこで印象的だったのは、標準とされるプランにCSRFの診断が含まれていなかったことです。標準のコースにはXSSやSQLインジェクションの診断が含まれますが、CSRFは「アドバンスド」プランの方にしか含まれていませんでした。普通のサイトではXSSや
サイバーエージェント運営のブログサービスで、セキュリティの欠陥による被害が相次いでいる。新しいミニブログ「アメーバなう」にスパム感染が広がったほか、「アメーバブログ」でもプロフィールが消える被害が次々見つかった。なぜこんな初歩的な対策漏れがあったのか。 ツイッターのモノマネとして話題の「アメーバなう」が、最初からつまずいた。携帯電話版が始まった翌日の2009年12月9日、古典的なスパム感染が起きたのだ。 2005年4月のミクシィ被害と酷似 それは、「こんにちはこんにちは!!」という投稿を見て、記載のURLをクリックすると起きる現象だ。勝手に同じ投稿をさせられたうえ、「はまちや2」というユーザーを自動的にフォローしてしまうのだ。 ネットユーザーには見覚えのあるスパム投稿に違いない。それは、ミクシィで05年4月に広がった被害と似ているからだ。そのときは、「ぼくはまちちゃん!」という投稿だった。
ヨーカドーのネット通販が酷いことになっている。 セブンネットショッピング、会員の個人情報がダダ漏れ。さらにネラーに注文番号の規則性を解析される セブンアンドワイ、XSS脆弱性が見つかる。また社員が2chを覗いていたことが判明 セブンアンドワイ、Google検索で個人情報が丸見えだった模様。また今回の件でアフィリエイトにまで影響が とうとう「オープンソース化」までされる始末。 セブンアンドワイ、今度はソースコードを流出させる。 svnで公開なんてやってくれるぜ。私は初期版をcvsの類で出すのは消極的なんだけど(これはいずれ連載の方で)。 ただ、この前の「はまちちゃん」もそうなんだが、これは実は「エンジニアの反乱」ではないか? もちろん、一連の事件はエンジニアが結託してサボタージュをやったとか、そーゆー類では断じてないだろう。みんなそれぞれのエンジニアは、自分の能力の範囲、自分の仕事の範囲では
会員限定サービスです 会員の方はこちら ログイン 有料会員(月額プラン)は初月無料! お申し込み 日経クロステック TOPページ
「サンシャイン牧場」において、課金操作を行った人のメールアドレスと電話番号が「露出」していた件のまとめです。 はじめに「サンシャイン牧場」はmixiアプリとして提供されているゲームです。mixiアプリとしては最大の利用者数を誇り、2009年11月23日現在、利用者は300万人を突破しています。運営しているのはRekooという中国の会社です (が、最近、日本法人もできました)。 2009年10月21日、サンシャイン牧場に「Kコイン」の仕組みが導入されました。実際のお金を支払って「Kチャージ」を行うとKコインが増え、Kコインを消費することで、通常では購入できない作物や肥料などを手に入れられる仕組みです。リアルのお金を支払ってアイテムを購入するという、いわゆるアイテム課金の制度になります。支払い方法は、株式会社ゼロの決済代行サービスを利用したクレジットカード払いでした。 ところが、この課金に際し
iモードブラウザ2.0のJavaScriptを調査・研究する過程で、iモード専用サイトのhtmlソースを閲覧する方法を発見しました。 今回発見した方法を用いれば、「ドコモ・ゲートウェイ以外からのアクセスを禁止している」、「サーチエンジンのクロールを禁止している」、「XSS脆弱性が存在しない」の三つの条件を満たしているiモード専用サイトでも、htmlソースを閲覧することができます。 しかし、htmlソースを閲覧するためには、そのiモード専用サイトが別の二つの条件を満たしている必要があります。 htmlソースが閲覧可能なiモード専用サイトの条件 デフォルトホストで運用されている。(ヴァーチャルホストではない) iモードブラウザ2.0のJavaScriptからのアクセスを禁止していない。 iモード専用サイトのhtmlソースの閲覧方法 iモードブラウザ2.0のJavaScriptで、htmlソース
11月19日(日本時間11月20日午前3時半)、グーグルはWebアプリケーションの実行に特化したオープンソースの新しいOS、Google Chrome OSのための「Chromium OS」プロジェクトをオープンソースとして公開したと発表しました。 オフィシャルページでグーグルは「Google Chrome OS will be ready for consumers this time next year.」と書き、Chrome OSの製品がユーザーの手に届くのは来年になるとしています。 公開されたのは、以下のものです。 Source code(ソースコード) Design docs(システムデザインのドキュメント) User interface experiments(ユーザーインターフェイスのドキュメント) Getting and Building a Chromium-Based
業務アプリケーションがWebアプリケーションとして開発されるのは現在の大きなトレンドです。それに伴ってHTMLとCSSによって業務アプリケーションの複雑なユーザーインターフェイスを構築する必要性が生じます。 しかし機能が豊富な業務アプリケーションのユーザーインターフェイスをHTMLとCSSで構築するのはそれほど簡単ではなく、しかもそれをアプリケーション全体で統一し、優れたユーザビリティを実現するのはさらに手間のかかる作業です。 そうした業務用のWebアプリケーションのユーザーインターフェイスを構築するためのサンプルが豊富に含まれたガイドライン「IBM Lotus User Interface Developer Documentation」が、IBMから公開されました。 今回公開されたIBMのガイドラインは、同社のLotus製品群のユーザビリティを統一するための社内プロジェクト「One U
「いまどこ?新幹線マップ」(http://marukan.nayutaya.jp/)を公開しました。 これはなに? 東海道・山陽新幹線、九州新幹線の車両の現在位置をGoogleマップで表示します。 追記: 東北、北陸、上越、秋田、山形新幹線も表示できるようになりました。 仕組み 今となっては絶滅危惧種となったアマチュア無線家のアンテナを使い、新幹線の鉄道無線を受信します。 受信した電波のドップラー効果による周波数の変位、電波強度の情報にGPS時間を付加して中央サーバに送信します。 中央サーバから計算サーバ(SONY PLAYSTATION3)に送信し、SPEを3つ使用して座標を計算します。 計算結果を中央サーバに送り返し、各WebクライアントにCOMETを用いて配信します。 ・・・嘘です。 ただ単に、時刻表から現在位置を推定しています。 また、JavaScriptのみで作成されています。
IPv4アドレス枯渇が迫りつつあります。 現状では、再来年ぐらいに枯渇する事が予想されています。 このIPv4アドレス枯渇は、恐らくインターネットアーキテクチャに対して非常に大きな影響を与えます。 今、この瞬間にあるインターネットインフラと、3年後のインターネットインフラは結構違う形をしているのではないかと推測しています。 以下、何故IPv4アドレス枯渇がインターネットアーキテクチャの大変革をもたらすのかと、この問題の背景を説明したいと思います。 2つに分離するインターネット インターネットは戦時中の物資が少ない状況においても通信網が維持出来る事を想定して設計されています。 そのため、専用機器だけではなく、ありあわせの機器を繋ぎ合わせて通信が実現できることが重要な要素でした。 また、電話のような回線交換方式ではなく、パケット交換方式を採用して様々な種類の通信を同時に行える事も設計の柱でした
はてなブックマークのブックマーク数が多い順に記事を紹介する「はてなブックマーク数ランキング」。2024年2月のトップ50です*1。 順位 タイトル 1位 マンションリフォーム虎の巻 2位 死ぬほど嫌でした|佐藤秀峰 3位 「面倒なことはChatGPTにやらせよう」の全プロンプトを実行した配信のリンクを整理しました|カレーちゃん 4位 管理職必読 順番に読むと理解が深まる「マネジメントの名著」11冊 | 日経BOOKプラス 5位 メルカリで値段の「¥マーク」を小さくしたら購入率が伸びた理由、ペイディがサービス名を「カタカナ表記」にする理由など、プロダクトのマーケ施策まとめ30(2023)|アプリマーケティング研究所 6位 7年適当に自炊してきて調味料について思ったことを書く 7位 ウクライナ軍に入隊したアジャイルコーチが、さまざまなメソッドを駆使して中隊長としてのリーダーシップを実現した話(
ヤフーの動画配信サービス「GyaO!」が年明けにも黒字化しそうだ。背景には、業界の常識を破った新たな番組購入方法がある。 ヤフーは、2009年4月に、USENの動画配信サービス提供会社「GyaO」の株式を51%取得し、自社の「ヤフー動画」と統合。会社名とブランド名はGyaOを存続させて今に至っている。 ヤフー出身で新生GyaOの社長となった川辺健太郎氏は動画配信にかかわったことのない、いわば素人。だからこそ、業界の常識に、違和感を持った。 動画配信サービスには、無料配信と有料配信の2つがある。現在、日本での主流は無料配信のほうだ。無料配信は、作品の前後に流れる広告からの収入が配信会社の売り上げとなり、それが作品の購入費や、システム運営コストに充てられる。 これまで動画配信サービス会社は、たとえばハリウッドの人気映画ならば、権利を持つ映画会社に事前に数百万~数千万円も支払っていた。映
2009年09月28日 【閲覧注意だよ:2次元】こっちを思いっきり見下してる女の子の画像ください!お願い!
オタク関係の考察、発案、二次創作などの無駄な戯言。 『ネ』はしめすへんの『ネ』 NE is for Negative Nerdy Netsurfing Neet. 決定版!とはいえないものの、そこそこ強力な漫画家ついったらーリンク集ができました。 ルール1.商業誌に掲載されたりコミックスを出版した者を漫画家として扱う ルール2.イラストを書くだけの作家は除外。カラーコミックスでも枚数が一、二枚などと少ない人はイラストレーター扱い ルール3.アンソロ本や広告目的の漫画のみの作家は除外する ルール4.同人誌の再録のみの単行本を出しただけで商業誌掲載経験のない作家も除外 ルール5.Webコミックは個人、企業とも除外。ただし単行本として出版されたなら漫画家として扱う ルール6.一般向け漫画とオタク向け漫画の分類マークはわりと適当。絵柄や掲載雑誌、作風などから判断 ルール7.エロ漫画を一度でも雑誌掲
多数のTCP接続をハンドリングするサーバを書くなら、1コネクション1スレッドのモデルではなく、epollやkqueueのようなイベント駆動型のI/O多重化を行うべきだ、と言われます。だが、そのような主張は、「C10K問題」が書かれた2002年から7年経過した今でも有効なのでしょうか? echoサーバを書いて、ベンチマークを取ってみることにしました。 ふたつのグラフは、いずれも接続数とスループットの関係を表しています。最初のグラフは、全接続がアクティブに通信した場合、あとのグラフは、全接続のうち小数のコネクションが順次アクティブになっていく、というモデルです。これらのグラフから、以下ようなことが読み取れます。 epoll も per-thread モデルも、良くスケールする epoll は、ワークセットが小さい場合に (最大50%) per-thread モデルよりも高速 少なくとも、1コネ
ヤフー子会社のGyaOは9月7日、動画を配信する無料サイト「GyaO! Presented by Yahoo! JAPAN」と、有料サイト「GyaO!ストア Presented by Yahoo! JAPAN」をオープンした。 それぞれ、コンテンツホルダーから提供を受けた“合法動画”を配信するサイト。「GyaO」と「Yahoo!動画」を統合してシステムコストを削減し、テレビ局との連携などでコンテンツを充実させた。Yahoo!のインフラやビジネスノウハウを取り入れ、2010年の早い時期に単月黒字化を目指す。 川邊健太郎社長は「ニコニコ動画やYouTubeが強い中、どういうサイトにするか議論してきた」と話す。「動画という単語は、単なる映像素材や違法コンテンツも想起する」と考え、GyaO!は“動画”サイトではなく、合法な“映像”配信サイトとして売り込んでいく。 「時をかける少女」など無料で ネッ
こんにちはこんにちは!! 蒸し暑い日が続いてますが…、げんきにtwitterしてますか! さて今日はtwitterで見落としがちな 微妙な注意点について、ちょこっとだけメモです…! 実はtwitterのプロフィールアイコンの画像URLって… 元の画像ファイル名がそのまま使われているよ!!! 自分のPCのマイピクチャとかのファイル名と同じ! ファイル名バレバレ! なので、わー知らなかったーって人は、自分のtwitterのアイコンのURLが、 うっかりと本名とか、「彼氏彼女の名前_lovelove_daisuki_chu_chu_chu.jpg」みたいな名前になっちゃっていないか、 いちど見直してみた方がいいかもしれないですね…! ちなみにこのファイル名、日本語でもそのままURLになるので ぼくの場合は、ちょっとだけSEO(になるのかどうかも微妙だけどね!)を期待して「はまちちゃん」としてある
楽天がパソコンから検索履歴を収集 個人情報を無断利用? (1/3ページ) 2009.8.21 00:18 楽天が同社の検索サイトにアクセスした利用者のパソコンから、他社サイトにアクセスした履歴に関する情報を収集し、広告配信に利用していることが判明した。行政や消費者団体なども巻き込んで問題視する声が強まっている。この行為自体に違法性はないが、「情報が勝手に収集されて気味が悪い」などという利用者の声に加え、インターネット広告事業者なども「広告価値を下げる」と批判している。 問題が指摘されたのは、楽天が昨年6月から自社の検索サイト「インフォシーク」に導入した「楽天ad4U(アドフォーユー)」と呼ばれる広告配信システム。これは、インフォシークを訪れた利用者のパソコン上のブラウザ(閲覧ソフト)内に蓄積された過去のサイト閲覧履歴を15種類に分類。楽天がその情報に基づき、利用者の閲覧履歴に合わせた分野
XSSにCSRFにSQLインジェクションにディレクトリトラバーサル……Webアプリケーションのプログラマが知っておくべき脆弱性はいっぱいあります。そこで本連載では、そのようなメジャーなもの“以外”も掘り下げていきます (編集部) JSONPだって、セキュリティを気にしてほしい 皆さんこんにちは、はせがわようすけです。今回は、JSONPを使用する場合のセキュリティについて解説しましょう。 JSONPとは、JSON with Paddingの名称が示しているとおり、JSON形式のデータにコールバック関数の呼び出しのためのコードを付加することで、クロスドメインでデータの受け渡しを実現するためのデータ形式です。JavaScriptからクロスドメインでのデータが簡単に扱えることなどを理由に、多数のWebアプリケーションでAPIの一部としてJSONP形式でデータの提供が行われています。 具体的な例を見
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く