「AjaxなどのWeb 2.0技術はクロスサイト・スクリプティングに最適」---米ImpervaのCTO
「Web 2.0はセキュリティ上の危険が高い。そのリスクを回避するためには,技術面やコスト面から現実的な対策を考えるべきだ」---。不正なWebアクセス/DBアクセスを防御する機器「SecureSphere」の開発会社,米ImpervaでCTO(最高技術責任者)を務めるAmichai Schulman氏は2007年4月27日,東京エレクトロンデバイスが開催したユーザー・セミナー「Web 2.0のセキュリティ・リスクと回避法」で講演した。 Amichai Schulman氏: “Web 2.0”という次世代のWeb利用方法が広まっている。Web 2.0は情報システムを便利にしてくれるが,その半面,セキュリティ上のリスクも広がってしまうという側面がある。情報システム部門は,Web 2.0によって引き起こされるリスクを知るとともに,このリスクを回避しなければならない。リスクの姿と対処方法を示そう
[MySQLウォッチ]第28回 MySQL 5.1期待のクラスタリング機能
数カ月前にMySQL 5.1 GA版 のリリース見通しを5月と記述したが,残念ながら下半期に突入した現在もBata版にとどまっている。バージョン5.0から5.1へのアップは,番号としてはポイント以下のマイナー・バージョンアップだ。しかし,非常に大きな期待を持って待っているユーザーも多いだろう。それは,MySQL 5.1 からMySQL Clusterがストレージ対応になるからだ。 今回は,MySQL 5.1 GA版 のリリース準備として,期待の高まるMySQL Clusterのストレージ対応を紹介する。 MySQL Cluster の登場 もともとMySQL Clusterは,NDB Clusterという商品だったものをMySQL ABが自社製品として取り込み,MySQL 4.1.3 (RPM版はMySQL 4.1.10)から実装が始まった。それ以前は,標準機能のReplicationかサ
19. マルチバイト文字とXSS脆弱性
比較的新しい攻撃方法に、不完全なマルチバイト文字列を送信することでHTMLに 記述されているクォートを無効化する方法があります。この攻撃はHTML エス ケープのみでは防げない事に注意が必要です。では、どのように対策をすれば良 いのでしょうか? まずは、不完全なマルチバイト文字を利用してクォート(")を無効化できるこ とを確認しましょう。次のスクリプトをブラウザから実行して下さい(最後の ダブルクォテーションとPHPタグの間にスペースを入れないで下さい)。 <?php $str = urldecode('%81'); header('Content-Type: text/html; charset=SJIS'); ?> <?php echo htmlentities($str, ENT_QUOTES, 'SJIS') ?>" コードが分かりづらいので注意してください。PHPタグを2つに大別
最優秀アンチウイルス・ソフトは「AntiVirusKit」,最下位は「Microsoft OneCare」:ITpro
最優秀アンチウイルス・ソフトは「AntiVirusKit」,最下位は「Microsoft OneCare」 アンチウイルス・ソフトウエアの比較を行う独立系組織AV-Comparatives.orgが米国時間2月28日,2007年2月版の調査報告書「Anti-Virus Comparative No.13」を発表した。マルウエアのサンプル100万種以上を使ってアンチウイルス・ソフトウエア17製品を調べたところ,すべてのマルウエア検出に成功したという。ただし,全17製品がそろって検出できたマルウエアは全体の約64%にとどまった。 調査は,各アンチウイルス・ソフトウエアの状態を2月2日時点の最新版に更新し,2月1日時点で既知のマルウエア100万種以上を検出できるかどうか確認した。その結果,検出されないマルウエアは1種類もなかったが,調査対象の製品数を16製品に減らすと78種類の検出漏れが生じた。
「HTML画面をそのまま仕様書に」,5カ月で1000画面を構築した就職サイトPuffの高速開発手法:ITpro
上段左からティーアンドエフカンパニー 事業推進統括責任者 情報化戦略コンサルタント 西岡祐弥氏,ティーアンドエフカンパニー 代表取締役社長 佐藤裕司氏,パフ 代表取締役社長 釘崎清秀氏,下段左よりティーアンドエフカンパニー 最高技術責任者 出羽健一氏,パフ 取締役兼株式会社プロシンクワーク代表取締役社長大場京子氏,パフ 事業サポートグループ グループマネージャー 保坂光江氏 Webシステムを開発する際にはほとんどの場合,ユーザーとの打ち合わせのためにHTMLによるモックアップを作る。「このHTMLがそのまま仕様書になれば」と思ったことはないだろうか。就職情報サイトPuffの再構築プロジェクトでは,まさにモックアップをそのまま仕様書した。「十数人の開発者で,5カ月で1000画面のシステムを開発する」必要に迫られたからだ。 HTMLに仕様とメモを埋め込み,CSSで切り替え 「この未体験のスピー
8. 2038年問題
32ビットPCでは数値を扱う限界があります。 PHPで日付を扱う事が多いと思いますが、UNIXタイムスタンプを利用すると数値 の限界に引っかかる事を知っておく必要があります。 32ビットPCで扱う数値限界は 2の31乗-1 で、 2147483647 です。 これをUNIXタイムとして日付に直すと、 <?php $unixtime_max = pow(2, 31) - 1; echo date('Y-m-d H:i:s', $unixtime_max) . "\n"; $unixtime_overflow = $unixtime_max + 1; echo date('Y-m-d H:i:s', $unixtime_overflow) . "\n"; ?> 2038-01-19 12:14:07 1901-12-14 05:45:52 となり、2038-01-19 12:14:07 以降の
【RSA Conference 2007】「DNSサーバー拠点を全世界100カ所に増やす」,VeriSignが宣言
米VeriSignの会長兼社長兼CEO(最高経営責任者)であるStratton Sclavos氏は2月8日(米国時間),開催中の「RSA Conference 2007」で基調講演を行い,同社が3年以内にDNSサーバー拠点を現在の全世界20カ所から同100カ所に増やすことなどを明らかにした。 Sclavos氏(写真)は,2月6日(米国時間)にインターネット上のルートDNSサーバーに対して大規模なDDoS(分散サービス拒否攻撃)が行われたことを振り返り,「DNSインフラに対する非常に組織的な攻撃だった。サイズの大きなパケットが大量にDNSサーバーに送りつけられた。すべてのリクエストがデタラメで,全てに対してエラー処理を行う必要があった。最初に攻撃されたのは『.uk』ドメインで,続いて『.org』ドメインが狙われた。非常に高度な,かつてない規模の攻撃だった」(Sclavos氏)と述べた。 Sc
3. session_destroy関数はファイルを消すだけで、スクリプト内ではセッション変数が使えてしまう
3. session_destroy関数はファイルを消すだけで、スクリプト内ではセッション変数が使えてしまう アプリケーション作成に不可欠なセッション変数ですが、セッションを 正しく消さなければ不具合の原因のみならず、脆弱なアプリケーション となってしまいます。 正しくセッションを消す方法を知っておきましょう。 PHPアプリケーションを作成する時に、セッション変数の利用は不可欠と言っ ても過言ではないでしょう。 しかしセッションには攻撃所が多く、脆弱なアプリケーションを多数見かけ ます。 session_regenerate_id( true ) としてセッションIDを変えるのは非常に 有効な手段ですが、逆に不要なセッションは必ず破棄しなければ後々、脆弱 性や不具合の原因となります。 例えばログアウトメカニズムのような実装をする場合、session_destroy()を 利用していませんで
第8回 デザイナーとともにより良いサイトを目指そう 〜「はてな」のやり方:ITpro
連載第5回(「デザインのセンス,持ってますか?」)においてちょっと触れましたが,ウェブサイトを構築する際に,デザイナーとエンジニア(プログラマ)がかかわり,共同で作業を行うケースというのは少なくないと思います。これはもちろん,デザイナーとエンジニアがどちらもそれぞれ別のスキルを持っているからなのですが,それぞれのスキルや立場が異なるために,お互いにうまく意思疎通ができないケースも多いんじゃないかと思っています。 例えば,デザイナーの作成したウェブページのデザインが,システムを作る側からすると扱いづらい構成になっていたり,逆にエンジニアがシステムの修正や機能追加を行った際に行った表示上の変更が,デザイナーからすると許せないものだったり。そうでなくてもデザイナーの意図を読みきれていなかったり,といった感じで,お互いの作業が,相手の作業を阻害してしまったり,手戻りを発生させてしまうといった経験を
【日本Rubyカンファレンス2006】はてな,Webのスクリーンショットを作成/表示するサービスをRubyの分散オブジェクトとRuby on Railsの組み合わせで実現
【日本Rubyカンファレンス2006】はてな,Webのスクリーンショットを作成/表示するサービスをRubyの分散オブジェクトとRuby on Railsの組み合わせで実現 はてなの舘野祐一氏は2006年6月11日,東京お台場で開催された「日本Rubyカンファレンス2006」で,5月下旬にサービスを開始した「はてなスクリーンショット」が,分散オブジェクトを実現するライブラリ「dRuby」とRubyのWebアプリケーション・フレームワーク「Ruby on Rails」(Rails)を使って構築されていることを明らかにした。はてなスクリーンショットは,Webページのスクリーンショットを作成/表示するサービスである。 はてなスクリーンショットのアプリケーション・サーバー,データベース・サーバー,Webサーバーの機能は1台のサーバーに集約している。このサーバーでRailsを動かしている。静的コンテン
「mixi」というクローズドな世界での広告戦略
SNS(ソーシャル・ネットワーキング・サービス。英字表記のSocial Networking Serviceの頭文字を取って、SNSと呼ばれる)が最近話題になっている。米国のインターネット調査会社・Hitwiseが2006年7月11日に発表した調査データによれば、米国最大規模のSNS「MySpace」が先頃「Yahoo!」や「Google」といった検索ポータルサイトを押さえ、訪問者数で米国一のサイトになったという。また、日本でもインターネット調査会社・ネットレイティングスが6月28日に、国内最大の会員数を誇るSNS「mixi」がサイト利用時間とページビューの利用者比率で「Yahoo! JAPAN」と「楽天市場」に次ぐ、第3位となったことを発表した。 すでに、「mixi」の会員数は7月24日時点で500万人を突破しており、日本の総人口の3~4%程度はmixi会員となっている。7月13日にヤフ
日本語文字セットがVista最大の問題として急浮上
「どこでどういった問題が起こるのか分からない。まさかデータベースが壊れるということはないと思うが」――。国内大手ベンダーの幹部は不安そうに話す。この幹部が懸念するのは、Windows Vistaで採用された新文字セットの情報システムへの影響である。別の大手ベンダーのシステム構築部門も、「情報システムのクライアントとしてVistaを見た場合、最大の問題は日本語の文字セットだ。現在、共通の基盤技術セクションで影響を調査している」という。 企業向けVistaの出荷開始を目前に控え、Vistaの新文字セット採用が大きな問題として浮上してきた。 Windows Vistaは、新しい文字セットに関するJIS規格「JIS X 0213:2004」に準拠した日本語フォントを標準で搭載する。これにより、既存の漢字のうち122文字の字形が変更になり、約900文字の漢字、約200文字の非漢字(英語の発音記号や記
【MySQLウォッチ】第8回 MySQLチューニングのテクニック:ITpro
SlowLogの設定 環境設定ファイル(Windowsではmy.ini,Linuxではmy.cnf)に次のような設定を加えるとSlowLogが有効になる。 log-slow-queries SlowLogの有効化(ログファイル名を指定可能) long-query-time=2 SlowLogに記録する処理時間の上限 log-long-format インデックスを使用しないSQL文の記録 long-query-timeパラメータは,SlowLogに記録するしきい値を秒単位で設定する。この場合には,2秒超える処理時間を費やしたSQL文を記録する。また,log-long-formatを指定すると,インデックスを使用しないSQL文もSlowLogに記録する。 SlowLogの確認 SlowLogが動作しているかどうかは,次のコマンドで確認できる。log_slow_queriesがONであれば有効と
【速報】新登場した「ワイヤレスUSB」の実力を検証!
「ワイヤレスUSB」をご存じだろうか。一言でいうと、現行のUSBを無線化する画期的な新技術。パソコンや周辺機器がワイヤレスUSBに対応することで、ケーブル要らずで両者間をつなげるようになる。パソコンおよび周辺機器メーカーは、今年後半からワイヤレスUSBに対応した製品の研究や開発を急ピッチで進めている。対応製品が出そろえば、様々なケーブルの呪縛から解放され机の上はスッキリする。これは魅力的だ。このワイヤレスUSBに対応した日本初の製品が11月13日、ワイ・イー・データから出荷された。「ワイヤレスハブYD-300」(オープン価格で、実勢価格3万9800円)がそれである。編集部ではさっそく評価機を入手し、その実力を探った。 YD-300について簡単に紹介しておこう。この製品は、ワイヤレスUSBに対応したハブと、パソコン側に取り付ける送受信機から成る。通常のUSBハブはパソコンとの間をUSBケーブ
手軽にWeb 2.0サイト,日本IBMがホームページ・ビルダー新版
日本IBMは11月7日,Webページ作成ソフト「ホームページ・ビルダー11」を発表した。最新のWeb技術に関連する機能を拡充した点が特徴。例えば音楽プレーヤのiPodに向けて音声/動画を配信(ポッドキャスティング)する際のRSSフィードを自動作成する機能がその一つ。2006年12月1日に販売を始める。 RSSフィードは,Webページの見出しや要約,更新日時などを記述したファイルのこと。サイト内の情報を検索しなくても,RSSフィードを読み込むだけで最新情報がわかる。ホームページ・ビルダー11では,RSSフィードの作成やWebページへの埋め込み,ポッドキャストに特化したRSSフィードを生成する機能を搭載した。 サイトの外観を指定するスタイル・シートを使って手軽にデザインを変更できる機能も追加した。「お問い合わせボックス」や「写真ボックス」など145種類の部品を用意。ドラッグ・アンド・ドロップで
マイクロソフト,「Googleマップ」対抗サービスの日本語版を開始
マイクロソフトは11月7日,検索サービス「Live Search」の日本語版に地図検索サービスのベータ版を追加したと発表した。地図と航空写真を切り替えたり,重ね合わせて表示できるほか,レストランなどの店舗の検索も可能。 競合サービスの「Googleマップ」のように,住所情報や目印によって地図を検索できる。特定の住所に「ピン」を立てて,その場所をブックマークして(マイクロソフトではこれを「コレクションに追加」と呼んでいる),場所にコメントを追加したりできる(図1)。コメントは全体への公開も可能。 「レストラン」「駐車場」といったキーワードで検索した店舗情報なども,地図に重ね合わせて表示できる。店舗のアイコンにマウス・カーソルを合わせると,[コレクションに追加],[電子メール],[詳細]といったリンクがあるボックスが表示される(図2)。なおここで[詳細]をクリックすると,店舗を中心にした新しい
第26回 どこにメニューをおくべきか,どこが画面の一等地か:ITpro
Webサイトのデザインの中で,ここ2年で大きく変わりつつある「常識」があります。それは,「メニュー(索引)」の位置と「一等地」の場所です。ユーザーの閲覧環境が加速度的に変化しているという認識の下で,それでも最良のユーザビリティを提供しようとするなら,どのようなことを考えておく必要があるでしょうか。 左メニューと右メニュー(視線との交差)のどちらがベスト? まだモニター画面の大きさが小さかった時代(1995年前後),情報へアクセスしやすくする「メニュー」の位置は,ほとんど誰が考えても左側にあり,議論もされなかったように記憶しています。確実に画面の中に入り,ユーザーも基本的に左端にさえ注意を向けていれば,大切な情報にたどり着けるという「暗黙の常識」が存在していたかのような時代でした。 しかしここ数年,メニューが左側にあると本当に操作性が良いのかという議論を聞くようになり,大手のWebサイトでも
【Black Hat Japan 2006】JavaScriptでイントラネット内の機器をハッキングするデモを紹介
「JavaScriptを使えば外部からイントラネットへの攻撃が可能になる」。東京で開催されたセキュリティ関連のイベント「Black Hat Japan 2006 Briefings」で2006年10月5日,米WhiteHat Securityの設立者であり,同社の最高技術責任者(CTO)であるJeremiah Grossman氏は,外部からイントラネット内の機器をハッキングするデモを行った。JavaScriptがオンになっていれば,イントラネット内といえどももはや安全ではないことを示すショッキングなデモとなった。 Grossman氏によると,攻撃者がWebページでJavaScriptを動作させるにはいくつかの方法があるという。「Webページのオーナーが意図的にJavaScriptを埋め込む」「クロスサイトスクリプティングのぜい弱性を利用する」「攻撃用のリンクを作成し,電子メールやインスタン
WEB2.0がRubyを選んだ理由:ITpro
WEB2.0がRubyを採用した。ただし今回紹介するWEB2.0は,デジタルガレージ,ぴあ,カカクコムの合弁会社である株式会社WEB2.0(ウェブツーポイントオー)である。昨年末に設立された同社は,初のサービスである「PingKing」のほとんどを,オープンソースのオブジェクト指向プログラミング言語RubyとそのWebフレームワークRuby on Railsを用いて開発した。1割程度のPHP部分を除けば残りはすべてRuby on Railsである。現在ベータ公開中だ。 そして今,RubyとRuby on Railsが,海外のWeb 2.0的とされるサービスの開発に多数利用されていることも事実である(Ruby on Rails公式サイトの利用サイトリスト)。 なぜインターネット上の新サービス開発競争に,JavaやPHPではなくRubyが選ばれたのか。その理由が,PingKingの開発事例に典
働いてみたいIT企業ランキング(1):ITpro
“勝ち組”企業に人気が集中 「働いてみたいIT企業トップ30」では、マイクロソフト、野村総合研究所、日本アイ・ビー・エムが昨年に引き続きトップ3を堅持している。 メーカーからソフトウェア/SIベンダー、コンサルティング会社、通信キャリアに至るまで、業種を問わず業界大手に人気が集中する傾向は依然として変わらない。その理由としてはいくつか考えられるが、一つには、技術力・総合力でリードする大手企業は事業分野も幅広く、多様な経験やスキルを生かせるチャンスに恵まれていること、さらには、社員教育に熱心でスキルアップの機会にも恵まれていること、などが挙げられよう。現在のIT業界では、デファクトスタンダードたりうる強い技術や製品・サービスを持つこと、もしくは上流工程を独占するプライムコントラクターであることが、高収益を上げるための2大条件となっている。収益性の高い“勝ち組”企業でなければ、転職後の給与・待
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
