CodeZine編集部では、現場で活躍するデベロッパーをスターにするためのカンファレンス「Developers Summit」や、エンジニアの生きざまをブーストするためのイベント「Developers Boost」など、さまざまなカンファレンスを企画・運営しています。
セキュリティ対策チームやセキュリティ専門家による国際会議である「21th Annual FIRST Conference Kyoto」が6月28日より7月3日までの間、京都にて開催された。2日目の基調講演では、英国British Telecom(BT)のCSTO(Chief Security Technology Officer) Bruce Schneier氏による講演が行われた。タイトルは「Reconceptualizing Security」だ。 セキュリティにおける「感情」と「事実」とのかい離 講演は、セキュリティに関する議論において「安全であると感じることと、事実安全であることは違う」という話から始まった。両者が一致していれば問題はないが、現実には、危険な状態を安全と感じてしまっていたり、安全な状態を危険であると誤解していることがある。そして、セキュリティとは相変わらずトレードオ
はじめに Ajax(Asynchronous JavaScript + XML)やマッシュアップ(Mashup)に代表されるWeb 2.0技術は、そのリッチで使いやすいユーザーインターフェイスや高速なレスポンス性から、現在のWebアプリケーション開発のトレンドの一つとなっています。現在注目を集めているクラウド・コンピューティングにおいても、雲(=インターネット)から提供されるサービスを使用したり連携するために、AjaxやJavaScriptはよく用いられます。しかし、セキュリティーの観点から見ると、これらWebアプリケーションやその主要な実行環境環境であるWebブラウザーには、さまざまなセキュリティー上の脅威が存在します。図1は、IBMのセキュリティ部門の一つであるISSが公開しているセキュリティ脅威のトレンドとリスクに関するレポート2008年版によるもので、ISSが検知したWebアプリケ
はじめに Web開発者としてのキャリアを積んでいくと、いずれはセキュリティ上の問題に遭遇するでしょう。JavaScriptの開発元は数多くの大きなセキュリティホールを見つけては解決してきましたし、ブラウザのベンダ各社は自らセキュリティホールを塞ぐ努力をし、ブラウザ操作のセキュリティを保証するための手段を追加してきました。JavaScriptには、それ自体にセキュリティのためのアプローチがいくつか用意されています。それぞれに長所と短所があるものの、全体として見れば、いずれもかなり成功しています。いくつかのセキュリティ機構はJavaScriptインタプリタに含まれており、またブラウザ自体に含まれているものもあります。開発を始めるときには、何らかのセキュリティ機構の実装が必ず求められます。セキュリティ上の問題点を考慮しておかないと、改竄という問題を招くことになります。これは実際に起こり得ることな
内容は次の6つのセクションに分かれており、AWSのネットワークやインフラにおいてどのようなセキュリティ管理が行われているか、具体例を交えながら説明されている。 Certifications and Accreditations Physical Security Backups Amazon Elastic Compute Cloud (EC2) Security Amazon Simple Storage Service (S3) Security Amazon SimpleDB Security EC2のセキュリティを紹介したセクションでは、FirewallやAPI、ネットワークなどについての概要が説明されているほか、各攻撃手段への対応状況が説明されている。例えば、DDos攻撃に関しては、AWS APIのエンドポイントは世界最大のECサイトAmazon.comと同じ規模のインフラにホス
対象読者Webアプリの設計に携わる方、もしくは興味のある方。 不正遷移の定義と種類 不正遷移とは「Webアプリケーションの設計上、業務的に想定されていないページ間の移動」を定義することができます。具体的には、次の種類があります。アプリケーション内のブックマークされることを想定していないページをブックマークに登録し、後でブックマークから呼び出すこと。もしくはURLを直接入力して表示すること。ブラウザの「戻る」「進む」ボタンを押して移動すること。ブラウザの「更新」ボタンを押すこと。アプリケーションのボタンやリンクを連打すること。 例えば1.は「ユーザー情報画面」や「発注確認画面」をブックマークされた場合です。ログインしていない状態でユーザー情報画面に飛び込まれても個人情報を表示することはできませんし、既に発注が終わった注文の確認画面を表示してはいけません。 2.の「戻る」「進む」ボタンを押した
はじめに 今回はXSSの脆弱性をチェックするPerlスクリプトを作成したいと思います。すべてのXSSによる脆弱性が回避できるわけではありませんが、テストコード作成のヒントになれば幸いです。 対象読者 Webアプリケーション開発者で、XSSのテストケースを作成したい方。 必要な環境 Perl 5.8以上が動作する環境。基本動作の確認はMac OS Xを利用しました。次のPerlモジュールを利用するので、あらかじめインストールしておいてください。 Template::Toolkit Web::Scraper Test::Base またCGIを使用するので、ApacheなどのCGIが実行できるWebサーバを用意してください。 解説内容 ソースコード解説 まず最初にソースコードの解説をします。 xss.pl
イーシステムテクノロジー株式会社 執行役員 CRM第三部 部長 石川 亨 現在、開発の現場でプログラミングなどに携っているエンジニアの多くは、将来はコンサルタントになるキャリアパスを描いていると思います。一口にコンサルタントといっても、販売管理、生産管理といった分野や業種を含めるとさまざまな種類があり、コンサルタントへのキャリアパスは複雑なものとなってしまうでしょう。本稿ではコンサルタントになるための、最短キャリアパスを紹介します。 イーシステムテクノロジーが提唱しているのがBI(Business Intelligence)コンサルタントです。BIとは、業務システムなどから蓄積される企業内の膨大なデータを、蓄積・分析・加工して、企業の意思決定に活用しようとする手法です。ERPパッケージやCRMソフトなどからもたらされるデータの分析を専門家に依存せず、経営者や社員が必要な情報を自在に分析し
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く