ウェブアプリケーションセキュリティとバッドノウハウ、そしてグッドラッパーの関係
ウェブアプリケーションセキュリティとバッドノウハウ、そしてグッドラッパーの関係 by 金床 ---------------------------------- はじめに ---------------------------------- 筆者はウェブアプリケーション開発者であると同時にセキュリティ技術にも興味がある。自身がSeaSurfers MLというウェブアプリケーションセキュリティをテーマとしたメーリングリストを主催しており、またセキュリティコミュニティに多くの知人、友人がいる。しかし彼らとウェブアプリケーションなどのセキュリティ対策について意見を交換すると、違和感をおぼえることが多い。 彼らは脆弱性の原理についてとても詳しいのだが、以下のような会話が頻繁に発生するのである。 「…つまり原理的に考えて、このようにすればXSSは発生しないんだよ」 「な
仙石浩明の日記: 技術者の成長に役立つ会社とは?(2)
技術者の成長に役立つ会社とは?(1) をとても多くの方々に読んで頂けました。 頂いたコメントや、 はてなブックマークに頂いたコメントを見ると、 賛同/批判 両方の立場から様々なご意見がありますね。 拙文が多くの方々の考えるきっかけになったのだとすれば、 書いた甲斐があるというものです。 特に学生さんにとっては、これから自身の人生を切り拓いていくのですから、 いま自分の将来について考えることは、 必ず後の人生にとってプラスになることでしょう。 以下に述べるのは、私が考える「技術者の成長に役立つ会社」の条件です。 他の人は異なった考えを持つかもしれませんし、 私自身も常に考え続けているので、 「役立つ会社」の条件が変ってくることがあるかも知れません。 しかし、 「技術者の成長にとって一番役に立つ会社を目指したい」というその思い自体は、 私が技術の責任者であり続ける限り、変らず持ち続けたいと思っ
ブロックを組み立てるようにプログラミングを簡単に学べる『Scratch』がすごいかもしれません | POP*POP
MITのメディアラボで開発されている開発ツール「Scratch」が話題になっています。 小さなお子さんでもプログラミングに親しんでもらおう、という目的で作られたツールです。 この時代、誰でもプログラミングを学びたいものですよね。この「Scratch」、どれほど簡単なのでしょうか。 以下に詳しく見ていきましょう。 ↑ 起動直後の画面。左側からアクションを選んで組み立てていきます。 ↑ まずは猫を動かしましょう。左側から「Move 10 Steps」を選び、横のエリアにドラッグします。それをダブルクリックすると猫が横に動きます。もちろん「10」の値は好きに変えられます。 ↑ 次にさっきのブロックの下に「Say Hello for 2 seconds」をくっつけます。これでこのブロックをダブルクリックすると「横に動いてHelloと2秒間言う」というアクションがつくれました。 ↑ こうしてできたア
アシアル,グラフ作成Webサービス「JSChart」,Webセキュリティスキャナ「Chorizo!」提供開始
JSChart アシアル株式会社は4月6日,Webページにダイナミックなグラフを作成するためのWebサービス「JSChart」の提供を開始した。 従来Web上でグラフを表示するには,グラフを画像として作成し,アップロードする必要がありました。同サービスでは,Web上の管理画面から簡単にグラフが作成可能で,グラフを表示させたいWebページに数行程度のHTMLタグを貼り付けるだけでグラフが表示される。なお,フル機能利用可能な有料版と,一部機能に制限がある無料版が用意されている。 Chorizo! 4月10日,Webセキュリティスキャナ「Chorizo!」の提供を開始した。 同サービスは,Webアプリケーションのセキュリティ問題を素早く検出するスキャナ。プロキシサーバとしてWebブラウザに統合され,ブラウズしながらWebサイトのスキャンが可能。 また,継続的なテストを通じてソフトウェアの品質を向
本物のプログラマはHaskellを使う:ITpro
筆者 shelarcy Haskellは,関数型プログラミングというジャンルに属する言語です。Haskellや関数型プログラミングを題材に物事を見ていくことで,今まで思いもよらなかったような未知の世界を知ることができるでしょう。 プログラミング言語を学ぶという行為には, 言語の基本的な文法や考え方を理解する 言語の文化圏で広く使われている考え方に親しんでその言語らしい書き方を習得する 単に言語を使ってできること以上の知恵を学ぶ の3段階があります。この連載では,三つ目の段階を目標に,Haskellプログラミングの世界を一つひとつ丁寧に紹介していきます。 更新は毎月第1水曜日(1月のみ第2水曜日)
「オープンソースの特許侵害、235件」――MS幹部が主張
Microsoftは以前からLinuxなどのオープンソースソフトが同社特許を侵害していると主張していたが、初めてその内訳を明らかにした。 米Microsoftはフリー・オープンソースソフトコミュニティーによる特許侵害を脅しに使い、企業顧客をSUSE Enterprise Linuxに誘導し、さらにGNU General Public Licenseの次期版に関する問題を複雑にしようとしている。 この最新戦略の一環として、Microsoftは初めてフリー・オープンソースソフトが侵害している同社特許の実際の数を挙げた。 同社の法務顧問ブラッド・スミス氏はFortuneの取材で、Linuxカーネルは42件の同社特許を、Linux GUIは65件、OpenOfficeスイートは45件、電子メールプログラムは15件、その他のフリー・オープンソースプログラムは68件の特許を侵害していると主張している。
「Javaに並列処理と関数型言語の要素を」、ティム・ブレイ氏 ― @IT
これまでCPUはムーアの法則に従って高速化してきたが、今後、CPUは高速化よりも並列化が進む。「これまでは動作の遅いプログラムでも、来年には高速に動くというのが常識でした。しかし、これはもはや現在の状況には当てはまりません」。サン・マイクロシステムズでWebテクノロジー関連のディレクターを務めるティム・ブレイ(Tim Bray)氏は、近い将来にプログラマが直面する問題は、CPUのコア数が増えてハードウェアの並列化が進むのに対して、現在使われている言語の多くで並列プログラミングのサポートが十分でないことだという。 「UltraSparc T1では8コア32スレッドの並列処理が可能です。IBMやAMD、インテルもCPUのコアの数を増やしつつあります。JavaEEを使えばスレッドサポートによる並列化の恩恵にあずかれますが、そうでない言語も多くあります」。 ブレイ氏は、こうした問題に対して2つの方
ブログの文章にピンポイントでコメントがつけられる『LineBuzz』 - 100SHIKI ~ 世界のアイデアを日替わりで ~
ブログの文章にピンポイントでコメントがつけられる『LineBuzz』 May 16th, 2007 Posted in ブログ・RSSツール Write comment これはすごい。 ブログを読んでいると「この記事のこの部分に言いたいことがある!」というときがある。そうしたときに使えるのが「LineBuzz」である。 このツールをあなたのブログに導入しておけば、読者が記事内の文章にピンポイントでコメントを残していくことができる。 読者がコメントを残す方法も簡単だ。 LineBuzzに対応したブログでは、コメントしたい文章をハイライトするだけで「Post An Inline Comment?」メニューが現れてくれるのだ。 そしてそのようにコメントが寄せられた文章には下線がつくのですぐわかる。マウスをそこに持っていくとそれらのコメントを見ることができるし、さらにそのコメントについてコメントす
使って便利なOpenOffice.org用の機能拡張 | OSDN Magazine
Firefoxと同様、OpenOffice.orgについても機能拡張をインストールすることで様々な機能を追加することができる。そこで本稿では、特に有用な機能拡張をいくつか紹介することにする。 Annotation Toolは、OpenOffice.orgのメモ機能に関する不満を解消してくれる機能拡張だ。ここで言う不満とは、強調表示させたテキストにメモを付けられないことおよび、ドキュメント上のメモを一括削除できないという点である。いずれの問題も、Annotation Toolをインストールすることで解決できる。 OpenOffice.orgがネイティブにサポートするグラフィックフォーマットの中にSVG形式の画像は含まれていないが、多数の優れたベクトル系画像がOpen Clip Art Libraryに登録されている点を考えると、これは非常に残念である。SVG Import Filterは、そ
gooラボ訪問のフォローアップ | 秋元@サイボウズラボ・プログラマー・ブログ
また、シリーズ初回のgooラボのインタビューのときに話に出ていたプロジェクトが、数日前に「gooブログ検索 評判分析」として正式公開されたのでこちらもご紹介しておく。 gooブログ検索で、検索結果から「評判分析」を選ぶと、ブログの中から、キーワードに関連したものを関連度や肯定的・否定的の判定をした上で、グラフ化して見せてくれたりするものだ。 ITmediaでも紹介記事が出ている。日本語の検索や解析技術に強みを持つgooラボらしいサービスが、わかりやすいUIやグラフで提供されていていいと思った。Google Trendsとか好きな人はこれは必見かと思う。 この記事は移転前の古いURLで公開された時のものですブックマークが新旧で分散している場合があります。移転前は現在とは文体が違い「である」調です。(参考)記事の内容が古くて役に立たなくなっている、という場合にはコメントやツイッターでご指摘いた
Apacheに対するサービス拒否攻撃を回避する方法
筆者は最近,Apache HTTPサーバーに対するサービス拒否攻撃を防御するWebベースのセキュリティ・ツール「mod_evasive」を使い始めた。mod_evasiveは特定の挙動を探してそれをブロックするモジュールである。 mod_evasiveは,筆者が昨年の12月に紹介した「Suhosin」に似ている(関連記事:PHPの「守護神」Suhosin)。SuhosinはPHPスクリプティング・エンジンの安全性を大幅に高めるパッチである。Suhosinは,害を及ぼす危険性を持つありとあらゆるWebベースのコンテンツを検出し,それらがPHPエンジンを越えてシステムやネットワークに到達するのを防ぐ上で役に立つ。 mod_evasiveが機能する仕組みを説明しよう。mod_evasiveはまずURLリクエストをApacheサーバーに送信するIPアドレスの記録を取る。その後,あらかじめ設定した許
社員の休日管理だけに特化した『WhosOff』 | 100SHIKI
社員の休日管理は複雑である。 誰と誰が一緒に休んだら困るとか、誰がどれだけ休んでいるかわかりにくい、とかそういうことだ。 そこで登場したのが「WhosOff」である。このウェブサービス、そうした休日管理だけに特化している。 これを使えば誰がいつ休暇がとれるのか、その許可が誰から与えられたのか、誰がどれだけ休んでいるのかが一目瞭然である。 休みをとる、という行為は不必要に心理エネルギーを消耗する場合が多い。そうしたときに客観的なデータを提供できるこうしたシステムはいいですね。
有力なスパム手法にのしあがってきたパラサイトホスティング | Web担当者Forum
素敵なのは、比較的良いユーザー体験を得られるということかな。たどり着いたページは確かにバイアグラを販売しているんだからね(買おうとしたことはないから、顧客サービスがどうなのかは知りようがないけど)。そして興味深いのは、パラサイトページが上位にランクする力だ。ためしに、「cheap cialis」(格安シアリス)や「generic celebrex」(ジェネリックのセレブレックス)を検索してみよう。同様の結果がみられるだろう。 パラサイトホスティング自体はまったく新しい手法というわけじゃないけど、歴史ある強力なドメインを好むというGoogleの傾向をうまく利用している。各テーマでの人気度が、ドメインの信用度と比べて二の次にされていることを示す好例でもある。皮肉なことに、信用度の高いドメインのコンテンツほど上位にランクする方針にGoogleが移行したのは、数年前に横行していたスパム行為への対処
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
