セキュアなウェブアプリケーションの開発を手助けするOWASP | OSDN Magazine
セキュアなアプリケーションを開発するということはいつになっても難しい課題だ。かつては重要な役割を果たすソフトウェアは内部的なネットワーク上のユーザだけを想定して開発していれば良かったが、今日ではアプリケーションがウェブサーバ上で実行され世界中のあらゆる場所にいるユーザを想定して開発しなければならないこともある。そのようにウェブアプリケーションの扱う範囲や重大さが年々増してきているのにともなって、ウェブアプリケーションをセキュアにするための作業も年々複雑になってきている。そこでOWASP(Open Web Application Security Project)が登場した。OWASPは、ウェブアプリケーション開発者の助けとなるよう、アプリケーションのセキュリティを高めるためのツールやフレームワークやガイドラインを提供している。 OWASPはセキュリティ専門家のMark Curphey氏によ
知恵の笑い | 知恵の笑い工房 | Web過負荷制御技術
かつてインターネットの世界では“8秒ルール”という言葉が盛んに使われていた。Webサイトにアクセスしたユーザは8秒以内にページが表示されないと他のページへ移動してしまい、再び戻ってこないという一種の経験則だが、最近ではブロードバンド化の進展にともない、8秒から6秒へ、さらには4秒へと短縮しているらしい。 ページが表示されない原因の多くはユーザからのアクセスが集中してサーバが処理しきれず、一時的に機能が停止してしまうことにある。特に物販を目的とするネットショップの場合、このような使い勝手の悪さは即、売上げダウンに直結するだけに、問題は深刻だ。 NTT未来ねっと研究所の第一推進プロジェクト・データ配信DPに所属する榑林亮介が開発した『Web過負荷制御技術』は、こうした問題を解決する画期的な技術である。 「現有のサーバの能力を、アクセスが混雑した状況でも100%発揮させようというのが一番の
「もはやネットに『安全地帯』はなくなった」、専門家が警鐘
「2007年のインターネットセキュリティを振り返ると、その特徴の一つは、正規のWebサイトに攻撃キットが仕掛けられるケースが増えたこと。怪しいサイトにアクセスしなくても被害に遭う可能性がある。今や、インターネットに『安全地帯』は存在しない」――。米シマンテック セキュリティレスポンス ディレクターのケビン・ホーガン氏は2007年11月30日、報道陣向けの説明会において、2007年のセキュリティ動向などを解説した。 ホーガン氏は2007年の特徴として、プロ用の攻撃キット(攻撃ツール)が広く使われるようになったことや、信頼されているブランドが悪用されるようになったことを挙げる。 代表的な例が、「MPack(エムパック)」や「IcePack(アイスパック)」といった攻撃キットが、有名な企業/組織のWebサイトに仕掛けられるケース。脆弱(ぜいじゃく)性があるソフトウエアを使っている環境では、そうい
大規模分散処理向けの国産“ウェブOS”をRubyで開発中 − @IT
2007/11/26 2007年11月24日、「楽天テクノロジーカンファレンス2007」において、Ruby言語の開発者で楽天技術研究所フェローのまつもとゆきひろ氏は、開発中の大規模分散処理基盤「Roma」(ローマ)と「Fairy」(フェアリー)のコンセプトを語った。研究段階ではあるものの、米グーグルなど世界トップクラスのネット企業だけが持つ大規模分散処理技術に真っ向から挑戦する試みだ。 米グーグル、米ヤフー、米アマゾンなど世界トップクラスの大手ネット企業は、巨大なトラフィックに対処するため、大規模データセンターの信頼性、可用性、性能などを確保する大規模分散処理基盤の研究開発を進めている。最近では、こうした大規模分散処理基盤は“ウェブOS”と呼ばれることもあり、注目を集めている。つまり世界トップクラスのネット企業は“ウェブOS”を自社開発しているわけだが、楽天でも国産の“ウェブOS”が生まれ
なぜ「ニコ動」は盛り上がり、「Second Life」は過疎化するのか (1/2) - ITmedia News
「ニコニコ動画」「Twitter」はなぜ盛り上がり、Second Lifeは閑散としているのか――日本技芸リサーチャーの濱野智史さんが11月22日、ブロードバンド推進協議会(BBA)が主催したシンポジウム「仮想世界におけるコミュニティサービスの現在」で、3サービスを分析。勝敗を分けたのは「時間軸」だと説明した。 「Second Lifeは、描画が3Dになり、見た目上は進化しているように見える。だが、その進化は本当に、ユーザーが求めているものだろうか。見た目にだまされず、見えないもの――時間に着目すれば、なぜSecond Lifeがバッシングされ、ニコニコ動画が受け入れられたか分かってくるだろう」 コミュニケーションの「同期」と「非同期」 3サービスは、ユーザーがネット上でコミュニケーションするという点で共通する。だがコミュニケーションの「同期性」で見るとそれぞれ異なっており、Second
ママの特技はテロ撲滅:ネットでテロリストに接近、逮捕に貢献 | WIRED VISION
ママの特技はテロ撲滅:ネットでテロリストに接近、逮捕に貢献 2007年10月29日 社会 コメント: トラックバック (0) Noah Shachtman 2007年10月29日 今月の『ワイアード』誌に、モンタナ州に住むShannon Rossmiller氏の非常に興味深い話が掲載されている。 彼女は、学校に通う子供たちの面倒をみながら、オンラインで活動するジハディスト(聖戦士)と親しくなり、その後当局に密告しているという。 当局筋によると、Rossmiller氏のネット上の活動は、6つほどのテロリスト集団の逮捕に貢献した。 Rossmiller氏の成功は、アルカイダの有名な分散型組織における根本的な欠陥をつくことでもたらされた。 厳格な階層体制が欠如しているため、巧妙に振舞えば、テロリストの仲間になるのは非常に簡単だ。そこで、Rossmiller氏は、「アルカイダ兵士になりたくて、同じ
もいちどイチから! HTTP基礎訓練中 第1回 XSSは知ってても、それだけじゃ困ります? ― @IT
分かってるつもりではあるけれど…… クウはベンチャー企業で働くWebアプリケーションのエンジニア。でもそこは小さなベンチャー企業、セキュリティのことは分かっていながらも、動くものを納品するので精いっぱい……。今日は納品のため、客先でミーティングに参加していた。そしてお客様から受けた指摘は、こんな一言だった。 お客さん 「……で、このWebアプリケーション、セキュリティは大丈夫なんだよね?」 クウ 「は、はいっ! もちろんです!」 お客さん 「じゃあ、これからもよろしく頼むよ」 クウ、ユウヤ 「よろしくお願いしますっ!」 無事、お客さんとのミーティングを終えたクウとユウヤの2人は、近くの喫茶店で一息いれることにした。 クウ 「最近はセキュリティのことを聞かれることがかなり増えてきましたねぇ」 ユウヤ 「ああ、そうだね。営業の段階から『セキュリティはどう担保されているんだ?』なーんてことをいわ
∞Eyes - グーグル八分発見システム
グーグル八分発見システム(通称、∞Eyes)は、検索エンジンを安心・安全に利用できる環境を、利用者自ら構築するためのプロジェクトです。現在、Googleをはじめとする検索エンジンでは、検索エンジン運営会社の利益的な都合により、検索結果の「検閲」または「情報操作」が日常的に行われています。何者かにとって不都合な真実は隠され、検索結果の偽装が行われていることが、様々な調査によって明らかになっています。日本では、検閲によって検索から外されることを、村八分をもじって「グーグル八分」と呼んだりします。 ∞Eyesは、「グーグル八分」を見つけだすとともに検索結果の「検証」を行い、検索を必要とする全ての人に正しい情報を届けることを目標としています。 本システムで見つけたグーグル八分一覧(仮) グーグル八分一覧は、多数の要望により実験的に公開しているものです。リンク先に不適切な画像や情報などが含まれている
相関図ジェネレータ
下の名前を10文字以内のカナで入力して下さい。(例)りえ 名字だと性別などが分析できないため、下の名前、せめてハンドルネームで入力して下さい。 改行することで2〜5人分の名前を入力することができます。
子供だけではない、フィルタリングソフトの必要性
アダルトサイトや出会い系サイト、有害コンテンツから「子供を守る」という側面で必要性が訴えられているWebフィルタリングソフト/サービスだが、インターネット上には大人にとっても望ましくないコンテンツもある。また、ワンクリック詐欺やウイルス配布サイトなどの被害は子供に限ったことではない。そんな中、今後、シニア層がインターネットを活用する機会が増えてくれば、これらの被害が増加することも懸念される。 敬老の日を控え、両親あるいは祖父母へのプレゼントを考えている読者の方もいることと思うが、より安心してインターネットを使える環境を用意してあげるのも手だろう。今回は、その1つの方法としてフィルタリングを取り上げる。大人、とりわけシニアにおけるフィルタリングの有用性について、ネットスターの高橋大洋氏に話を伺った。 ● フィルタリングの対象は、アダルトや出会い系だけではない ネットスターは、フィルタリング技
脆弱性検査ソフトの利用を開発標準で徹底
東京海上日動システムズは、Webアプリケーションの脆弱性検査ツール「AppScan」を導入。Webアプリケーションの開発標準プロセスに組み込んだ――。AppScanを開発・販売するウォッチファイア・ジャパンが8月28日に、こう発表した。実際の利用は今年3月からである。 導入のきっかけについて東京海上日動システムズの経営企画室は、「他社がセキュリティ侵害に見舞われたこと」と話す。同社は東京海上日動火災保険を中核とするミレア・グループ各社の情報システムの開発・保守を担当している。20万台のクライアント端末を擁する代理店オンライン・システムなど、東京海上日動の100種類に及ぶWebアプリケーションの“堅牢性”を高めるべく、他社の障害事例を分析・研究して、ミレア・グループ内に防止策を展開する対策委員会を設けている。 「正直、これまでの脆弱性対策が100%と言い切れないところがあった。脆弱性検査の観
Erlang で付箋Webアプリケーションを作ってみました。 : DSAS開発者の部屋
インターネットを見ていて、そのときの感想とかページの内容に対して思っ たことなんかを簡単に書き留めておけると便利かなと思い、適当なWebのペー ジ上にブラウザで表示したまま付箋をつけられる WEB アプリケーションを、最近流 行の Erlang 作成してみました。 付箋 Web の実験デモサイトはこちらです。 http://husen.lab.klab.org/ 付箋Webの概要は 付箋のデータは専用の付箋Webサーバ上に保存される。 ブラウザー上ではAjaxで付箋Webサーバと通信する。 ブックマークレットを使って、任意のページで付箋を使えるようにする。 実際に作成しようとすると、他人のページに、ほかのサーバのデータを使って 重ね書きするので工夫が必要になります。最初に考えたのは、IFRAMEを使って 他人のページを表示する方法でしたが、これだけだと使いづらいので、ブック マークレットを
「ネットでセミナー」の使い勝手
7月,ネット上で開催されたセミナー――「Webinar」に,講師として“登壇”した。WebEx(ウェブエックス)というWeb会議システムの大手ベンダーが開催したものである。録画された講演は,WebEx内のWebページで閲覧できるので,もしご興味を持たれたらアクセスしていただきたい。 米国ではWebinarは珍しくない。筆者は実際,米国で開かれているWebinarにたびたび“参加”してきた。Webinarは,テレビ会議システムを使ったプレス・コンファレンスに近いイメージである。講演者が目の前のIPカメラとマイクに向かって一通り説明する。その様子は,遠隔地にいる聴講者のパソコンに配信される。その後,聴講者は自身のIPカメラやマイクを使って講演者に質疑応答する。米国人は一般的に質疑応答を積極的に行うので,「ライブ」で開催する意味が大きい。 しかし,今回のセミナーは筆者が抱いたイメージとはかけ離れ
定点観測:日経225に含まれる会社が採用のWebサーバー - Nothing ventured, nothing gained.
昨年、日本でのApache比率は高すぎないかい?!で、日経225に含まれる会社が採用しているWebサーバーの種類を調査した。前回と同じく、単にHTTPヘッダを調べただけなので、HTTPヘッダを偽装している場合には、実際に採用しているWebサーバーと異なる可能性はある。 前回に比べるとApacheが増加(+6)し、IISが減少(-6)していることがわかる。
IPAが採択した「グーグル八分発見システム」の深意
いまやインターネットの世界で、検索エンジンなしの生活は考えられない。私たちは気になった単語や知りたいキーワードを検索ボックスに打ち込み、あらゆることを調べる。テレビCMでは「続きはウェブで検索!」という言葉までが登場するようになった。分からないことがあったときに「グーグル先生に訊いてみよう」というのは、インターネット業界の合い言葉になっている。 そんな中で、もし自分の運営しているサイトがある日突然、検索結果に表示されなくなったらどうだろう。訪問者数はおそらく激減し、サイトの広告や物販の売上は大きく落ち込んでしまうだろう。 ある日突然、グーグルの検索結果から自分のサイトが表示されなくなること――これは「グーグル八分」と呼ばれている。かつて村の掟を破った者が葬式と火事以外の交流を断たれた「村八分」になぞらえたもので、グーグルのポリシーに違反したサイトがグーグルの検索インデックスから削除され、グ
オンラインでマインドマップや間取り図等作成!gliffy - ライフハックブログKo's Style
部屋の模様替えをしたくて、PC上で家具のレイアウトを考えようかなーと思ったら、1年前くらいに話題になっていたこのツールを思い出しました。 gliffyです。 オンラインでマインドマップや間取り図、フローチャートなどの図を作成できます。 gliffy いやー便利。 動作も滑らかで、オンラインというのを感じさせません。 サンプル見たらどんな図を作成出来るかわかりますよ。 もちろん、保存もでき、また共有、履歴管理もできます。 ■関連リンク ・秋元@サイボウズラボ・プログラマー・ブログ: Flash ベースの Visio風サービス gliffy がベータ公開 ・[N] オンラインでVisioのような図表が描ける「Gliffy」 ・気になるインテリア 2006/10 ・気になるインテリア ・節電でも涼しく過ごす ■関連本 カフェのインテリア―「私っぽい」が見つかるお店33+25
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://www.yasuhisa.com/could/entries/001198.php
TripIt - Highest-rated trip planner and flight tracker
gogo.gs
TechCrunch Japanese アーカイブ » Google副社長―「ウェブこそ唯一のプラットフォームだ」
