架空企業「オニギリペイ」に学ぶ、セキュリティインシデント対策
架空企業「オニギリペイ」に学ぶ、セキュリティインシデント対策:徳丸浩氏が8つの試練を基に解説(1/3 ページ) ECサイトやWebサービスでセキュリティインシデントを起こさないためには何をすればいいのか。2019年12月に開かれた「PHP Conference Japan 2019」で徳丸浩氏が、架空企業で起きたセキュリティインシデントを例に、その対策方法を紹介した。 ECサイトやWebサービスを提供する会社で発生したセキュリティインシデントに関するさまざまなニュースが後を絶たない。どうすればこうしたインシデントは防げるのだろうか。 『体系的に学ぶ安全なWebアプリケーションの作り方』(通称:徳丸本)の筆者として知られる徳丸浩氏(EGセキュアソリューションズ 代表取締役)は、2019年12月に開かれた「PHP Conference Japan 2019」のセッション「オニギリペイのセキュリ
隠されていたSQLインジェクション ― @IT
星野君は赤坂さんと一緒にお客さんのWebアプリケーションの検査をすることになった。辛うじて「不必要情報」の脆弱性を見つけたものの、赤坂さんは不満げだ。 「だって、これ、ほかにもっと危険な脆弱性あるよ……」。 赤坂さん 「ってことで、今回は50点ってとこかな」 星野君 「うわっ。厳しいですね……。一応脆弱性は見つけたんだからもう少し……」 赤坂さん 「え。だって、これ、ほかにもっと危険な脆弱性あるよ」 星野君 「(ほかにも脆弱性あるっていってもなぁ……)」 赤坂さんに「ほかにもっと危険な脆弱性あるよ」と指摘されたにもかかわらず、星野君にはサッパリ見当が付かなかった。不必要情報(Unnecessary Information)の脆弱性に気付くまでの作業で、一通り思い付くことはやりつくしていた。 そうこうしているうちに時間は過ぎ、結局ほかの脆弱性を見つけられないまま、お客さんと約束した時間になっ
師走を楽しもう。技術系アドベントカレンダーの魅力とは
アドベントカレンダーとは? 「アドベントカレンダー」(Advent Calendar)とは、クリスマスまでの期間(待降節=アドベント)をより楽しく過ごすため、12月1日から24日までの間カウントダウンしていく“日めくりカレンダー”のことです。 IT業界では、このアドベントカレンダーの風習に習って、12月1~24日の間、何かのテーマや、何らかの制限事項(縛り)を設けてWebにコラム記事を書くというイベントを楽しむようになりました(なかには25日や年末まで続けるものもあるようです)。 24人集めて順番におのおのが書く場合もありますし、1人で毎日書く場合もあります。また、順番に指名していくという、順序が分からないスリリングな方法をとる アドベントカレンダーもあるようです。 アドベントカレンダーの内容は、ある特定のプログラミング言語や、テクノロジーに絞り、Tipsや、ハマった例、おすすめのプラグイ
こんなに充実!Webで学べるIT系学習講座20選まとめ
Webにある「学び舎」使っていますか? 無料で学べるオンラインコンテンツが数多く観られるようになってきました。従来は語学や、ビジネス系のものが目立っていましたが、最近では、質の高いIT系のオンライン学習のための教材がそろってきました。オンラインでの学習の利点はいくつか考えられます。 安価もしくは無料で質の高い教材に出会える 自分の時間をうまく使って教材や講座を観られる →モバイルデバイスに入れて持ち歩くこともできる 気に入った講座はサブスクライブ(登録)することで継続的に受講できる 海外の講座であれば、英語の勉強(ヒアリング)にもなる →海外出張や英語イベント参加の前に、英語脳に切り替えるのに便利 物理や数学、ITやプログラミングに直接関係無い事柄でも学べる 一方で、一緒に学ぶ同級生の存在が感じられにくい、サボる理由がいくらでもあり、モチベーションが続きにくいといった難点もあります。 また
ライトニングトークの極意教えます − @IT自分戦略研究所
テクニカル系のイベントのコンテンツとして、すっかり定着した感のあるライトニングトーク。さまざまなイベントで催され、多くの人が3?5分間程度の短い時間で、発表者の伝えたいことを発表する。聞く側からしても短い時間なので、構えることなく聞くことができる形式のプレゼンテーションだ。最近はイベント自体が動画で配信されることが増えてきているため、実際にイベントに参加しなくても見たことがある人もいるだろう。 しかし、限られた非常に短い時間の中で、自分の伝えたいことを伝えることは至難の業。そのため挑戦したいと思っても、二の足を踏む人もいるだろう。そこで、数々のイベントで見事なプレゼンテーションを披露し、会場を沸かせるサイボウズラボ 竹迫良範氏にお話を聞いて、ライトニングトークの極意を探る。 ライトニングトークを始めたきっかけ 竹迫氏がライトニングトークを始めたのは、2004年にShibuya.pmが行った
子どもたちがOSS活動、プログラミング言語「Scratch」が開く未来 - @IT
2008/01/17 本当の意味でコンピュータリテラシーがあるというのは、つまりプログラミングができるということだ――。“パーソナル・コンピュータ”という概念の生みの親で、先進的なプログラミング言語「Smalltalk」やGUIというインターフェイスの開発者としても知られるコンピュータ科学者のアラン・ケイ博士は、そう言い切る。コンピュータに囲まれて育ったわれわれの子どもたちは、コンピュータリテラシーを持つ初めての世代になるだろう、と。 ケイ博士の議論は、“リテラシー”という言葉がもともと指していた文字の読み書き能力の歴史を振り返れば説得力を持つ。今では小中学生でもケータイで文字を書き送っているが、文字の歴史のほとんどの期間、非専門家が文字を読み書きする時代が来るとは、誰も想像すらできなかった。文字は、一部の特別な訓練を受けた人々だけが扱いうるものだった。グーテンベルクの活版印刷技術の発明か
「オタクが欲しい」――採用担当が明かす本音
「オタクが欲しい」――採用担当が明かす本音:新卒採用の裏側 『わが社はこんな学生を採用したい!』」レポート(1/2 ページ) アイティメディアは10月30日、IT業界就職ラボ登録者限定イベント「IT企業 新卒採用の裏側 『わが社はこんな学生を採用したい!』」を開催した。企業の採用担当者は、採用プロセスで学生のどんなところを見ているのか。また、どんな人材を採用したいと考えているのか。IT企業の採用担当者が語った。 自己分析から始めてはいけない イベントは2部構成で行われた。前半では、アイティメディア 人事担当部長の浦野平也氏が「就職活動を始める前に押さえておくべきポイント」について講演した。 「例えば、皆さんが船に乗る場面を想像してください。大きさや行き先、知名度や新しさなど、それぞれ違う様子の船が港に停泊しています。さて、あなたはどのようにして乗る船を選ぶべきでしょうか」。 浦野氏はこう問
Twitter創業者の新事業「Square」の衝撃 - @IT
Twitter創業者のJack Dorsey(http://twitter.com/jack)の新事業「Square」(http://squareup.com/、http://twitter.com/Square)が発表された。衝撃的な内容であった。「アメリカのセレブがやればこれもアリなのか!」という強烈な衝撃である。 現在判明しているSquareの基本ビジネスは、 製造原価1ドル以下といわれる、マイクロホンジャックに差し込む磁気カードリーダーをiPhoneに差し込んで、クレジット決済サービスを個人間に開放する。 というものである。Dorsey氏の言及によれば、この磁気カードリーダーは無料で配布する予定らしい。 保守的なカード業界 単純に考えれば、「iPhoneでカード決済が出来て何がすごいの?」ということなのだが、ある程度クレジットカード業界を知る立場からすれば、このプランは従来の常識を
tailコマンドでログファイルをリアルタイムに監視する(Windows編)
解説 Windows OSに限らず、OS上で動作している各種のサービス・プログラムでは、動作状態の情報を「ログ・ファイル」として、テキスト・ファイルに書き出すものが少なくない。例えばWebサーバのログや、ファイアウォールの動作ログなどがある。 これらのログ・ファイルの内容を調査するには、メモ帳で開いたり、コマンド・プロンプト上でmoreやtypeコマンドを使って表示させたりするのが一般的である。だがログ・ファイルの内容は時々刻々と変化しているので(正確には、時間が進むにつれて内容が次々と追加されているので)、メモ帳で開いたログ・ファイルの内容や、moreコマンドで表示したデータは必ずしも最新のものではない。時間がたてば、また新しい内容(ログ・データ)が追加されてしまっているからだ。最新の内容を確認したければ、その都度ファイルをオープンし直す必要があるが、これは非常に面倒である。 このような
一気に分かる“XQuery”ハンズオン演習 1/3 − @IT
今年(2006年)はXMLデータベース元年といわれています。すでに製品を出していた企業を含む多くのベンダが、XMLを保存するのに適したデータベース管理システム(DBMS)を発表しています。そして何よりXML専用のクエリ(問い合わせ)言語であるXQueryが昨年11月にW3C(World Wide Web Consortium)のCR(Candidate Recommendation:勧告候補)にまでこぎつけました。 本記事では、XQueryをクエリ言語の標準であるSQLと比較しながら、どのような言語なのか概説します。 ■XMLはどのように保存されるべきか XML 1.0勧告が発表されてはや8年が過ぎ去ろうとしています。筆者自身が関与した開発プロジェクトでXMLを初めて使ったのは1999年ですが、それからすでに7年が経過しました。 これまでXMLを企業システムで利用してきた際にいつもつきまと
IT系でも活用しなければ損。論文を読んで広がる知見 - @IT
「Java News.jp(Javaに関する最新ニュース)」の安藤幸央氏が、CoolなプログラミングのためのノウハウやTIPS、筆者の経験などを「Rundown」(駆け足の要点説明)でお届けします(編集部) 論文は、難しくない 読者の皆さんの中には、「論文」と聞くと身構えてしまう方も多いのではないでしょうか? 論文というと、書くのも読むのも大変で何だか小難しいことが書いてあるもののように思えるものです。それどころか、「論文とは縁がない」「プログラムがすべてだ」と思う方もいるかもしれません。しかし、ある特定分野の技術や研究を詳しく知るためには、論文は手軽で確実な情報源です。 よく論文が持つ意味について「巨人の肩の上に立つ」と例えられることがあります。これは、万有引力の研究で知られるニュートンも好んで引用していた言葉だそうです。「現代の学問は多くの研究の蓄積の上に成り立っている」ことを示す言葉
グーグルが賭けるHTML 5の未来 - @IT
2009/05/28 「決してWebをあなどってはいけない」(Never underestimate the Web)。Google I/O 2009初日の基調講演でシュミットCEOに続いて登壇したのは、米グーグル バイス・プレジデントのビック・グンドトラ氏だ。ゆっくりと一語一語を区切りながら語り始めたグンドトラ氏の言葉には重みがある。彼は元マイクロソフト社員で、まさにWebをあなどっていた側にいたからだ。 グンドトラ氏はWindowsプラットフォームを唱道する立場にあった。彼に限らず、マイクロソフト社員の間には、ネイティブアプリケーションでなければできないことがあるとする見方が一般的だったという。「Keyholeという会社が出てきたとき、彼らが持つようなアプリケーションこそ、ネイティブでなければできないものだと言っていた。ところがグーグルは2004年11月にKeyholeを買収し、Goo
「通りすがり」コメントの終焉 - @IT
ブログのコメントシステムに地殻変動が始まっているかもしれない。いま英語圏では任意のブログやWebサービスを対象に、サイト横断的に発言を管理する“コメントトラッキング”と呼ばれるプラットフォームサービスが数多く登場して注目を集めている。互いに顔の見える“ソーシャル”なコミュニケーションが、SNSという閉じた世界に限らず、パブリックなネット全体に広がっていくかもしれない。 「通りすがり」という匿名コメント ブロガーにとっても、その来訪者にとっても、ブログコメントにはいくつか使いづらい点があった。 コメントを残す人にとって最大の問題は、たまたま見かけたエントリに対してコメントを残すインセンティブが小さいことだ。コメントを残したからといってブックマークに登録し、後日再び訪れるということは、まずしない。自分がどこにコメントしたのか、あるいはコメントしたことすら忘れてしまうことが多いだろう。このため「
位置情報を取得する仕組み
可能性の広がる位置推定技術。ケータイやカーナビ、モバイル端末での位置推定の仕組みを、具体的な製品や実装方法を交えて説明 位置情報の利用の広がり GPSを搭載した携帯電話の普及などによって、位置情報は単に道案内として利用されるだけではなく、位置情報に関連付けられた天気・お店などさまざまな情報が得られるようになってきました。 また、近年の無線通信技術の進歩によって、大量の情報がどこでも得られるような環境も整ってきています。これに合わせて、いままで携帯電話などを中心に利用されてきた位置情報が、PCにも広がりを見せています。 例えば、2009年1月の時点では、位置情報を取得する機能を搭載したノートPCが登場しているほか、Windows 7のベータ版には、位置情報に関する項目が標準で追加されています。 本連載では、可能性が広がりつつある位置情報に関する技術について、具体的な実装方法を交えて紹介してい
Cyanを設計した高校生、5カ月で5つの言語を習得
読者の皆さんは、「Cyan」(サイアン)という言語をご存じないかもしれない。Cyanは、Lispのマクロを持ち、Python風のインデントによってブロックを表すプログラミング言語。2008年の春、林拓人という1人の高校生によって設計された。 連載第1回の竹内郁雄氏が「開発」の天才、第2回の五十嵐悠紀氏が「発想」の天才とするならば、今回の林氏は「プログラミング言語」の天才だ。 林氏がプログラミング言語に初めて触れたのは中学3年の夏休み。そこから冬休みまでの5カ月間に、5つのプログラミング言語を習得した。その後もいくつかのプログラミング言語を学ぶ中、林氏の興味はWebサービスなどのものづくりには行かず、ひたすら言語自体へと向かっていった。 高校2年の春、自身でプログラミング言語Cyanを作り上げた。Cyanを設計した林氏は、「U-20プログラミング・コンテスト」(以下、U-20プロコン)で経済
Chromeはなぜ速いのか - @IT
Chromeの動作が圧倒的に速いように感じている。Chromeがリリースされた当初、それがなぜなのかよく分からなかった。グーグルだけにできて、ほかのWebブラウザ開発者にできないことなどあるように思えないが、それにしてはあまりに速いように感じたからだ。 その疑問のほとんどは、Chromeのオープンソースプロジェクト版「Chromium」の公式ブログの解説で氷解した。ブログを読んで分かったのはグーグルのエンジニアたちが信じられないほどのスピード狂であることと、そのスピードへのこだわりには2種類の“スピード”があることだ。 1つは処理速度、もう1つは応答速度だ。特に後者、ユーザーをできるだけ待たせない、イラつかせないということに対する徹底したこだわりは、すさまじい。その背後には「スピードとは、つまりお金だ」という洞察があるようだ。 0.5秒の遅延でユーザー離れ グーグル創業約1年後の1999年
Flash制作を簡単にするActionScriptライブラリとは?(1/3) - @IT
Flash制作を簡単にする ActionScriptライブラリとは? 特集:Flasherに便利なオープンソース「Spark project」 Spark project コミッタ 新藤 愛大 2008/12/10 「ActionScriptライブラリ」って何? 読者の方は、Flashを使った複雑なアニメーションの制作をどのように行っているのでしょうか。ActionScriptコードを勉強して一から制作していますか? そんな人にこそ知っておいてほしいことがあります。実は、オープンソースの「ActionScriptライブラリ」を使うと、無料で簡単に複雑な機能・動きが実現できるのです。 ActionScriptライブラリとは、一言でいうと、「みんなが使えるように公開されているActionScriptコード」のことです。 イマイチピンと来ませんか? そんな人でも、「Tweener」「Paperv
「IT業界の未来」から「10年泥の真意」まで、学生と経営者の最後の討論会 ― @IT
「IT業界の未来」から「10年泥の真意」まで、学生と経営者の最後の討論会:IPA Forum 2008 情報処理推進機構(IPA)は10月28日、IPA Forum 2008で「学生と経営者の討論会」と題したパネルディスカッションを開催した。IPAによる同企画は2007年10月、2008年5月に続いて3回目。 学生側は、東海大学専門職大学院、東京工科大学、名古屋大学、早稲田大学、日本工学院八王子専門学校から各校2人ずつ、計10人が登壇した。経営者側は、パナソニック 常務役員 兼 オートモーティブシステムズ 社長の津賀一宏氏、伊藤忠テクノソリューションズ(CTC) 代表取締役社長の奥田陽一氏の2人がパネリストとして登壇。IPAから理事長の西垣浩司氏が参加し、司会をインプレスビジネスメディア 取締役の田口潤氏が行った。 学生と経営者の討論企画は今回が最後 田口氏は冒頭で、「今回でこの(学生と経
グーグル エンジニアのまじめな日常 ― @IT
グーグルがどのようにソフトウェア開発を行っているかは、これまであまり詳細が明らかにされてこなかった。だがグーグルは6月10日、開発者向けイベント「Google Developer Day 2008 Japan」を開催し、グーグルのソフトウェアエンジニアがグーグルでの仕事術を語る「Google ソフトウェアエンジニアの日常」という講演会を実施した。スピーカーは、NECでITエンジニアとして勤務した経験がある藤島勇造氏。2006年からグーグルのソフトウェアエンジニアとして働いている。藤島氏は、グーグルでのソフトウェア開発方法について、グーグルのカルチャーと自身の見解を織り交ぜて語った。 グーグル ソフトウェアエンジニアの1日の流れ 藤島氏の1日は、朝10時ごろ出社し、メールをチェックすることから始まる。この時間にメールを見る理由は、米国にいる同僚に連絡が付きやすい時間帯だからだ。 午前中の主な
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
インターネットの歴史的名(迷)言集5選
