58. すごいリロード対策
まず、日本のサイトにある一般的な登録フォームの画面遷移は 入力画面→入力確認画面→完了画面 となっている場合が多いようです。ここでリロード問題となるのは完了画面でのDBへのINSERT処理やCSV書き出し処理、メール送信処理など「一度しか行わない処理」です。例えば完了画面へ遷移した際にブラウザのリロードボタンが押された場合、確認画面よりsubmitした情報が再度submitされて上記の一度しか行わない処理が二度行われてしまいます。そうならないよう、リロード対策はスクリプトで制御します。 まずは確認画面のスクリプト 確認画面でチケットを発行し、セッションに保存しておきます。同時に完了画面へチケットがPOSTされるよう、hiddenにセット。こうして完了画面へ遷移させます。それでは完了画面のスクリプトを見てみましょう。 このように、確認画面で発行されたチケットは一度使い切ってしまえば2度処理さ
携帯セキュリティ大全---紛失・盗難による情報漏えいを防ぐ
業務に不可欠となった携帯電話には,顧客の個人情報や取引情報が満載だ。携帯電話を置き忘れたときに,遠隔地から携帯電話にロックをかけたり,データを消去したりできれば,情報漏えいのリスクは格段に低くなる。電波の届かないところで悪用されない仕組みも必要だ。企業が携帯電話を安全・安心に使うためのセキュリティ製品/サービスを総ざらいする。 総論(前編)携帯電話紛失が大事件に 総論(後編)三つの対策で紛失・盗難に備える キャリア型(前編)遠隔からロックや消去を実行 キャリア型(後編)ウィルコムは中小企業向けサービスのみを用意 統合型(前編)クライアント-サーバー形態で端末を制御 統合型(後編)高機能から単機能まで製品の幅は広い Web型(前編)Webブラウザで電話帳を管理 Web型(後編)端末に個人情報が残らず保守・運用に優れる
プロが愛用するネット管理のフリー・ツール
インターネット上には,ネットワークやシステムの監視,セキュリティ対策に役立つフリー・ツールが数多く公開されている。中には商用製品“顔負け”の高機能なツールまであり,プロも愛用している。ユーザー企業や通信事業者,セキュリティ専門家など,プロが薦めるツールと効果的な使い方を紹介しよう。 オープンソース,定番ツールが役立つ 「big brother」--積水化学工業,多様な監視情報を1画面に集約 「Hobbit」--イー・モバイル,操作性に○,警告ポップアップも活用 「Nagios」--ソフトバンクIDC,拡張ソフトでVPSの状況を把握 「MRTG」--楽天トラベル,グラフ化が魅力,ログ管理にも特徴 「Nmap」--フォティーンフォティ技術研究所,能力は製品と同等,コツは速度設定 「Nessus」--アルファシステムズ,二つのぜい弱性検査ツールを併用 「Helix」--ラック,調査を自動化,緊急
教育だけではセキュリティは保てない--セキュリティ専門家が発言
F-SecureのシニアセキュリティスペシャリストであるPatrik Runald氏によると,教育はセキュリティ問題を予防するための有効な解決策ではないという。 同氏によると,たとえ利用者が安全な使い方をしていたとしても,システムはしばしば侵入されるという。 「利用者が正しく使っていたとしても,たとえばページを暗号化し,添付ファイルを開かなかったとしても,感染することはある。教育でできることには限界があるのだ」(Runald氏) いま「最も心配」なのは「ドライブバイ」ダウンロードが増えていることだという。ウェブサイトにトロイの木馬を仕掛けておき,誰かがそのページを訪問したときに利用者のシステムにこっそりとそれ自身をダウンロードする。 Runald氏は,「巧妙な仕組みは不要で,どのようなページにも仕掛けられる。そうしたサイトを訪問するだけで,狙われてしまう」と述べる。 利用者のシステムに侵入
世代交代が迫る「暗号技術」(前編)
ポイント ・2010年に米国政府の標準暗号技術の一部が切り替わる ・暗号技術には,安全性を保てなくなるという“寿命”がある ・「標準」規格の切り替えに備え,基本の仕組みを理解しよう Webシステム,顧客管理システム,文書管理システムなど,企業において暗号技術はさまざまなシステムで利用されている。今や暗号技術は,情報システムを支える重要な基盤技術の一つである。 その暗号技術において,「2010年問題」と呼ばれる大きな変化が待ち受けている。引き金となるのは,米NIST(国立標準技術研究所)。米国政府が調達するシステムで使う暗号技術の規格を定めており,現在一般に広く使われている「SHA-1」というハッシュ(元になるメッセージを縮めて容量の小さな値を作ること)の規格を2010年に除外し,より安全性の高い「SHA-2」だけにすると発表した(図1)。 暗号技術でNISTは世界的に影響力を持っているので
ホワイトハッカー道場:ITpro
組織化された犯罪者たちは,日々,ソフトウエアやシステムのぜい弱性を探し, あの手この手でユーザーやシステムを狙ってくる。ユーザーは犯罪者の手口を見破 り,対策を打つ自己防衛の力を養わなければならない。コンピュータやネットワー クの奥を知り尽くした正義のハッカー「ホワイトハッカー」が,コンピュータ・セ キュリティの深層を解説する。 【ハッカー】 一般に,コンピュータやネットワークに対して深い技術知識 を持ち,技術的な探究心が旺盛な人を指す。 OSの挙動を調べるために,何時間 もかけてソース・コードを読破してプログラミング技術などを磨く。 ボット,スパイウエア,標的型攻撃--。攻撃者の目的が自己顕示欲から金銭を得ることに変わる過程で,ユーザーやウイルス対策ソフトから発見されないようにするテクニックがマルウエアに追加されるようになった。それがルートキットだ。目に見えぬルートキットの恐怖を第一線で
Xerox,赤外線でしか見えない文字を通常のトナーで印刷する技術
米Xeroxは,赤外線でしか見えない文字を通常のカラー印刷用トナーで印刷する技術「InfraredMark Specialty Imaging Font」を,フランスで現地時間10月4日に発表した。文書の偽造防止や機密保持に利用できるとしている。 この印刷技術は,レーザー・プリンタなどの電子写真方式プリンタと,一般的なシアン(C)/マゼンタ(M)/黄(Y)/黒(K)トナーを使い,人間の目では見えない文字を普通紙に印刷する。 この技術の原理について,Xeroxは「CMYKの各トナーは赤外線に対する反射率などが異なるため,あるトナーの組み合わせは赤外線照明下で検出でき,ある組み合わせは検出できない」と説明する。これを応用し,人間の目には見えないものの,赤外線照明と赤外線カメラで見える文字の印刷を可能とした。この技術で印刷した文字は,コピー機で複写できない。 文書の安全性を経済的に高められるため
今度はソフトバンクテレコムでユーザー情報流出、Winny経由で551件
ソフトバンクテレコムは2007年9月21日、ユーザー情報を含む業務関連ファイルが外部流出したと発表した。流出したファイルは、同社の業務に2004月1月まで従事していた元業務委託社員が無断で持ち出し、自宅のパソコンに保存していたものだという。ファイル交換ソフト「Winny」を通じてネットワーク上に流出した。同社は9月18日にこの事実を認知し、社内調査によって件数などの詳細を把握した。 今回流出が明らかになったのは551件で、2003年までにODNサービスを契約したユーザーの情報である。その内訳は氏名のみが411件、氏名とユーザーIDまたはメール・アドレスが79件、氏名と電話番号、住所、クレジットカード番号のいずれかが61件という。クレジットカード番号が含まれていたケースは10件という。同社は、今のところ流出情報の不正使用は確認していないというが、情報流出したユーザーに対しては、今後事情を説明
「黒塗り」だけでは不十分、PDF文書を公開する際には要注意
米サンベルトソフトウエアは2007年9月24日(米国時間)、同社の公式ブログにおいて、国際自動車連盟(FIA)が最近公開したPDF文書にセキュリティ上の問題があることを報告した。コピー・アンド・ペーストするだけで、黒塗りした部分の文字が読めてしまう。 FIAは2007年9月19日付けで、世界モータースポーツ評議会(World Motor Sport Council)の議事録のPDF文書を公開した。公開されたPDF文書ファイルはところどころ黒塗りされて、センシティブと思われる情報が隠されている(図)。 しかしながら、黒塗りされた部分にはコピー防止などが施されていなかった。このため、黒塗り部分を単純にコピーして別の文書ファイルなどにペーストすると、その部分に書かれているテキストが表示されてしまう。サンベルトの情報によれば、例えば図の個所は、コピー・アンド・ペーストすると、以下のように表示される
規格や固定方法がいろいろある地震対策
ラックの固定方法にもいろいろある 地震の多い日本では,ビルの耐震性はもちろん,ラックの耐震性も考慮する必要がある。ラックの耐震規格には,NEBS規格,NTT耐震規格,NTTファシリティーズの耐震試験規格など数種類ある。 地震対策としては,こうした規格に準拠したラックを用意し,床にしっかり固定するのが定石だ。しかし実際には,「ラックの固定にまで気が回っていない企業は意外に多い」(NECネッツエスアイの仙石敬司ファシリティ&サービス事業部ファシリティエンジニアリング部システム課長)という。ラックをきちんと床に固定してあるか確認しておきたい。 ただ,どんな場合でも単純にラックを床に固定すれば済むわけではない。例えばインテリジェント・ビルや,フリー・アドレスを取り入れている企業は要注意。「二重床の上床への固定はほとんど効果が見込めない。ビルの床スラブにしっかりと固定する必要がある」(仙石システム課
英語のプレゼンテーションで使える「決めセリフ」:ミッキーのproITなアメリカンライフ:ITpro
今回は,英語のプレゼンテーションで使える表現を集めてみました。 本日はこのような(発表の)機会を得て光栄です。 ・Thank you for such an opportunity to talk about xxx ・It is my privilege to present you about xxx ・It is my honor to present to such a distinguished audience. 今日は貴重なお時間をありがとうございます。 ・Thank you for your precious time today. ・I appreciate your time to be with us today. ・Thank you for your precious time to discuss on xxx. 始めてよろしいですか? ・May I begin
間違いだらけのサーバー・ルーム作り:ITpro
システム管理者にとって,サーバーやネットワーク機器の熱対策は切実な問題だ。ほかにも,地震,火災,雷,セキュリティなど,サーバーを運用するうえではいくつもの対策を講じなければならない。正しいサーバー・ルームの作り方を見ていこう。 第1回 意外に知られていない熱対策 第2回 電源設備は最初が肝心 第3回 規格や固定方法がいろいろある地震対策 第4回 19インチラックって何だろう?
超高層マンションブームは区分所有権弱体化の一里塚?
1999年の暮れも押し詰まるころ、私は「日経アーキテクチュア」の編集で、2000年新春特別号の特集をデスクとして取りまとめていました。
企業モバイル・ユーザーの28%はセキュリティ・リスクについて考えていない
米Cisco Systemsは米国時間8月21日,企業のモバイル・ユーザーのセキュリティに対する意識調査の結果を発表した。それによると,企業のIT部門は,ユーザーへの教育を通じてセキュリティへの意識を高めることで,企業セキュリティに対する事前策を講じることができるとしている。 調査は,Ciscoと全米サイバー・セキュリティ連盟(NCSA)が米調査会社InsightExpressに委託して実施したもの。米国,英国,ドイツ,中国,ドイツ,韓国,シンガポールの7カ国のモバイル・ワーカー700人以上が回答した。 調査によれば,モバイル・ユーザーの73%は,セキュリティの脅威とそれに対する適切な行動について常に認識しているわけではないと答えている。回答者の多くは,これらについて「ときどき」意識していると答えているが,28%はセキュリティ・リスクや適切な対応などについて「ほとんど」または「まったく」考
米eBayにクロスサイト・スクリプティングの脆弱性,フィッシングに悪用
米US-CERTは現地時間4月3日,オークション・サービスを提供する米eBayのWebサイトにクロスサイト・スクリプティングの脆弱性(セキュリティ・ホール)が見つかったことを明らかにした。悪用されると,eBayユーザーのCookie情報を盗まれたり,偽サイト(フィッシング・サイト)へ誘導されたりする可能性がある。US-CERTでは,この脆弱性を悪用したフィッシング詐欺を確認しているという。 US-CERTによると,現在のeBayサイトでは,eBayユーザーが投稿するオークション情報にSCRIPTタグを含めることができてしまうという。このことが,eBayサイトにクロスサイト・スクリプティングの脆弱性を生じさせている。 この脆弱性を悪用すれば,攻撃者はeBayのサイトからユーザーの個人情報などを盗めてしまう。また,ユーザーをeBayの偽サイトへ誘導できる。実際,この脆弱性を悪用したフィッシング
情報セキュリティに関する国際標準
ポイント ●ISOとIECの共通部分になる情報技術は,標準化のために合同専門委員会が設けられている ●ISO/IEC TR 13335は,ITセキュリティのマネジメントに関する文書である。リスク分析に関する記述があるのが特徴 ●ISO/IEC 15408は,情報技術製品やシステムのセキュリティ評価基準である。EALと呼ばれる7段階の基準で評価する ●情報セキュリティ・マネジメント・システムの国際標準であるISO/IEC 27001,および27002(17799)は英国規格BS7799が基になっている ここまでは,情報セキュリティに関する国内法規を見てきました。今回は,情報セキュリティに関する国際標準の中からよく目にする規約である,ISO/IEC TR 13335,ISO/IEC 15408,27001,27002(17799)の概要を学びます。 ISOとIEC ISO(Internatio
災害発生!でも業務は止められない---目次
新潟県の中越地震や三条の水害など,企業ネットを直撃する大災害が連続している。災害時にはシステム保護や企業存続のため,とっさの判断が求められる。それまで有効だと思われてきた手段が機能しない場合もある。いつ襲ってくるか分からない災害に,どう対処すべきか。被災地のユーザーの声から有効な対策を探る。 目次
見落としがちな脆弱性(ホスト編)
セキュリティ診断サービスの現場でいろいろな企業のシステムを調べていると,基本的なミスが放置されていて,そこから攻略可能なサーバーが意外に多いことが分かる。漏れては困る重要な情報が記載されたファイルが放置されていたり,重要ファイルへのアクセス権の設定が不適切だったりする。 こういう状況では,特定のセキュリティ・ホールを突くのではなくサービスで提供されている機能を使うだけで,管理者の権限や重要情報を奪い取られる可能性がある。一般のユーザーでもある程度の知識や技術があれば実行は可能だ。 そこで今回は,現場での経験を基に,ファイルへのアクセス権管理について考えてみたい。 ある企業のセキュリティ診断で,筆者たちは一般ユーザー権限のみを付与された状態でサーバーの調査を実施した。システム内に存在するアプリケーションのディレクトリなどについてはアクセス権が適切に設定されていたが,調査していくと,システム内
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
NTT東日本が4万件超の個人情報をWinnyで漏えい
ラック、データベース内の情報保護対策を無償公開