Webアプリケーションの脆弱性テストフレームワーク「w3af 1.0」リリース - SourceForge.JP Magazine : オープンソースの話題満載
Webアプリケーションの脆弱性を発見するフレームワーク「Web Application Attack and Audit Framework(w3af) 1.0」が公開された。SourceForgeのプロジェクトページよりダウンロードできる。 w3afはWebアプリケーションの脆弱性を発見したり、実際に脆弱性に対する攻撃を行うためのフレームワーク。開発者やセキュリティ研究者が、Webアプリケーションのセキュリティ検査やテストに利用することを想定している。プログラムはPythonで書かれており、GPLで公開されている。コアのほか、SQLインジェクション、クロスサイトスクリプティング(XXS)などをチェックできる130種以上のプラグインを持つ。 初の正式版では、コードの安定性、自動アップデートなどの特徴を持つ。クラッシュを最小限に抑え、常に最新機能を使えるという。 新機能としては、PHPの静的
ゲームに特化したLiveDVD Linux「SuperGamer」 | OSDN Magazine
今回紹介するSuperGamerは、その名のとおりゲームに特化したLinuxディストリビューションだ。Linuxで動作するゲームを多数収録したライブDVDとして提供されている。最新版は2009年7月23日にリリースされた「Supreme SuperGamer」である。 VectorLinuxベースの1 DVD Linux、メディアには2層DVDが必要 Supreme SuperGamerのISOイメージは、BitTorrent(ダウンロード用torentファイル)でダウンロードできる。ゲームやそのほかアプリをてんこ盛りにしているだけあって、約7.76Gバイトと一般的なLinuxディストリビューションと比べかなりのサイズである。そのため、メディアとしては2層DVD-W、およびそれに対応したDVDドライブが必要となる。また、On-Disk.comからメディアを購入することも可能だ。 Super
実用レベルに達したWindows向けGitクライアント「TortoiseGit」でGitを始めよう | OSDN Magazine
Windowsで利用できるGUIのGitクライアントの1つに「TortoiseGit」がある。TortoiseGitはまだ開発段階のソフトウェアではあるが、2009年6月5日にリリースされたバージョン0.7.2.0では多くの機能が実装され、実用的に動作するようになった。本記事ではこのTortoiseGitを用いて、Windows環境でGitによるバージョン管理を行う方法について解説する。 近年、「Git」という分散バージョン管理システムが注目を浴びている。しかしGitはWindowsサポートが弱く、またGUIで利用できる使いやすいクライアントがなかったため、特にWindowsユーザーには導入や利用へのハードルが高かった。そこに登場したのが、Windowsのエクスプローラに統合され、GUIでGitによるバージョン管理が行えるツール「TortoiseGit」である。TortoiseGitはまだ
サーバOSとしても進化しつつある「PC-BSD 7.1」 | OSDN Magazine
伝統的なBSD UNIXの流れを汲むオープンソースのディストリビューションとして、真っ先に名前が挙げられるのがFreeBSDであろう。FreeBSDはその安定性と信頼性により、サーバ用途としては確固たる地位を築いているが、エキスパート向けともいえる操作性からデスクトップ分野ではほとんど普及していない。今回紹介する PC-BSD は、そのFreeBSDをベースに、主にデスクトップOSとしての使いやすさを目指して開発されているディストリビューションである。最新版は、FreeBSD 7.2-PRERELEASEをベースとする「PC-BSD 7.1 Galileo Edition」だ(2009年4月10日リリース)。最近のバージョンでは、日本語環境も整いつつある。フリーのデスクトップOSの選択肢のひとつとして試用してみるとよいだろう。 なお、PC-BSDプロジェクトは、2006年にエンタープライズ
SmoothWall Expressでネットワークを保護する | OSDN Magazine
ファイアウォールによる保護が必要なのは企業も個人ユーザも同じだ。ファイアウォールの選択肢は非常に多く、なかには特殊なハードウェアでしか動作しない高価な製品もある。その一方で、今回紹介する SmoothWall Express のように、商用のソリューションと同じテクノロジが利用されているのに無償でダウンロードできるものもあり、機能によってはこちらのほうが優れている場合さえある。 2007年8月にGNU GPL(General Public License:一般公衆利用許諾書)の下でリリースされたSmoothWall Express 3.0は、オープンソースのファイアウォール・ディストリビューションだ。最新のシステムにありそうな機能はすべて揃っているほか、意外な機能もいくつか備えている。最近の業界では、ステートフル検査、動的/静的NAT、送信制御、DMZ(De-Militarized Zon
パスワード管理ソフト4種類を試す | OSDN Magazine
Webサイトへのログインで利用するパスワードは、サイトごとに使い分けるのが望ましい。それも、さまざまな種類の文字を組み合わせた長めのパスワードにする方が強力だ。だがそうなると、すべてのパスワードを暗記しておくのは難しい。そんなときに役立つのがパスワード管理ソフトだ。さまざまなWebサイトのパスワードを暗号化してコンピュータ上のファイルに保存し、必要に応じて取り出すことができる。この記事では、4種類のパスワード管理ソフトを紹介する。いずれも、簡単にパスワードを呼び出すことができ、パスワードファイル自体を安全に保護できるものばかりだ。 もちろん、パスワードをコンピュータ上に保存することには、それなりのリスクが伴う。管理ソフト本体や暗号化ライブラリにバグがあるかもしれないし、管理ソフトで暗号化データベースに保存するパスワードが実質的に“一蓮托生”の状態となる。つまり、暗号化データベースのセキュリ
NSA、EAL5レベルのセキュリティソフトウェア「Tokeneer」をオープンソースに | OSDN Magazine
米AdaCoreは10月6日(米国時間)、米国家安全保障局(NSA)が出資するセキュリティ技術「Tokeneer」をオープンソースとして公開した。これにより、個人や学術界コミュニティによる安全性の高いシステム開発を促進する。 Tokeneerは、バイオメトリクスID認証ツールのアクセス管理などに利用されるセキュリティソフトウェア。エンジニアリング企業の英Praxis High Integrity Systemsとの提携により、AdaCoreのプログラミング言語「SPARK Ada」と開発環境「GNAT Pros」を利用して開発した。 高度なセキュリティを特徴とし、Common Criteria(CC)のセキュリティ評価基準としては高レベルの「Evaluation Assurance Level(EAL)5」に合格するレベルとしている。また、開発のコスト効果や生産性も特徴で、コード数は1万行
行方不明のノートPCをAdeonaで追跡する | OSDN Magazine
最新型のノートPCを見ると、たいていはケンジントン・セキュリティスロットが側面か背面にある。これは盗難防止用のワイヤーを通すためのスロットだ。このセキュリティ対策の難点は、(a)泥棒がケーブルを無理に引きちぎろうとしてノートPCを壊しかねないこと、(b)別売りのケーブルを買ってこなければならないこと。これに替わる盗難対策として、フリーソフトウェア・ユーティリティ Adeona がある。盗難は阻止できないが、盗まれたノートPCを追跡し、警察の力を借りて取り戻すのに役立つツールだ。 Adeonaはバックグラウンドで実行され、ランダムな間隔でアクティブになりノートPCの現在のロケーションと状態に関するデータを集め、これを暗号化してからオフサイトのストレージに密かにアップロードする。ノートPCが(または、同じ場所にあるサーバが)行方不明になった場合、最新の記録データを他の場所から取得し、内部および
米Google、オープンソースの暗号化ツール「Keyczar」をリリース | OSDN Magazine
米Googleは8月12日(米国時間)、オープンソースの暗号化ツール「Keyczar」をリリースした。開発者は、容易かつ安全にアプリケーションに暗号化技術を加えることができるという。同社Webサイトよりダウンロードできる。 Keyczarは認証と暗号化(対称鍵と非対称鍵)をサポートするツールで、シンプルなAPI、暗号鍵ローテーション、バージョン管理などの機能を持つ。デフォルトで安全なアルゴリズム、モード、鍵長を設定、暗号化の複雑性を容易に管理できるようにした。JavaとPythonで実装が可能。C++のサポートも予定しているという。 Googleのセキュリティチームが開発したツールで、GoogleではOpenSSL、PyCrypto、JavaJCEなど暗号化ライブラリに代わるものではないと説明している。 Apache 2.0ライセンスの下でコードを公開した。Google Codeよりダウン
ユーザの実行権限を柔軟に割り当てるsudoのリスクとメリット | OSDN Magazine
セキュリティ関連のジョブにいささかでも関わりを有す者であれば、root権限ないしrootパスワードを一般ユーザに与えるのは御法度であると心得ているはずだ。しかしながら、正当な理由をもってroot権限下での処理を実行する必要に迫られた一般ユーザが出てきた場合はどうすればいいのだろうか? そうした問題には非常にシンプルな解答が存在する。sudoを使えば、rootパスワードを公開することなくアクセス範囲を最小限化した上で必要な権限を一般ユーザに与えることができるのである。 sudo(superuser doの略)とは、管理権限を制限付きで他のユーザに与えるためのプログラムで、実際これで許可される権限では事前の指定範囲内のコマンドしか行えないようになっている。またsudoで行われる操作はすべてオーディットトレール(追跡記録)に残されるので、仮にこうしたユーザが何らかの方法で権限外の処理を行ったとし
住商情報システム、評価される企業側の視点でつくったIT全般統制対応テンプレート | OSDN Magazine
住商情報システム(SCS)は2008年1月8日、企業内部統制向けに、IT全般統制テンプレート「SMART SOX for ITGC」の販売を開始した。エイトレッド(本社:東京都渋谷区)のWebフォーム ワークフロー「X-point」に組み込んで、IT全般統制の整備を容易にできるという。 「SMART SOX for ITGC」は、企業内部統制の業務処理統制を支えるIT全般統制対応に焦点を絞った製品で、IT全般統制に含まれる「情報システム部の業務プロセス」の申請・承認処理を確実に行うための監査対応を中心としている。 同社のコンサルティングノウハウをベースに、「標準プロセスの運用フロー」を「X-point」に組み込んで、文書化後の内部統制の有効性評価のフェーズのサンプリング抽出、証跡提示などの膨大な作業量を軽減するという。 同社によると、「内部統制対応」や「J-SOX対応」製品の多くは、内部監
Vimのステータスラインをより有効に活用する設定法 | OSDN Magazine
Vimエディタのウィンドウ下部には、コマンドラインバッファ(コマンドの入力部)とステータスラインという2種類の役割を果たす行が設けられている。このうちデフォルト設定下のVimでステータスラインに表示される情報は単純すぎて大した役には立たないが、このステータスラインの表示については、簡単な設定をいくつか施すことでより有効に利用することができる。 本稿は最近出版された『Hacking Vim』からの抜粋である。 デフォルトのステータスラインに示されるのは、右側に現在のカーソル位置(行番号と列番号)、左側に編集中のファイル名(開いている場合)という情報だけであり、Vimコマンドを実行する場合は、このステータスラインの代わりにコマンドバッファが表示される。また何らかのメッセージを表示させるタイプのコマンドを実行すると、その結果はステータスラインの右側に出力されるようになっている。 ごく簡単なファイ
Open Tech Press | Vimマスターへの道
viクローンのVimは、Emacsと並ぶオープンソース・エディタの巨頭である。このエディタは、単にviのオープンソース版というだけではなく、スクリプトやプラグインによる高い拡張性といったオリジナルのviにない特徴も備えている。しかし、viから引き継いだ独特の操作法から、Vimを敬遠している向きも少なくないようだ。そこで以下では、Vimの操作を習得する、あるいはVimをもっと活用するためのハウツーを紹介する。 2007年11月13日更新:中級編に「Vimのステータスラインをより有効に活用する設定法」を追加 初級編 Vim 最初の一歩 Vimの簡単な始め方 2007年04月13日 Vimの無数の機能と柔軟さはベテランのユーザにとっては大きな利点であるが、初心者にとっての敷居を高くしてしまっているというのも事実だ。あなたがもし、Vimを使いたいとずっと思っていながらも初めて試したときにうんざりし
Smart:システムをスマートにアップデートする | OSDN Magazine
各種Linuxディストリビューションには共通点が多い。しかし、ソフトウェアのインストールとアップデートのためのツールはバラバラだ。Gentoo LinuxはPortage、SUSEはYaST、Red HatとFedoraはyum、LinspireはCNRといった具合。おまけにパッケージの形式もさまざまだ。RPM、Debian、ソースの他、聞いたこともないようなものまでいろいろある。Smart Package Managerは、そうした多様なツールとパッケージ・タイプに代わって、すべての主要ディストリビューションに対応するインストールとアップデートのためのツールだ。 openSUSEユーザーとして、筆者は、YaST、Zen、zypper、apt-get、Synapticを使ってきたが、最終的にSmartに落ち着いた。今では、Linuxをインストールしたりアップデートしたりすると、まず、Sma
ミッション期間の延長で生きながらえる火星のOSS | OSDN Magazine
NASAの精巧な装置と、オープンソースソフトウェアへの本格的な取り組みが功を奏し、「スピリット」と「オポチュニティー」による火星探査の期間延長が許可された。 オープンソースを大幅に取り入れたローバー用ソフトウェアScience Activity Planner(SAP)の開発リーダーであるNASAジェット推進研究所(JPL)の主席コンピュータサイエンティストJeff Norrisによれば、今回のミッション期間の延長は、NASAの予算とともに宇宙研究への支持を減らしてきた納税者にとって、ただ同然の贈り物だという。 「まともに機能する2台のローバーが火星に存在することを考えたら、期間延長に必要な費用など取るに足らない」とNorrisは言う。「この2台のローバーはいろいろな場所を探索し、日々新しいものを発見するはずだ。」 Norris――彼はローバーのオープンソースコンポーネントとその利点および
新米ITマネージャが知っておくべきこと | OSDN Magazine
新米ITマネージャとしてあなたは、「卓越した専門家」というほどの期待は受けないにしても、チームを統率してプロジェクトを効率良くこなすということは期待されるようになる。仕事に詳しくなるまでしばらくは大目にみてもらうことのできる猶予期間が与えられるかもしれないが、新米(あるいは新任)のITマネージャになるということは、積極的にリーダーシップを取らなければならないということを意味する。これは裏方としての作業に慣れている人にはプレッシャーに感じることかもしれない。しかし責任者になってしまったのなら、仕事をうまく始めるために以下に挙げるようなことをすると良いだろう。 計画を立てる 他の人々があなたに期待しているだろうと思われることの他にも、自分自身が個人的に目指す目標を明確に持ち、その両方を実現するよう励むようにしよう。これまでに内部者としてすでに関わってきたのではない場合には、初期の「偵察活動」を
説得の技術:ITマネージャが成功するための秘訣 | OSDN Magazine
「またスタッフを増やせというのか?」「そのアップグレードはしばらく延期だ」「運用のためのトレーニングにかける予算はもうない。以上!」――このような台詞を耳にすることはないだろうか? ITマネージャとしてあなたは、いやが応でも「説得する」というゲームを毎日行なっている。またあなた以外の人(スタッフも同僚も監督者も顧客もベンダ窓口も)の多くも、人々を説得して特定の考え方を受け入れさせるというこのゲームを行なっている。本記事では、あなたが生まれつき説得力のある話し手である場合にもない場合にも、仕事に関するメッセージを次回はもっと説得力のあるものにすることができる方法を紹介しよう。 心理学的な観点から言うと、説得力のあるコミュニケーションというのは、説得するということ、すなわち、誰かの信条、態度、そして最終的には行動を変えさせるということだ。説得を成功させるための技術は複雑だが、基本はたった3つの
情報漏洩に備える―ダメージを抑えるための心得7カ条―セキュリティ責任者が実践すべきこと、すべきでないこと | OSDN Magazine
OSDN > Magazine > 情報漏洩に備える―ダメージを抑えるための心得7カ条―セキュリティ責任者が実践すべきこと、すべきでないこと カーラ・ガレストン Network World オンライン米国版 顧客企業や自社従業員に関する個人情報および財務データを保有している、あるいは知的財産を電子データで保管している組織は、情報漏洩の可能性が十分にあることを認識しなければならない。規模や業種を問わず、あらゆる企業がデータ盗難のターゲットになっていると、多くのセキュリティ専門家は警鐘を鳴らしている。 専門家は同時に、ダメージを最小限に抑えるとともに顧客の信頼を迅速に回復するための対策を備える必要があると力説する。米国のセキュリティ・サービス企業、セキュリティ・コンストラクツのマネージング・ディレクター、トム・バウアーズ氏は、「データ盗難事件などへの対処方法を『用意している』のと『いない』とで
連邦政府機関の情報セキュリティ管理は依然として不十分――「重要な情報が危険にさらされている」と会計検査院が厳しく批判 | OSDN Magazine
GAOのリポートは、24の主要な連邦政府機関の調査員が2006年中に提出した報告に基づいて作成された。33ページにわたる同リポートは、連邦政府機関における重要な情報や情報システムの機密性、統合性、可用性が危険にさらされているとして、同機関の情報セキュリティ管理を厳しく批判する内容となっている。 GAOの情報セキュリティ問題担当ディレクター、グレゴリー・ウィルシューセン氏は、米国議会下院の監督および政府改革委員会に出席し、「ほぼすべての主要な連邦政府機関が、1つまたは複数の情報セキュリティ管理分野で弱点を抱えている」と証言した。 同氏によると、ほとんどの連邦政府機関は、コンピュータ・ネットワーク、システム、情報へのアクセスを十分に防止、制限、あるいは検知できるような管理機能を実装していないという。 もっとも、職員や請負業者を対象にセキュリティ関連の研修を実施するなど、一部の政府機関では一定の
システムの裏口を作って鍵をかけておくためのSBD(Secure Back Door) | OSDN Magazine
適切に設定されたSSHサービスはサーバへのリモート接続を安全にしてくれるが、SSHサーバがマシン上で常に動いているということ自体がそもそも好ましくないという場合もあるかもしれない。SBD(Secure Back Door)を使うと、サーバへの暗号化した接続をオープンして、例えばSSHサービスの起動やウェブサーバの起動やマシンの再起動などといったオペレーティングシステムに対する任意のコマンドをリモートから実行することができるようになる。 SBDでは好きなポート番号を使用することができるが、ポート番号を指定しない場合のデフォルトは31415番ポートとなっている。通信には、SBDプロトコルを使用する。SBDプロトコルでは、データの改竄がないことと出所の信頼性を証明するために、ワンタイムパッド共通鍵とHMAC(keyed-hash message authentication code)を使用して
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
