感想: 体系的に学ぶ 安全なWebアプリケーションの作り方 - penultの日記
読んでます。 体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践 作者: 徳丸浩出版社/メーカー: SBクリエイティブ発売日: 2011/03/01メディア: 単行本購入: 119人 クリック: 4,283回この商品を含むブログ (146件) を見る まだ途中だけど、主にJava/Tomcatユーザとしての備忘メモ。ただし、セキュリティの専門家でも何でもないので間違いは大いにあると思われます。 HttpOnly 属性の指定(p.103) Tomcat では、Tomcat7以降(Servlet 3.0以降)なら単純に web.xml か web-fragment.xml に <session-config> <cookie-config> <http-only>true</http-only> </cookie-config> </session-confi
Tomcatのヒープサイズを確認する - 銀の鍵 (The Silver Key)
Tomcat起動時にcatalina.sh中で明示的にJavaオプションを付けていればJavaヒープの設定値は明白だ。しかし、何もオプションを付けていない状態のJavaヒープ状態を調べようとしたら、jstatコマンドを用いて調べるしか手はない。jstatはJDKに付いているはずだよ。JREのみだと付いていないかもね。 jstatコマンドについてはjstat - Java 仮想マシン統計データ監視ツールにマニュアルがある。もしjstatがうまく動かないのであるならば、jstatコマンドがうまく動かないのだが を参照して動くようにしておいて欲しい。 前出のjstatのマニュアルを読むと、どうやら "-gccapacity" オプションをつけるとJavaヒープ設定値を出力できそうだ。jstat - Java 仮想マシン統計データ監視ツールの該当箇所を見ると、「世代」という言葉と「領域」という言葉
Linux上で稼動するTomcatが使用しているスレッド数は? - 銀の鍵 (The Silver Key)
それは私にふさわしい地位だろうよ。 なにも心得ない方面で命令するとは。 ファウスト、ゲーテ「ファウスト」より root@server# ps -ef|grep java tomcat 7559 1 0 Mar17 ? 00:01:10 /usr/local/java/bin/java -Djava.util.logging.manager=org.apache.juli.ClassLoaderLogManager -Djava.util.logging.config.file=/usr/local/tomcat/conf/logging.properties -XX:+UseSerialGC -verbose:gc -XX:+PrintGCTimeStamps -XX:+PrintGCDetails -Xms1024m -Xmx1024m -XX:New
J2SE 5.0 Tiger 虎の穴 JMX 基礎編
ちょっと前までアプリケーションの管理をするなんて思いもよらなかったのではないですか。 サーバ系で動くアプリケーションであっても、ログを書くぐらいで管理云々なんてそれほどいわれてなかったような気がします。 しかし、時代は変わりました。The Times They Are A-Changin' なのです。 24/7 のアプリケーションは当たり前。けしって止めることのできないアプリケーションもたくさんあります。特にコンテナになるようなアプリケーション、たとえば Tomcat などは、その上で動作するコンポーネントの管理をすることが必須になります。 そこで登場するのが Java Management Extension (JMX) です。JMX は JSR-003 で標準策定された、アプリケーション管理のためのフレームワークです。 くしくも J2EE 1.4 では一足先に JMX が取り込まれてい
URLに表示されるjsessionidを非表示にする - yummy-yummy
Webアプリケーションで、初回アクセス時にURLへ埋め込まれるjsessionidを表示させないようにしたい!! え?表示されちゃうんだから仕方ないやんって? いやいや〜、今回のWebアプリを使っているお客さんがどうもこのjsessionidが表示されるのを嫌がってるんデスよ。 じゃあ、コンテキストでcookies=trueにしちゃえばいいじゃん このアプリは携帯でも使用できるようになってるからデフォCookieはちょっと。。。 ここでjsessionidとStrutsについてざくっと J2EEのServlet仕様ではCookieにセッションIDを埋め込む、もしくはCookieが使えない場合にはURLにセッションIDを埋め込むことを推奨としている。。 Strutsのタグライブラリを使用した場合には、セッションIDをURLへ自動的に埋め込む実装がデフォでサポートされとります。 コンテナ側でU
セッションレプリケーションのAPサーバ動作比較(「Tomcat 7」vs「JBoss AS 7」vs「Jetty 8」で勝負) - Taste of Tech Topics
阪本です。 突然ですが、みなさんはWebアプリを動作させるときに、どのAPサーバを使っていますか? 私は専らTomcatとJBossです。 エンタープライズ向けだと、周りではJBossが多いですね。 JBossは他のAPサーバと比べて何が違うのか? 私は、耐障害性を高めるクラスタリングを行うにあたり、セッションレプリケーションの違いに着目しています。エンタープライズで必ずといっていいほど気にされる、セッションレプリケーションについて、標準機能における各APサーバの動作指定が可能な設定をまとめてみました。 JBoss AS 7 Tomcat 7 Jetty 8 セッション永続化によるレプリケーション ○(JDBC) ○(ファイル/JDBC) ○(JDBC) オンメモリレプリケーション ○(JGroups/Infinispan) ○(TCP) ○(Terracotta) 同期/非同期の指定 ○
TomcatではなくJBossを選ぶ○○の理由 - nekop's blog
java-ja忘年会でharu860さんに聞かれたのでエントリを書くよ。と思ってざっくり書いて放置していましたすみません。この質問へのよくある回答として「EJBを使うとき」みたいなものがありますが、この回答は多くの場合何の役にも立ちませんね。このような回答をする人はJBossをあまり良く理解していない可能性があります。 というわけで、JBossを使っているユーザがどのようなモチベーションでTomcatではなくJBossを使うのか、もしくは完全にJBossに乗り換えているのか、実例ベースの理由をいくつか紹介しましょう。 機能 Tomcatで提供される機能は基本的にServlet, JSP, JDBC接続プールのみで、他のものは提供されていません。シンプルですが、他のものが必要になったときに、それらをインテグレーションするコストが発生するなど、少し面倒なことになります。 TomcatになくてJ
LinuxサーバへのTomcat 7導入
概要 LinuxサーバへTomcat 7.xを導入し、自動起動するように設定する。 更新日:2012/07/12 手順は次の通り。 Java (JRE 1.7)のインストール Tomcat管理ユーザの作成 Tomcatのインストール startup.sh/shutdown.shの書き換え 自動起動スクリプト /etc/init.d/tomcat の設置 起動確認 Java (JRE 1.7)のインストール TomcatのWebページWhich version?で書かれている通り、Tomcat 7.0.xを動かすにはJavaのバージョンが1.6以上である必要がある。そのため、まずSunのページ……ではなくOracleのページからJavaをダウンロードしてインストールする。 Tomcatを動かすだけならばJRE(Javaランタイム環境)だけで良く、JDK(Java開発キット)は必要ない(もちろ
TomcatとOracle間のコネクションプーリングに関するトラブルシューティング - 日記のような何か
Tomcatでコネクションプーリングを使用していて、Tomcat <-> Oracle間の接続がFINやRSTパケットによる通知なしに切られた場合、プールしている接続が実際には死んでいる状態が発生する。例えば、以下のような場合に発生する。 APサーバー <-> DBサーバー間のFirewallによるセッション切断 DBサーバーのリブート(Windows Server 2008の場合。他は未確認) なお、Windows Server 2008で試した限りではOracleサービスの再起動やshutdown、startupの場合は発生しなかった。おそらくFINまたはRSTパケットが飛んでいると思われる。 一度、この状態に陥ると、その後ネットワークやDBサーバーが復旧しても死んだ接続がプールに残り続け、その接続を使用したTomcatのスレッドはSQLを実行する処理でOracleからの応答をずっと待
“安全”のためにTomcatを理解し、構築し、動作させる
“安全”のためにTomcatを理解し、構築し、動作させる:Tomcatはどこまで“安全”にできるのか?(1)(1/3 ページ) 無料サーバはどこまで安全にできるのか? 近年、Linux上でサーバを構築・公開する方が多くなってきていますが、中途半端な設定のサーバを公開することで会社の情報資産が危険にさらされることがよくあります。 そんな中、基本的に無料のOSであるLinuxサーバと、同じく無料で利用できるアプリケーションで、世界中において高いシェアを誇るTomcatを用い、「無料でどこまで製品サーバのセキュリティに迫れるか?」「どこまで安全にWebアプリケーション構築ができるか?」をこの連載を通して追っていきたいと思います。 第1回は、そもそもTomcatとは何かを解説し、Tomcatの最新版の新機能とそのセットアップの仕方や自動起動の方法、Apacheと連携させる方法などを紹介します。 T
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
