「Apache Tomcat 5.0.x」シリーズのサポートが打ち切りに
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Apache Tomcatプロジェクトチームは10月23日、「Apache Tomcat 5.0.x」シリーズのサポート打ち切りを表明した。コミッターのMark Thomas氏がApache Tomcatメーリングリストに投稿し、明らかにした。今後は、Apache Tomcat 6.x、5.5.xをサポートしていくという。 事実、Apache Tomcat 5.0.x系列はメンテナンスが施されないまま、かなりの期間が経過している。また、既にダウンロードページからは、5.0.x系が消えていることが確認できる。
サイト脆弱性をチェックしよう!--第5回:XSSの脆弱性を検査する方法
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 前回までは安全なウェブアプリケーションを作成する手法をいくつか説明してきた。今回からは代表的な脆弱性についての検査方法を説明していきたい。まずは、クロスサイトスクリプティング(XSS)の脆弱性について、その検査方法を紹介する。 XSSとは、入力として受け取ったデータに含まれている「Javascript」などのスクリプトやタグが、それらが有効な形で出力(HTTPレスポンス)に含まれているために、ブラウザが意図しない動作や表示を行ってしまう脆弱性だ。 この脆弱性を使った攻撃の被害者はサイトを利用している利用者であり、サイトが直接的な被害に遭うことはない。この脆弱性を利用すると、攻撃者が意図した通りにブラウザをコントロールすること(たとえば、
JSONのXSS脆弱性を修正--Ruby on Rails 1.2.5
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 12日Ruby on Rails 1.2.5がリリースされた。 今回のリリースは、JSON(JavaScript Object Notation)のXSS脆弱性を修正したもので、バージョン1.2.4で生じたいくつかの退行バグの修正もされている。そして、2.0プレビューリリースからのいくつかの機能と修正がバックポートされている。 Rails1.2.4以前のすべてのユーザーは、1.2.5にアップグレードさせるように推奨する。JSONを利用していない場合には、厳密にアップグレードは必要ではない。しかしながら、JSONを利用している場合は、そうではないことに注意されたい。 詳細な情報に関しては、CVE-2007-3227を参照していただきたい。
サイト脆弱性をチェックしよう!--第4回:開発工程におけるレビューやテストのコツ(その2)
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 今回も安全なアプリケーションを作るためのチェック方法について説明していきたいと思う。前回から引き続き、各開発工程におけるレビューと適切なテストについてを紹介する。 コードレビュー まずは、コードレビューでどういったことに注意して確認する必要があるか説明しよう。コードレビューのコツを理解するには、まずアプリケーションの動作について理解する必要がある。従って、最初にアプリケーションの動作について説明する。 多くのアプリケーションでは、何らかの入力(ユーザーにより入力されたデータだけでなく、ファイルや、時刻なども含む)を必要とし、入力されたデータの加工などの処理を行い、結果を出力する。出力された結果は、別のアプリケーション(ブラウザやデータベ
サイト脆弱性をチェックしよう!--第3回:開発工程におけるレビューやテストのコツ(その1)
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 前回、前々回と脆弱性の発生個所といった観点から脆弱性について考えてきた。今回からは、安全なアプリケーションを作るためのチェック方法について説明していきたいと思う。 安全なアプリケーションを作成するには、ただ構築するだけでなく、各開発工程におけるレビューと適切なテストが必要になる。レビューを行うことにより、考慮漏れや誤りを見つけ出し、少ない工数で修正することが可能になる。 また、テストを行うことで、作成したアプリケーションに問題が無いことを確認することができる。しかし、実際にレビューやテストはどのよう行えばよいのか分からないのが実状ではないだろうか。 そこで、今回はレビューやテストのコツを紹介する。 「設計レビュー」と「コードレビュー」
サイト脆弱性をチェックしよう!--第2回:“正しい”ウェブアプリのコーディングとは
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 前回の内容はいかがだっただろう。今回の内容を述べる前にひとつ補足がある。前回および今回の内容はサイトの脆弱性をチェックするより前の段階の話であるということだ。チェックはあくまで「確認」であり、設計やコーディングが正しく行われて初めて実行する意味がある。 脆弱性は正しく設計やコーディングができていないからこそ生じるのであって、そもそも正しく構築されているのであれば出現しない「はず」だ。“はず”というのは、ケアレスミスをゼロにすることは不可能であるからで、そのミスを発見するのがチェックの目的となる。 脆弱性は、設計やコーディングのミスの結果でしかない。そのミスを正せばおのずと脆弱性もなくなる。それでは、ウェブアプリケーションの「正しい」コー
サイト脆弱性をチェックしよう!--第1回:ウェブアプリケーションに潜む危険
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます ウェブアプリケーションに潜む危険は数多くあるが、これまでのセキュリティ対策で指摘されてきたのは脆弱性の種類から見た危険性とその対策だった。 たとえば、クロスサイトスクリプティングの脆弱性とは何か、SQLインジェクションの脆弱性とは何か、そしてそれらへの対策とは……。これらについては、既に的確な解説をウェブ上で見つけることができるので、この連載では改めてその視点での解説はしない。 この連載では逆の視点から、つまり原因となる行動に焦点をあてて、ウェブアプリケーションにおける脆弱性を考えていきたいと思う。 まず、ウェブアプリケーションの脆弱性が発生する原因だが、「既製品の脆弱性」および「カスタマイズアプリケーションの脆弱性」の大きく2つに分類
オラクル、ハイペリオンを33億ドルで買収へ
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Oracleは米国時間3月1日、Hyperion Solutionsを33億ドルで買収することに合意したと発表した。同社はこれにより、パフォーマンスマネジメントシステム分野の製品を拡充する意向だ。 Oracleはここのところ、企業買収によってスピーディに事業の拡大を図ろうとしている。同社はここ何年かの間に大型の企業買収をいくつか行ってきたが、これもそのうちの1つとなる。同社は2006年に顧客関係管理(CRM)ソフトウェアメーカーのSiebel Systemsを58億5000万ドルで、PeopleSoftを2005年に103億ドルで買収している。 Oracleの幹部らはアナリスト向けに開催したカンファレンスで、PeopleSoftとSie
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
