Ajaxに潜むセキュリティとパフォーマンスリスク
Webを動的でリッチなものへと変化させるAjax。その魅力の裏に実は、セキュリティ問題が潜んでいるという。その指摘とは? Webサービスとサービス指向アーキテクチャを対象としたセキュリティソフトウェアのプロバイダーであるForum Systemsは1月30日、Ajaxに関連したセキュリティ上の脅威とパフォーマンス問題について警告を発した。 Ajax(Asynchronous JavaScript and XML)は、応答性に優れたインタラクティブなWebサービスを可能にする。しかしForumによると、リクエストとレスポンスのペイロードのコンテンツタイプとしてXMLを使用しているため、アプリケーションがWebサービスの脆弱性に影響される恐れがあるという。 ユタ州サンディに本社を置くForum Systemsによると、Ajaxはネットワーク上で送信されるXMLトラフィック量を飛躍的に増加させ、
はてブお気に入りサジェスタ
\閉鎖予定のサイトも売れるかも?/ アクセスがないサイトもコンテンツ価値で売れる場合も… ドメインの有効期限を更新してサイト売却にトライしてみましょう
米IBM、DB2の無料版を公開
米IBMは1月30日(米国時間)、無料で利用できるRDBMS製品「DB2 Express-C」のダウンロード提供を開始した。主力データベース製品「DB2」がベースで、動作するハードウェアと機能に制限がある。すでに米Oracle、米MicrosoftもDB製品の無料版を提供しており、IBMも後を追うかっこう。 コア部分はDB2と同じ。データベースのサイズやユーザー数の制限はないが、CPUは最大で2CPU、メインメモリは4GBまでの制限が設けられている。また、データベース・パーティショニングやクエリー・パトローラーなどの一部機能が利用できない。OSはWindows版とLinux版があり、32/64ビットに対応する。 コミュニティベースのサポートは受けられるが、必要に応じてIBMが有料サポートを提供する。同社はユーザーがExpress-Cの使用を経て、有料版に移行することを期待している。 DB製
「きっこの日記」五年分すべてを通読してわかった。きっこの正体(きっこの日記検証1)[絵文録ことのは]2006/01/31
去年末から話題のサイトといえば「きっこの日記」をおいて他にはないだろう。そう、MAXファンのヘアメークの日記でありながら、「構造計算偽造」問題に絡んで「スクープ」ともいえるネタを公開したことでネット内の関心を集め、ジャーナリストにも「こいつ何者だ?」と言わせ、さらには民主党議員まで引っ張り出してきたっていうスゴいサイトだ。中には「これはスクープを公開するために匿名の架空の日記で出しておいて、それをマッチポンプ的に報道するための偽装サイト。きっこというのは複数の可能性もある」なんていう陰謀論まで飛び出す始末。でも、おれのポリシーは「原典に当たれ」ってのはご存じの方も多いだろう。きっこ=横山希美子さんのことを知りたかったら、きっこの日記を全部読むことからはじめなきゃ、と思って開いてみたら、実に5年分もあって、しかもここ2年くらいは毎日5000字くらいの文字量があるというわけで、本当に大変な作業
ベイエリア情報局: Yahoo でカスタマイズされた apache のまとめ
元Vine SPARC開発者。2003年度未踏ユース採択者。海外でも活躍できる国際的なLinuxエンジニアになることを夢見て日本で頑張っています。ウノウ株式会社にて写真共有SNS「フォト蔵」を開発中。 Yahoo で使用されている独自カスタマイズされた apache についてのプレゼンテーション資料が公開されていたので、自分なりにまとめてみました。 Hacking Apache HTTP Server at Yahoo! HTTPヘッダーの "Server:" は出力しない apache 1.3 がベース 安定動作が重要 スレッドは使用しない(動作が複雑) ログフォーマットは独自フォーマット ログローテンションは独自の仕組みを持つ。シグナルもパイプも使用しない レスポンスコード 30x は最小限のものだけ出力 コンテンツは gzip 圧縮して出力(HTTP/1.1)。CPU 使用率が 90
思いやりのある人たちへ
最近、ある横暴な特徴を持った人々の勢力が、急速にその数を増やしているように感じる。もともと多かったのだが、最近の10年ほどでまた急速に増加したらしい。いや、絶対数は変わっていなくて、単にその横暴さが目立つようになってきただけかもしれない。いずれにしても、その身勝手な言動や行動がますます目に余るようになって来たので、文句の一つも書いてみたくなった。今この文を読んでいる人の中にも、この勢力に属する人がいる、いやかなり多いだろうと予想される。そのような人たちは、この文を読んで腹立たしく思うかも知れないが、こちらとしても一方的にやられっぱなしでは悔しいので、批判を覚悟で勇気を出して書くことにする。 この勢力の人たちは、自分たちのことを指すとき「私たち一般市民」「我々普通の日本人」といった言葉で表現する。しかし、彼らの自称を使って話を進めると問題が不明確になってしまいそうなので、ここでは彼ら勢力のこ
InsideGoogle-part of the Blog News Channel
$10 To Answer This Question I’m completely unable to find an answer, so I’ll give ten bucks via PayPal (or whatever) to the first person to give me a working answer to this question: How do I force an ATI X1550 card to output YPrPb signals on VGA under Windows Vista? Even if it’s a stupid answer, if it works, I’ll pay you. It’s probably a registry key, or maybe there’s software, or maybe the Russi
檜山正幸のキマイラ飼育記 - 「プログラマの常識」ってなによ
僕は、「プログラマのための***」という続き物をボチボチと(きわめてボチボチと)書いていますが、タイトルに「常識的な知識は仮定するよ」って意味を込めています。んじゃ、「プログラマの常識」って、それなによ? って、実はハッキリしない。 別な事情もあって、「プログラマの常識」をハッキリさせたほうがいいな、と感じたりしてます。客観的な基準なんて求めないのだけど、「プログラマのための***」で暗黙に仮定している常識、それを少し明白にしたいのです、個人的にね。 思い付き順にバババッと並べるけど、次のようなことを知っていて欲しい: コードもデータも(それが所詮ビットコンビネーションだという意味で)一様なこと。 メモリセルには、そのコンテンツ(中身)とアドレスがあること。 コンテンツもアドレスも、やっぱりビットコンビネーションとしては一様であること。 コンピュータの実行は、順次実行以外に、無条件または条
複数のメール・ソフトに脆弱性,処理が停止する場合あり
JPCERTコーディネーションセンター(JPCERT/CC)と情報処理推進機構(IPA)は1月31日,複数のメール・クライアント・ソフトが影響を受ける脆弱性(セキュリティ・ホール)を明らかにした。特定のファイル名を持つ添付ファイルを開くと,ソフトの処理が停止して使用不能状態に陥る場合があるという。現時点では,影響を受ける具体的なソフト名は公表されていない。 IPAの情報によると,ファイル名にデバイス・ファイル名を含む添付ファイルを処理する際に問題が発生するという。そのような添付ファイルを開こうとすると,メール・ソフトの処理が停止して使用できない状態になる場合がある。これは,メール・ソフトが添付ファイルをデバイス・ファイルと見なしてしまい,入力を待ち続けて処理が先に進まないなど,想定外の処理がおこなわれるためだという。 発生する問題はメール・ソフトによって異なる。「添付ファイルの保存処理が終
PEAK XOOPS - 「しばらく日記をちゃんと書けそうにない」への反論
2つ前記事 前記事 プログラミング解説書籍の脆弱性をどうするか 私自身、3日くらい前に教えていただいたのですが、どうやら、前の記事を書いた1/21の当日に高木氏からコメントを頂戴していたとのこと。ずいぶんとすぐに見つけていただき、恐縮至極です。とても良いお仕事なのでしょうね。 しばらく日記をちゃんと書けそうにない さきほどざっと読ませていただきましたが、予想していたほどの量ではなく、また、こんな大嘘がまかり通っては困るので、当初予定していた「『サニタイズ言うなキャンペーン』の嘘」の前に先んじて一通りのコメントをつけておきます。 POSTでセッションIDを送る方法によるCSRF対策の問題点 Quote: 一般に、Session Fixation脆弱性のあるサイトに対して、Session Fixation攻撃が成功すると仮定した場合、攻撃者は当該サイトに対してセッションハイジャックができること
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
OKボタンの位置はどこが適切?
Bugtraq