IPアドレスは「個人情報」を特定できないから、漏えいしても問題ないよね?IPアドレスは「個人情報」を特定できないから、漏えいしても問題ないよね?:こうしす! こちら京姫鉄道 広報部システム課 @IT支線(24)(1/2 ページ) 情報セキュリティの啓発を目指した、技術系コメディー自主制作アニメ「こうしす!」の@ITバージョン。第24~27は初秋の特別列車「個人情報とは何か」です。
架空企業「オニギリペイ」に学ぶ、セキュリティインシデント対策
架空企業「オニギリペイ」に学ぶ、セキュリティインシデント対策:徳丸浩氏が8つの試練を基に解説(1/3 ページ) ECサイトやWebサービスでセキュリティインシデントを起こさないためには何をすればいいのか。2019年12月に開かれた「PHP Conference Japan 2019」で徳丸浩氏が、架空企業で起きたセキュリティインシデントを例に、その対策方法を紹介した。 ECサイトやWebサービスを提供する会社で発生したセキュリティインシデントに関するさまざまなニュースが後を絶たない。どうすればこうしたインシデントは防げるのだろうか。 『体系的に学ぶ安全なWebアプリケーションの作り方』(通称:徳丸本)の筆者として知られる徳丸浩氏(EGセキュアソリューションズ 代表取締役)は、2019年12月に開かれた「PHP Conference Japan 2019」のセッション「オニギリペイのセキュリ
被告弁護人と高木浩光氏は何と闘ったのか、そしてエンジニアは警察に逮捕されたらどう闘えばいいのか(Coinhive事件解説 前編)
被告弁護人と高木浩光氏は何と闘ったのか、そしてエンジニアは警察に逮捕されたらどう闘えばいいのか(Coinhive事件解説 前編):権利は国民の不断の努力によって保持しなければならない(1/3 ページ) Coinhive、Wizard Bible、ブラクラ補導――ウイルス作成罪をめぐる摘発が相次ぐ昨今、エンジニアはどのように自身の身を守るべきか、そもそもウイルス作成罪をどのように解釈し、適用すべきか。Coinhive事件の被告人弁護を担当した平野弁護士と証人として証言した高木浩光氏が詳しく解説した。 世の中の大半のエンジニアにとって、「逮捕」や「起訴」といった言葉は縁遠いものだったかもしれない。だが2018年に入って「不正指令電磁的記録に関する罪」(通称:ウイルス作成罪)に関する摘発が相次いで行われ、状況が大きく変わり始めている。 2018年6月、自身が運営するWebサイト上に、閲覧してきた
GitHubが障害を総括、43秒間のネットワーク断が1日のサービス障害につながった:データベースの不整合解消に時間 - @IT
GitHubが障害を総括、43秒間のネットワーク断が1日のサービス障害につながった:データベースの不整合解消に時間 GitHubは2018年10月30日(米国時間)、2018年10月21日16時頃(米国太平洋時)から約24時間にわたって発生した障害に関する分析報告を、同社のブログに掲載した。これによると、ネットワーク機器の部品交換で生じた43秒のネットワーク接続断が、GitHubのメタデータ管理データベースの不整合を引き起こし、復旧に時間を要したという。 GitHubは2018年10月30日(米国時間)、2018年10月21日16時頃(米国太平洋時)から約24時間にわたって発生した障害に関する分析報告を、同社のブログに掲載した。これによると、ネットワーク機器の部品交換で生じた43秒のネットワーク接続断が、GitHubのメタデータを管理するデータベースの不整合を引き起こし、復旧に時間を要した
試すのが難しい―機械学習の常識はMahoutで変わる
ビッグデータ時代―なぜ、いま機械学習なのか Apache Hadoop(以下、Hadoop)の登場で、今まで捨てていたデータ、貯めるだけで処理しきれなかったデータを活用できるようになりました。 活用手段として最近とみに注目されている技術が「機械学習」であり、Hadoopの強みを生かし簡単に機械学習を行うためのライブラリが、「Apache Mahout」(以下、Mahout)です。 本稿ではMahoutを動かしてみることで、機械学習の常識を身に付けます。 そもそも、機械学習とは? 機械学習とは、一定のデータをコンピュータ・プログラムに「学習」させ(すなわち、そのデータに潜むパターンや規則性を表す「モデル」を自動的に構築させ)、他のデータにそのモデルを適用すれば、あたかも人間のように複雑で柔軟な判断が行えるようにするという試みです。 機械学習をビジネスに活用した例は、レコメンド(ユーザーや商品
NTP増幅攻撃で“史上最大規模”を上回るDDoS攻撃発生
米国時間の2014年2月10日、Network Time Protocol(NTP)の脆弱性を悪用した大規模なDDoS攻撃が確認された。米国のセキュリティ企業、CloudFlareのCEOを務めるマシュー・プリンス氏のツイートによると、2013年3月に観測された“史上最大規模”のDDoS攻撃を上回り、トラフィックがほぼ400Gbpsに達する規模だったという。 NTPは、システムの内部時計を正しい時間に同期させるためのプロトコルで、インターネットを形作るネットワーク機器やサーバー、デスクトップマシンなどで幅広く使われている。 ntpdなどNTPの実装の一部には、NTPサーバーの動作モニタリングのために「monlist」機能を備えているものがある。この機能が「攻撃者にとって理想的なDDoSツール」(CloudFlareのブログ)になっているという(関連記事:増幅攻撃はDNSだけではない――NT
グリー技術者が聞いた、fluentdの新機能とTreasure Data古橋氏の野心
fluentdのほかにもバイナリシリアライゼーションフォーマット「MessagePack」の開発などで知られる古橋氏だが、学生時代からその技術力の高さには定評があり、注目され続けてきたスーパーエンジニアでもある。 今回、fluentdのユーザーでもあり、古橋氏とは旧知の仲でもあるグリー 開発本部 リーダーの森田想平氏がインタビュアーとなり、fluentdにまつわるトピックや、トレジャーデータでの開発、オープンソースへの想いなどを訊いている。本稿では、その模様をお伝えしながら、“エンジニア・古橋貞之”の魅力に迫ってみたい。 fluentd v11の注目ポイント 森田 まずは、グリーでも大変お世話になっているfluentdについて、いろいろ聞かせてください。開発中の新バージョン(v11)では、かなり大きな変更や機能追加があると伺っていますが、注目ポイントをいくつか教えてもらえますか。 フィルタ
直撃取材! 「たて」の裏側
6月9日に放映されたフジテレビのバラエティ番組「ほこ×たて」の「どんなプログラムにも侵入できるハッカー VS 絶対に侵入させないセキュリティープログラム」は、視聴者を激しい混乱の渦に巻き込んだ。 その後、“たて”側のネットエージェントは公式ブログで、“ファイル名変更”が実際は“TrueCryptによるディスク暗号化”であることや、対決で用意されたPCはサービスパックも当たっていない脆弱性だらけのWindows OSだったことなど、番組でカットされ誤解を招いた部分について説明。本当はかなりのガチ対決だったことが明かされた。 では、“実際の”攻防戦はどのようなものだったのか。自身も凄腕のハッカーで、昨年度開催された「CTFチャレンジジャパン」の優勝者でもある、luminことネットエージェントの杉浦隆幸氏に直撃した。 編集部 今回の番組出演の経緯は? 杉浦氏 今回の内容は番組制作会社が企画したも
さくら、最速10分納品でクラウドっぽい専用サーバの提供を開始 - @IT
2012/02/21 さくらインターネットは2月21日、物理サーバを使った専用サーバサービスでありながらクラウドのような使い勝手を兼ね備えた「さくらの専用サーバ」を提供すると発表した。2月29日から提供を開始する。 これまで一般的な専用サーバサービスでは、申し込みから利用開始まで、数時間から数日かかっていたが、これを最短では数分から10分とした。また、OSのインストールや(再)起動をコントロールパネルからセルフサービスで可能としたのがポイント。物理サーバをリモートから操作するための標準規格「IPMI」(Intelligent Platform Management Interface)を使うことで、物理サーバの遠隔操作と自動化を進め、クラウドサービス上のサーバインスタンスと同じように物理サーバを管理・操作可能とした。IPMIによる物理サーバの操作はユーザーにも開放し、独自開発のコントロール
本当は怖いパスワードの話 ハッシュとソルト、ストレッチングを正しく理解する - @IT
PSN侵入の件から始めよう 今年のセキュリティの話題の中でも特に注目されたものとして、4月20日に起こったPSN侵入事件があります。5月1日にソニーが記者会見をネット中継したことから、ゴールデンウィーク中にもかかわらず多くの方がネット中継を視聴し、感想をTwitterに流しました。もちろん、筆者もその1人です。 このときの様子は、「セキュリティクラスタまとめのまとめ」を連載している山本洋介山さんが、Togetterでまとめています。 Togetterのまとめを読むと、漏えいしたパスワードがどのように保護されていたかが非常に注目されていることが分かります。Togetterのタイムラインで、14:48ごろにいったん「パスワードは平文保存されていた」と発表されると、「そんな馬鹿な」という、呆れたり、驚いたりのつぶやきが非常に多数流れます。 しかし、15:03ごろに「パスワードは暗号化されてなかっ
Titaniumで始めるモバイルアプリ作成の基礎知識
Titaniumで始めるモバイルアプリ作成の基礎知識:Web技術でネイティブアプリを作れるTitanium(2)(1/3 ページ) iPad/iPhone VS Androidに戸惑っているWebデザイナ/開発者のために、Web技術でネイティブアプリを作れるオープンソースの開発ツールを紹介し、その利点や使い方を連載で解説します ついにTitanium Mobile 1.0がリリース! 「Titanium Mobile」の概要を紹介した前回の記事「HTML+JavaScriptでiPhone/Androidアプリを作れるTitanium Mobileとは」は、おかげさまで大変評判も良く、技術者が多く集まる「はてなブックマーク」で、多くのブックマークを獲得しました。iPhoneへの関心の高まり、そしてよりスピード感のある開発手法への関心の高まりを感じました。 一方、Titaniumにも大きな動
WebKit/Google Chrome開発者に聞く、HTML5最前線 - @IT
2010/05/12 「グーグルのエンジニアがSafariのためにコードを書くこともあるんですよ。WebKitコミュニティの中では、そのほうが物事の進みが速いという不文律のようなものがあるんです」 こう語るのは、グーグルでChrome開発に携わるソフトウェア・エンジニアの鵜飼文敏氏だ。鵜飼氏はChromeに機能を追加するために、WebKitコミュニティでWebSocketの設計、実装なども行なっている。 WebKitは不思議なプロジェクトだ。よく知られているように、Google ChromeとApple Safari(およびiPhoneやiPadに搭載されるそのモバイル版のMobile Safari)は、オープンソースベースで開発が進む「WebKit」というコードベースを共有している。ここにさらに、WebKitを統合したGUI開発フレームワーク「Qt」を抱えるノキアや、搭載ブラウザをWeb
なぜTwitterは低遅延のままスケールできたのか 秒間120万つぶやきを処理、Twitterシステムの“今” − @IT
ユーザー同士のつながりを元に時系列に140文字のメッセージを20個ほど表示する――。Twitterのサービスは、文字にしてしまうと実にシンプルだが、背後には非常に大きな技術的チャレンジが横たわっている。つぶやき数は月間10億件を突破、Twitterを流れるメッセージ数は秒間120万にも達し、ユーザー同士のつながりを表すソーシャル・グラフですらメモリに載る量を超えている。途方もないスケールのデータをつないでいるにも関わらず、0.1秒以下でWebページの表示を完了させなければならない。そのために各データストレージは1~5ms程度で応答しなければならない。 Twitterのリスト機能の実装でプロジェクトリーダーを務めたこともあるNick Kallen氏が来日し、2010年4月19日から2日間の予定で開催中の「QCon Tokyo 2010」で基調講演を行った。「Data Architecture
ネットで部屋を貸し借りして“人間らしい旅”を 「AirBnB」を使ってみた − @IT
われわれは、空きスペースのeBayなのです――。米国発のWeb系ベンチャー企業「AirBnB」(エアー・ビー・アンド・ビー)の共同創業者の1人、ジョー・ゲビア(Joe Gebbia)氏は、即席インタビューを行った私にこう語った。AirBnBはeBayのようなマッチングサイトの一種だ。マッチングするのはひと晩単位で部屋を貸したい人と、そうした部屋を借りたい旅行者だ。 空き部屋や空きスペースを貸したい人は、AirBnBに住所や写真、一晩あたりの価格などをアップロードして公開する。これを見て泊まりたいと思った人が予約する。まるで友だちの家にでも泊まるかのように、見知らぬ土地で個人宅などに宿泊することができる。 こんなWebサービスが米国を中心に受けているようだ。 2009年5月、海外出張するのをいい機会と、記者は試しにAirBnBを使ってみた。行き先は米国サンフランシスコ。通常なら1泊200~3
3回目はあるのか? おばかアプリ選手権レポート
コンテンツ糸柳——拡張現実感、クローン大戦へ ハッカーズカフェ 「破滅コンテンツ——The spotlight turns to ITOYANAGI」 メンバー:akio0911、doodoo_jap、takano32、itkz、nishio ハッカーズカフェは、アキバ(秋葉原)を中心に活動する謎のハッカー集団。Web上では活動の痕跡が散見されるが、その規模や参加者の正体などは謎とされている。 ハッカーズカフェは、第1回でもおばかアプリではなく活動紹介として参加している。世のエンジニアたちが集まる場所でその存在を知らしめることで、少しずつ勢力を拡大しようとたくらんでいるようだ(前回の紹介内容はこちら)。 梅雨の蒸し暑い中、マント姿で現れた暗黒卿は、「ウェルカムトゥー・サンフランシスコ・カリフォルニア。ワールドワイド・オバカアプリケーション・カンファレンス!」とカタコトの英語であいさつ。続い
[柔軟すぎる]IEのCSS解釈で起こるXSS
[柔軟すぎる]IEのCSS解釈で起こるXSS:教科書に載らないWebアプリケーションセキュリティ(3)(1/3 ページ) XSSにCSRFにSQLインジェクションにディレクトリトラバーサル……Webアプリケーションのプログラマが知っておくべき脆弱性はいっぱいあります。そこで本連載では、そのようなメジャーなもの“以外”も掘り下げていきます (編集部) なぜか奥深いIEのXSSの話 皆さんこんにちは、はせがわようすけです。 第1回「[これはひどい]IEの引用符の解釈」と第2回「[無視できない]IEのContent-Type無視」でInternet Explorer(IE)の独自の機能がクロスサイトスクリプティング(XSS:cross-site scripting)を引き起こす可能性があるということについて説明してきました。 第3回でも引き続き、IE特有の機能がXSSを引き起こす例ということで、
OpenIDをとりまくセキュリティ上の脅威とその対策 - @IT
前回はConsumerサイトを実際に作る際のプログラミングに関してお話ししましたが、今回はOpenIDに関するセキュリティについて考えてみます。 今回取り上げるトピックとしては、 などを段階的に説明していきます。IdPの構築方法を知る前にOpenIDプロトコルのセキュリティに関して熟知しておきましょう。 OpenIDプロトコルにおける通信経路のセキュリティ ここまで詳細に解説してきませんでしたがOpenID認証プロトコルのフェイズにおいて、どのようにセキュリティ上の安全性を担保しているかを解説しましょう。 まずはassociateモードを正常に実行するSmartモードの場合です。 ConsumerはユーザーからのClaimed Identifierを受け取ると、associateのキャッシュが存在しない場合は新規にIdPに対してassociateモードのリクエストを行います。第3回で「as
ブラウザでのクロス・ドメイン通信のセキュリティ保護(1/3) - @IT
アーキテクチャ・ジャーナル ブラウザでのクロス・ドメイン通信のセキュリティ保護 Danny Thorpe 2009/04/20 本コーナーは、マイクロソフトが季刊で発行する無料の技術論文誌『アーキテクチャジャーナル』の中から主要な記事を Insider.NET 編集部が選び、マイクロソフトの許可を得て転載したものです。基本的に元の文章をそのまま転載していますが、レイアウト上の理由などで文章の記述を変更している部分(例:「上の図」など)や、図の位置などを本サイトのデザインに合わせている部分が若干ありますので、ご了承ください。『アーキテクチャ ジャーナル』の詳細は「目次情報ページ」もしくはマイクロソフトのサイトをご覧ください。 ■概要 買い物客は、事実上どの店に入っても、プラスチックのカードと写真付きの身分証明書以外の何も持たずに商品を購入できます。買い物客と店主の通貨、国籍、言語が異なってい
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「『一回転』でググれ」と言ったら、逮捕されますか?
iPhone開発。まずはサンプルを動かしてみよう
