じぶん銀行は6月14日、スマートフォンアプリとトランザクション認証を使った「スマホ認証サービス」を開始した。ネットバンキングなどで問題化している不正送金被害への対策になるという。 新サービスは、VASCO Data Securityのソリューションをベースに、暗号化された取引データの一部を認証に用いて取引内容の改ざんの有無をサーバ側が検証できる仕組みを利用する。PC利用時は、ユーザーが振り込み内容を入力した後にスマートフォンアプリにログインして承認すると、取引処理が実行される。スマートフォン利用時はアプリで取引内容を確認して承認を行う。内容入力後、一定時間内に承認しないと取引処理が取り消される。

本資料は、web アプリケーションにおける脆弱性のひとつ、CSRF (クロスサイトリクエ ストフォージェリ) の仕組みとその対策に関する説明資料です。 また、CSRF 対策のためのライブラリのいくつかについて、その概要と適用例も紹介しています。 Webアプリケーションを作成する開発者の方々が、CSRF 脆弱性に対する理解を深め、よりセキュアなWebアプリケーションの開発の一助となれば幸いです。 自習用の資料や勉強会での資料としてご活用ください。 - 改訂版+1: 図版や誤記の修正 (2015年10月20日) ※ コメントくださった皆様ありがとうございます! - 改訂版: JPCERT/CC Web サイトにて公開 (2015年10月6日) - 初版: OSC2015Hokkaido 講演資料 (2015年6月13日) Read less

マイクロサービスアーキテクチャ（以下、MSA）という言葉を聞くようになりました。きっかけはファウラーのブログ「Microservices」（2014年3月）ですが、昨年10月のJavaOne SFでも多くの講演でMicroservicesという言葉を聞かれ、多くのエンジニアがすぐに共感していたことが分かりました。今後、日本でも広く知られる言葉になることでしょう。 一方でMSAは誤解を招きやすいバズワードとも言える気がします。というわけで、僕なりのMSAについての考えをまとめてみました。 MSAは「優れたウェブサービスを観察したところ同じようなアーキテクチャだったので、それをマイクロサービスアーキテクチャと名付けた」というものです。逆に言えば「大きなウェブサービスを作ろうと思ったときの定石」といえます。「各要素を疎結合に構成し、連携する」「それぞれの要素に適した技術を使う」といったアイデアは

以前、某L社が上場した時に、SEOというオーソドックスなWebの手法を突き詰めて、そこにビジネスを載せるとこんなことになるのかと関心した。 その時から、Webと親和性の高い方法論は、新しい視点一つで宝にもなることがあり、安易に自分の常識に流されてはいかんなと言うことを学んだ。 先週は、IVSの併設イベントのCTO職や技術責任者の人たちが集まる集いに参加するために宮崎に行っていたが、そこで会った人たちの印象として、クローラを使う会社の元気な姿があった。 つまり、正式にapiなどでデータ提供を受ける前に、クローラを使ってアナログ的にデータ連携させてしまい、その上に付加価値を載せていくサービスだ。 インターネット上に重要な情報が満ち溢れているので、それをマッシュアップするというもの。割とWeb2.0的であり、それが更に進化した手法だとも言える。 インターネット上の情報をうまく活用するという意味で