@IT:クロスサイトスクリプティング対策の基本
最近Webアプリケーションに存在するセキュリティホールが注目を浴びている。その中でも「クロスサイトスクリプティング」と呼ばれる脆弱性が有名であるが、クロスサイトスクリプティング脆弱性について正確に理解している人が依然として少ないと感じる。 本稿では、クロスサイトスクリプティングとはどのような脆弱性であるのか、この脆弱性を持ったサイトが攻撃されるとどのような被害が起き得るのか、なぜそのようなセキュリティホールが作り込まれてしまうのか、どのように対策をすればよいのかを解説していく。 ※以下本文中では、クロスサイトスクリプティング脆弱性のことを「XSS」と表記する。「Cross Site Scripting」の略であるから「CSS」と表記している記事もあるが、「Cascading Style Sheets」の略も「CSS」となり紛らわしいため、「XSS」と表記する場合が多くなってきている。本稿で
RFID、国家レベルで普及施策が進行中 - @IT
社団法人 電子情報技術産業協会は3月15日、都内で「RFID最新動向シンポジウム」を開催した。電子タグ(RFID)にかかわる国家プロジェクトの紹介から海外における電子タグ技術の動向解説まで、電子タグの最前線情報を披露した。 内閣府総合科学技術会議でユビキタスネットワーク連携施策群コーディネータを担当する東京大学 名誉教授(工学博士)の齋藤忠夫氏は、RFIDが高度化する情報技術と現実世界とのインターフェイス役を果たすと考えている。流通分野でのバーコードからRFIDへの移行は、この考えを端的に表している。確かに、サプライチェーン全体を可視化し、在庫の縮小、物流時間の短縮、店舗における品切れの減少、荷扱いの誤りの減少といった新たな付加価値の追加は、RFID技術の登場によって従来よりも容易に実現できるようになったといえる。 しかし、RFIDの普及を促すうえで、齋藤氏が懸念する日本独自の課題がある。
SE ハジメくん 第1話(1/3) - @IT
■あらすじ■ ハジメくんは、大手企業のIT子会社の社員。このたび、念願の親会社のシステムを担当することになりました。 しかし、期待を胸に通い始めた親会社では、便利なはずのITが会社の都合で十分に生かされておらず、IT部門のメンバーは毎日を消化するだけの日々を送っているという、あまりにも理想からかけ離れた現実を目の当たりにします。 ある日、たまたま手伝いに行った別会社でITをうまく使っているのを目にしたハジメくんは、親会社のシステム改革を決意します。しかし、会社の古い体質はそれを許さず、システム改革どころか、ハジメくんの心までも蝕んでいくことになります。 そのようなつらい状況の中で不思議な先輩SEに出会ったハジメくん。この出会いがきっかけとなり、ハジメくんはITを理解するだけでなく、人を理解することの大切さを学びます。そしてある出来事がきっかけに、敵対視していたキーマンやIT部門のメンバーに
ユーザーが間違えても間違えなくてもエラーは回避せよ ― @IT
Webアプリケーションのユーザーインターフェイス[8] ユーザーが間違えても間違えなくても エラーは回避せよ 「経験則その4:エラーの回避」 ソシオメディア 上野 学 2006/3/15 ユーザーは間違えるものとし選択を制限するか、ユーザーは間違えないものとしエラーメッセージの廃絶を目指すか。あなたの目指す方向性はどっちだ?(編集部) 前回の「すでに入り口にいるのに、ホームに導くボタンは親切か」では、経験則その3として「可視性とフィードバック」の話をしました。ユーザーが思いどおりにシステムをコントロールでき、そしてシステムの状態が常に分かるようになっていることが大切であるという話でした。しかしいくら操作性が良くても、何か作業をしている間に何度もエラーが発生してやり直しが多くなってしまうのではいけません。 エラーはタスクの進行が失敗したことを意味し、ユーザーとシステムの対話はそこで止まってし
ケータイで使える軽い暗号方式「K2」が登場 - @IT
2006/3/15 KDDI研究所と九州大学は3月14日、軽量、高速で安全性の高い共通鍵暗号によるデータ暗号化アルゴリズムを共同で開発したと発表した。例えば携帯電話上のソフトウェアのみによる実装でも、動画コンテンツをリアルタイムで復号しながら再生することが可能で、コストが低いと同時に汎用性が高いという。 KDDI研究所と九州大学の頭文字をとって「K2」(ケーツー)と名付けられた新暗号アルゴリズムは、携帯電話上で世界最高速を達成したという。BREWプラットフォーム上のソフトウェア実装で(鍵長は128ビット)、復号処理を50Mbps超で行うことができたとしている。また、ワンセグ放送相当の動画像(128Kbps)のリアルタイム復号処理を、CPU使用率0.5パーセント以下で実現したという。 K2では暗号化・復号処理をビット単位ではなくワード単位で実行することで、高速化を図っている。また、非線形処理
無線ICタグ基盤をASPで提供、ベリサインと三井物産が協業 - @IT
2006/3/14 日本ベリサインと三井物産は3月13日、無線ICタグを使った流通情報プラットフォームの構築で協業したと発表した。世界標準のEPCglobalに準拠したネットワークを両社で構築し、流通や物流などの企業がICタグを使ったサプライチェーンを低コストで実現できるようにする。三井物産の取引先を対象に、今夏にも一部のサービスを始める予定だ。 両社は、EPCglobalの規格に則ったネットワークを構築する。ネットワークは、次世代バーコード体系「EPC」に準拠した商品のシリアル番号を登録する「Root ONS」と、ICタグから得られる商品の現在地など、動的な情報をリアルタイムで格納、提供する「EPC Discovery Services」、ユーザー会社側に設置して商品の状態をDiscovery Servicesにプッシュ形式で登録する「EPC Information Services(I
すべてはここから始まった〜SHA-1の脆弱化 ― @IT
米国は、現在利用されているすべての米国政府標準の暗号技術を2010年までにより安全な暗号技術へ交代させていく方針を明確に打ち出している。現在、世界中で使われているデファクトスタンダードの暗号技術は、そのほとんどすべてが米国政府標準の暗号技術に準じているため影響は極めて大きい。2010年に向けて現在使われている暗号技術はどのように変わっていくのだろうか(編集部) 2005年2月15日、世界的な暗号の権威であるBruce Schneier氏のBlog「Schneier on Security」で公表された「SHA-1 Broken」という情報は、驚きをもって世界中を駆け回った。現在、ハッシュ関数のデファクトスタンダードとして最も広く利用されているSHA-1に対して、中国・山東大学のXiaoyun Wang氏とHongbo Yu氏、セキュリティコンサルタントのYiqun Lisa Yin氏のチー
ExchangeサーバとSender IDの親和性 - @IT
第5回 ExchangeサーバとSender IDの親和性 竹島 友理 NRIラーニングネットワーク株式会社 2006/3/14 こんにちは。今回もExchange Server 2003のService Pack 2(SP2)に入っているセキュリティ機能の紹介です。今回のテーマは、「Sender ID」という送信ドメイン認証機能について見ていきます。 Exchange Server 2003 SP2をインストールすると、Exchange Server 2003環境でSender IDを実装できるようになります。なお、Sender IDは@ITやMicrosoftのWebサイトで、すでに多くの解説情報が公開されているので、その都度、関連情報を紹介していきます。 Sender IDはいまの時代に必要なスプーフィング対策 Sender IDとは「スプーフィング(なりすまし、送信者アドレスの偽造
@IT:[Interview] Mac OS v10がBSD系UNIXでなければならなかった理由
米アップルコンピュータ Product Line Manager WW Software Product Marketing アーネスト・プラバカー(Ernest Prabhakar)氏 「SUN SUPER TECH DAYS」(主催:サン・マイクロシステムズ)に合わせ、米アップルコンピュータ Product Line Manager WW Software Product Marketing アーネスト・プラバカー(Ernest Prabhakar)氏が来日した。「徹底的なオープンスタンダード準拠とオープンソース思想に基づく比類なきOS」とプラバカー氏が胸を張るMac OS v10.2の、開発環境としての側面およびJavaに対するアップルの姿勢を聞いた。 ――開発環境として考えた場合のMac OS v10.2は、開発者にとってどのようなインパクトをもたらすと考えますか。そもそもOSだけ
電子署名方式の最新技術「DKIM」とは
送信ドメイン認証技術にはIPアドレスを利用するものと電子署名を利用するものがある。前者の代表は「Sender ID」や「SPF(Classic SPF)」であり、後者のそれは「DomainKeys」である。 今回は、電子署名を利用するタイプの送信ドメイン認証である「DomainKeys Identified Mail(DKIM:ディーキムと発音する)」を解説する。DKIMの具体的な説明に入る前に、その誕生について触れよう。 DKIMの両親となったDomainKeysとIIM 「電子署名を使うDomainKeysの設定方法」にて説明したDomainKeys以外にも電子署名を利用した送信ドメイン認証を実現する方法として、Cisco Systemsが提案した「Identified Internet Mail(IIM)」という規格がある。IIMはDomainKeysとは異なり、署名に利用した公開鍵
認証技術の複合化を目指すOATHのロードマップ - @IT -
第2回 認証技術の複合化を目指すOATHのロードマップ 相原 敬雄 日本ベリサイン株式会社 マーケティング部 課長 2006/2/18 第1回「OATHが目指す“信頼”の形」では、「OATH(Initiative for Open AuTHentication)」の理念と歴史、将来的なビジョンについて解説しました。OATHが動きだした背景には、一般的に利用されているユーザーID/パスワードによる認証システムが限界にきていることが挙げられます。 OATHの目標には、ワンタイムパスワード(OTP)やPKI(Public Key Infrastructure:公開鍵基盤)、SIMカード(Subscriber Identity Module:加入者識別モジュール)を組み合わせた、オープンで低コストの多元的な認証デバイスの仕様を、ベンダからメーカーまであらゆる関係者に広めるというものがあります。今回
プロジェクト管理は「MS Project」使用、アクセンチュアが全世界で統一 ― @IT
2006/3/1 アクセンチュア・テクノロジー・ソリューションズは2月28日、アクセンチュアと同社が手がけるコンサルティングやシステム構築のプロジェクト管理に、マイクロソフトの「Microsoft Office Project」を標準ツールとして全世界で使っていることを明らかにした。アクセンチュア・テクノロジー・ソリューションズのシニア・ディレクター 高田栄一氏は「全社で導入することで、スピードアップ、省力化、標準化を狙っている」と説明した。 マイクロソフトが同日開催した説明会で高田氏がProjectの使用事例を紹介した。アクセンチュアはシステム構築の方法論、ツールセット、システム・アーキテクチャ、指標体系を全世界で標準化している。ツールでは2003年に「Projectがプロジェクト管理、進ちょく・コスト管理のための導入必須ツール」と指定した。製品では「Office Project Pro
1つのSQL文で複数の表にINSERTする絶品テクニック(1/2) ― @IT
本連載はSQLの応用力を身に付けたいエンジニア向けに、さまざまなテクニックを紹介する。SQLの基本構文は平易なものだが、実務で活用するには教科書的な記述を理解するだけでは不十分だ。本連載は、著名なメールマガジン「おら!オラ! Oracle - どっぷり検証生活」を発行するインサイトテクノロジーのコンサルタントを執筆陣に迎え、SQLのセンス向上に役立つ大技小技を紹介していく。(編集局) FOR...LOOP文を使って、いくつものSQL文でデータをINSERTしているPL/SQLプロシージャやプログラムをよく見掛けますが、実は1度にデータをINSERTする方法もあるんです。マルチテーブル・インサート(Multitable Insert)とはその名のとおり、1つのSQL文で複数の表にINSERTが可能になります。この最大のメリットは、やはりパフォーマンスです。では早速ご紹介します。 マルチテーブ
コンビニランチでも健康を維持しよう!
開発が佳境に入ると、お昼をゆっくりと食べる時間はない。そんな場合、近くのコンビニで弁当を買って済ませる人も多いのではないだろうか。そこで、フードプロデューサー、フードジャーナリスト、料理研究家でタレントの園山真希絵さんに、健康的なコンビニ弁当の選び方を伝授してもらおう。 お昼どき、コンビニに行ったはいいものの、何を買っていいのか迷ってしまうという方も多いのでは? 忙しくてコンビニで悩む時間はない! そこで、今回は、メインとなるエネルギー源食品(おにぎり・パン・お弁当)を軸に、ぱぱっと選べて、体にいい食べものをチョイスしてご紹介します。 おにぎりランチにオススメはあるか? おにぎりは、海苔(のり)がおにぎり全体に巻いてあるものを選びましょう。海苔は、ビタミン・食物繊維・カルシウムを豊富に含むアルカリ性食品であるため、酸性に傾きがちな体を正常に戻す働きがあります。また、大豆に匹敵するくらいの良
Oracle Databaseを無期限サポート、各サポート期間も明確に - @IT
2006/3/2 日本オラクルは3月1日、製品のサポートを無期限で提供する「ライフタイム・サポート・ポリシー」を従来のアプリケーション製品からデータベースを含む全製品に拡大すると発表した。米オラクルのエグゼクティブ・バイスプレジデント ユルゲン・ロトラー(Juergen Rottler)氏は、これまで不透明だった各製品のサポート期間を明確化することで、「製品のバージョンアップに関して高い予測性を顧客に提供する」と述べた。 オラクルの従来のサポートは製品ごとに期間が異なっていた。サポート終了時期は1年前までに告知されることが多く、「顧客のバージョンアップ計画に十分ではなかった」(日本オラクル 取締役常務執行役員 保科実氏)。ライフタイム・サポート・ポリシーでは製品出荷時から全製品共通のサポート期間をあらかじめ決めるため、顧客はバージョンアップの計画を長期的に策定しやすくなる。 製品導入後に最
オラクルが検索製品を正式発表、「世界はオラクルとグーグルに二分」 ― @IT
2006/3/3 米オラクルのCEO ラリー・エリソン(Lawrence J. Ellison)氏は3月2日、「Oracle OpenWorld Tokyo 2006」で講演し、企業内データを検索する同社の新製品「Oracle Secure Enterprise Search 10g」(OSES)を正式発表した。エリソン氏は「グーグルはWWWを検索する技術を開発した。しかし欠けているのはプライベートデータの検索だ」と述べ、企業内検索市場の成長に大きな期待を示した。 OSESは独自開発のクローラを持ち、企業内のOracle Databaseや業務アプリケーション、ファイルサーバをインデックス化、検索するスタンドアロン型の検索エンジン。インデックスファイルはOSESに付属するデータベースに格納する。ユーザーはGoogle風のWebインターフェイスからキーワードでデータを検索する。Microso
日本版SOX法適用は2009年3月期以降か、金融庁内部統制部会長が見解 - @IT
2006/3/4 青山学院大学大学院教授で、金融庁企業会計審議会の内部統制部会で部会長を務める八田進二氏は3月3日、「Oracle OpenWorld Tokyo 2006」で講演し、日本版の企業改革法(日本版SOX法)について「個人的な見解」としながらも、「適用はどんなに早くても2009年3月期」と述べた。八田氏は「巷間(こうかん)、2008年3月期と言われているが、私は個人的にはないと思っている」と語り、法律の実効性を上げるためには企業側に十分な準備期間が必要との考えを示した。 日本版SOX法の適用については、最短で2008年3月期と考える企業もあり、八田氏の見解は企業の対応準備に影響を与えそうだ。八田氏は日本版SOX法のベースとなる「財務報告に係る内部統制の評価及び監査の基準案」をまとめた部会の部会長。 日本版SOX法は自社の財務報告の適正性を経営者が評価し、外部の会計士が監査するこ
@IT:[検証実験]Webシステム開発の効率化を検証する 第3回
[検証実験]Webシステム開発の効率化を検証する 第3回 フレームワークの効果を検証 石原篤一 テンアートニ 2002/9/20 今回は、前回「仕様変更とフレームワーク効果で」ご紹介したサンプルアプリケーション「軽やかカロリ~」を通して、フレームワークの効果を確認してみましょう。また、手軽な開発環境構築とフレームワーク導入によって、Webアプリケーション開発がうまく立ち上がってきたら、次にはどのような課題が出てくるのか、進んでいく方向性としてどのようなものがあるのかを考えてみましょう。 前回紹介したサンプルアプリケーションを作成する際に、1から独自に開発する場合と、WDCを使って開発する場合とではどのような違いがあるのでしょうか。「軽やかカロリ~」の「ある日の食事内容表の画面」を例に取って見てみましょう。 「葛飾北斎の2002/01/01のデータがすでに保存されている。そのデータを変更して
MSが無償配布、「Visioで書く内部統制文書ガイド」 - @IT
2006/2/25 マイクロソフトは2月24日、内部統制の構築で必要な業務プロセスの文書化を「Microsoft Office Visio 2003」で効率的に行うための方法を紹介する、「Visioで書く内部統制対応文書作成ガイド」をWebサイトで公開した。無償で利用できる。 日本版SOX法などに対応した内部統制の構築には業務プロセスの文書化作業が重要とされている。しかし、文書化は時間とコストがかかる。マイクロソフトが公開した作成ガイドを使えば、「Visio 2003を実際に使って、ステップバイステップで業務プロセスの文書化を行うことができる」という。 作成ガイドは61ページのWord文書。業務プロセス文書化の前提となる業務フローの作成方法を主に記述している。作成ガイドでは、業務フローで行うべき項目や順序を入力したAccessファイルが準備されていることを想定した、業務フローの作成方法も説
オープンソースWebアプリのセキュリティを調査 - @IT
2006/2/25 Webアプリケーション・セキュリティに関心を持つ企業や個人が参加する「Web Application Security フォーラム」(WASフォーラム)は2月24日、東京都内でセミナーを開催、フォーラムの製品評価分科会で2005年11月に実施したオープンソース・ソフトウェア(OSS)のセキュリティに関する調査の結果を報告した。 この調査では、オープンソースの電子商取引アプリケーション数種を、推奨される構成でインストールし、これに対してWebアプリケーション検査ツールを実行、それぞれについてクロスサイト・スクリプティングやSQLインジェクションなどの脆弱性を確認した。 さらに、それぞれのアプリケーションに対して3種のWebアプリケーション・ファイアウォール(WAF)を適用し、再びWebアプリケーション検査ツールを実行し、適用前との違いを調べた。 調査の対象となったのは、O
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
