「Webアプリの脆弱性対策は簡単です」
「Webアプリケーションの脆弱性対策は簡単です」。 セキュリティ関連の取材をするようになって10年以上になるが、セキュリティ対策が「簡単」だと聞いたのは恐らく初めてである。取材の相手は、TISの早矢仕善弘氏(技術本部 セキュアワン室 室長)。ソースコードを対象にした脆弱性チェックツールとして広く利用されている米Fortify Softwareに、同社ソフトの検証を依頼されたこともあるというセキュリティの専門家である。 早矢仕氏によるとWebアプリケーションの脆弱性は、たった四つの原則を守れば防げるという。SQLインジェクションやクロスサイトスクリプティング(XSS)など著名なものはもちろん、最近になって発見されている数多くの脆弱性が、いずれかの原則の対象になる。四つの原則を紹介しよう。 (1)ユーザー入力を精査する Webページのフォームなどに入力された文字列は、きちんとチェックしなければ
ブラウザキャッシュでパフォーマンス向上
キャッシュ制御の方法 サーバサイドからキャッシュを制御するには、以下の2つの方法がある。 HTTPヘッダによる制御 METAタグによる制御 まずは、これらがどのようなものか、軽くおさらいしておく。 ■HTTPヘッダによる制御 HTTPプロトコルでは、HTTPヘッダにさまざまな情報を格納することができる。そのうちいくつかの情報は、キャッシュ制御のためのヘッダである。リクエスト(クライアント→サーバ)用のものと、レスポンス(サーバ→クライアント)用、リクエスト/レスポンス共通のものが存在する。 ■リクエスト用 If-Modified-Since 日時を指定する。指定した日時より新しいコンテンツの場合のみデータを返却するようにサーバに指示する。ローカルキャッシュの最新確認に使用される If-None-Match 指定したエンティティタグに一致しない場合のみコンテンツを返却するようにサーバに指示す
サイト公開前に役立ちそうなフリーのツールやWebサービスいろいろ
Webサービス公開前にサイトをチェック Webサイトを制作して公開する際は おかしいところが無いか、不備は 無いか不安になったり、という方も 少なくないのではないかと思います。 Webサイトを制作して公開する際は おかしいところが無いか、不備は 無いか不安になったり、という方も 少なくないのではないかと思います。 そこで、公開前に色々と確認出来たり、 最適化できる様なフリーのサービスや フリーソフトをご紹介します。 ここで言う「公開前」とは「サーバーにアップする」事ではなく、公開を告知したり、プレスリリースを出す前の状態とお受け下さい。ローンチ前と書くべきだったかもしれませんね。。誤解を与えていたら申し訳ないです。 では、ブラウザチェックツール、モニタ別表示チェック、表示スピードチェックツール、cssや画像の最適化ツール、などなどご紹介していきます。 ブラウザチェック各ブラウザでどのように
「PCでは見えないはず」に頼ることの危険性
“特殊だ”と形容されることの多い日本の携帯電話向けWebサイト。そこには、さまざまな思い込みや性善説の上しか成り立たないセキュリティが横行しています。本連載は、ケータイWebの特殊性をていねいに解説し、正しいケータイWebセキュリティのあるべき姿を考えます(編集部) 無視できない“ケータイWeb”セキュリティ はじめまして。今回からこの連載を担当することになりました徳丸浩といいます。この連載では、携帯電話向けWebアプリケーション(以後「ケータイWeb」と表記します)のセキュリティについて解説します。ここでいう携帯電話とは、iモードやEZweb、Yahoo!ケータイなど、日本で従来、広く利用されているサービスを指します。一方、いわゆるフルブラウザやiPhone、Android端末などは含みません。 ケータイWebは、一般のPCなどから利用されるWebと比較して、使用技術の90%くらいは共通
HTTPメモ(Hishidama's HTTP Memo)
HTTPの概要 HTTP(Hypertext Transfer Protocol)は、HTML(HyperText Markup Language)や画像等のファイルの要求方法と応答の返し方を決めたプロトコル。 クライアントがHTTPリクエストをWebサーバーに向けて送信し、WebサーバーがHTTPレスポンスを返す。 HTTPリクエストやHTTPレスポンス自体は 実際にはテキストで構成された電文で、送受信にはTCP/IPを用いる。 HTTPリクエストやHTTPレスポンスはヘッダー部とメッセージボディー部があって、ヘッダー部にメソッド(要求の種類)や応答コード(200なら正常)が記述される。 ヘッダー部やボディー部の形式については、ブラウザーやWebサーバーが勝手にやってくれる話なので、具体的にどうなっているかは普通は意識しなくてもいいと思う。 HTTPリクエスト クライアント(ブラウザー)
VB 2008で楽々Webプログラミング---目次
新規開発案件の多くがWebアプリケーションにシフトしている現在,読者の皆さんはどのような言語や開発環境でWebアプリを構築されているでしょうか。 JavaやPHPが主流でしょうか。Ruby On Railsなども増えてきているようですね。「やっぱりPerlじゃなくちゃ」という歴戦の猛者もいれば,「これからはPythonだ」という新しい方もいらっしゃるでしょう。 では,ASP.NETによるWebアプリの開発はどうでしょうか。実は,Visual Studio(VS)2008を使うと,ASP.NETによるWebアプリの開発がとてもラクチンなのです。この連載では,Visual Basic 2008を使って,VSではいかに快適にWebアプリが開発できるかを示しつつ,Windowsアプリとは違うWebアプリならではの押さえておかなければいけない基本知識やテクニックを解説します。 第1回 ASP.NET
Webアプリケーションを作る前に知るべき10の脆弱性 ― @IT
Webアプリケーションが攻撃者に付け込まれる脆弱性の多くは、設計者や開発者のレベルで排除することができます。実装に忙しい方も、最近よく狙われる脆弱性のトップ10を知ることで手っ取り早く概要を知り、開発の際にその存在を意識してセキュアなWebアプリケーションにしていただければ幸いです。 Webの世界を脅かす脆弱性を順位付け OWASP(Open Web Application Security Project)は、主にWebアプリケーションのセキュリティ向上を目的としたコミュニティで、そこでの調査や開発の成果物を誰でも利用できるように公開しています。 その中の「OWASP Top Ten Project」というプロジェクトでは、年に1回Webアプリケーションの脆弱性トップ10を掲載しています。2004年版は日本語を含む各国語版が提供されていますが、2007年版は現在のところ英語版のみが提供さ
エンジニアのためのWebデザイン教室:ITpro
Webプログラムを手がける企業であっても,必ずしもWebデザイナが存在しているとは限りません。プログラマが自分でデザインを適用しなくちゃならないことも少なくありません。 技術者の人と会話をすると「僕にはデザインのセンスがなくてね」という自嘲的な発言をよく耳にします。しかし,Webデザインにセンスは必ずしも不可欠ではありません。ちょっとしたポイントを学習することで,誰にでもしっかりデザインされたページが作れます。HTMLとCSSによる実装を通して,デザインの基礎を学んでいきましょう。 第1回 Webデザインに必要なのはちょっとした知識と訓練 第2回 Webデザインの基礎はHTMLの構造にあり 第3回 文書を装飾するのはCSSの役目 第4回 Webデザインの基本を学ぶための環境について 第5回 HTML文書を装飾するCSSの基礎(その1) 第6回 HTML文書を装飾するCSSの基礎(その2)
O/Rマッピングの導入効果を測る
新たなフレームワークを開発現場で導入する際には、たいていの場合「懸念」が先立ちます。O/Rマッピングに限らず、フレームワークを導入するに当たっては以下のようなポイントが懸念されるようです。 開発現場で新しいフレームワークの導入を検討しているアーキテクトにとって、関係者の「懸念」を取り除き、理解を得るのが最初の関門です。特に上記のポイントは誰もが気になる部分であり、説得力のある説明を要求されるでしょう。 最終回は、こういったO/Rマッピング導入時の懸念事項の解決を中心にHibernateの解説を行い、O/Rマッピングフレームワークを導入する際の判断材料にしたいと思います。 Hibernateのパフォーマンスをテストする データアクセスはパフォーマンスのボトルネックになりやすい部分です。そしてデータアクセス部分を担当するO/Rマッピングフレームワークは、パフォーマンスに与える影響において最も気
たった2行でできるWebサーバ防御の「心理戦」 − @IT
高い壁を作るだけがセキュリティ対策ではない。攻撃者の心理を考え、彼らに選ばれないシステム作りも大きな効果が望めるのではないだろうか。本連載では視点を変え、攻撃者に選ばれないためにできる、ほんのちょっとした対策を取り上げる。(編集部) 対策をもう一歩進めるための新たな視点を持とう システムは動くだけではなく、セキュリティ対策がなされていなければいけないといわれ始めて久しい。セキュリティという言葉を聞くと、物理的なものだけではなく、ネットワークセキュリティを連想するほどの認知度も得ているのではないだろうか。 個人宅のネットワーク環境にもファイアウォール機能を搭載したルータがあり、PC1台1台にアンチウイルスソフトがインストールされている。いまとなっては珍しくなく、むしろ当たり前とも思えるようになった。 一方、ネットワークに存在する脅威というと、ウイルス、ワーム、ボット、サイトの改ざん、個人情報
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Studying HTTP
PC
JMeter(高機能/フリーなテストツール)第1回:JMeterの基本