「クレジットカード情報の非保持化は、脆弱性があれば意味がない」――徳丸浩氏が指摘
日本PHPユーザ会は2018年12月15日にPHP Conference 2018を開催した。本稿では、EGセキュアソリューションズ 代表取締役 徳丸浩氏の講演「安全なWebアプリケーションの作り方2018」の内容を要約してお伝えする。 徳丸氏は、割賦(かっぷ)販売法の改正や、経済産業省が推奨する「クレジットカード情報の非保持化」を紹介。重大なセキュリティリスクを無視した場合、クレジットカード情報(以下、カード情報)を非保持化するシステムでも、カード情報を盗まれる可能性があると指摘する。 クレジットカード周りのセキュリティ対策の動向 徳丸氏は、カード情報に関連する法律の動向として、割賦販売法改正と経済産業省の実行計画を抜粋して紹介。割賦販売法とは、クレジットカードなどによる信用取引に関する法律だ。2018年6月1日に改正され、クレジットカードを取り扱う事業者に対して、カード情報を漏えいさせ
初心者がブラウザーでデバッグするための基礎知識
4月に新入社員としてWeb制作会社やSIerに入社した方も、開発業務に携わるようになり、HTML/CSS/JavaScriptを使ったフロントエンド開発を始めた方も多いかと思います。HTML/CSS/JavaScriptはWebブラウザーの上で動かせるので、気楽に開発が始められる半面、「デバッグが難しい」「不具合原因の特定が難しい」「どこにミスがあるのか分からない」というような話をよく聞きます。 そんなときに役に立つのがブラウザーに付属している「開発者ツール」です。「開発者ツール」を上手に使うと、不具合の原因特定を効率的に行えます。以下のように現行の全ての主要なブラウザー(Mozilla Firefox/Google Chrome/Microsoft Internet Explorer/Apple Safari)は「開発者ツール」を持っています。ブラウザー自体が無料ですので、もちろんこれら
なぜ僕らはまだパスワードリスト攻撃に悩まされ続けるのか
なぜ僕らはまだパスワードリスト攻撃に悩まされ続けるのか:Japan Identity & Cloud Summit 2014レポート 2014年1月14日と15日の2日間にわたって、「アイデンティティ」という切り口からビッグデータや番号制度、セキュリティなどの問題について議論するカンファレンス「Japan Identity&Cloud Summit」が開催された。その初日の模様をレポートする。 2014年1月14~15日の2日間にわたって、「アイデンティティ」という切り口からビッグデータや番号制度、セキュリティなどの問題について議論するカンファレンス「Japan Identity&Cloud Summit」が開催された。 ユーザーデータの活用には透明性の確保が前提 1日目、最初のプログラムでは「ビッグデータとアイデンティティ~ビッグデータ活用の高度化にあたり、われわれは『利用者のID』とど
本格化するMITB攻撃に備え、マイナンバーカードにトランザクション署名を
2013年以降、マルウェア感染による不正送金被害が国内でも増加している。警察庁のまとめによると、ウイルスに感染してIDやパスワードを盗み取られ、他人の口座などに不正送金される被害は、2013年は前年の約14倍に当たる1325件に上った。2014年に入ってもその傾向は変わらず、2月末の時点で500件、約6億円に上る被害が生じているという。 不正送金で、最近増えているとされるのが「Man-in-the-Browser」(MITB)と呼ばれる手法だ。被害者のPCに侵入したマルウェアが、オンラインバンキングなど特定のページにアクセスしたときにだけ動作してWebページの表示に改ざんを加え(=Webインジェクション)、IDやパスワード情報を盗み取ったり、送金先口座を変更してしまったりする。 産業技術総合研究所が2014年3月13日に開催した「第2回 セキュアシステムシンポジウム」において、同研究所の高
あの日、Twitterのくじらが出なかったもう1つの理由
社会を率いているリーダーは、いつの時代にも存在する。しかし、そのリーダーたちの顔ぶれは、毎年異なる。ここ数年、世界で注目されているリーダーの顔ぶれはどのように変化してきたのか。 社会を率いているリーダーは、いつの時代にも存在する。しかし、そのリーダーたちの顔ぶれは、毎年異なる。ここ数年、世界で注目されているリーダーの顔ぶれはどのように変化してきたのか。その移り変わりについて、漠然と想像することは可能だが、具体的に説明することは難しい。しかし、多くの活躍するリーダーの姿を間近で見てきた元日本マイクロソフト会長、現慶應義塾大学大学院メディアデザイン研究科 古川享教授は、その変化を明確に示す。 今回は、2013年11月下旬から12月初旬にかけて古川氏が登壇した2つのイベントで語られた内容を合わせてレポートする。イベントは、慶應義塾大学大学院メディアデザイン研究科が主催した講演会「メディアイノベー
GoogleリーダーのRSSフィード情報をバックアップする
従って、Googleリーダーのユーザーはそれまでに別のRSSリーダーへ移行する必要がある。それには、現在Googleリーダーに登録してある各サイトのRSSフィード情報(フィードURLとその形式、サイトのタイトルなど)を、移行先のRSSリーダーへ何らかの形で受け渡さなければならない。しかし通常、RSSフィードは少なくとも数十、多い人なら数百~数千サイトが登録されているだろう。それらを1つずつ手動で移行するのはまったくナンセンスであり、可能な限り避けたいところだ。 幸い、Googleリーダーは登録RSSフィード一覧をエクスポートして、ローカル・ファイルにバックアップできる。そのデータ形式はOPML(Outline Processor Markup Language)という標準仕様に従っているので、移行先のRSSリーダーがOPML形式によるインポートに対応していれば、簡単な操作で膨大なRSSフィ
enchantMOONファーストルック
ついに価格が発表され、予約も開始された、一部で話題の手書き入力デバイス enchatMOONですが、先日、一足お先にユビキタスエンターテインメント社長shi3z氏から、直接プロトタイプを見せてもらったドリキン(筆者)がファーストインプレッションをお届けしたいと思います。 ドリキンの自己紹介 こんにちは! 改めましてドリキンです。普段はサンフランシスコにある某電機メーカーにて、組み込み系デバイスのソフトウェアエンジニアとして働いています。今回、縁あって@ITでenchantMOONの解説記事を書きました。よろしくお願いします。 仕事ではWebKitを組み込み機器に移植したり、Androidデバイスの最適化やJavaScriptベースのミドルウェア/アプリケーションの開発をしています。 そんな僕のスキルセットを知っていたユビキタスエンターテインメント社長のshi3z氏が、enchantMOON
「反逆」の手書きハイパーテキストタブレット、「enchantMOON」の内覧会に行ってきた
「反逆」の手書きハイパーテキストタブレット、「enchantMOON」の内覧会に行ってきた:世界にagainstしたい ユビキタスエンターテイメント(UEI)が開発を進めてきた、独自OS搭載のタブレット「enchantMOON」がついに予約受け付け開始に。ハックスリーの『すばらしい新世界』やジャック・デリダのエクリチュール論まで飛び出した内覧会の模様をお伝えする。 2013年4月23日、ユビキタスエンターテイメント(UEI)は開発を進めてきた独自OS搭載のタブレット「enchantMOON」の予約受け付けを開始し、併せて報道関係者らを集めて「内覧会」を開催した。その模様は、enchantMOONという製品の成り立ちを知る上で興味深い内容だったので、今回の記事ではこの会の雰囲気を中心にお伝えしたい。 まず、enchantMOONについて簡単にまとめておこう。 enchantMOONはAndr
Twitterの旧API、5月7日に正式終了へ
米Twitterは3月29日、Twitter APIの旧バージョン「Twitter REST API v1」を2013年5月7日をもって正式に終了させると発表した。 米Twitterは3月29日、Twitter APIの旧バージョン「Twitter REST API v1」を2013年5月7日をもって正式に終了させると発表した。影響の確認、周知のための予行演習として、米太平洋時間4月16日午後4時(日本時間17日午前8時)から、再度のブラックアウトテストを実施する。 Twitterは2012年9月、「API v1.1」のリリースに伴って旧バージョンのv1を廃止すると予告。開発者に対し、2013年3月までにアプリケーションをv1.1に移行させるよう呼び掛けていた。 テスト中および終了後は、「api.twitter.com/1/*」へのリクエストには、認証されていてもいなくても「HTTP 41
子どもにプログラムの手順だけでなく概念を伝えたい
プログラミングの手順だけでなく概念を伝えたい ワークショップの後、講師の原さんに少し話を聞いた。興味深かったのは、次の一言だ。 「プログラミングの手順だけでなく、概念も知ってもらいたいと思っています」 ワークショップの説明でも、ただブラックボックスとして手順だけを覚えてもらうのではなく、制御構造や変数といったプログラミングの基本的な概念を、子どもなりに理解してもらおうと工夫している様子が伝わってきた。 例えば、「ゲームオーバー」の機能を実装するときは、次のやりとりになる。 講師 「ゲームオーバーになったら、どうなる?」 子ども 「ゲームができなくなる!」 講師 「そうですね。そこで全体を止めようと思います。(Scratchに用意されているブロックを見ながら)『制御』の中の『すべてをとめる』が使えそうですね。これを使ってみましょう」 ビジュアルプログラミング環境Scratchとは Scrat
これからはじめるフロントエンドJavaScript
これからはじめるフロントエンドJavaScript:はじめまして。JavaScript(1)(1/2 ページ) はじめに 一昔前、リッチなWebサイト、Webサービス のUI構築は、Flashを代表格とするプラグインを利用したUIの構築が一般的でしたが、近年、Flashなどのプラグインを搭載しないモバイル端末の登場により、その情勢が変わってきました。 もともと、2000年代前半からJavaScriptによるリッチなUI構築に関しては注目されてきましたが、ブラウザが搭載するJavaScript実行エンジンのパフォーマンスや、体系的に構築するためのフレームワークがそろっていないこともあり、まだまだ普及するレベルではありませんでした。 2000年代後半から、prototype.jsを皮切りに、JavaScriptを実行する際に頭を悩ませてきたブラウザ間の仕様の違いを吸収してくれるようなライブラリ
「OAuth」の基本動作を知る
デジタル・アイデンティティの世界へようこそ はじめまして、OpenID Foundation JapanでエバンジェリストをしているNovです。 この連載では、僕を含めOpenID Foundation Japanにかかわるメンバーで、OpenID ConnectやOAuthなどの「デジタル・アイデンティティ(Digital Identity)」にかかわる技術について紹介していきます。 APIエコノミー時代のデジタル・アイデンティティ 世界中で9億人のユーザーを抱える「Facebook」や5億人のユーザーを持つ「Twitter」など、巨大なソーシャルグラフを持つサービスが、日々その存在感を増しています。日本でも、グリーやモバゲーなどがそれぞれソーシャルゲームプラットフォームを公開し、国内に一気に巨大なソーシャルゲーム市場を作り上げました。最近では、ユーザー数が5000万人を突破し、プラット
第10回 iPhoneユーザーのためのWi-Fiスポット切り捨て設定術
第10回 iPhoneユーザーのためのWi-Fiスポット切り捨て設定術:Windowsネットワーク管理者のためのiPhone/iPod touch入門(1/2 ページ) 外出先でWi-Fiスポットに接続できたと思ったら3Gより遅い…… そんなWi-Fiスポットへ、iPhoneが自動接続しないようにする設定方法を解説する。 連載目次 最近、外出中にスマートフォンが公衆無線LANサービス(Wi-Fiスポット)のアクセス・ポイントを検出することがとても多くなった。だが、見つかったWi-Fiスポットに接続しようとすると、思いのほかログインに時間がかかり、その間はほかの作業ができなかったりする。また接続できても通信速度は3G回線より遅いこともよくある。もう面倒なので外出中はWi-Fiをオフにしよう…… これは2012年4月に公開した弊誌4コマ・マンガ「がんばれ!アドミンくん」の第310話「Wi-Fi
DNS設定を変更するマルウェア「DNS Changer」に注意呼び掛け - @IT
2012/03/06 JPCERTコーディネーションセンター(JPCERT/CC)は3月6日、PCのDNS設定を書き換えるマルウェア「DNS Changer」に感染していないかどうか、チェックを呼び掛けた。 DNS Changerは、感染するとPCのDNS設定を書き換え、ウイルス対策ソフトウェアの機能を妨害したり、検索結果を書き換えて、悪意あるサイトや偽のセキュリティ対策ソフトの配布サイトに誘導するマルウェアだ。その歴史は古く、初めて検出されたのは2007年ごろにさかのぼる。現在でもDNS Changerに感染しているPCは世界中で約45万台存在しており、JPCERT/CCによると、日本国内でも「相当数」が感染しているという。 対策として米国連邦捜査局(FBI)は2011年11月、DNS Changerのコマンド&コントロールサーバ(C&Cサーバ)および不正なDNSサーバを差し押さえた。C
Firefoxは「メモリ食い」という悪評を払拭できるか
皆さんの中で、Firefoxをご利用の方はどれくらいいますか? すぐにメモリが足りなくなるなぁと思いながら使っている人もいるでしょう。しかし、Firefoxを開発しているMozilla Foundationも問題を放置しているわけではありません(編集部) Firefoxの炎は尽きてしまうのか Linuxディストリビューションでは長らくFirefoxが標準のWebブラウザだった(図1)。しかし近年、Firefox以外のものを標準としようとする動きが目立ち始めている。Firefoxに替えてGoogle Chromeを標準のWebブラウザとしようという動きだ。このままFirefoxはユーザー数を減らし続け、進化が止まってしまうのか? 今回はFirefoxを巡るここ1年ほどのニュースを紹介したい。 Googleからセンセーショナルに登場したGoogle Chromeは素早い開発体制とリリースエンジ
Internet Explorer 10 Platform Preview 1レビュー
先日(2011年3月14日、日本では震災後の影響に配慮して4月26日)、Internet Explorer 9(以下、IE9)がリリースされたばかりであるが、2011年4月12日~14日に行われたWebデベロッパー向けカンファレンス「MIX11」では、次バージョンであるIE10がすでに発表されている。 MIXは主にWeb技術を発表する場として2006年から毎年ラスベガスで開催されており、毎回、さまざまな新しい技術が発表されている。今年のMIX11で発表された新技術の1つがIE10だ。これに伴い、そのPlatform Preview 1(=最初のプレビュー版。以下、IE10 PP1)が現在公開されている。 IE9のプレビュー版では、限定的なUI(ユーザー・インターフェイス)で提供され、「8週間ごとにアップデート版を提供する」という約束で、実際に何度かのプレビュー版のリリースを経て正式版のリリ
.NETとは何か?
2000年6月にマイクロソフトが「Microsoft .NET」を発表してから早くも11年。編集長目線で現時点の.NETを整理し直す。 連載目次 2000年6月にマイクロソフトが「Microsoft .NET」を発表してから、およそ11年が過ぎた。2002年3月に、そのMicrosoft .NET対応のソフトウェア開発環境である「Visual Studio .NET」が正式リリースされたが、それから数えても9年の月日が流れている。 2011年現在、「初期の『.NET』と現在の『.NET』では意味が異なる」と、筆者は考えている。例えば、その当時のMicrosoft .NETについて解説した記事である「基礎解説 初めてのMicrosoft .NET」を現時点で読んで「.NET」を語ると、ほかの開発者と議論がかみ合わないはずだ。 そこで本稿では、「.NETとは何か?」について、これから新たに.N
Internet Explorer 9正式版レビュー
連載目次 3月15日(日本時間)、Internet Explorer 9(以降、IE9)の正式版が世界的にリリースされた。(東日本大震災の影響を考慮して公開が延期されていた)日本でも、間もなく4月26日午前0時に日本語版が公開される予定である。 IE9では、ユーザー・インターフェイスやJavaScriptエンジンが刷新され、Webブラウザ自体が大きく生まれ変わっている。これだけにとどまらず、HTML5/CSS3/SVGなどの最先端Web標準技術への対応が強化され、さらに「ピンで固定されたサイト(Pinned Site)」や「ジャンプ・リストのタスク定義」といった新機能(詳細後述)も追加されている。 本特集では、これらの新機能の中で、特にWeb制作やWebアプリケーション開発に関連するであろう下記の6点を取り上げ、前編・後編の2回に分けて簡単に紹介する。 IE9は下記のリンク先から入手できる
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
外出先からPCをWebブラウザで遠隔操作、「Chromeリモートデスクトップ」入門
「社内公用語はジャパスクリプト」の衝撃【ルポ迫真】
