はじめに 2017年3月、Struts2にまたしても新たな脆弱性(S2-045、S2-046)が見つかり、複数のウェブサイトにおいて情報漏洩等の被害が発生しました。筆者は2014年4月（およそ3年前）に「例えば、Strutsを避ける」という記事を書きましたが、今読み返してみると「やや調査不足の状態で書いてしまったな」と感じる点もあります。今回、良いタイミングなのでもう一度Struts2のセキュリティについてざっとまとめてみたいと思います。 なぜJavaなのにリモートからの任意のコード実行(いわゆるRCE)が可能なのか Struts2はJavaアプリケーションであり、Java製のアプリケーションサーバ上で動作します。Javaはいわゆるコンパイル型の言語であるため、通常はランタイムにおいて任意のコードを実行することはできず、RCEは難しいはずです。 JavaのウェブアプリケーションでRCEが成

（初めに言い訳しておくと、証明書界隈については詳しくないです。某誤訳量産サイトが適当な記事を書いていたので、なにか書かねばと思って書いているという程度のまとめ記事です。間違いなどあればご指摘ください） 何が起こるのか Ryan Sleeviさん（Googleの人）がBlink-devのメーリングリストに投稿したこれにまとまっています：https://groups.google.com/a/chromium.org/d/msg/blink-dev/eUAKwjihhBs/rpxMXjZHCQAJ 経緯についてはいったん飛ばして、どのようなアクションが提案されているのか見ます。 To restore confidence and security of our users, we propose the following steps: A reduction in the accepted

Forbes JAPAN 4月号に連動する今回のインタビューでは、『21世紀のビジネスにデザイン思考が必要な理由』の著者でBiotope・CEOの佐宗邦威氏が、IBMのディスティングィッシュド・デザイナーであるダグ・パウエルに話を聞いた。 IBMでは、今後のさらなる成長のために、デザイナーとエンジニアの比率を「1：30（2013年）」から「1：8」を目指し、デザイナーを1000以上採用してきた。彼らは、共創を促進できるデザインシンカーもデザイナーと呼ぶなど「新たなデザイナー像」を打ち出している。同社で初めて、デザイナーとしてエグゼクティブに就任したパウエル氏に、組織変革におけるデザイナーの役割について聞いた。［前編はこちら］ 佐宗 :IBMがデザイナーを1000人以上も雇用するのは、大きな投資です。なぜ、こうした投資を決断出来たのでしょうか。 パウエル : ここで大事になるのは「デザイナー

Four years after partnering with Apple on the launch of the Apple Card, Goldman Sachs may be eyeing the exits. The Wall Street Journal reports that Goldman is “looking for a way out” of it

Googleは、シマンテック発行のSSL証明証に対し、厳しい処罰を検討しているという。 シマンテックまたはその証明書の再販業者がSSL証明書を不適切に発行したという重大な事件について、Googleは厳しい処罰を検討しています。 提案された計画は、会社にすべての顧客の証明書を置き換え、それを持っているユーザーの拡張された検証（EV）ステータスの認識を停止することです。 シマンテックは、2015年のNetcraft調査によると、ウェブ上で使用される3つのSSL証明書のそれぞれについて約1つを担当し、世界最大の商用証明書の発行者となっています。数年にわたり買収した結果、VeriSign、GeoTrust、Thawte、RapidSSLなどの以前のスタンドアロン認証局のルート証明書を管理しています。 SSL / TLS証明書は、ブラウザとHTTPS対応のWebサイトとの間の接続を暗号化し、ユーザー