タグ

ブックマーク / atmarkit.itmedia.co.jp (700)

  • できないことは全部やる。できる依頼は断る――竹迫良範氏インタビュー【後編】

    解説:JavaScriptには2種類ある? JavaScriptはもともと旧NetScapeが開発した言語だが、後にEcma Internationalにおいて標準化されている。 厳密に言えば、旧NetScape/Mozillaが開発した仕様をJavaScript、それをEcma Internationalにおいて標準化したものがECMAScript、さらにそれがISO/IEC JTC 1で審議されてデジュール標準(公的標準)となる。一般的にはすべてを区別せずにJavaScriptと呼ぶことが多い。 解説:標準と標準化団体の種類 / ISO/IEC JTC 1 標準と標準化団体の種類 標準と一口に言っても「デジュール標準」「デファクト標準」の2種類が存在する。 デジュール標準は、政府や国際機関によって定められるいわば「公的」な標準。デファクト標準は、政府や公的機関が関与しない標準のこと。そ

    できないことは全部やる。できる依頼は断る――竹迫良範氏インタビュー【後編】
    tsupo
    tsupo 2012/10/26
    日本では「午後0時」という言い方をしますが ← いや、日本でもこれはおかしい。0時というのは24時間制のときに使えるのであって、12時間制のときは0時じゃなくて12時と言わないといけない
  • 結局、Twitter API 1.1で何が変わる? 5つのポイント

    結局、Twitter API 1.1で何が変わる? 5つのポイント:Twitter APIと開発者規約変更のインパクトまとめ 変更による影響範囲や、一部APIの廃止、レートリミット方式の変更、アプリケーション当たりのユーザー数、ツイート表示方式の厳格化などを5つのポイントにまとめて解説 開発者のはしご外し? Twitter API狂騒曲 Twitterは2012年8月から9月にかけて開発者向けのブログで、APIや開発者規約の変更を立て続けにアナウンスしました。一部APIの廃止やレートリミット方式の変更、ツイート表示方式の厳格化など、影響は多岐にわたり、物議を醸しています。 Changes coming in Version 1.1 of the Twitter API Current status: API v1.1 Sunsetting @Anywhere Twitter、サードパーティ

    結局、Twitter API 1.1で何が変わる? 5つのポイント
    tsupo
    tsupo 2012/09/26
    少し前までTwitterの中の人だった山本さんによるまとめ記事
  • RFCとなった「OAuth 2.0」――その要点は?

    RFCとなった「OAuth 2.0」――その要点は?:デジタル・アイデンティティ技術最新動向(2)(1/2 ページ) いまWebの世界では、さまざまなWebサービスが提供するプラットフォームと、サー ドパーティが提供するアプリケーションがAPIを中心に結び付き、一種の「APIエコノミー」を形成しています。この連載では、そこで重要な役割を果たす「デジタル・アイデンティティ」について理解を深めていきます。 再び、デジタル・アイデンティティの世界へようこそ 前回「『OAuth』の基動作を知る」ではOAuthの仕様がどういうものかについて説明しました。今回は引き続き、 OAuth 1.0とOAuth 2.0の違い OAuth 2.0をセキュアに使うために知っておくべきこと について述べていきます。 OAuth 1.0とOAuth 2.0の違い クライアントタイプの定義 OAuth 2.0では、O

    RFCとなった「OAuth 2.0」――その要点は?
    tsupo
    tsupo 2012/09/11
    「残念ながら現状では、すべてのOAuth Serverが仕様通りにクライアントタイプの使い分けを行っているわけではなく、OAuth Clientの開発者に混乱を生じさせている」
  • 高校/高専生向け脆弱性発見コンテスト、最優秀賞は…… - @IT

    2012/09/06 「今回の受賞を機に、周りの人にもセキュリティに興味を持ってもらえたらうれしい」――8月31日、シマンテックが開催した「サイバーセキュリティチャレンジ 2012」の表彰式で、最優秀賞に輝いた海城高等学校のチーム「kph-lab」の堀口修平さんは、このように語った。 サイバーセキュリティチャレンジは、高校生や高等専門学校生を対象に、プログラミングの基となる脆弱性を学び、セキュリティに対する関心を高めることを目的に開催されたコンテストだ。2~4名で構成するチーム単位での募集となり、7月17日から8月20日までの期間に約20チームが参加した。 問題文は、Cで書かれたクライアント/サーバ型チャットプログラムのソースコード。この中から脆弱性を見つけ出し、セキュリティの観点から推奨される書き方とともに提出する。「期限ぎりぎりに提出されたものが多く、最後までソースコードを読み込み、

    tsupo
    tsupo 2012/09/07
    「問題文は、Cで書かれたクライアント/サーバ型チャットプログラムのソースコード。この中から脆弱性を見つけ出し、セキュリティの観点から推奨される書き方とともに提出する」
  • Twitter API v1.1リリース、利用条件厳格化 - @IT

    2012/09/06 米Twitterは9月5日、Twitter APIの新バージョンとなる「Twitter API v1.1」をリリースした。併せて利用上のルールを定めた「Developer Rules of the Road」を改訂し、規定を厳格化している。 バージョン1.1ではTwitter APIの悪用を防ぐ目的で、すべてのAPIエンドポイントについてOAuthによる認証を義務付けた。1.1のリリースと同時に1.0は廃止されることになり、開発者は2013年3月までにアプリケーションを1.1に移行させる必要がある。 Developer Rules of the Roadの改訂では、開発者が順守すべき項目を定めた「Display Guidelines(ディスプレイ指針)」が「Display Requirements(ディスプレイ条件)」という文言に変更され、順守が義務付けられた。この規

    tsupo
    tsupo 2012/09/06
    開発者は2013年3月までにアプリケーションを1.1に移行させる必要がある / 「Display Guidelines」が「Display Requirements」に変更され、順守が義務付けられた
  • なぜそこまでやった、開発者コミュニティの異種格闘技「超エンジニアミーティング」エンジニア100連発、日本Rubyの会、java-ja

    会場は、さまざまな企画のブースが並ぶ一角。しかもすぐ隣の「超軽音部」のバンド演奏が流れてくるという、実に混沌とした空間だ。会場の壁にはニコニコ動画のような「字幕」が投影されている。すぐ隣ではバンド演奏があり、定時には「時報」のアナウンスが流れ講演をかき消すという、難条件のもとでの勉強会である。 しかし、四方から這い寄る混沌をものともせず、開発者コミュニティはそれぞれの精鋭を差し向けて、圧倒的な才能の無駄遣いぶりを披露。さながら“異種格闘技”のような世界と化していた。 五十嵐氏の基調講演「デザインのためのインタフェース」 基調講演は、 五十嵐健夫氏(東京大学大学院情報理工学系研究科コンピュータ科学専攻 教授/JST ERATO 五十嵐プロジェクト研究総括)による「デザインのためのインタフェース」。五十嵐氏は、研究成果を次々と鮮やかなデモンストレーションで見せていった。 五十嵐氏は、まず、普通

    なぜそこまでやった、開発者コミュニティの異種格闘技「超エンジニアミーティング」エンジニア100連発、日本Rubyの会、java-ja
    tsupo
    tsupo 2012/06/15
    「超エンジニアミーティング」
  • セキュアなAndroidアプリ開発のTipを集めたガイド、JSSECが公開 - @IT

    2012/06/11 日スマートフォンセキュリティ協会(JSSEC)は6月11日、セキュリティを考慮したAndroidアプリを設計、開発するためのTipsをまとめた「Androidアプリのセキュア設計・セキュアコーディングガイド」を公開した。7月31日まで、ガイドに対するパブリックコメントを募集する。 Androidアプリのセキュア設計・セキュアコーディングガイドは、JSSECのセキュアコーディンググループがまとめた全232ページの文書だ。ソフトウェアメーカーやアプリケーション開発者を対象に、セキュアコーディングの基礎知識にはじまり、ActivityやSQLiteといったAndroid特有の機能の適切な実装方法や、パーミッションや暗号、電子署名などAndroid OSが備えるセキュリティ機能の使い方を紹介している。 特徴は「開発現場で使う」ことを念頭に置いて、ふんだんにサンプルコードを交

    tsupo
    tsupo 2012/06/12
    日本スマートフォンセキュリティ協会(JSSEC) / セキュリティを考慮したAndroidアプリを設計、開発するためのTipsをまとめた「Androidアプリのセキュア設計・セキュアコーディングガイド」
  • Apple、iOSのセキュリティ機構を解説する「iOS セキュリティ」を公開 - @IT

    2012/06/04 米Appleは、iOS 5のアーキテクチャやセキュリティ機構について解説した文書、「iOS セキュリティ」を公開した。米SANS Internet Storm Centerは、iOSに携わる仕事に就いているすべての人に一読を勧めている。 iOS セキュリティは、サンドボックスをはじめとするiOSの「システムアーキテクチャ」、パスワードを保護するキーチェーンなどについて説明する「暗号化とデータ保護」、SSLやVPNなどについて解説する「ネットワークセキュリティ」、MDMやリモートワイプなどについて説明する「デバイスアクセス」といった項目で構成されている。 SANSは、この文書はiOSの強化(ハードニング)ガイドではないが、iOSのアーキテクチャやサンドボックスをはじめとするセキュリティ機能について、よりよく理解する手助けになるものと評価。どのセキュリティ機能を利用するか

  • OSSライセンスの採用傾向に「変化」あり

    OSS普及の一翼を担ってきたライセンスがGPLであることに異論は少ないでしょう。けれど最近の報告によると、OSSプロジェクトにおけるGPLファミリー採用の割合が減少傾向にあるそうです。いったいどうして?(編集部) OSSプロジェクトのライセンス動向に変化あり OSS、とりわけLinuxと関連するツールなどを普及させる大きな原動力となったライセンスがGPLだったことは疑いのないところだと思う。GCCもその普及の一翼を担っている。 現在、OSSプロジェクトで採用されているライセンスのうち最も多いライセンスはGPLv2だと言われており、ほかのGPLファミリーも含めるとOSSプロジェクトの過半数でGPL系のライセンスが採用されているという。GPLがソフトウェア業界に与えた衝撃は大きく、現在ではさまざまなソフトウェア開発において欠かせない存在になっている。 しかしここ数年、GPLファミリーがOSSプ

    OSSライセンスの採用傾向に「変化」あり
    tsupo
    tsupo 2012/05/22
    GPL系ライセンスを採用するプロジェクトが減少傾向。MITライセンスをはじめとするパーミッシブライセンスを採用するプロジェクトが増加 / 特に github でホスティングされているプロジェクトで顕著
  • 「コントラクト」でMetroスタイル・アプリのサンドボックスを乗り越える!(1/2) - @IT

    IT > Insider.NET > 業務アプリInsider > 特集:続・Windows 8開発に向けて準備しよう > 「コントラクト」でMetroスタイル・アプリのサンドボックスを乗り越える! 特集:続・Windows 8開発に向けて準備しよう 「コントラクト」でMetroスタイル・アプリのサンドボックスを乗り越える! ―― アプリを連携させる新しい仕組みを理解しよう! ―― BluewaterSoft 山 康彦 2012/05/11 Windows 8向けのMetroスタイル・アプリは、サンドボックスの中で動作する。それによって前記事で述べたように、ユーザーのプライバシーを守り、ウイルスやスパイウェアなどのマルウェアを作れないようにしている。アプリ同士の相互作用も厳しく制限されており、プロセス間通信はもとよりローカルのデータベース・サーバ/Webサーバなどへのアクセスもできない

    tsupo
    tsupo 2012/05/14
    連携を依頼される側は、(略) マニフェスト・ファイルの「宣言」に、「魔法少女になる」という記述が必要なのだ。そのうえで、依頼を受けたときのイベント・ハンドラを実装する
  • IPA、Cのソースコードのセキュリティ検査ツールを公開 − @IT

    2012/05/08 情報処理推進機構(IPA)は5月8日、C言語で書かれたソフトウェアのソースコードを検査し、脆弱性が含まれている個所を検出して修正方法とともにレポートするツール「iCodeChecker」を公開した。 iCodeCheckerは、脆弱性やソースコード検査技術を学習したいと考える学生や開発者向けのツールだ。Cのソースコードファイルを読み込ませると自動的に解析を行い、何行目にどういった脆弱性が存在し、どのように修正すべきかを示したレポートを日語で出力する。 検出できるのは、バッファオーバーフローや整数オーバーフロー、配列インデックスの検証不備といった、開発時に作り込みやすく、かつ危険度の高い脆弱性8種に絞られている。だがそれでも、任意のコード実行につながるような、影響が大きい脆弱性の検出が期待できるという。 iCodeCheckerは、パッケージ形式とソースコード形式(い

    tsupo
    tsupo 2012/05/09
    iCodeChecker / 検出できるのは、バッファオーバーフローや整数オーバーフロー、配列インデックスの検証不備といった、開発時に作り込みやすく、かつ危険度の高い脆弱性8種 → C++ には対応してないのか
  • https://atmarkit.itmedia.co.jp/fwin2k/productreview/win808/win808_01.html

    tsupo
    tsupo 2012/04/25
    Windows 8 / Windows 8 Pro / Windows 8 Enterprise / ARMプロセッサ向けに「Windows RT」という製品も用意 / サーバー製品は Windows Server 2012
  • ビザ、ダイナミック認証などで不正取引を水際で防止 - @IT

    2012/04/20 ビザ・ワールドワイドは4月19日、同社のセキュリティに対する取り組みについて説明会を開催した。米ビザのチーフ・エンタープライズ・リスク・オフィサーを務めるエレン・リッチー氏は、「予防」「保護」、それに犯罪が起こったときの「対策」という3つの多層的な取り組みを通じて、信頼を高めていきたいと述べた。 予防のステージで取っている対策には、ICチップを搭載したEMV仕様のカードの普及と、それを利用し、決済のたびに異なるコードを生成して認証を行うダイナミックデータ認証といったものが挙げられる。 保護の段階で大きな役割を果たすのは、加盟店でのセキュリティ対策だ。各加盟店でカード情報が盗まれないように暗号化/トークナイゼーションを行ったり、はじめからデータを保管しないようにする「データ非保持」といった取り組みを推進している。また、どうしてもカード情報を保管せざるを得ない場合、「PC

    tsupo
    tsupo 2012/04/23
    ICチップを搭載したEMV仕様のカードの普及と、それを利用し、決済のたびに異なるコードを生成して認証を行うダイナミックデータ認証 / 消費者に対する啓発にも取り組む
  • 「World IPv6 Launch」に備えてIPv6対応を - @IT

    2012/04/17 IPv4アドレス枯渇対応タスクフォースは4月16日、「World IPv6 Launchの実施とIPv6対応の促進について」と題する文書を公開した。6月6日に予定されている「World IPv6 Launch」に向け、インターネット関連事業者のIPv6対応を促すことが目的だ。 World IPv6 Launchは、Internet Society(ISOC)の提供で6月6日に世界的に行われるイベントだ。インターネットサービスプロバイダー(ISP)やWebサービス事業者、ネットワーク機器を提供するベンダなどが「恒久的に」IPv6を有効にする。2011年6月6日に行われた「World IPv6 Day」が24時間限定でIPv6に対応してみるという取り組みだったのに対し、World IPv6 Launchでは、それ以降もIPv6対応を継続する。 しかし同タスクフォースによれ

    tsupo
    tsupo 2012/04/18
    AAAA filterは、インターネットが持つべきオープン性や透明性という観点からは望ましくない方法であり、DNSSECとの両立も難しいことから、「あくまで暫定的な対処として導入すべき」
  • 個人情報を外部に送信する日本語のAndroidアプリに注意 - @IT

    2012/04/13 動画再生アプリを装ってバックグラウンドで電話番号などの個人情報を収集し、外部のサーバに送信するAndroidアプリが存在するとして、セキュリティ専門家が注意を呼び掛けている。 これらのアプリに対する疑念がTwitterで浮上したのは4月11日。「○○(人気アプリの名前)the Movie」という名称で、グーグルの公式アプリサイト「Google Play」で配布されていたアプリが、電話帳内のデータなどを読み取り、外部に送信していると指摘された。 解析を行ったネットエージェント 代表取締役社長の杉浦隆幸氏によると、これらのアプリは、オリジナルのアプリを動作させた動画を再生しつつ、インストールされた端末の電話番号、Android_ID、名前、さらに電話帳に登録してある名前と電話番号、メールアドレスを収集し、外部のサーバに送信していた。アプリをインストールする際には、「REA

    tsupo
    tsupo 2012/04/17
    AdMobなどの広告が組み込まれている場合、正規のアプリでも多くのパーミッションが要求されることもあり、見分けるのは難しい → そもそも AdMob 自体が(省略されました)
  • Twitter CEOのコストロ氏来日、「Twitterが距離を近づける」 - @IT

    2012/04/16 4月16日、米TwitterCEO、ディック・コストロ(Dick Costolo)氏が来日し、記者会見を行った。今回で3回目の訪日だという。 コストロ氏は、「Twitterが距離を近づける」をテーマに掲げ、3つのトピックに沿ってプレゼンテーションを行った。1つめはTwitterのユーザー数について、2つめはTwitterの今後について、3つめはライフラインとしてのTwitterの在り方についてである。 同氏は、災害やスポーツイベント、あるいは「アラブの春」においてTwitterが果たした役割を振り返り、「Twitterは世界の距離を縮め、あらゆるものを近づける。テレビを通してだと、遠い世界の自分とは関係ないように思える出来事を、自分に近づけ、結び付ける」と述べた。 Twitterのアクティブユーザー数は、2012年4月現在で1億4000万人に上り、1日のツイート数は

    tsupo
    tsupo 2012/04/17
    東日本大震災後の活用から多くを学んだ / ユーザーがそのアカウントをフォローしていなかったとしても、必要な情報が見える / APIを「リアルタイムディストリビューションプラットフォーム」へと拡張
  • CloudStack、Apacheプロジェクト化の背景 - @IT

    2012/04/05 米シトリックス・システムズは4月3日(米国時間)、CloudStack開発プロジェクトをApache Software Foundationに移行する計画を発表した。これで、CloudStackプロジェクトはより拡大する形で継続されることがはっきりした。CloudStackのライセンスモデルはこれまでのGPL v3からApache 2.0に移行する。シトリックスはこれまでどおり、CloudStackの商用版を提供していく。 CloudStackのユーザーであるGo DaddyのCTO、ウェイン・セイヤー(Wayne Thayer)氏は、自身のブログポストで今回の動きの背景を次のように表現している。 当社がCloudStackを採用したことについて何らかの欠点があったとすれば、それは開発コミュニティがCloud.com、そしてその後シトリックスのみによって運営されてきた

    tsupo
    tsupo 2012/04/06
    CloudStackのライセンスモデルはこれまでのGPL v3からApache 2.0に移行 / シトリックスはこれまでどおり、CloudStackの商用版を提供
  • ギーク向けLinkedIn!? 「Forkwell」はどんなサービス? - @IT

    2012/04/03 ソフトウェアエンジニア向けのソーシャルサービスや、その周辺の関連サービスが、ここへ来て次々と登場してきている。GitHubは別格としても、Coderwall、Geekli.st、Coder.lyなどがある。Facebookやmixiのような汎用SNSではなく、目的を絞ったり、ゲームっぽさを前面に打ち出したようなサービスが多い。日発のベンチャー、garbsが4月3日にローンチした「Forkwell.com」も、そうしたサービスの1つで、ひと言でいえばギーク向けのLinkedInだ。 相互評価でギークのネットワークを可視化 「シリコンバレーだと横のつながりがあって転職するのがふつう。そうなってほしいという思いで、Forkwellというサービスを企画しました」。 Forkwellというサービスを構想段階から担当している大岡由佳氏は、サービス開発にかける思いをこう語る。 「

    tsupo
    tsupo 2012/04/04
    飽きっぽいエンジニアたちがForkwellを使うのかという疑問はある ← これに尽きる。流行るかなぁ
  • Javaの脆弱性を狙う攻撃に注意喚起、検証レポートも - @IT

    2012/03/30 2月のアップデートで修正されたJavaの脆弱性に関連して、複数のセキュリティ企業/機関が警戒を呼び掛けている。 注意が呼び掛けられているのは、米オラクルが2月14日に定例アップデートで修正した「CVE-2012-0507」という脆弱性だ。Java SE JDK/JRE 6 Update 30以前およびJava SE JDK/JRE7 Update 2以前に存在し、悪用されれば任意のコードの実行につながる恐れがある。 脆弱性を修正したJava SE JDK/JRE 6 Update 31もしくはJava SE JDK/JRE7 Update 3へのアップデートが推奨されているが、一方で、脆弱性を悪用した攻撃の増加が確認されている。 3月22日には、日IBMの東京SOCが、この脆弱性を悪用して偽ウイルス対策ソフトをダウンロードさせようとする攻撃が増加しているとして、注意

    tsupo
    tsupo 2012/04/02
    「Java SE JDK/JRE 6 Update 30以前およびJava SE JDK/JRE7 Update 2以前に存在」する脆弱性を狙った攻撃 / この脆弱性を狙うコードが、Gubmlarで用いられたExploit Kitの一部にも組み込まれている
  • ファジングの有効性、知ってますか? IPAが手引きを公開 - @IT

    2012/03/27 情報処理推進機構(IPA)は3月27日、「ファジング活用の手引き」と題する文書をWebサイトで公開した。 ファジングとは、ソフトウェアに存在している脆弱性を見つけ出す手法の1つだ。ソースコードを直接解析する代わりに、極端に長い文字列などの予測不可能なデータを送り込んでソフトウェアの挙動を観察し、脆弱性を発見する。ツールによる自動化が容易なことが特徴の1つだ。 IPAによると、マイクロソフトなど国外の大手IT企業では、ソフトウェア品質の向上や製品出荷前の脆弱性検出を目的に、ファジングを開発ライフサイクルに組み込んでいる。一方で国内ではまだ、ファジング自体の認知、普及が進んでいない。 今回公表された文書は、こうした状況を踏まえて作成された。ファジングの概要に始まり、ソフトウェア開発ライフサイクルにおける活用方法、ファジングの実践方法までを紹介している。さらに、「Taof」

    tsupo
    tsupo 2012/03/27
    ファジング: 「極端に長い文字列などの予測不可能なデータを送り込んでソフトウェアの挙動を観察し、脆弱性を発見する」手法