パスワードの定期変更という“不自然なルール”
パスワードの使い回しの危険性:ペネトレテストの現場から 過去の記事でも触れたが、攻撃者がWindowsホストへの侵入に成功すると、さらに侵入範囲を広げるためにホスト内の情報を収集する。侵入を広げる手掛かりとなるのが「パスワードハッシュ」だ。 攻撃者がパスワードハッシュを取得した際に行うことは、パスワードを「John The Ripper」や「RainbowCrack」ローカルでクラックすることと、それ以外にもう1つある。この記事を読まれている方はご存じだろうか、「Pass-the-hash」という手法を。 「Pass-the-hash」とは、本来の認証で使うパスワードではなく、パスワードハッシュを用いて認証を行う手法のことだ。こう説明していけば、勘のよい方ならばおおよそ見当が付くだろう。そう、パスワードの使い回しを行っている場合、一度何かしらの方法によりパスワードハッシュを取得してしまえば
パスワードの定期変更という“不自然なルール”
2つのパターンに分けて考える「定期的な変更」 パスワードの定期的な変更に有効性を持たせるならば、短期的な場合と長期的な場合、2パターンに分けて考えるとよいだろう。 短期的に変更されるパスワードの例としては、オンラインバンキングなどが挙げられる。こうしたサービスでは、ほんの少ない金額でも預金を操作した場合、ログインの日時や明細などの履歴(中には、操作しただけであらかじめ設定したメールアドレスに通知が届くものもある)から不正に気付く可能性が高い。従って、悪意のあるユーザーは、パスワードをクラックしたら短期間にことをすませようとするだろう。 ただ、オンラインバンキングでは、一般に思われているほどパスワード単体の実質的な意味は重くはない(もちろん、決してパスワードが無意味なものというわけではない)。だが、最近のオンラインバンキングサービスのほとんどは、ワンタイムトークンやマトリックス表などを組み合
トランザクションメモリはマルチコアの救世主となるのか? - @IT
オランダのコンパイラ専業会社、ACE(Associated Compiler Experts)の国際営業の担当者と話していたら、ヨーロッパでは、並列システム向けの最適化/開発関連のベンチャー起業がずいぶん活発になっているらしい。もちろん背景としてはマルチコアプロセッサのブームがあるわけだが、我々の世代としては過去の「パラレルプロセッサブーム」を知っているだけに違いは何だろうねという話になった。 マルチコア利用のシステム開発は難しい さて、CPU間結合が比較的疎な非対称なマルチコア(AMP)を用いた開発は、組み込み系においてはすでに日常化している。背景としてASICの規模が巨大化するにつれ複数のCPUを搭載する余地が生まれたことと、組み込み系開発では目的が明確であるために、機能の分離設計が楽であることが挙げられる。しかし、そうであってもマルチコア開発を実務として行っている人に聞くと「個別プロ
MapReduceのJava実装Apache Hadoopを使ってみた (1/3) - @IT
MapReduceのJava実装Apache Hadoopを使ってみた:いま再注目の分散処理技術(後編)(1/3 ページ) 最近注目を浴びている分散処理技術「MapReduce」の利点をサンプルからアルゴリズムレベルで理解し、昔からあるJava関連の分散処理技術を見直す特集企画(編集部) Apache Hadoopプロジェクトとは何か? 本特集では、いま再注目の分散処理技術についていろいろと紹介してきました。前編の「GoogleのMapReduceアルゴリズムをJavaで理解する」では、分散処理技術で最近注目を浴びているものとして、グーグルのMapReduceアルゴリズムを紹介し、中編の「イロイロな分散処理技術とイマドキのWebサービス」では、MapReduceに至るまでのさまざまな分散処理技術やWebサービスについて紹介しました。 そのMapReduceアルゴリズムをJavaで実装したも
TitaniumとAptanaが買収により統合へ - @IT
2011/01/19 モバイルやPC向けの統合アプリ開発フレームワーク「Titanium」を提供する米Appceleratorは1月18日、Eclipseベースの統合開発環境(IDE)の「RadRails」(Ruby on Rails向け)や「Pydev」(Python向け)を提供する米Aptanaを買収したと発表した。買収は1月7日に完了している。 Titaniumは、RIA(リッチ・インターネット・アプリケーション)と呼ばれるジャンルに属するオープンソースの開発フレームワーク。HTMLやCSS、JavaScript、Ruby、PythonといったWeb開発で使われる技術を使いながら、iPhoneやiPad、Androidといったデバイス向けのネイティブアプリケーション開発が行えるのが特徴。単一のコードベースで、PC、Webブラウザ、モバイルに各種プラットフォームに対応できる。Appce
とにかく開発しまくれ! カヤック流「お薦めツール」6選
とにかく開発しまくれ! カヤック流「お薦めツール」6選:特集:生き残れるITエンジニアの「仕事術」(3)(1/3 ページ) 1年で99個のWebアプリケーション制作を達成したカヤックの「BM11」(ブッコミイレブン)。日々休まず開発しているBM11メンバーが、「開発現場に役立つおすすめツール」を厳選して紹介する。 はじめまして。面白法人カヤック、技術部所属の村瀬大輔です。昨年まで3年間、カヤックの新規開発ラボ「BM11」(ブッコミイレブン)に所属していました。 BM11の特徴は、徹底的に数字にこだわること。2007年の開発数は77個。2008年は88個。そして2009年は99個のWebサービスをリリースすると目標に掲げました。目標数は、期初に決まっています。この数字をクリアすべく、あの手この手を使い、チーム一丸となったりならなかったりしながら目標にコミットしています。 3年連続で目標を達成
Eclipse 3.5 Galileoの「実に面白い」新機能とは
Eclipse 3.5 Galileoの「実に面白い」新機能とは:ユカイ、ツーカイ、カイハツ環境!(6)(1/3 ページ) 2009年6月24日に、オープンソースのIDE(統合開発環境)「Eclipse」の最新版であるEclipse 3.5、コードネーム「Galileo」の正式版がリリースされました。本稿では、その新機能を紹介します。 「Io」ではなく、「Galileo」なのは、なぜ? 私事ではありますが、最近、「MR.BRAIN」というTVドラマにはまっています。MR.BRAINは、脳科学者である主人公が脳科学を使って、トリックが仕掛けられた難事件を解決していくという内容ですが、少し前に流行った福山雅治主演の科学者「ガリレオ」が難事件を解決するTVドラマを彷彿とさせる内容で、毎週楽しみにしています。 さてガリレオといえば、Javaの世界ではEclipse 3.5のコードネームGalile
Googlerも使っているIntelliJ IDEAのOSS版を試す
Eclipse、NetBeansに続く、第3のJava用OSS IDE? Eclipse、NetBeansに並ぶJavaの統合開発環境(IDE)である「IntelliJ IDEA」のオープンソース化が2009年10月15日に発表されました(参考:高機能IDEのIntelliJ IDEAがOSS版提供へ)。 IntelliJ IDEAは、デフォルトでSubversionやGit、Mavenをサポートし、コードチェッカーを同梱するなどの点でEclipseより優れています。今回は、IntelliJ IDEA 9のオープンソース版であるCommunity Editionを紹介します。 「IntelliJ IDEA」って何? IntelliJ IDEAは、チェコのJetBrains社により開発されるJavaの統合開発環境です。IntelliJ IDEAはメッセージの日本語化がされていないため、日本で
コード探知機「Sonar」でプロジェクトの深海を探れ!
コード探知機「Sonar」でプロジェクトの深海を探れ!:ユカイ、ツーカイ、カイハツ環境!(17)(1/4 ページ) プロジェクトの深海を照らす「Sonar」とは? 「Sonar」は、スイスのSonarSource S.A.を中心に開発されているコードの品質管理を行うオープンソースのプラットフォームです。LGPLライセンスで提供され、無償で利用可能で、拡張も自由です。 2009年に「Jolt Product Excellence Awards」「Open World Forum Innovation Awards」などを受賞した、いま注目のツールです。 Sonarは、まるで音波探知機を装備した潜水艦のように、コードのさまざまなメトリクス(統計情報)を総合的に集計し、現在の開発の状況を視覚化します。非常に使いやすいWebのUI(ユーザーインターフェイス)で、プロジェクトごとのメトリクスから各パ
Team Foundation ServerでJava開発は大丈夫か?
Team Explorer Everywhereの4つの主な特徴 TEEの主な特徴を見ていきましょう。細かいニュアンスは実際に利用してみないと分からないと思いますが、各機能は完成度は高く、筆者が利用した感触では、「マイクロソフトが本気でEclipseをサポートし始めた」という意気込みをひしひしと感じました。 【1】Eclipseプラグインとして提供 TEEは、Eclipseのプラグインとして提供されています。ほかのEclipseのプラグインと同じようにインストールするだけでEclipseにTFSサポート機能が追加されます。対応するEclipseは、Windows、Linux、Mac OS X、Solaris、AIX、HP-UXで動作するEclipse 3.0~3.5までのバージョンです。 また、Eclipse 3.0~3.5をベースとしたIDE(IBM Rational Applicati
iUIで始めるiPhone用Webアプリ開発の基礎知識
JavaScriptライブラリ「iUI」 連載第1回の「WebアプリをiPhoneっぽくするための5つのポイント」では、業務用iPhoneアプリをiPhoneっぽい見た目にする重要性を説き、iPhoneっぽくするための5つのポイントを解説しました。また、iPhoneっぽいWebアプリを作るためのJavaScriptライブラリをいくつか紹介しました。 今回は、そのJavaScriptライブラリの中から、「iUI」を使ってiPhone用のWebアプリを作ります。 手始めにiUIを使った簡単なサンプルページを作ってみます。また、iUIに独自の見た目、動作を追加する方法についても説明します。 iUIを試す前に iUIを使ったアプリケーション構築を実際に試す前に、まずiUI自体に含まれるサンプルページで、その動作を確認してみます。 なお、iPhoneの実機を使ってiUIの動作を確認するためには、iP
はじめまして。Androidアプリ開発&デザイン(1/3) - @IT
@ITスマソ開設記念! 女子部部長に聞くAndroidアプリ制作のコツ 面白法人カヤック 意匠部 林真由美 2010/12/7 これから大注目のAndroidアプリ制作。どうやったら作れるのか。何に気を付ければいいのか。どのような視点が必要なのかを、Android女子部部長である矢野りんさんに、カヤックのデザイナばりみちゃんが教えてもらいました(編集部) 売れるAndroidアプリ作りのためのコツを探る いま、GoogleのモバイルOS「Android」の対応機種が増えて、盛り上がっている。 ものの作り手としては、この波に乗っかりたい! でも、「Androidで動くアプリを作るには、どんなノウハウが必要なのか?」「どんなことが表現できるのか?」「何を作ったら面白いのか? 」わたし同様、こんな、人に聞いたら恥ずかしそうな基本が、分からない人も多いはず。 Android女子部部長であり、デザイ
元Netscape創業者ら、新ブラウザ「RockMelt」発表 Chromiumベースにソーシャル連携を標準搭載 − @IT
2010/11/08 インターネット黎明期の1994年に初の商用Webブラウザとして登場し、Internet Explorer登場以前には圧倒的なシェアと人気を誇った「Netscape」。その創業者であるマーク・アンドリーセン氏を含むNetscape Communicationsの卒業組が、密かに過去2年に渡って新ブラウザ「RockMelt」(ロックメルト)を開発していたことを明らかにした。 (追記:試用動画を追加しました) 2010年11月8日に公開されたWebページと紹介ビデオによれば、RockMeltは、Facebook、Twitter、YouTubeなどを通じて、メッセージやコンテンツ、URLリンクを知人・友人らと「共有」するWeb上のソーシャルな活動を支援することを最初から考えて設計された“ソーシャルな”Webブラウザだ。一見すると、素のChromium(Google Chrom
アドビのHTML5・jQueryサポート最新事情 - @IT
2010/10/29 米アドビ システムズ(以下、アドビ)は10月25~27日、ロサンゼルスで年次イベント「Adobe Max 2010」を開催し、新製品や新戦略の発表を行った。 同社CTOのケビン・リンチ(Kevin Lynch)氏を中心にした初日の基調講演では、「Webサイト」「電子出版」「Web動画」「企業向けアプリ」「ゲーム」の5つの分野における「マルチスクリーン戦略」について熱弁をふるった。いま人々の生活において、スクリーンを持つすべてのデバイスによる“革命”が起きているという。 米アドビ システムズCTOのケビン・リンチ氏「マルチスクリーン革命はコンピューティングの利用法の転換点。パーソナルコンピューティング革命のときよりも大きな変化だ」 同社が掲げるマルチスクリーン戦略とは、スクリーンを持つすべてのデバイスにおけるUX(ユーザー・エクスペリエンス)を高めるという課題に対し、ア
税務署に疑われない「必要経費」の区分
確定申告のコツは、税務署を味方につけること 賢い確定申告の基本として深作氏がアドバイスするのが、「税務署の心証を良くすること」だ。「あえて税務署とバトルしたいなら止めないが、税務署とトラブルを起こしていいことは1つもない」(深作氏)という。税務署に疑問を持たれないような、きちんとした確定申告書を作成して提出すれば、税務署の心証は良くなり、申告是認(税務調査なく、申告書の記載内容が認められること)を目指せるのだ。 では、税務署の心証を良くするような確定申告書は、どのように作成すればよいのだろう。 この時期、フリーエンジニアの間でよく話題に上るのが、「プライベートと必要経費が交ざっている費用(家賃など)について、必要経費は何%まで認められるのか」だろう。俗に「40%なら大丈夫」とか「50%を超えるとダメ」とかいうが、深作氏によれば、何%までなら認めるという画一的なルールはない。ただ「100%と
青色、白色、どっちがお得? 確定申告の選択肢
前回、「税務署に疑われない『必要経費』の区分」に引き続き、フリーエンジニアのための確定申告による節税のポイントを紹介する。 フリーエンジニア(個人事業主)が確定申告を行う場合、いくつかの選択肢がある。これらの選択肢ではどちらを選ぶべきなのか。前回に引き続き、公認会計士の深作智行氏に聞いた。 青色申告のメリット 「青色申告」という言葉をよく聞くが、これにはいったいどんなメリットがあるのだろうか。 青色申告とは、「一定水準の記帳をし、その記帳に基づいて正しい申告をする人については、所得金額の計算などについて有利な取り扱いが受けられる個人事業主」(深作氏)になることだという。きちんと記帳し、税務調査などのときには提出できるようにしておく必要があるが、その分、有利な扱いを受けることができるわけだ。 ただしいま、今回の2008年分の申告から「青色にしたい」と思ってもそれはできない。青色申告者になるに
ヴイエムウェア、KVSのRedis開発者を雇い入れ - @IT
2010/03/16 米ヴイエムウェアは3月15日、オープンソースとして開発されているKVSの一種「Redis」の創始者で主要開発者のSalvatore Sanfilippo氏が同社のエンジニアリングチームに加わったとブログで明らかにした。Redisは2009年2月に公開された比較的新しいソフトウェアで、memcachedやTokyo Cabinet、Cassandra、CouchDBなど“NoSQL”で総称されるデータストアのためのインフラソフトウェアの一種だ。現在の最新版はバージョン1.2.5。 Redisには以下の特徴がある。 インメモリでデータを保持するため読み書きが高速 メモリ上のデータは一定イベント回数後もしくは一定時間の後にディスクに書き出す永続化対応 単なるkey-value型ではなく、リスト型、集合型、順序付き集合型などのデータ構造が扱え、サーバ側でコレクションに対するp
memcachedと“正反対”、Redisが仮想メモリをサポート - @IT
2010/09/07 KVS(キー・バリュー・ストア)に分類されるオープンソースのRedisの新バージョン、「Redis 2.0.0」が2010年9月5日にリリースされた。Redisはmemcachedと同様にキーと値のペアをメモリ上に保持するKVSの一種だが、3つの際立った特徴がある。1つはハッシュ以外のデータ構造もサポートしていることで、リスト型、集合型、順序付き集合型などのデータ構造が扱え、サーバ側でコレクションに対するpush/pop、コレクション同士のunion/intersection、数値のincr、decrなどの操作がアトミックに行える。バージョン2.0では複数の操作を1つにまとめてアトミックに操作するコマンドも増えている。 もう1つのRedisの特徴は、マスター・スレーブによるレプリケーション設定ができ、リード側のスケールアウトが容易にできること。 そして3つ目の特徴は、
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
教科書に載らないWebアプリケーションセキュリティ - @IT
「Apacheとtomcatがインターネット経由でつなげているときのセキュリティ」(1) Java Solution - @IT