魂、奪われた後――弱いパスワードの罪と罰 ― @IT
※ご注意 本記事に掲載した行為を自身の管理下にないネットワーク・コンピュータに行った場合は、攻撃行為と判断される場合があり、最悪の場合、法的措置を取られる可能性もあります。また、今回紹介するツールの中には、攻撃行為に利用されるという観点から、アンチウイルスソフトにウイルスとして検出されるものも存在します。このような調査を行う場合は、くれぐれも許可を取ったうえで、自身の管理下にあるネットワークやサーバに対してのみ行ってください。 また、本記事を利用した行為による問題に関しましては、筆者およびアイティメディア株式会社は一切責任を負いかねます。ご了承ください。 管理者権限を奪取すると何をされるのか 昨今、OSやアプリケーションの脆弱性が公表された際に、管理者権限を奪取されることに対する注意喚起がなされるのはいまや日常茶飯事である。「管理者権限が奪取される」「システムが掌握される」と聞くと、なんと
Windowsとのデュアルブート環境構築が容易に、「Ubuntu 8.04」β版 - @IT
2008/03/26 英Canonicalは3月21日付で、Debian派生のLinuxディストリビューション「Ubuntu」の次期バージョン「Ubuntu 8.04」のβ版をリリースした。正式版は4月に公開される予定だ。 Ubuntu 8.04は「Hardy Heron」のコードネームで開発が進められていたものだ。β版はカーネル2.6.24を採用しており、2.6.23-rc1でマージされた新しいスケジューラ「Completely Fair Scheduler」などを搭載している。 同時に、KVMを正式にサポートし、仮想マシンの作成/管理を容易に行えるようになった。ほかにも、AppArmorの対象となるアプリケーションを拡大してセキュリティを強化したり、Active DirectoryやiSCSIをサポートするなど、多くの機能拡張が盛り込まれている。 また、Windowsユーザー向けの新た
なぞのゼロ災運動、ITに関係あり? - @IT自分戦略研究所
人間はしばしばミスをしてしまう。エンジニアなら「うっかりデータを消してしまった」なんてことはあるだろう。だがその「うっかり」が顧客のシステムを停止させ大損害を引き起こすこともあり得る。こうしたささいなミスで信用失墜を起こさないように、社員一丸となって対策を実践している会社の努力の軌跡を追う。 ■戦後、増加の一途だった労働災害 本編に入る前に、今回は「ゼロ災運動」について触れておこう。ゼロ災運動を推進している中央労働災害防止協会の文章から引用しよう。 ゼロ災運動は人間尊重の理念に基づき、全員参加で安全衛生を先取りし、一切の労働災害を許さずゼロ災害、ゼロ疾病を究極の目標に働く人々全員が、それぞれの立場、持ち場で労働災害防止活動に参加し、問題を解決するいきいきとした職場風土づくりをめざす運動です。 これに込められた願いや意義はとても深い。ITの仕事をしているとピンとこないかもしれないが、こうした
止まらないWebページ改ざん,JavaScriptに気をつけろ:ITpro
国内で,一般消費者に向けたWebサイトへの改ざん攻撃が止まらない。しかも改ざんされたページには ,悪質なサイトにユーザーを誘導してウイルスを送り込む“わな”が仕掛けられる。3月10日前後から12日までの間に,一斉にWebサイトがページを改ざんされた。最たる例が,セキュリティ対策ベンダーのトレンドマイクロである。海外のWebサイトを含め,2万サイト以上が被害に遭ったという。 この日,ラックの監視センター(JSOC:セキュリティ・オペレーション・センター)では,通常の70倍から100倍の攻撃トラフィックを確認した。その後,いったん攻撃は止まったものの,攻撃が再開され,今も続いている。3月末には,デジタル・オーディオ・プレーヤなどを開発するクリエイティブメディアがWebページを改ざんされ,一時的にWebサイトを閉鎖していたことを明らかにした。 ■参考記事:トレンドマイクロのWebサイトが改ざん,
はびこる「インジェクション系」のぜい弱性:ITpro
Webアプリケーションのぜい弱性を示す用語として,クロスサイト・スクリプティング,SQLインジェクションといった言葉の認知度はかなり高まった。ブログ・サイトなどでも活発に議論されている。しかし,Webサイトの実態はどうだろうか。 筆者の所属する京セラコミュニケーションシステムでは昨年(2006年),ぜい弱性診断を実施したWebサイトの統計情報「2007年版 Webアプリケーションぜい弱性傾向」を発表した。これによると,パソコン向けWebサイトの48%に致命的なぜい弱性が見つかった。このうちワースト1位はクロスサイト・スクリプティングで56%,2位はSQLインジェクションで11%と,どちらもインジェクション(注入)系のぜい弱性。これらのぜい弱性を持った危険なサイトは依然として存在するのが実情である。 これらWebアプリケーションのぜい弱性があまりなくならない理由はいくつかあるが,以前は「ぜい
インジェクション系攻撃への防御の鉄則
前回までは,主にクロスサイト・スクリプティングのぜい弱性とその対策について解説してきた。最終回となる今回は,クロスサイト・スクリプティング以外の「インジェクション系」ぜい弱性について解説する。具体的には,SQLインジェクション,OSコマンド・インジェクション,HTTPヘッダー・インジェクション,そしてメールの第三者中継である。 SQLインジェクション対策にはバインド変数の利用が最適 まず,SQLインジェクションから見ていこう。対策には二つの方法がある。一つは,SQLの「バインド変数(注1)」を使う方法である。バインド変数の書式はプログラミング言語によって異なるが,一例として,Perlを使った場合に,パスワード認証のSQLをバインド変数で書き換えた例を示す(図1)。 (注1) 「準備された文(Prepared Statement)」というのがJIS SQLでの用語だがあまり普及していない。バ
【1】「自分株式会社」を設立しよう (1):日経ビジネスオンライン
貴重な情報をありがとうございました。感謝申し上げます。L&M?の小笹社長様のセミナーには、何回か参加をしております。また、著書もほとんど買って読んでおります。理路整然とした考え方と実行力に多大なる尊敬の念を持っております。今後共、継続で拝読をさせて頂きながら、勉強をしていきたいと考えております。宜しくお願い申し上げます。ありがとうございました。失礼致します。以上(2008/04/12)
Web関連の検定試験を受けてみた
矢野りんプロフィール 北海道生まれ。女子美術大学芸術学部芸術学科卒。サイトデザインのトレーニングを様々な講義活動を通して行うかたわら、執筆活動を行う。おもな監修書に『ウェブデザインの教科書』(日経BP社)。著書に『Webレイアウト見本帳』『WEBレイアウト・セオリー・ブック』(エムディエヌコーポレーション)がある。『デザインする技術』(エムディエヌコーポレーション)も発売中。身長152.1cm。 春は新しい仕事に出会うことも多い時期。順調なスタートを切るには客観的に自己評価して,足りない知識を埋めていきたいものだ。評価といえば検定である。何らかのスキルを身に付けたいと考えたことがある人なら誰でも,一度は気にしたことがあるだろう。ちなみに筆者は,Web関連の仕事を生業にしている。そこで,Web関連の検定試験を調べ,いくつかについて実際に受験してみた。 第1回 ウェブ関連の検定試験を調べてみた
誰でもプロフェッショナルを目指せる:ITpro
「プロフェッショナル」という言葉が氾濫しているが、プロフェッショナルの定義は何だろうか。プロフェッショナルとそれ以外の人を分ける決定的な違いは、顧客第一を貫けるかどうかだ。すなわちプロフェッショナルとは、顧客に対して責任を持つ人である。ところが、世にある定義の大半は、最重要の顧客を忘れ、知識や技能の優劣ばかりを論じている。 顧客主義を貫く以上、プロフェッショナルはそれにふさわしい専門知識と能力を持つ必要がある。なかでも、目の前にある前人未到の問題に対して、自分でアプローチを決め、解決に導く具体案を示す問題解決力が欠かせない。あきらめずにやり抜く継続性と高い倫理観も求められる。 IT(情報技術)の世界で仕事をしているエンジニアの方々は、ぜひプロフェッショナルの道を目指して欲しい。特定技術のスペシャリストではなく、顧客の問題を解決し、価値を提供するプロフェッショナルが今、求められているのだ。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
