パスワードの定期変更という“不自然なルール”
しばしば「パスワードは○日ごとに変更しましょう」といわれるけれど、それで本当にクラックの危険性は減るの? ペネトレーションテストの現場から検証します(編集部) ※ご注意 本記事に掲載した行為を自身の管理下にないネットワーク・コンピュータに行った場合は、攻撃行為と判断される場合があり、最悪の場合、法的措置を取られる可能性もあります。また、今回紹介するツールの中には、攻撃行為に利用されるという観点から、アンチウイルスソフトにウイルスとして検出されるものも存在します。このような調査を行う場合は、くれぐれも許可を取ったうえで、自身の管理下にあるネットワークやサーバに対してのみ行ってください。また、本記事を利用した行為による問題に関しましては、筆者およびアイティメディア株式会社は一切責任を負いかねます。ご了承ください。 今回は久しぶりに、ペネトレーションテストの現場の話から始めよう。 ペネトレーショ
フィードバック大歓迎、「LinuxCon Japan」の詳細を説明 - @IT
2010/08/05 The Linux Foundationは、9月27日から29日にかけて東京・六本木で開催予定のカンファレンス「LinuxCon Japan / Tokyo 2010」に関する説明会を8月5日に開催した。 LinuxCon Japan / Tokyo 2010は、Linuxおよびオープンソースソフトウェアの開発者やユーザーを対象としたカンファレンスだ。すでにプログラムが公開されており、基調講演にはLinux関連の情報を提供するニュースサイト「LWN.net」のジョナサン・コーベット(Jon Corbet)氏のほか、IBMで長らくLinux/オープンソース事業に携わってきたダン・フライ(Dan Frye)氏、Googleのクリス・ディボーナ(Chris DiBona)氏らが登壇する予定だ。国内外合わせて500人程度の参加を見込んでいるという。 The Linux Fou
実録・4大データベースへの直接攻撃
情報の入れ物、データベースは大丈夫ですか 皆さんこんにちは、川口です。そろそろGumblarの話に飽きてきたところでしょうか。今回は以下の4種類のデータベースで、管理用ポートをインターネットにオープンしているとどうなるかについて調べた結果を取り上げます。いずれも管理用ユーザーのパスワードは「脆弱なもの」に設定されています。 Oracle(1521/tcp) SQL Server(1433/tcp) MySQL(3306/tcp) PostgreSQL(5432/tcp) 右側に書いてある番号が管理用ポート番号です。データベースを管理する場合、これらのポートをインターネットに対してオープンにする必要はないはずです。しかし、これらのポートに対して外部から“直接”接続するインシデントが年に数回は発生しています。 このようなインシデントは、大学のネットワークに接続したサーバがほとんどですが、ホステ
なぜTwitterは低遅延のままスケールできたのか 秒間120万つぶやきを処理、Twitterシステムの“今” − @IT
ユーザー同士のつながりを元に時系列に140文字のメッセージを20個ほど表示する――。Twitterのサービスは、文字にしてしまうと実にシンプルだが、背後には非常に大きな技術的チャレンジが横たわっている。つぶやき数は月間10億件を突破、Twitterを流れるメッセージ数は秒間120万にも達し、ユーザー同士のつながりを表すソーシャル・グラフですらメモリに載る量を超えている。途方もないスケールのデータをつないでいるにも関わらず、0.1秒以下でWebページの表示を完了させなければならない。そのために各データストレージは1~5ms程度で応答しなければならない。 Twitterのリスト機能の実装でプロジェクトリーダーを務めたこともあるNick Kallen氏が来日し、2010年4月19日から2日間の予定で開催中の「QCon Tokyo 2010」で基調講演を行った。「Data Architecture
5日間の処理を1時間に短縮 DWHからHadoop移行で成功事例、欧州広告企業 − @IT
2010/03/15 大規模サービスを展開するWeb企業から始まったHadoop利用だが、エンタープライズ分野でも少しずつ成功事例が出てきているようだ。Hadoopの商用パッケージとサポートに特化したベンチャー企業、米Clouderaの3月10日付ブログで、ヨーロッパでターゲティング広告事業を展開するnugg.adが成功事例を詳細に報告している。報告しているのはnugg.adのCTO、リチャード・フットン(Richard Hutton)氏。 nugg.adでは、2007年から2009年までの間、PostgreSQLをベースに古典的なデータウェアハウス(DWH)によるシステムを構築していたが、2009年6月から10月にかけてHadoopベースのシステムに移行。それまで5日かかっていたような処理が1時間にまで短縮し、計算処理の大幅時間短縮によって、これまで提供が考えられなかったような付加価値サ
コミュニティ活動で人のリレーションを作ろう! - @IT
今月はコミュニティ活動からデータベースを見てみます。コラボして、情報交換して、知恵と連帯感が広がるのっていいですね。 JPUG 10年の歩み、そして8.5の新機能 2009年11月20日、日本PostgreSQLユーザ会(JPUG)はPostgreSQL Conference 2009 Japanを開催しました。カンファレンスの開催は毎年恒例ですが、今回はJPUG 10周年記念となるので特別で、海外からの参加者も迎える堂々とした国際カンファレンスとなりました。2日間で約30セッション、参加者は350名になるなど、盛況に終わりました。 基調講演ではJPUG 理事長 片岡裕生氏がJPUG 10年の歩みを振り返りました。10年前となる1999年ごろ、片岡氏をはじめPostgreSQLのよさに目を付けた仲間たちは「仕事で使いたくても知名度がない」と悩んでいました。当時の日本では、ビジネスで使うデー
怒りのLinus――メンテナにかんしゃく玉爆発(1/2) - @IT
11月版 怒りのLinus――メンテナにかんしゃく玉爆発 小崎資広 2009/12/10 お久しぶりです。10月はKernel Summit、Japan Linux Symposium、OSS貢献者賞受賞講演と欠席不可のイベントが連続で並んでいたところに、Summitの参加者から悪性の風邪をうつされて、本気で死にそうでした。というか本当に倒れました。 おかげで11月は、たまった仕事の挽回(ばんかい)が大変で大変で……。もうKernel Summitから1カ月もたったなんて信じられませんが、気を取り直して今月もいってみましょう。それでは、どうぞ。 スケジューラ改善、その後 前回大騒ぎになったスケジューラ・レイテンシですが、Kernel Summit(注1)でその後の進ちょくが報告されたので後日談をば。 その後もスケジューラ開発者の改善活動により、レイテンシはどんどん改善されていったわけですが
OSS基盤のDWH「Greenplum Database」の販売を強化 - @IT
TISは10月27日、東京エレクトロンデバイスが総代理店を務める米グリーンプラムのデータウェアハウス用エンジン「Greenplum Database」の販売代理店契約を締結したことを発表した。TISはGreenplum Databaseのシステムインテグレーションを提供し、関連ビジネスにおいて3年で33億円の売上を目指す。 Greenplum Databaseはオープンソースとして提供されているPostgreSQLを拡張したデータウェアハウス用エンジン。分散ノードがそれぞれストレージを持つシェアード・ナッシング型で構成されている。米国では100を超える顧客が利用しており、その利用者の20%が100テラバイトクラスの大規模データウェアハウスを構築している。 グリーンプラム製品の日本での販売は、TISがシステムインテグレーションおよび導入支援を、東京エレクトロンデバイスが技術サポートおよび営業
Rubyを最大63%高速化した中学生は超多忙!
金井仁弘(HN:CanI)氏 撮影:平沼久奈 ハンドルネームCanIの由来は、「“Can I”→キャナイ→カナイ」。C#、Visual Studio、Microsoft .NETとマイクロソフト製品が大好きな「.NETer」と自称する 筑波大学付属駒場中学校は、東京都内にある中高一貫の国立校だ。入学試験の偏差値と東京大学への進学率の高さから“東の筑駒、西の灘”と称される進学校である。強いのは受験だけではない。国際情報オリンピックや国際数学オリンピックでは、同校の生徒が毎年のように金・銀メダルを制するなど才能あふれる理数系人材が多数在籍している。 金井氏はこの夏の「セキュリティ&プログラミングキャンプ2009」(2009年8月12~16日)に参加し頭角を現した中学生プログラマである。 今年に入って、Ruby 1.9のフィボナッチ数列による演算(多倍長加算
ファイル名は「左から右に読む」とは限らない?!
ファイル名は「左から右に読む」とは限らない?!:セキュリティTips for Today(8)(1/3 ページ) 私たちの常識が世界では通用しないことがあります。攻撃者はそんな心のすきを狙って、落とし穴を仕掛けます。今回はそれを再認識させるかのような手法と、その対策Tipsを解説します(編集部) 皆さんこんにちは、飯田です。先日、セキュリティ管理者の方々と「今後のウイルス対策のあり方」について意見交換をする機会がありました。参加者からは活発な意見や質問も飛び交い、盛り上がりを見せた意見交換会となりました。私自身も多くの気付きや学びを得ることができ、貴重な時間を過ごすことができました。 その意見交換会の中で、Unicodeの制御文字を利用したファイルの拡張子偽装の話題が出ました。この手法は目新しい手法ではなく、数年前からすでに指摘されていたものです。しかし、久しぶりに本手法について議論するこ
開発工程でSEが書く文書の基本 − @IT自分戦略研究所
「提案書」や「要件定義書」は書くのが難しい。読む人がITの専門家ではないからだ。専門用語を使わず、高度な内容を的確に伝えるにはどうすればいいか。「提案書」「要件定義書」の書き方を通じて、「誰にでも伝わる」文章術を伝授する。 SEはさまざまな文書を作成する必要があります。その中でも、提案書や要件定義書の作成に悩むSEは多いようです。なぜなら、これらは「顧客に読んでもらわなければならない文書」だからです。 本連載では、「誰にでも分かる」提案書や要件定義書を作成するための文章術を解説します。ただし、分かりやすい文書を作成するには、文章術だけでは十分ではありません。必要な情報を顧客から引き出すためのコミュニケーション、文書全体の構成も重要です。 第1回では、SEが作成する文書はどのようなものかを概観します。第2回では、情報を引き出すための顧客とのコミュニケーションのポイントを説明します。第3、4回
もう1つの、DBのかたち、分散Key-Valueストアとは
もう1つの、DBのかたち、分散Key-Valueストアとは:分散Key-Valueストアの本命「Bigtable」(1)(1/3 ページ) RDBとは別の、クラウド時代のデータベースとして注目を浴びている「分散Key-Valueストア」。その本命ともいえる、Googleの数々のサービスの基盤技術「Bigtable」について徹底解説 クラウド時代のデータベース「分散Key-Valueストア」 グーグルがインターネットの世界をここまで席けんできた最大の理由は何でしょうか。実は、それは同社の優れた検索技術ではありません。グーグルが成し遂げた最も大きなブレークスルーの1つは、同社が生み出した巨大な分散データストア、「Bigtable」にあります。 Bigtableは、Google検索をはじめ、YouTubeやGoogle Map、Google Earth、Google Analytics、Goog
MySQLがフォークか、オープンアライアンスが誕生 - @IT
2009/05/14 オラクルによるサン・マイクロシステムズ買収で注目が集まるOSSプロダクトの1つ「MySQL」に異変が起きている。MySQLのオリジナル開発者で創業者でもあるマイケル・ウィデニウス(Michael Widenius)氏は5月13日、オープンソースコミュニティベースでMySQL関連の開発やサポートを行うためのハブとなる「The Open Database Alliance」(ODA)の設立を発表した。 PostgreSQLと並んでオープンソース界でデータベース製品のデファクトスタンダードとなっているMySQLは、サン・マイクロシステムズに2008年1月に買収されたことで同社の一部門に。その後、2009年4月にオラクルがサン・マイクロシステムズを買収すると発表したことから、開発体制やライセンスモデルなどを巡って憂慮の声や憶測が流れていた。オラクルのデータベース製品との整合性
求人数はJava、年収はC#がトップ――ワークポートが調査
2007年と2008年で大きな変化は見られず、JavaとCが突出。C++やPHP、C#が続いた。同社では「総合的にWeb系の需要が高い。ただし、Rubyなど比較的新しい言語を採用している企業はまだ少なく、求人件数としては伸び悩んだ」と分析している。 また、プログラミング言語ごとの募集要項での平均年収について、2007年から2008年にかけての上昇額ランキングを見ると、C#が前年比66万6000円増と大幅に上昇した。2008年における平均年収ランキングでも1位となっている。 この調査結果について、編集部では日本シー・エー・ディー 代表取締役社長で、『プログラミングでメシが食えるか!?』(秀和システム)の著者である小俣光之氏にコメントを求めた。小俣氏は次のようにコメントしている。 「2年間という短い期間での調査のため、傾向の変化なのか誤差なのかは微妙であるが、Perlがやや減り、Rubyが増え
分散バージョン管理Git/Mercurial/Bazaar徹底比較
分散バージョン管理Git/Mercurial/Bazaar徹底比較:ユカイ、ツーカイ、カイハツ環境!(3)(1/5 ページ) Subversionとは一味違う「分散バージョン管理」とは? 最近、Linuxをはじめ、Ruby on Rails、MySQL、OpenSolarisなどのオープンソースプロダクトが次々と分散バージョン管理システムを導入し始め、「Git」「Mercurial」「Bazaar」といった、分散バージョン管理システムが注目を浴びています。 本稿では、バージョン管理ツールのデファクトスタンダードであるSubversion(以下、SVN)と分散バージョン管理システムを比較しながら、メジャーな分散バージョン管理システムであるGit、Mercurial、Bazaarについて紹介していきます。 集中型と分散型 最初に、集中管理方式(または、集中型)のバージョン管理システムと分散管理
Firebirdのアーキテクチャと特性、歴史 (1/3) - @IT
Yet another OSS DB:Firebird(1) Firebirdのアーキテクチャと特性、歴史 Firebird日本ユーザー会のはやしつとむです。今回からFirebirdについて連載をさせていただくことになりました。第1回に当たる今回は、Firebirdとはどんなデータベースで、誰が作ってきたのかなどを中心にまとめています。今後の予定は、Firebirdのデータベースファイルの内部構造、標準関数、User Defined Functionの作成について、といった流れを予定しています。この連載を通じて、Firebirdのファンが1人でも増えてくれることを願っています。 Firebirdのインストールから起動まで さて、firebirdとはいったいどんなRDBMSだろう? 今回は、手始めに導入の手順はもちろんだが、Firebirdが生まれた背景や、アーキテクチャの特性にも触れたいと
Tomcatにディレクトリトラバーサル脆弱性、NTTデータ・セキュリティが注意喚起 - @IT
2008/08/13 NTTデータ・セキュリティは8月13日、Apache Tomcatのディレクトリトラバーサル脆弱性を検証するレポートを公開した。Apache Tomcatのサイトで公開されている脆弱性はNational Vulnerability Database(NVD)では現在レビュー中というステータスだが、NTTデータ・セキュリティでの検査においてイントラ用途のTomcatが意図せずインターネット側に公開されている事例が多いことから、注意喚起の意味を込めレポートを公開したとのこと。 ディレクトリトラバーサル脆弱性とは、相対パスとなるような不正なパラメータを送り込むことにより、管理者の意図しないファイルにアクセスできてしまうもの。NVDで公開されているTomcatの脆弱性は、UTF-8の処理およびシンボリックリンクの扱いに起因したもので、Tomcat 6.0.16以前で、以下の2
GSX、データベースに特化した脆弱性検査サービス − @IT
2008/08/11 グローバルセキュリティエキスパート(GSX)は7月より、データベースに特化した脆弱性診断サービス「データベース脆弱性検査サービス」の提供を開始した。セキュリティパッチが適用されているかどうかだけでなく、データベースへのアクセス権限やアカウントが適切に運用されているかどうかをチェックし、改善策を提示する。 データベース脆弱性検査サービスは、商用ツールを用いた機械的な検査に加え、同社のセキュリティコンサルティング専門チーム「タイガーチーム」による手動の侵入検査と、ID、パスワードの運用などに関するヒアリングから構成される。ツールによる自動検査だけでは洗い出しきれない脆弱性を検出できる点が特徴という。また、内部監査の観点からも重要な、ログの管理体制についてもチェックする。 国内でも大きな被害が生じていることから、SQLインジェクションをはじめとする外部からの攻撃へのセキュリ
故障発生時にフェイルオーバーしない?
故障発生時にフェイルオーバーしない?:Linuxトラブルシューティング探偵団(4)(1/3 ページ) NTTグループの各社で鳴らした俺たちLinuxトラブルシューティング探偵団は、各社で培ったOSS関連技術を手に、NTT OSSセンタに集められた。普段は基本的にNTTグループのみを相手に活動しているが、それだけで終わる俺たちじゃあない。引き続きOSSに関するトラブルの解決過程を@ITで連載していくぜ。 ソースコードさえあればどんなトラブルでも解決する命知らず、不可能を可能にし、多くのバグを粉砕する、俺たちLinuxトラブルシューティング探偵団! 助けを借りたいときは、いつでもいってくれ! OS:高田哲生 俺はリーダー、高田哲生。Linuxの達人。俺のようにソースコードレベルでOSを理解している人間でなければ、百戦錬磨のLinuxトラブルシューティング探偵団のリーダーは務まらん。 Web:福
WebアプリのためのベンチマークツールDBT-1を使う
今回は、これからPostgreSQLの運用方法を解説するに当たり、運用時の状態を簡単にシミュレーションするために、ベンチマークツールをインストールして動かします。ベンチマークツールは、チューニングの際にも指標として使えますから、ぜひ使い方を覚えておいてください。 ベンチマークツール OSDL DBT-1とは >>> 本連載の前提環境 データベース:PostgreSQL 8.3.1 OS:CentOS 5(Linux kernel 2.6 ) シェル:bash CPU:Intel Xeon 3060 2.40GHz HDD:73.4GBytes/15,000rpm/SAS 16MBytes RAM:PC2-5300 8GBytes データベース用のベンチマークツールはいろいろとありますが、ここでは「OSDL DBT-1」(以降、DBT-1)を取り上げます。 DBT-1は、OSDL(Open
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
