架空企業「オニギリペイ」に学ぶ、セキュリティインシデント対策
架空企業「オニギリペイ」に学ぶ、セキュリティインシデント対策:徳丸浩氏が8つの試練を基に解説(1/3 ページ) ECサイトやWebサービスでセキュリティインシデントを起こさないためには何をすればいいのか。2019年12月に開かれた「PHP Conference Japan 2019」で徳丸浩氏が、架空企業で起きたセキュリティインシデントを例に、その対策方法を紹介した。 ECサイトやWebサービスを提供する会社で発生したセキュリティインシデントに関するさまざまなニュースが後を絶たない。どうすればこうしたインシデントは防げるのだろうか。 『体系的に学ぶ安全なWebアプリケーションの作り方』(通称:徳丸本)の筆者として知られる徳丸浩氏(EGセキュアソリューションズ 代表取締役)は、2019年12月に開かれた「PHP Conference Japan 2019」のセッション「オニギリペイのセキュリ
システム統合にSOA? RDBMS? bashで十分! - @IT
2009/09/07 毎年夏に開催される軽量プログラミング言語(LL:Lightweight Language)をテーマにした「LLイベント」。第7回目となる「LLTV」が、2009年8月29日に東京・中野で開催された。この記事ではプログラムの一部、「大改善!!劇的ビフォーアフター」をレポートする。前編では、Rubyによるfortuneコマンドの“増築”と、Firefox拡張によるslコマンドの実装というネタ系発表をレポートした。中編ではC言語にLisp風のマクロを取り入れ、lsコマンドのソースコードを約半分に削減する匠の技をレポートした。後編となる本記事では、売り場業務が滞りがちだった販売管理システムをbashコマンドで“建て直した”という劇的ビフォーアフターの発表をレポートする。 DBを捨ててテキストファイルに変換 「100万件ぐらいの検索なら、シェルだけでも1000分の数秒でできます
エンジニアとして進化し続けるには
@ITゆかりの方々、カッコいいエンジニアの皆さんにお話を伺う本シリーズ、今回は日米で活躍する開発者 増井さんに、エンジニアが進化し続けるために必要なマインドセットについて解説してもらう いまエンジニアとして働いている人の中には、管理職などにならず一生エンジニアとして生きていきたいと考えている人もいるでしょう。その場合、次々と育っていく若いエンジニアに負けないために、年を重ねるとともにエンジニアとして進化し続けていかなければなりません。そのためには何が必要か考えてみましょう。 短期の「チャレンジ」と長期の「目標」を考えよう エンジニアとして進化し続けるためには、常に勉強し続けることが求められます。しかし新しく面白そうな技術が次々と生まれている今、漫然と新しいことを勉強していても、一線のエンジニアとして長く生き残ることは難しいでしょう。 必要なのは、正しいタイミングに正しい方向で努力していくこ
「Vagrant」って何ぞ?(・o・)
「Vagrant」って何ぞ?(・o・):Vagrant開発者 Mitchell Hashimoto氏に聞いた 仮想の開発環境作成ツールとして人気が高まっている「Vagrant(ベイグラント)」。その開発者であるMitchell Hashimoto(ミッチェル ハシモト)氏が来日するとの情報を聞き、2013年7月12日、VOYAGE GROUPで行われたミートアップに駆け付けた。 「Vagrant」とは Vagrantとは、違う環境に移行可能な開発環境を簡単に構築・管理し、配布することができる開発環境作成ツール。「ほんの数行書くだけで開発用の仮想マシンを構築できる」という優れものだ。 Vagrantのビジョンは、「開発者とシステム管理者にとって最高の『開発フロー』を提供すること」。Vagrantをダウンロードして「vagrant up」と入力し、実行するだけでそれが可能となる。 システム管理
現代っ子の習いごとはプログラミングも当たり前――「TENTO」レポート
連載第1回記事「子ども向けプログラミングの現場から(1):子どもにプログラムの手順だけでなく概念を伝えたい」 大学の広い講義室で、およそ100人の観客を前に自分でプログラミングしたゲームや作品を披露する子どもたち。「背景を自分で手描きしました」「カメの配置を乱数で表示させるように工夫しました」「飛ばした玉が遠くに行くにつれて、どんどん小さく見えるように大きさを変化させました」など、目の前にいる大人たちを物ともせず、堂々としたプレゼンテーションをしてみせる。 これは、2013年10月20日、筑波大学文京校舎で開かれたICT/プログラミンスクール「TENTO」の『第2回プレゼン大会』の様子。この大会には、同スクールに通う小学1年生~中学2年生までの計23名が参加し、約2カ月かけて制作した作品が発表された。 特別な子どもがプログラミングを学んでいるわけではない! 「TENTO」は、2011年にさ
NTTグループ、ネット利用状況のモニター調査中止へ
NTTは4月1日、NTTグループ各社とともに4月8日から7月末まで実施する予定としていた「ネット利用時の情報取得に関するモニター施策」を中止することを発表した。 日本電信電話(NTT)は4月1日、NTTグループ各社とともに4月8日から7月末まで実施する予定としていた「ネット利用時の情報取得に関するモニター施策」を中止することを発表した。「“プライバシーが守られない可能性がある”などのご意見がSNS上等で多数掲載され、安心して参加いただくために見直すべき点があると判断した」ことから中止を決定したという。 このモニター調査企画が明らかになったのは2013年3月。「顧客サービスの向上に向けた、多様な端末環境におけるブロードバンド利用状況の客観的把握」「多様な端末環境における情報収集技術の開発と検証」などを目的に掲げ、NTT東日本/NTT西日本/NTTドコモ各社が最大1000名のモニターを募集し、
ライトニング・トークの成功率を上げる7つの技術
時間がなさすぎた、デブサミでの失敗談 ここで、私の失敗談を共有します。Developers Summit 2010で発表をしたときのことです。 当時は、大勢の聞き手の前で、50分間のプレゼンをすることに不慣れで(今でも不慣れですが)、かつ「初めてのデブサミ!」ということで入れ込みすぎました。プレゼンの準備に四苦八苦しており、当日の朝、ギリギリまで資料作成をしていたのです。 「情報収集のために来ている人であれば、それほど詳しくない」と考え、丁寧な説明を心掛けたところ、スライドの30%くらいまできたところで「残り時間30分」の知らせがありました。あせってペースを上げたものの、スライドが半分まできたところで「残り10分」の知らせがありました。 この「残り10分」表示を見た私は、しどろもどろな発表をした上、時間オーバーになってしまいました。今でも頭を抱えて反省するぐらいの出来事です。 失敗から学ん
RSpecを使ったテストコードを読もう
RSpecを使ったテストコードを読もう:Railsコードリーディング~scaffoldのその先へ~(2)(1/4 ページ) 優れたプログラマはコードを書くのと同じくらい、コードを読みこなせなくてはならない。優れたコードを読むことで、自身のスキルも上達するのだ(編集部) 第1回「コードリーディングを始めよう」では、Railsアプリケーションの基本であるCRUDのソースコードを読解しました。最低限の基本の動きということで、ディレクトリ構造の説明すら割愛していたので、今回はディレクトリ構造の解説から行います。その後、今回のメインテーマであるテストコードのコードリーディングに入っていきます。 ここで扱うテストコードというのは、Javaの世界でいうとJUnitを使ったテストコードと同じ粒度、つまり、単体テストに近い粒度のテストケースを動くプログラムで表したものになります。Javaの開発者にとってのJ
Railsのコントローラをテストする
前回はインテグレーションテストとしてCucumberでテストを作成しました。今回はユニットテストとして、RSpecを使ってコントローラのテストを作成します 前回はインテグレーションテストとしてCucumberでテストを作成しました。今回はユニットテストとしてRSpecを使ってコントローラのテスト(RSpecのテストコードは“スペック”と呼ばれるので、以降はスペックと呼びます)を作成します。本稿で紹介するスペックの全文はGitHub上にあります。 最初に、コードレビューの回で述べたコントローラの役割についてもう一度おさらいしてみましょう。 コントローラは外部から来たリクエストを受け付け、レスポンスを返すのが役割です。具体的には以下の3つの動作をおこないます。 適切なオブジェクトをとってくる オブジェクトに対する何らかの操作を指示する 操作が成功した際と失敗した際のビューの振る舞いを指定する
すばらしいソフトを作るには、カリスマが講演 ― @IT
記者という職業柄、これまで非常に多くのプレゼンテーションを見てきたが、プレゼンテーションの1枚目が半裸の女性モデルの写真だったのは初めてだった。 2月13日、14日の予定で東京・目黒で開催中の「デベロッパーズ・サミット2008」で講演したFog Creek Softwareの創業者でCEOのジョエル・スポルスキー(Joel Spolsky)氏のプレゼンテーション「Joel on Developers Summit――素晴らしいソフトウェアを作るということ」は、型破りに楽しく、なおかつソフトウェア開発者にとって示唆に富む内容だった。 スポルスキー氏は米マイクロソフトのExcelチームで、Excel用マクロ言語を、後にVBAと呼ばれることになるモダンなオブジェクト指向言語に置き換える仕事でプログラムマネージャを務めたことがあるなどソフトウェア開発のベテランだが、エッセイの書き手としても名を馳せ
SurfaceViewならAndroidで高速描画ゲームが作れる
SurfaceViewならAndroidで高速描画ゲームが作れる:Androidで動く携帯Javaアプリ作成入門(12)(1/3 ページ) 本連載で、SDKとEclipseを使ってAndroidの携帯端末で動くJavaアプリを作成し、Android Marketでの配布を目指しましょう Androidの開発者はスィーツがお好き? 開発コード「Eclair」(エクレア)で呼ばれていたAndroid 2.0が、2009年10月27日にリリースされました(参考:グーグル、Android 2.0対応のSDKリリース)。 直前のバージョン、Android 1.6 Donut(ドーナツ)から1カ月弱でのメジャーアップデートです。Android 2.0で追加された目玉機能は、Bluetooth用のAPIで、これはAndroid 1.0で搭載を見送りされたいわく付きのAPIでもあります。今後、Blueto
@IT: 「ぼくはまちちゃん」 ――知られざるCSRF攻撃
ある日、大手SNS(Social Networking Site)のmixiの日記にこのような書き込みがあった。それも1人だけでなく、同日に数多くのユーザーの日記に同じ文面が掲載されていた。 これは、単にこのような文章がはやり、ユーザー自身が意図して掲載したのではなく、ある仕掛けによってユーザー自身が気付かないうちに引き起こされた現象なのである。その仕掛けとは、CSRF(Cross-Site Request Forgeries)と呼ばれる攻撃手法の一種だ。 編集部注: 現在、「はまちちゃん」トラップは、mixi運営者により対策されています。上記のサンプルは、mixi風に再構成したものです。 本稿の内容を検証する場合は、必ず影響を及ぼさない限られた環境下で行って下さい。また、本稿を利用した行為による問題に関しましては、筆者およびアイティメディア株式会社は一切責任を負いかねます。ご了承ください
がんばれ!アドミンくん 第268話 - @IT
Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる (2017/7/27) AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう Azure Storage ExplorerでStorageを手軽に操作する (2017/7/24) エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう Win 10でキーボード配列が誤認識された場合の対処 (2017/7/21) キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう Azure Web AppsでWordPr
lighttpdでユーザー認証を行うには(Basic認証編) - @IT
lighttpd(話題のWebサーバ「lighttpd」を使うには参照)は、Basic認証とDigest認証をサポートしている。Basic認証ではパスワードが暗号化されず、平文のままネットワーク上に流れるため、経路上でパスワードが漏れてしまう可能性がある。Basic認証を使用する際は、SSLによって経路全体を暗号化するなどの対策を併用することをお勧めする(Webサーバ「lighttpd」でSSLを使うには参照)。 最初に、htpasswdコマンドでユーザー(例は「secret」)を作成し、パスワードを設定する。パスワードの設定に必要なパスワードファイルは、ここでは/etc/lighttpdディレクトリにlighttpd.user.htpasswdとして作成している。 # htpasswd -c /etc/lighttpd/lighttpd.user.htpasswd secret New
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
サーバのログ監視ツールを使いこなそう