「Webアプリの脆弱性対策は簡単です」
「Webアプリケーションの脆弱性対策は簡単です」。 セキュリティ関連の取材をするようになって10年以上になるが、セキュリティ対策が「簡単」だと聞いたのは恐らく初めてである。取材の相手は、TISの早矢仕善弘氏(技術本部 セキュアワン室 室長)。ソースコードを対象にした脆弱性チェックツールとして広く利用されている米Fortify Softwareに、同社ソフトの検証を依頼されたこともあるというセキュリティの専門家である。 早矢仕氏によるとWebアプリケーションの脆弱性は、たった四つの原則を守れば防げるという。SQLインジェクションやクロスサイトスクリプティング(XSS)など著名なものはもちろん、最近になって発見されている数多くの脆弱性が、いずれかの原則の対象になる。四つの原則を紹介しよう。 (1)ユーザー入力を精査する Webページのフォームなどに入力された文字列は、きちんとチェックしなければ
68. Smartyのmodifierを使いこなそう
みなさんSmartyは使ってますか?今回はSmartyを使ってる方に送るTIPSです。 Smartyでは modifier という機能があります。知ってる方も多いでしょうが、これはSmartyにassignされた変数をイジるためのものです。 PHPに用意されている関数をパイプ「|」でつなげるだけで使用することができます。 たとえば、 $smarty->assign('name', 'atsushi'); とスクリプト内で変数をアサインしておき、 {$name} {$name|strtoupper} とテンプレートに記述すると atsushi ATSUSHI とこんなふうに表示されます。 1. modifierに配列を渡す ここで、こんな配列をアサインしてみます。 $name_list = array( '0' => 'atsushi', '1' => 'yoshiki', '2' => '
基礎から理解するデータベースのしくみ(5):ITpro
SQL文を実行する際のパフォーマンスに大きな影響を及ぼすものとして,もう一つ,インデックスがあります。インデックスについては,どう定義すべきかというデータベース設計上の問題と,インデックスを有効に使うためのSQL文をどう書くべきかというコーディング上の問題があります。 ここではテーブル設計上の問題を主に取り上げます。SQL文のコーディングについては囲み記事「SQL文を最速にする11のポイント」を参照してください。 インデックスは,テーブルの検索速度を向上させるためのものです。それぞれのSQL文に対して最適なインデックスを定義するのが理想的ですが,実際にはある程度限られたインデックスで,必要なパフォーマンス要件を満たすようにインデックスを定義する必要があります。加えて,どんなSQL文が実際に発行されるのかがあらかじめわかっていない場合は,適当な想定に基づいてインデックスを定義しておかなくては
「の」を3つ以上連続して使わない
今回は、助詞「の」の使い方について、学習しましょう。まずは、次の文章を読んでみてください。 どこが問題? ここが問題! 一文に「の」が連続して3回以上使われている 同じ文章の中に「~の~の~の」と「の」が連続して3回以上続くと、文が間延びした感じになり、稚拙な印象を与えてしまいます。これは口語的な表現に近いためだと考えられます。 これで解決! 他の言葉に置き換える、または「の」を省略する 「の」の連続使用は2回までとし、3回以上連続させないためには、以下のように、他の言葉で置き換える、または省略する方法があります。 ・場所に関すること:「~の」を「~にある」「~にいる」に置き換える。 例:「会議室の机の上の…」→「会議室にある机の上の…」 ・時に関すること:「~の」を「~における」に置き換える。 例:「入社時の注意点の話の内容…」→「入社時における注意点の内容…」 ・対象に関すること:「~
58. すごいリロード対策
まず、日本のサイトにある一般的な登録フォームの画面遷移は 入力画面→入力確認画面→完了画面 となっている場合が多いようです。ここでリロード問題となるのは完了画面でのDBへのINSERT処理やCSV書き出し処理、メール送信処理など「一度しか行わない処理」です。例えば完了画面へ遷移した際にブラウザのリロードボタンが押された場合、確認画面よりsubmitした情報が再度submitされて上記の一度しか行わない処理が二度行われてしまいます。そうならないよう、リロード対策はスクリプトで制御します。 まずは確認画面のスクリプト 確認画面でチケットを発行し、セッションに保存しておきます。同時に完了画面へチケットがPOSTされるよう、hiddenにセット。こうして完了画面へ遷移させます。それでは完了画面のスクリプトを見てみましょう。 このように、確認画面で発行されたチケットは一度使い切ってしまえば2度処理さ
Linuxコマンド集 INDEX:ITpro
Linuxのコマンドをカテゴリ別にまとめました。コマンドの動作、構文、オプションの意味までを掲載しています。コマンドの基本を学びたい方は「Linuxコマンド道場」を参照ください。ファイルの操作からテキスト・ファイルの処理方法まで,例題に基づいて学べます。 コマンド集(アルファベット順) | コマンド逆引き大全 | シェル・スクリプト・リファンレス カテゴリ一覧 シェル・コマンド | ファイル管理 | システム管理 | ジョブ・プロセス管理 | テキスト・ファイル操作 | ネットワーク管理関連 | ネットワーク・クライアント関連 | セキュア・シェル(SSH)関連 | デバイス関連 | 印刷関連 | 符号化操作(圧縮・展開・エンコード・デコード) | パッケージ関連 | mtools関連(MS-DOS互換) | その他 アルファベット順メニューへ シェル・コマンド &コマンドをバックグラウン
ソースコード、読んでいますか
他人の書いたソースコードを読むことはプログラミング能力の向上に役立つ、と聞いたことがある人は多いだろう。例えば、Rubyの開発者として有名なまつもとゆきひろ氏は、自らが監訳者の一人である書籍「Code Reading -- オープンソースから学ぶソフトウェア開発技法」(毎日コミュニケーションズ発行)の序文で、「ソースコードこそソフトウェアのすべての知識の源」であり、「効率よくソースコードを読むことは、効率よく自分の能力を向上させることにつながります」と書いている。 一方で、ソースコードを読むための環境も整った。オープンソースが一般化することで、入手できるソースコードは質、量ともに、一昔前とは比べ物にならないほど充実した。 しかし、自らのスキルアップを目指して、実際にオープンソースなどのコードを読んでいる人は、さほど多くないだろう。他人の書いたソースコードを読むのは、既存プログラムの保守や追
Androidの仕組みを知る(1)
遂に日本でもAndroid携帯が発売された。注目を集めているAndroidとは,一体何なのか,パソコンに移植するためにはどのような作業が必要なのか,アプリケーションを開発するにはどうするのか解説する。 Androidは,米Google社が開発し,携帯電話関連の業界団体であるOHA(Open Handset Alliance)が2007年11月に発表した,ソフトウエア・スタック(複数層で構成するソフトウエア群)である。 Androidを構成するソフトには,携帯端末向けに改良されたLinuxカーネルとミドルウエア,アプリケーションの実行環境,開発環境であるアプリケーション・フレームワーク,アプリケーション,がある。 Androidは携帯端末用として開発されているものの,適用範囲は携帯端末にとどまらない。Androidが現在対応しているCPUは英ARM社のARM系と米Intel社のx86系の2種
オンライン・バンキングを狙った次世代型サイバー攻撃
IBM ISS X-forceの報告によると,最近,フィッシング詐欺が増加傾向にある。ただ,フィッシング詐欺で銀行口座の番号を奪ったとしても,ワインタイム・パスワードを採用しているなどセキュリティ強度が比較的高いと,奪った情報はほとんどど役に立たない。攻撃者にとっては効率が悪い。 この点から考えると,9月30日に報告された「URLZone」というトロイの木馬(ウイルスの一種)を悪用したサイバー犯罪は注意しておくべきだろう。URLZoneの標的はオンライン・バンキングのユーザーだ。ウイルス対策ソフト・ベンダーのFinjanの報告によると,既に被害パソコン(PC)は6000台を超える。感染したPCのユーザーが利用するオンライン・バンキングの口座から,勝手に犯罪者に送金してしまう。日本では馴染みがない部類のウイルスだが,海外ではこの手のサイバー犯罪は以前より増えている。 銀行の口座を直接操作でき
ひとつ上のヒューマンマネジメント 10年後も通用する文章術(1) 「駄目でない」文章を書くための9カ条
私は企業のIT企画部門の課長としてチームメンバーの文章をチェックしています。また,教育コンサルタントとしてビジネス文章を教えたり,国家試験科目の論文添削をしています。 異なる立場で非常に多くの文章を見てきたので,今では「どんな文章が駄目なのか」がよく分かるようになりました。ここから紹介するのは「よい文章を書く技術」です。 「よい文章」とは「駄目でない文章」 私は人に「よい文章を書くコツは何ですか?」とよく聞かれます。そのときにはいつも,「駄目な文章を書かないようにすることです」と答えています。 人が何をもって「よい文章だ」と感じるかどうかは,極めて主観的なものだと考えています。個人の受け止め方や感じ方に依存する部分が多いからです。 では,ビジネス文書でも「よい文章」を書かなくてはいけないのでしょうか。もちろん,それができるに越したことはありません。 しかし,どんな人でも「うまい」と言わせる
Windowsはどうやって起動しているのか?:ITprowsq
Windows 2000/XPを搭載したパソコンが突然起動しなくなったら,どうすればいいだろうか。もちろん,Windows 2000/XPが起動するまでにはたくさんの段階を踏んでいるので,原因や復旧策を一言で表すことなど不可能だ。こういうときに役立つのは,ブート・プロセスに関する基礎知識である。どうやってWindowsが起動しているのかを知れば,トラブルの原因や対処法も見当が付くはずである。 パソコンの電源を入れれば,Windowsが起動(ブート)する。この極めて当たり前と思われる動作の中にも,実は複雑な処理が多数潜んでいる。例えば,あなたのWindowsパソコンが突然起動しなくなったとしよう(図1)。あなたはその原因の目星を付けられるだろうか? ブートに関するトラブルは案外多い。パソコンへの衝撃やハードディスク(HDD)の動作不良によってブートに必要なファイルが破損したり,ウイルスによっ
沈黙を破ったホリエモン,ITを語る - インタビュー:ITpro
証券取引法違反の疑いで係争中の元ライブドア社長,堀江貴文氏は2008年9月8日,ITproとの単独取材に応じた。堀江氏は8月7日からサイバーエージェントが運営するブログ・サービス「Ameba」で個人ブログ「六本木で働いていた元社長のアメブロ」を開設。「思ったことを素直に書きます」と,最高裁判決を前に情報を発信していくことを宣言した。沈黙を破り,約1年半ぶりにメディアの対面取材に応じた堀江氏が,ITを語る。 これまでの沈黙から一転してブログを始めたのはなぜですか。 それは暇なのと,ストレス解消と,メディアに対するけん制ですね。継続中の裁判で一審と二審はあまり目立たないようにということで,2年くらい一方的にメディアに殴られている状況が続いていました。しかし,結局はこういう結果(一審,二審も実刑判決)です。だったら,悪い情報や間違った情報などが流れていたら,ブログできちんと反論していこうかなと。
まだまだあるクロスサイト・スクリプティング攻撃法
前回はクロスサイト・スクリプティングのぜい弱性を突く攻撃の対策としてのHTMLエンコードの有効性を述べた。ただ,HTMLエンコードだけではクロスサイト・スクリプティング攻撃を完全に防御することはできない。そこで今回は,HTMLエンコードで対処できないタイプのクロスサイト・スクリプティング攻撃の手口と,その対策について解説する。 HTMLエンコードで対処できない攻撃には,次のようなものがある。 タグ文字の入力を許容している場合(Webメール,ブログなど) CSS(カスケーディング・スタイルシート)の入力を許容している場合(ブログなど) 文字コードを明示していないケースでUTF-7文字コードによるクロスサイト・スクリプティング <SCRIPT>の内容を動的に生成している場合 AタグなどのURLを動的に生成している場合注) 以下では,HTMLタグやCSSの入力を許容している場合と,文字コードを明
第35回 FlashムービーとJavaScriptを連携させてみよう:ITpro
最近ではAjaxの流行もあり,JavaScriptのライブラリがかなり充実していますね。これらのライブラリの関数を始めとしたJavaScriptの関数を,Flashムービーから呼ぶことができれば,Flashムービーだけでは実現が難しい処理も意外に簡単にできてしまうこともあります。 ムービーを表示しているHTMLドキュメントのURIを取得する あけましておめでとうございます。本年もよろしくお願いいたします。 さてさて,図1のムービーでは,ムービーを表示しているHTMLファイルのURI(URL)を表示しています。 図1:ムービーを表示しているHTMLファイルのURIを取得するムービー(クリックするとムービーを表示します) Flashムービーでは,ムービー自身のURIは「_urlプロパティ」を使って取得できますが,ムービーを表示しているHTMLファイルのURIまでは取得できません。では,図1のム
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
眠れないエンジニアのための「生体リズム学」