Webアプリケーションを作る前に知るべき10の脆弱性 ― @IT
Webアプリケーションが攻撃者に付け込まれる脆弱性の多くは、設計者や開発者のレベルで排除することができます。実装に忙しい方も、最近よく狙われる脆弱性のトップ10を知ることで手っ取り早く概要を知り、開発の際にその存在を意識してセキュアなWebアプリケーションにしていただければ幸いです。 Webの世界を脅かす脆弱性を順位付け OWASP(Open Web Application Security Project)は、主にWebアプリケーションのセキュリティ向上を目的としたコミュニティで、そこでの調査や開発の成果物を誰でも利用できるように公開しています。 その中の「OWASP Top Ten Project」というプロジェクトでは、年に1回Webアプリケーションの脆弱性トップ10を掲載しています。2004年版は日本語を含む各国語版が提供されていますが、2007年版は現在のところ英語版のみが提供さ
@IT:やさしく読む「XML 1.0勧告」 第1回 XMLの仕様書によると、XMLの目標とは……
第1回 XMLの仕様書によると、XMLの目標とは…… XML 1.0は、1998年にW3Cから勧告として公開された。当然中身は英語で、しかもEBNFと呼ばれる式によって重要な部分が記述してある。この連載では、XML 1.0を深く理解するための、そのXML 1.0勧告をだれでも分かるように、やさしく読み解きながら解説していくことを目指している。(編集局) 川俣 晶 株式会社ピーデー 2002/9/5 ■XML 1.0をみんなで読もう そこのあなた! 間違って難しい記事を開いてしまったと思って立ち去ろうとしたそこのあなた! あなたは間違ってなどいない。この記事は難しい記事ではないのだ。「XMLの仕様書は読んでみたいが、でも難しそう」と考えるあなたのような人のために書かれたのが、この記事なのである。 XMLとは、いうまでもなく、いまちょっとはやりの拡張可能なマーク付け言語(Extensible
HTMLに再び風は吹くか、そして「HTML 5.0」は ― @IT
Webを構成している技術に関していえば、1つ確かなことがある。それは、「HTMLは明らかに過去の存在」ということだ。HTMLはWebの基盤を構築する上で大きな役割を果たしてくれたが、今やWebの未来を担っているのは、XML、XHTML、そしていくつものスクリプティング言語だ。 HTMLよ、さようなら! ちょっと待って、何だって? World Wide Web Consortium(W3C)が次世代HTML標準の策定に向けて新しいHTML作業部会を設定しただって? よし、それなら、いま私が言ったことは全部撤回だ。 Web標準やW3Cの動きを追っている人であれば、おそらく、このニュースには私と同じくらい驚いているだろう。HTMLは既に過去のものであり、この標準についてはもはや新しい作業は行われないだろうというのが、しばらく前からの共通の認識だった。そして、Web開発の標準はすべて XHTML(
Ajaxの高度な使用例、Yahoo! pipes Ajax うきうき Watch 第18回 ─ @IT
Yahoo! pipes 話題のサービスです。検索エンジンやRSSフィードなど、さまざまなソースのデータを足し合わせ、フィルタリングし、望みの情報だけを抽出したフィードを作り出すことができます。シンプルな分かりやすさと操作性の良さが特徴です。 Yahoo! pipesは、サーバ側で実行されRSSフィードを出力するサービスで、Ajaxとは直接関係がありません。にもかかわらず、今回のトップで紹介した理由は、パイプのデザインツールが非常によくできているからです。 画面左側のパレットから、必要な機能を選んで配置します。場所は自由にドラッグして決めることができます。そして、パーツ間を線でつなぐと、自動的に滑らかな線で結び付けられます。パーツの場所を移動しても線は追従します。さらに、個々のパーツ内部は入力フィールドになっていて、編集できます。これはAjaxの高度な使用例として見る価値があるでしょう。
アドビの手を離れるPDF、実質標準から公的標準へ - @IT
2007/02/08 米アドビ システムズは1月30日、PDF 1.7全仕様をドキュメント関連の非営利組織AIIMに譲渡し、国際標準化機構(ISO)による規格承認を目指すと発表した。米アドビのアクロバットマーケティング担当ディレクター リッキー・リバーシッジ(Ricky Liversidge)氏は「公的なスタンダードにすることで政府・自治体がPDFを使いやすくなる」と語り、各国政府や自治体でのオープンスタンダード採用の流れを受けた措置と説明した。同氏によるとPDFは1年強でISO規格として承認される見通し。 譲渡を受けたAIIMは国際標準の仕様を策定し、ISOのワーキンググループに提案する。アドビはこれまでPDFのサブセットである「PDF/A」(電子文書の長期保存)、「PDF/X」(商用印刷)を提案し、ISO規格として承認されている。現在は技術文書の情報交換を規定する「PDF/E」、ユニバ
著作権団体とYouTubeが協議、ほぼゼロ回答!? - @IT
2007/02/06 日本民間放送連盟、日本音楽著作権協会(JASRAC)など、23の著作権関係団体・事業者は2月6日、違法コンテンツのアップロード問題で米YouTubeのCEOらと協議し、ユーザーが動画をアップロードする際に日本語の警告メッセージをYouTubeが画面表示することで合意したと発表した。 YouTube側はCEOのチャド・ハーリー氏、CTOのスティーブ・チェン氏、親会社の米グーグルのコンテンツ・パートナーシップ担当副社長 デビット・ウン氏が来日し、協議した。会見は23団体・事業者側だけが出席して行われた。 両者が合意したのは、ユーザーがYouTubeにコンテンツをアップロードする際に、著作権を侵害するコンテンツのアップロードを警告する日本語メッセージを画面上に表示させること。「YouTube側は早急に対応することを約束した」(日本民間放送連盟 植井理行氏)。JASRACの菅
グーグルが語る:Ajaxはなぜ最初失敗し、その後成功したのか - @IT
グーグルのアダム・ボスワース氏は、スピードがソフトウェア開発を大きく左右するという。 「物理学、スピード、心理学:ソフトウェアで何がうまくいき、何がうまくいかないのか。それはなぜか」と題された講演の中で、グーグル副社長のボスワース氏は、Ajax、PDA、自然言語などの技術がなぜ過去にははやらなかったのに、今成功しているのかを語った。同氏は1月29日、 Google NYC Speaker Seriesの一環としてグーグルオフィスで講演を行った。 ボスワース氏は、これまで約30年間ソフトを構築してきたが、常に「そのすべてがうまくいくわけではない」と述べた。「その理由は、振り返ってみると、主に物理的要素と人間心理によることが分かった」。同氏はまた、「その多くはトム・クルーズと関係がある」と語り、映画「トップガン」のトム・クルーズの台詞「I feel the need, the need for
Webアプリに使えるAjaxライブラリ8選! ― @IT
Ajaxライブラリの全体像を把握しよう Ajaxライブラリ(*注1)はすでに数多くのものが出回っていますが、多過ぎて全体像がつかめていないのではないでしょうか。今回は代表的なAjaxライブラリの一部を挙げ、それぞれを比較しながらAjaxライブラリの全体像を把握していきたいと思います。 どうして、Webアプリ開発にAjaxライブラリが必要なのか どのようなプログラミング言語でもライブラリが存在するように、Ajaxにおいてもライブラリが存在します。 初めにAjaxライブラリの必要性について見ていきたいと思いますが、ここではAjax開発ならではのライブラリの必要性を2点取り上げます(ほかの言語のライブラリと共通する必要性はあらためて取り上げません)。 クロスブラウザ対応 Ajaxの利点として、さまざまな環境における一般的なWebブラウザ上で実行できることが挙げられます。しかしWebブラウザの実装
API公開のずいぶん前からすでにWeb2.0でした
数回にわたり、国内のWeb2.0企業にフォーカスし、その姿を見ていく。まずはAPI公開を先立って行ったビッダーズに効果を聞いた (編集部) 連載目次 ビッダーズは設立当初からWeb2.0だった ちょっとネットの動向に興味のある人なら「今日から僕は2.0になりました」なんていうジョークを、「新しい自分に進化した」とすぐさま意識の中で連文節変換してくれるくらい「Web2.0」という言葉は一般化してきた。 これまでのネットとは趣の異なる、新しいムーブメントを総称してWeb2.0ということは大いに理解できるし、「オープンソース」「マッシュアップ」「Webサービス」「フォークソノミー」「CGM(Consumer Generated Media)」「マイクロフォーマット」などWeb2.0を語る際に欠かせないキーワードの数々が存在して、それぞれの意味をひもとくと、「ああなるほどそういえば最近流行の新サー
多くのユーザーは一度に1本しかジュースを買わない ― @IT
ユーザビリティのヒント(1) 多くのユーザーは 一度に1本しかジュースを買わない 「自動販売機での不要な動作から考える」 ソシオメディア 上野 学 2006/6/2 Webアプリケーションのユーザーインターフェイスデザインに役立つさまざまなTips集。自動販売機でジュースを買うときの不要な動作から考える。(編集部) 今回からはWebアプリケーションのユーザーインターフェイスの続編の「Tips編」として、ウェブアプリケーションのユーザーインターフェイスをデザインするうえで役立つさまざまなヒントを、少し細かな視点から具体的に見ていきます。 複雑な構成物を作り上げるには、基本となるコンセプトやアーキテクチャといった抽象度の高い部分から考えていくトップダウン式のアプローチと、構成要素の細部から考えていくボトムアップ式のアプローチの両方が必要になりますが、前回までの経験則編はどちらかといえばトップダ
がんばれ!アドミンくん 第15話 - @IT
Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる (2017/7/27) AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう Azure Storage ExplorerでStorageを手軽に操作する (2017/7/24) エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう Win 10でキーボード配列が誤認識された場合の対処 (2017/7/21) キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう Azure Web AppsでWordPr
がんばれ!アドミンくん 第8話 - @IT
Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる (2017/7/27) AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう Azure Storage ExplorerでStorageを手軽に操作する (2017/7/24) エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう Win 10でキーボード配列が誤認識された場合の対処 (2017/7/21) キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう Azure Web AppsでWordPr
WCFの基本的な概念
前回は、Windows Communication Foundation(以降、WCFと略す)と命名されたコミュニケーション基盤技術に関して、その登場の背景を中心に「なぜマイクロソフトは新しい通信インフラを提供することになったのか?」、また「そこにはどんな狙いがあるのか?」、さらには「そのテクノロジを採用するメリットは何なのか?」といったところを見てきた。 今回はWCFの基本的な概念について解説する。多少、抽象的で分かりにくいかもしれないが、今回説明する個々の概念がよく理解できなくても、次回のプログラミング例までを併せて読み進めていただければ全体的に把握できるだろう。ぜひ最後までお付き合いいただきたい。 なお、ここに記載した内容は製品出荷前の現段階(2006 February CTP段階)での内容であるため将来変更される可能性が十分あることをあらかじめご了承いただきたい。 WCF理解に必要
偽装メールを見破れ!(前編) ― @IT
国会という公の場を使って1通のメールの真偽が問われたのは記憶に新しい。前回のコラム「メールは信頼できても信用できない」でも取り上げたとおり、普通のメールを本物だ、偽物だと証明することは非常に難しい。ましてや国会で取り上げられたような黒塗りのメール文面だけでは技術的に真偽を問うことは困難だ。 プリントアウトされた黒塗りメールの真偽を見分けるのは難しいが、普段受信しているメールならば偽装メールを見破ることもできる。手元に届けられた普通のメールを例にして読み解いていこう。 メールは1つのテキストデータでできている あなたがOutlookなどのメールクライアントで読んでいるメールは、実際には「メールメッセージ」と呼ばれるテキストデータが整形されたうえで表示されているものである。文章以外に画像やアプリケーションなどの添付ファイルが付いていたとしても、元のメールメッセージはただのテキストで構成されてい
PDFとFlashに付加価値を、アドビ新社長が会見 - @IT
2006/2/8 アドビ システムズの代表取締役社長に1月に就任したギャレット・イルグ(Garrett J. Ilg)氏は2月7日会見し、PDFサーバソリューションの拡大などを柱とする2006年の経営戦略を発表した。アドビは買収したマクロメディアの製品を既存ラインアップに統合した「Adobe エンゲージメント プラットフォーム」をアピールしている。イルグ氏は「人とアイデア、人と情報のかかわり(エンゲージメント)を変革するのがアドビのミッションだ」と語った。 イルグ氏率いるアドビが力を入れるのはPDFのサーバ製品群である「Adobe LiveCycle」。Adobe AcrobatなどPDFの作成ツールは多くの企業が利用しているが、PDFを使ったワークフローを構築したり、セキュリティポリシーを付与するようなサーバ製品の普及はまだまだだ。イルグ氏は「企業におけるAdobe PDF利用環境の50
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
@IT:XMLカレッジ―総合インデックス