Webアプリにおける11の脆弱性の常識と対策
Webアプリにおける11の脆弱性の常識と対策:Webアプリの常識をJSPとStrutsで身につける(11)(1/4 ページ) 本連載は、JSP/サーブレット+StrutsのWebアプリケーション開発を通じて、Java言語以外(PHPやASP.NET、Ruby on Railsなど)の開発にも通用するWebアプリケーション全般の広い知識・常識を身に付けるための連載です 【2013年2月25日】編集部より、おわびと訂正のお知らせ 本稿において読者の皆さまより多数のご指摘をいただきまして、誠にありがとうございます。編集部であらためて調べた結果、間違いを把握し、あらためて修正版を掲載させていただきます。この度は、長期にわたり誤った内容を掲載したので、読者の皆さまに多大なご迷惑をお掛けしたした点をおわび申し上げます。 通常、記事に間違いがあった場合には、筆者確認後に修正版を掲載するのですが、今回の場
IT業界に女性エンジニアの活躍の場を
IT業界では、女性はまだマイノリティ ランチセッションの冒頭では、同社 執行役 人事部長 四方(よも)ゆかり氏によるオープニングスピーチがあった。四方氏は、IT業界における女性の地位や、同社が取り組んでいる福利厚生について語った。 「IT業界は比較的新しい業界であり、ほかの業界に比べ慣習やしがらみが少なく、若い女性が活躍しやすい。一方で、新しいゆえ、長年の経験を積んだリーダー格の女性が少なく、輩出にはまだ時間がかかるのが悩み」(四方氏)。 マイクロソフトの日本法人では、女性の比率が全社員の2割ほどである。同社は、IT業界で働く人たちの多様化を推進する取り組み「Diversity&Inclusion」の価値観の下、Women in Technologyのような機会をとおして女性社員の数を増やしていく計画だが、「単純に女性社員の数を増やすだけでなく、幹部、管理職といった組織を引っ張っていく立場
「1人ブレスト」や「タスク管理」ができるEvernoteとは(1/4)- @IT
それではEvernoteの各機能をチェックしてみましょう。 さまざまなデバイスに対応している Windows、Mac、iPhone、Windows Mobileなどのデバイスに対応しています。Webブラウザからでも各種機能を利用することができます。 使いやすい専用クライアントがある iPhone、Windows Mobile、Mac、Windows向けの使いやすい専用クライアントが提供されています。 同期の仕組みがある 複数のデバイスでEvernoteを使っていても、専用クライアントが自動でデータの同期を行ってくれます。 画像内の文字を検索することができる Evernoteには検索機能があるのですが、写真に写っている文字も検索対象となります。ただし現在は残念ながら日本語には対応していません。 Webクリップ機能 ブックマークレットを利用することによって、IE、Firefox、Safari、
PubSubHubbubでRSSもTwitter並にリアルタイムに - @IT
2009/08/19 「PubSubHubbub」(パブサブハブバブ)という奇妙な名前のプロトコルが注目だ。2009年8月5日にグーグルはRSSリーダーサービスのGoogle ReaderでPubSubHubbub対応を明らかにしたほか、国内ではライブドアが、同じくRSSリーダー「livedoor Reader」とブログサービスの「livedoor Blog」でPubSubHubbubに初対応したことを8月18日に発表している。まだ対応サービスは少なく、その“効能”も「ブログの更新がRSSリーダーに反映されるのが、ほぼリアルタイムになりました」というだけで小さく見えるかもしれない。しかしPubSubHubbubは、ネット全体のリアルタイムコミュニケーションプラットフォーム化を促す重要なキーとなるかもしれない。 Twitterが見せつけた“リアルタイム”のテンポの良さ Twitter人気が高
ブラウザを選ばずWebテストを自動化するSelenium
Webアプリケーションのファンクションテストを行うツールとして注目されている「Selenium」のバージョン1.0が6月20日にリリースされました。安定性が向上するとともに、Firefox 3.0、3.5(Selenium IDEは1.0.2から、Firefox 3.5に対応)や、Internat Explorer(以下、IE) 8などの最新のWebブラウザにも対応しました。 本稿では、Selenium 1.0をベースとしたSelenium IDEとSelenium RCを利用した効果的なSeleniumの利用方法を紹介します。 Webアプリのテストで誰もがイラつく大きな課題 Webアプリケーションテストを手で行うと、非常に煩雑です。Selenium登場以前の従来のやり方では、次のような問題がありました。 回帰テストに時間がかかる バグ修正や仕様変更などで、Webアプリケーションを変更した
ブラウザキャッシュでパフォーマンス向上
キャッシュ制御の方法 サーバサイドからキャッシュを制御するには、以下の2つの方法がある。 HTTPヘッダによる制御 METAタグによる制御 まずは、これらがどのようなものか、軽くおさらいしておく。 ■HTTPヘッダによる制御 HTTPプロトコルでは、HTTPヘッダにさまざまな情報を格納することができる。そのうちいくつかの情報は、キャッシュ制御のためのヘッダである。リクエスト(クライアント→サーバ)用のものと、レスポンス(サーバ→クライアント)用、リクエスト/レスポンス共通のものが存在する。 ■リクエスト用 If-Modified-Since 日時を指定する。指定した日時より新しいコンテンツの場合のみデータを返却するようにサーバに指示する。ローカルキャッシュの最新確認に使用される If-None-Match 指定したエンティティタグに一致しない場合のみコンテンツを返却するようにサーバに指示す
脱Excel! Redmineでアジャイル開発を楽々管理
ソフトウェア開発のタスクをチケットに登録すると、作業を始めるチケット管理をメインに、進ちょく管理、問題管理などができる。 バグ管理システムだけでなく課題管理システム(ITS:Issue Tracking System)で運用する開発プロセスは、チケット駆動開発(TiDD:Ticket Driven Development)と呼ばれ、最近注目されている。 Ruby1.9の開発はRedmineで管理されているように、近ごろは事例も増えている。 Redmine運用前の問題点 筆者がRedmine運用前に持っていたプロジェクト管理の問題点は下記2点だった。 1.Excelでのタスク管理の限界 従来からプロジェクトマネージャやプロジェクトリーダーの多くは、進ちょく管理やタスク管理をExcelで行ってきた。 プロジェクト管理では顧客へ進ちょく報告するために、残工数と残タスク数を計算する必要がある。だが
教科書に載らないWebアプリケーションセキュリティ 第1回 [これはひどい]IEの引用符の解釈 − @IT
XSSにCSRFにSQLインジェクションにディレクトリトラバーサル……Webアプリケーションのプログラマが知っておくべき脆弱性はいっぱいあります。そこで本連載では、そのようなメジャーなもの“以外”も掘り下げていきます(編集部) 小さな話題が面白い 皆さん、はじめまして。はせがわようすけと申します。 「教科書に載らないWebアプリケーションセキュリティ」ということで、Webアプリケーションのセキュリティに関連する、普段あまり見掛けないような小さな話題を取り上げていきたいと思います。 セキュアなWebアプリケーションを実現するために、開発者の方だけでなく、Webアプリケーションの脆弱性検査を行う方々にも読んでいただきたいと思っています。重箱の隅を楊枝でほじくるような小さな話題ばかりですが、皆さんよろしくお願いします。 さて第1回は、Internet ExplorerがHTMLを解釈する際の引用
![教科書に載らないWebアプリケーションセキュリティ 第1回 [これはひどい]IEの引用符の解釈 − @IT](https://cdn-ak-scissors.b.st-hatena.com/image/square/82de8989bb7acc1ec9333bef18042c097988bca5/height=288;version=1;width=512/https%3A%2F%2Fimage.itmedia.co.jp%2Fait%2Farticles%2F0902%2F27%2Fwebapp0101.jpg)
すべての始まり=「要求」を抽出する
上級技術者を目指すのであれば、要求エンジニアリングの習得は必須である。要求を明確化できれば、後工程の不具合が減少し、プロジェクトコストの削減や競争力強化につながるからだ。6回に渡って、要求エンジニアリングの基礎を解説する。 IT/ソフトウェア業界は厳しい時代を迎えており、われわれは自分なりに生き延びる戦略を再構築し実践する必要がある――そう前回、述べた。その出発点が、顧客の要求を認知・理解し、それらの要求に的確に応えることである。すなわち、「要求エンジニアリング」に取り組むことである。 現在はあいにく、不況に突入したばかり。「そんな余裕はない」という読者が多いかもしれない。しかし、不況に適した要求(例えば、品質が確保された低価格のITやソフトウェア、あるいはすぐに使えるシステムやソフトウェアに対するニーズ)があるだろう。要求の中身は時代や環境とともに変化しているのである。しかし、要求をどう
リクエストをいじれば脆弱性の仕組みが見えるのだ!
telnetでリクエストを打つのは面倒…… クウ 「うーん。めんどくさい……」 ジュンさんにWebアプリエンジニアとして重要な基礎、HTTPのしくみを教えてもらったクウは、引き続きHTTPと格闘中だ。 クウはジュンさんに教わったとおりtelnetを使ってHTTPを勉強していた。しかし、telnetで静的ファイルの閲覧などは比較的簡単にできるのだが、肝心のWebアプリケーションの閲覧を行うには非常に面倒であった。 ユウヤ 「どうしたの?」 クウ 「HTTPの勉強しようと思ったんだけど、コマンドをいちいち打ち込むの大変なんだよね……」 ユウヤ 「なんかそういうの、簡単にできるツールあるんじゃないの?」 クウ 「ああ、そうか。よく考えたらそういうのありそうだね。ちょっと探してみよっと」 ユウヤ 「まあ、それはいいとしてだ。昨日頼んでおいた資料ってどうなった?」 クウ 「ああっ。ごめん! 共有サー
svnコマンド
Subversionの利用 Subversionの基本的な使い方は「次世代プロトコルWebDAVの可能性」の後編で紹介したものとほとんど変わりません。ただし、Subversionで実装されたメソッドが増加しているのに伴い、機能が増えています。 増えた機能は、svnコマンドでどのようなサブコマンドが増えたのかを見ることで、簡単にチェック可能です。増えたものも含め、svnコマンドで使用可能なサブコマンドを下表に示します。 コマンド 書式 機能 add
@IT:Webアプリケーションのユーザーインターフェイス[1]-1
Webアプリケーションのユーザーインターフェイス[1] ユーザーにとっては “ユーザーインターフェイス”こそが製品そのもの ソシオメディア 上野 学 2005/6/2 ■はじめに Webクライアントの技術が進歩し、多様化するに従って、Webベースのシステムにはデスクトップアプリケーションと同等の品質を持つユーザーインターフェイスが必要となってきています。 しかし開発の現場では、ユーザーインターフェイス(特にGUI)デザインについての専門的なスキルを持った技術者が圧倒的に不足しています。その理由は、ソフトウェア製品におけるユーザーインターフェイスの重要性が正当に理解されていないためと、ユーザーインターフェイス・デザインに関する教育機会がほとんどないためです。 利用者の視点に立てば、ユーザーインターフェイスとは製品そのものです。いくら高度に洗練された仕組みがバックエンドにあったとしても、それが
連載:VB 6ユーザーのためのこれならマスターできるVB 2005超入門 ― @IT
第2回 簡潔なコーディングのために (2017/7/26) ラムダ式で記述できるメンバの増加、throw式、out変数、タプルなど、C# 7には以前よりもコードを簡潔に記述できるような機能が導入されている 第1回 Visual Studio Codeデバッグの基礎知識 (2017/7/21) Node.jsプログラムをデバッグしながら、Visual Studio Codeに統合されているデバッグ機能の基本の「キ」をマスターしよう 第1回 明瞭なコーディングのために (2017/7/19) C# 7で追加された新機能の中から、「数値リテラル構文の改善」と「ローカル関数」を紹介する。これらは分かりやすいコードを記述するのに使える Presentation Translator (2017/7/18) Presentation TranslatorはPowerPoint用のアドイン。プレゼンテー
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「【fileupload】ブラウザで画像ファイルが更新されない」(2) Java Solution - @IT
教科書に載らないWebアプリケーションセキュリティ - @IT
「お手本になるようなソースコード」(1) @ITクラブ Cafe - @IT
Master of IP Network ― @IT