ちょっと変わったSQLインジェクション
@IT編集部のセミナーに出てきました 3月2日に、@IT編集部主催の「@IT セキュリティソリューション Live! in Tokyo」にて、NTTデータ先端技術の辻さんとインターネットイニシアティブの根岸さんとともに、ランチセッションに出演してきました。辻さん&根岸さんのトークに絡ませてもらい、あっという間にランチセッションは楽しく終了しました。 事前の準備中はあれだけいろいろと話そうと思っていたのに、いざ始まると時間が足りないくらい盛り上がりました。ちょっと物足りないと思うくらいがいいのかもしれませんね。その会場で使った、2002年と2012年付近の出来事を示した資料がこちらです。 私はちょうど10年前の2002年にラックに入社しました。振り返ってみればあっという間の10年の社会人生活です。こうしてみると、いろんなインシデントがリアル世界とサイバーの世界で起こっていたんだなと懐かしくな
OSに付属するシェルスクリプトを読んで技術を盗む
今回から、OS付属のシェルスクリプトを読んでいく。多くの人が使っているスクリプトを読むことで、シェルスクリプトならではの書き方、テクニックを身に付けることができるはずだ(編集部) 他人の技術を盗まなければ進歩はない 外国語をマスターするにも、楽器の演奏を覚えるにも、上達するにはただ練習するだけではダメだ。素晴らしいお手本を見つけて、よく観察し、何度もまねることが必要だ。お手本から技術を「盗む」ことが大切だということだ。 プログラミングでも同じことが言えると思う。文法を覚えて、ただひたすらプログラムを書くだけではなかなか上手にならない。スキルのある人のコードを見て、技術を盗もう。開発チームのメンバーそれぞれが書いたコードを持ち寄って、お互いに批評し合う「コードレビュー」に参加している、あるいはリーダーとして主催しているという人は多いと思う。このコードレビューも、人から技術を盗む良い機会と言え
なぜWikipediaは停止するのか――SOPA抗議活動をひもとく - @IT
(Geekなぺーじ あきみち氏による寄稿記事です) 2012年1月18日のUTC 5時(日本時間同日14時)から、英語版Wikipediaが、米国議会で審議されている「オンライン海賊行為禁止法(Stop Online Piracy Act:SOPAおよびPROTECT IP Act:PIPA)」への抗議としてサービスを24時間停止しています。 「SOPA Blackout Day」キャンペーン、決行 実はWikipediaが英語版サイト停止を発表する前から、1月18日には「SOPA Blackout Day」という抗議キャンペーンが行われる予定になっていました。 もともと、具体的にそのようなキャンペーンが計画されていたわけではありません。しかし2011年年末から「Google、Amazon、Facebookなどが抗議としてWebを停止するかもしれない」というニュースが伝えられていました。
双方向通信を実現! WebSocketを使いこなそう
(1)Ajax XmlHttpRequestオブジェクト(JavaScript)を利用した非同期通信処理のこと。Googleマップを筆頭とするWebアプリケーションで活用されている。ブラウザからサーバ側に非同期でリクエストを実施してデータを受け取り、JavaScriptにより部分的にページを更新することで、ページ全体を更新するよりも低負荷でサーバと通信できる。また、通信中も操作を継続できるので、エンド・ユーザーの操作を妨げられることもなく、ユーザビリティに優れる。デメリットとして、基本的にブラウザからのリクエストで動作する仕組みなので、サーバ側から自動でデータを送信することはない。
「組織力」でハッキングコンテストに挑む日本人チーム - @IT
2011/08/05 毎年夏になると、世界最大級のセキュリティカンファレンス「BlackHat Briefing」と「DEFCON」が、米ラスベガスにて開催される。これらカンファレンスは、脆弱性や最新の攻撃動向に関する研究成果などを発表する場である一方で、特にDEFCONは技術者の「お祭り」という側面も持つ。 その「お祭り感」を最もよく体現し、人気も高いイベントが、ハッキングに関する知識や技術を競うDEFCONの「CTF(Capture The Flag)」だ。 今年のDEFCONのCTFは、現地時間8月5日の9時から行われる予定だ。参戦できるのは、300チームが参加した予選を勝ち抜いた12チームだ。今回はここに、日本人チーム「sutegoma2」(すてごま2)が参加する。個人としての日本人参加はこれまでもあったが、日本人チームとしての参戦はこれが初めてのこと。本戦を前にsutegoma2
本当のAnonymousが知りたいの
PlayStation Networkに関する報道によって日本でも広く知られるようになった「Anonymous」。果たして彼(女)らはいったい何を目的とした、どんな集団なのか。日本に住むAnonymousの1人に取材する機会を得た(編集部) 日本で活動するあるAnonymousの声 PlayStation Networkの事件から日本でも名前を広く知られるようになった「Anonymous」。この名がメディアで報じられるときは、ほぼ決まって「ハッカー集団」「クラッカー集団」という「枕詞」が付く。中には、「政府や主要企業などへのハッキングの第一線にいるグループ」と説明される場合もある。 だが、多くのメディアにおける「Anonymous」の報道のされ方を見ると、さまざまな事件への関与を臭わせる内容がもっぱらで、彼(彼女)たち自身の活動を主軸としたものはあまり見かけない。 【関連記事】 PlayS
DNSの仕組みの基本を理解しよう
いきなりだが、2001年はDNS(Domain Name System)にとっては、当たり年ともいえる年だった。ニュースなどでも取り上げられているが、「日本語」や「多言語」ドメインという大きな構造変化がシステム全体に押し寄せ、ブロードバンド環境の広がりは、個人がドメインを取得して運用するための足掛かりともなった。 本連載では、ドメインの運用など、これからDNSと付き合おうとしている方々を対象に「DNSの概念や運用の考え方」を明らかにしていこう。ただし「BIND」など、DNSに関する具体的な製品の設定方法については触れない。詳しくは以下の記事もぜひ参考にしてほしい。 DNSはなぜ必要か? 最初に、「DNSとは何か」を説明するために、「なぜDNSが必要になるのか」を考えてみよう。それには、歴史的経緯から考えるのが分かりやすい。 DNSはご承知のとおり、IPアドレスとホスト名をマッピングして相互
「脆弱性根絶なんてできっこない」と嘆く前に
「脆弱性根絶なんてできっこない」と嘆く前に:セキュリティ、そろそろ本音で語らないか(13)(1/3 ページ) 脆弱性は上流工程でつぶせるか 私は最近、多くの時間を割いてプログラムを書いています。本来の性格から来るものか、バグはゼロになりません。この原稿の場合、誤字脱字に相当するでしょうか。この原稿などは編集部でキッチリ見てもらっているので大丈夫だと思いますが、プログラムはお客さまに迷惑をかけるかもしれないので、テストを繰り返してバグをつぶしていきます。 私は性格がそもそもおっちょこちょいな上にずぼらですから、プログラマには最も向いていないのかもしれません。いや、脆弱性を考えると「プログラムを作ってはいけない」といわれそうです。 私は前職で、日本で初めて「セキュリティの脆弱性検査」を事業として立ち上げた経験があるのですが、始めた当初から「セキュアなプログラミングが普及すれば脆弱性検査の市場は
シグネチャはセキュリティ業界の「MP3問題」、専門家が警鐘 - @IT
2010/02/02 アンチウイルス・ソフトウェア業界は、かつて音楽業界がMP3で経験したのと似た悪循環を抱えている。こう問題提起をするのはカスペルスキーのシニア・ウイルス・アナリストのマグヌス・カルカール氏だ。マルウェアを判定するための基本データとなる「シグネチャ」の無断コピーが新興のアンチウイルス企業の間で横行し、業界の健全性が損なわれているからだという。 かつてアンチウイルス・ソフトウェアの企業を立ち上げるには、膨大な技術投資や世界規模の配布、販売チャネルの構築が欠かせなかったが、今は非常に手軽にスタートできる。「安いサーバ、安いプログラマを探してきて、後はアンチ・ウイルスのスキャナを買って、PR会社に宣伝を頼めばおしまい」(カルカール氏)。ユーザーがアップロードするファイルをサーバ側で静的に解析する「オンデマンド型スキャンサービス」は、クラウドの中にあるので、利用しているソフトウェ
FlashランタイムのJavaScript実装「Gordon」が登場 - @IT
2010/01/14 Webブラウザ上のJavaScript環境でFlashのランタイムを実装したオープンソースプロジェクト「Gordon」が1月14日にGitHub上で公開された。開発したのはミュンヘン在住のTobis Schneider氏で、MITライセンスでライブラリを配布している。GordonはSWF3アクションモデルをサポートしていて、ActionScript 2のVMも今後のリリースに含む予定という(対応タグ一覧)。 GordonはFirefox、Chrome、Safari、それにiPhone上のMobile Safariなどで動作している。@IT編集部で試したところ、サンプルとして付属する3つのswfファイルはChrome上で問題なく表示でき、アニメーションすることも確認できた(デモはここ)。本家のFlash 10よりやや遅いという程度で十分実用的な速度。iPhone 3G上
読みやすい文章の極意は「修飾語」にあり
「提案書」や「要件定義書」は書くのが難しい。読む人がITの専門家ではないからだ。専門用語を使わず、高度な内容を的確に伝えるにはどうすればいいか。「提案書」「要件定義書」の書き方を通じて、「誰にでも伝わる」文章術を伝授する。 第5回「ドキュメントの質を確実に上げる6つの文章作法」に続き、顧客に伝わる文章を記述するためのポイントを紹介します。今回は、修辞句や用語など、「より具体的な表現方法」について説明します。なお、前回同様に、まず「分かりにくい例文」を取り上げてどこが分かりにくいのかを解説し、その後に分かりやすい文章へと修正していきます。 「修飾語を適切に使う」ことが、読みやすい文章を作るコツ 分かりやすい文章を書きたいなら、「修飾語」に着目しましょう。修飾語を使うときは、以下のような点に注意します。 長い修飾語は前に、短い修飾語は後に置く 文章を書く際は、句や文節を使った長い修飾語を前に、
Amazon EC2/S3の使い方解説、決定版をAWSが公開 - @IT
2010/01/15 米アマゾン傘下のAmazon Web Servicesは1月14日、クラウドコンピューティング上でシステム構築を行う場合のベスト・プラクティスをまとめた「Architecting for the Cloud: Best Practices」を公表した。 これまでにも同社は、AWSのサービスを組み合わせてスケーラビリティや可用性を実現する事例を紹介したり、具体的なサービスの組み合わせ方などを解説する文書を公開してきた。今回新たに公開されたホワイト・ペーパーは、こうした解説の集大成と言えるもので、自社だけでなくマイクロソフトやIBM、グーグルが公開しているホワイト・ペーパーも参照している。 20ページの英文PDFはクラウド一般のメリットや特徴から説き起こし、AWSの各サービスの簡単な解説を続けた後に、クラウドの各種の特性を最大限に引き出すシステムについて、一般論としての概
限界を迎えつつある「パターンマッチング」という手法 - @IT
第1回 限界を迎えつつある「パターンマッチング」という手法 株式会社フォティーンフォティ技術研究所 代表取締役社長 鵜飼裕司 取締役 最高技術責任者 金居良治 2009/10/27 「パターンファイルに依存しないアンチウイルスエンジン」という独自性を持つウイルス対策ソフト、FFR yarai 2009。日本発のこのソフトは、どのような思想を持ち、誰が作り出したのか。本連載では、「セキュリティ」がどのように作られていくのかを“エンジニアの目線”で語ります(編集部) 2009年5月18日、フォティーンフォティ技術研究所(以下、FFR)に所属するエンジニアの研究・開発経験を集約した、パターンファイルに依存しないアンチウイルスソフト、FFR yarai 2009(以下:yarai)がリリースされた。 yaraiは日本発の本格的なアンチウイルスソフトとして注目され、順調な滑り出しを迎えた。しかし、リ
連載:.NETの動作原理を基礎から理解する! 第2回 .NETアプリケーションが起動する仕組み(2/2) - @IT
Windowsローダーがアプリケーションを起動する処理プロセス それではWindowsローダーの処理を1つずつ順に追っていくことにしよう。 ●Windowsローダーによる「PEヘッダ」の解析 Windowsローダーは最初に、PEフォーマットで作成された実行可能ファイルのヘッダ部分、つまり「PEヘッダ」を調べて、どのような起動手順を踏めばよいかを理解する。従ってまずは、このPEヘッダの中身を調べてみよう。 私たち人間がPEフォーマットの内容を参照するためのツールとして、「dumpbin.exe」というコマンドライン・ツールがある。本稿ではこれを用いてPEヘッダの内容を解析する。なおdumpbin.exeは、マイクロソフトが提供する統合開発環境のVisual Studio .NETやVisual C++ .NETなどに付属するツールの1つなので、実際に読者諸氏がこのdumpbin.exeを使う
IT系でも活用しなければ損。論文を読んで広がる知見 - @IT
「Java News.jp(Javaに関する最新ニュース)」の安藤幸央氏が、CoolなプログラミングのためのノウハウやTIPS、筆者の経験などを「Rundown」(駆け足の要点説明)でお届けします(編集部) 論文は、難しくない 読者の皆さんの中には、「論文」と聞くと身構えてしまう方も多いのではないでしょうか? 論文というと、書くのも読むのも大変で何だか小難しいことが書いてあるもののように思えるものです。それどころか、「論文とは縁がない」「プログラムがすべてだ」と思う方もいるかもしれません。しかし、ある特定分野の技術や研究を詳しく知るためには、論文は手軽で確実な情報源です。 よく論文が持つ意味について「巨人の肩の上に立つ」と例えられることがあります。これは、万有引力の研究で知られるニュートンも好んで引用していた言葉だそうです。「現代の学問は多くの研究の蓄積の上に成り立っている」ことを示す言葉
もう1つの、DBのかたち、分散Key-Valueストアとは
もう1つの、DBのかたち、分散Key-Valueストアとは:分散Key-Valueストアの本命「Bigtable」(1)(1/3 ページ) RDBとは別の、クラウド時代のデータベースとして注目を浴びている「分散Key-Valueストア」。その本命ともいえる、Googleの数々のサービスの基盤技術「Bigtable」について徹底解説 クラウド時代のデータベース「分散Key-Valueストア」 グーグルがインターネットの世界をここまで席けんできた最大の理由は何でしょうか。実は、それは同社の優れた検索技術ではありません。グーグルが成し遂げた最も大きなブレークスルーの1つは、同社が生み出した巨大な分散データストア、「Bigtable」にあります。 Bigtableは、Google検索をはじめ、YouTubeやGoogle Map、Google Earth、Google Analytics、Goog
PCメンテナンス&リペア・ガイド:第3回 メモリ増設前の基礎知識(3) - @IT
メモリを購入する際に気を付けるのは、SDRAMやRDRAMなど、主にメモリの種類の違いだ。しかし、そのほかにもメモリを選ぶ際に出くわす用語がいくつかあるので、ここで紹介しておこう。 CAS Latency(Column Address Strobe Latency) 「キャス・レイテンシ」と読む。メモリのスペックでは「CL2」や「CL3」などと表記される。SDRAMやDDR SDRAMなどのメモリ内部には、半導体記憶素子が格子状に並んでおり、データの読み書きを行う際には、対象となる記憶素子の位置を、行(Row)と列(Column)という2種類の位置情報(アドレス)で指定する必要がある。列を指定する信号をCAS(Column Address Strobe)信号というが、この信号が発行されてから、実際にデータの読み書きが行われるまでにかかる待ち時間(Latency)のことをCAS Latenc
使って分かったAndroidとiPhoneの違い - @IT
5月末から6月にかけて、米国出張で2週間ほどAndroid端末を使う機会があった。使ってみると、同世代のスマートフォンとして競争相手であるiPhoneとの違いにいくつか気付いた。ここでは、私が気付いた両者の違いをざっくり主観を交えてまとめてみたい。 Android端末とiPhoneは、ケータイ、あるいはスマートフォンという文脈で考えれば、違いより、むしろ似ているところのほうが多い。両者とも、主にPC向けとして進化したモダンなOSとWebブラウザを搭載していて、タッチパネルを生かしたUIも同様だ。アプリケーションプラットフォームが開放されており、個人でもアプリ開発が可能という点も同じだ。Windows MobileやSymbian OSでも個人開発者によるアプリ開発は不可能ではなかったが、SDKの入手のしやすさや取っつきやすさ、ポータル的なマーケットの有無など違いは大きかった。iPhone向
ソニーが音楽CDに組み込んだ“Rootkit”とは何者か? ― @IT
先週、私はRootkitRevealer(RKR)の最新版をテストしていた。システムの1つをスキャンしてみて驚いた。Rootkitが入り込んでいる形跡があったからだ。Rootkit(ルートキット)とは、ファイル、レジストリ・キー、そのほかのシステム・オブジェクトを、診断ソフトやセキュリティ・ソフトウェアから隠ぺいする技術のことだ。これは通常、マルウェア(不正なソフトウェア)が自らの存在を隠そうとして使用する技術である(Rootkitについては、Windows IT Pro Magazine 6月号掲載の記事“Unearthing Root Kits”に詳しく書いた(訳注:該当記事は契約購読者のみ閲覧可能。Rootkitに関する日本語の記事としては関連記事も参照)。RKRの結果ウィンドウによると、隠しディレクトリが1つ、隠しデバイス・ドライバがいくつか、そして隠しアプリケーションが存在してい
特集:Windows 9x or Windows 2000? 3.Windows 2000カーネルの概要(1) - @IT
これまでに述べてきたように、Windows 9xのアーキテクチャは、MS-DOSからWindows 1.x、2.x、3.x、Windows 9xという系譜の中で、過去のソフトウェア資産との互換性を最大限に維持しながら、機能拡張を繰り返してきた結果として出来上がったものである。このためWindows 9xの内部には、今もなお16bit時代のDOSが息を潜めているし、Windows 95で新しく導入されたファイル システム関連のモジュール(IFS)は比較的整理されているとはいえ、コア モジュールの1つである仮想マシン マネージャ(VMM)内部のコンポーネント化や、それらの階層化などの整理はあまり進んでいないのが実情である。 これに対しWindows 2000の前身となったWindows NTは、16bit Windowsに代わる次世代32bit OSとして一から設計された。1980年代後半、マ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
