本当は楽しいIT業界――すてきなテクノロジ・ベンチャーの作り方 ― @IT
2008/03/07 朝9時に出社するエンジニア、就業時間の50%を好きなことに当てられるエンジニア。サイボウズグループの中には2タイプのエンジニアがいる。前者はサイボウズ本体、後者はサイボウズ・ラボ。いずれもエンジニアの創造性を保ち、モチベーションを維持するために最適と考えた方法だ。テクノロジ・ベンチャー企業がエンジニアの能力を生かすことができず、優秀なエンジニアが会社を去っていく――こんな事態を避けて「すてなテクノロジ・ベンチャー」を作るにはどうすればいいのだろうか。連載『本当は楽しいIT業界』の第2回記事をお送りする(第1回はこちら)。 サイボウズは近年の日本の技術系ベンチャー企業の中で数少ない成功企業だ。2007年にはIBMやマイクロソフトという長い歴史を持つ世界企業を押しのけて、グループウェアの中堅・中小企業市場でシェアトップを獲得した。設立10年目での快挙だった。サイボウズの強
無料でWebアプリにありがちな脆弱性を調べて治す
無料でWebアプリにありがちな脆弱性を調べて治す:Tomcatはどこまで“安全”にできるのか?(5)(1/3 ページ) 前回の「Tomcatのセキュリティとリスクの基本分かってる?」ではTomat自体が持つ脆弱(ぜいじゃく)性について調べていきましたが、今回はWebアプリケーションのセキュリティについて調べていきましょう。 Webセキュリティを調べる無料ツールとは? Webアプリケーションが持つ脆弱性はいくつか存在しますが、前回の説明にあった「インジェクション系」や「クロスサイトスクリプティング」(XSS)などが有名です。それ以外にも「パラメータ改竄(かいざん)」や「セッションハイジャック」といった脆弱性が一般的にはよく見つかります。 このような脆弱性は特定の手法で見つかることはよくありますが、すべての手法を人が覚えて実行するのは大変です。設定のミスまで自分で探すのはとても大変なことで、常
APIアクセス権を委譲するプロトコル、OAuthを知る ― @IT
クロスドメインでのデジタルアイデンティティを守る APIアクセス権を委譲するプロトコル、 OAuthを知る 作島 立樹 NRIパシフィック 2008/1/21 マッシュアップと呼ばれる仕組みで、既存のWebサービスが次々とつながり、新たなサービスが登場している。しかし、メールアドレスなど重要な個人情報が意図せずに「つながれてしまう」可能性もある。そこで登場したのがアクセス権の「委譲」を目的としたプロトコル、OAuthである。本記事ではOAuthの仕組みとともに、なぜそれが登場したのかという背景にも触れる(編集部) マッシュアップの犠牲になるユーザーのアイデンティティ GETなどのHTTPメソッドをもちいてURLへリクエストする、いわゆる「RESTful」【注1】なWeb APIを使ったアプリケーション同士の交流は、いままさに隆盛を極めている。「マッシュアップ」と呼ばれているこのサービス形態
まつもと×笹田、Ruby 1.9を語る ― @IT
2007/12/25 「そういえばあのretryの話、どう思う?」、「誰も使ってないから害悪が多いっていう話は説得力ありますよね」、「じゃあなくすか……、うん、なくしといて」、「あ、決まっちゃった(笑)」――。 まつもとゆきひろと、笹田耕一。いま、世界が注目するプログラミング言語「Ruby」の生みの親と、開発コアメンバーの2人は、こともなげにRubyの仕様を記者の目の前で変更してしまった。Rubyの開発はどのように行われ、どこへ向かおうとしているのか。現行のバージョン1.8系から大きく様変わりする次期開発版「Ruby 1.9」のリリースを12月25日に控えた2人に、師走の秋葉原で話を聞いた(文中、敬称略)。 Rubyの仕様は密室で決まる!? 冒頭に紹介した2人の会話は、「retry」というRubyの文法の2種類ある使い方のうち、これまでほとんど使われた形跡がない方を文法仕様から取り除くかど
空前の人材不足でもエンジニアが大事にされないのはなぜか - @IT
2007/11/27 シマンテックは11月27日、世界的に行ったIT環境についての調査結果「State of the Data Center Research」を発表した。企業情報システムの現場では世界的にIT人材が不足。その中でも日本は特に深刻だった。 調査は米Ziff Davis Enterpriseが実施。世界の情報システムの開発、運用に関わる800人以上が答えた。対象企業の平均従業員数は3万1250人。年間の平均IT予算は米国企業で78億円、米国以外の企業は59億円。Global 2000に入る大企業が中心。800人超の回答者のうち、日本の回答者は12.2%を占める。 情報システム管理の世界的な課題は人員の不足。回答者の52%が人員が不足していると答えた。さらに「適切な人材が見つからない」が86%を占めるなど、「エンジニアの頭数ではなく、(優秀な)人材が不足している」(シマンテック
OpenIDをとりまくセキュリティ上の脅威とその対策 - @IT
前回はConsumerサイトを実際に作る際のプログラミングに関してお話ししましたが、今回はOpenIDに関するセキュリティについて考えてみます。 今回取り上げるトピックとしては、 などを段階的に説明していきます。IdPの構築方法を知る前にOpenIDプロトコルのセキュリティに関して熟知しておきましょう。 OpenIDプロトコルにおける通信経路のセキュリティ ここまで詳細に解説してきませんでしたがOpenID認証プロトコルのフェイズにおいて、どのようにセキュリティ上の安全性を担保しているかを解説しましょう。 まずはassociateモードを正常に実行するSmartモードの場合です。 ConsumerはユーザーからのClaimed Identifierを受け取ると、associateのキャッシュが存在しない場合は新規にIdPに対してassociateモードのリクエストを行います。第3回で「as
御社のログ管理体制、見直してみませんか?- @IT
第3回 御社のログ管理体制、見直してみませんか? 松下 勉 テュフズードジャパン株式会社 マネジメントサービス部 ISMS主任審査員 CISA(公認情報システム監査人) 2007/8/17 ログの持つ意味は大きくなっている ISMS(情報セキュリティマネジメントシステム)およびプライバシーマークを構築するに当たり、情報システムにおけるログ管理を導入する企業が増えてきました。 昨今では、日本版SOX法の法的要求事項を順守するために、従業員が財務諸表に関係する業務においてITを利用した場合に、業務を実施した証拠や改ざんなどの不正な操作が行われなかった証拠として、システムのログ管理も法が求める対策の1つとなっています。 ログ管理において、管理職などの権限のあるユーザーが承認した履歴があることで、従業員の操作が正しく行われたということが実証できます。しかし、上位の管理者の業務の実施状況については、
あなたのサイトをOpenID対応にしている2行の意味 ― @IT
OpenIDが知られるようになり、自分のURLにおいたHTMLヘッダに、link rel="openid.server"……から始まる2行を追加することで、自分のURLをIDとして利用ができる、ということを知っている方も多いかと思います。今回はヘッダに書かれた2行が、OpenIDの仕様ではどのように定義され、利用されているのかを解説します(編集部) 第1回ではOpenIDの基礎知識を取り上げ、登場する用語について説明していきました。今回は動作の概要として、具体的にClaimed IdentifierがVerified Identifierとなるための手続きについて説明します。前回紹介した用語をもう一度復習しながら読んでみてください。 Claimed Identifierの宣言 まずはOpenIDの動作概要について説明します。End UserがどのようにしてConsumerに対して自分のCl
OpenIDが熱狂的に受け入れられる理由 ― @IT
2007/04/23 3月15日、米国の全国紙USA Todayの「Tech」セクションの紙面をOpenIDに関する記事が飾った。その記事では、さまざまなインターネットサービスが利用されるようになる中、増加の一方をたどる「IDとパスワード」を記憶する義務からユーザーを解放する新しい技術としてOpenIDが紹介されている。 OpenIDは、URLをIDとして利用する認証プロトコルである。ユーザーはOpenID認証サーバが提供するIDをコンシューマ(OpenIDによる認証に対応したサービスプロバイダのこと)でのログインに利用することができる。コンシューマはOpenIDをもとに認証サーバを発見し、自身で認証する代わりにサーバへ認証を依頼する。ユーザー認証はすべて認証サーバ上で行われるので、ユーザーはOpenIDを1つだけ覚えておけば複数のサービス(コンシューマ)へログインできるようになる。つまり
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
