情報処理推進機構:情報セキュリティ:脆弱性対策:安全なウェブサイトの作り方
「安全なウェブサイトの作り方」は、IPAが届出(*1)を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料です。 「安全なウェブサイトの作り方」改訂第7版の内容 第1章では、「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション 、OSコマンド・インジェクション やクロスサイト・スクリプティング 等11種類の脆弱性を取り上げ、それぞれの脆弱性で発生しうる脅威や特に注意が必要なウェブサイトの特徴等を解説し、脆弱性の原因そのものをなくす根本的な解決策、攻撃による影響の低減を期待できる対策を示しています。 第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバの運用に関する対策やウェブサイトにおけるパスワードの取扱いに関す
グーグル、BigQueryを正式公開。SQLで大規模データに対して高速処理
BigQueryはカラム型データストアの一種で、テラバイトクラスの大規模データに対して大量の並列処理を行うことで高速に結果を得ることが可能。グーグル 佐藤一憲氏の発言によると、 OLAP/DWH/Data Miningで行われるようなread onlyのad hocクエリをきわめて高速(数秒〜数十秒)に実行します。 とのこと。 SQLによる問い合わせが可能 この高速性に加え、BigQueryではSQLを問い合わせ言語に使えるという点にも大きな特徴があります。数秒程度のレスポンスとSQL文による記述は、大規模データに対するアドホックな処理を行うのに適したサービスだといえるでしょう。 BigQueryのSQLの構文は「Query Reference」で解説されていますが、SELECT文にFROM、WHERE、JOIN、HAVING、GROUP BY、ORDER BY、LIMITなどが使えるため
Google 辞めました - アスペ日記
Google辞めました。 最終出社日は 5月11日。 5月31日まで有給消化。 その後は無職。 転職先が決まっていて有給消化している「なんちゃって無職」ではなく、ガチ無職。 とりあえずハロワでも行こうと思う。 まず初めに。 この記事は、Twitter で @takeda25 をフォローしてくれている人たちが想定読者だ。 また、これは相当長くなると思う。さらに、中ではたとえ話を使うので、読んでもさっぱりピンと来ないかもしれない。 だから、長い文章を読んで「読んで時間を無駄にした」と思うタイプの人は、ここで読むのをやめてほしい。 もう一つ。 この記事を書いた人間(真鍋宏史)は無名の一社員で、ろくに業績もない。 そういう人間が何かを言っても聞く価値はないと思うなら、やはり読むのをやめてほしい。 この記事では、自分のいた場所に対してネガティブなことも書くと思う。 そのため、なぜそういう行動を取るか
デフォルトが酷いとまじめに入力したくなる | コーヒーサーバは香炉である
codewallに登録してみたら、ちょっと面白い仕掛けがあった。プロフィールを何も入力していない状態だと、「スキル」の欄がこんな悲惨な内容になっている。 これは悲惨すぎる! ちゃんと編集しないといけない! もしもここに「まだ入力されていません」としか表示されていなかったら、あまり真面目にプロフィールを編集しようとは思わない人も多いだろう。後で気が向いたら書けばいいや、と。 しかし「ちゃんと記入しないと『IE6大好き☆ 特技はVBで〜す☆』ってことになるぞ」ってのは多くの人にとってはかなり嫌な脅迫となる。これはもう速攻で記入するしかないよ! 実際に何もしないと本当にIE大好きで特技はVBですと表示されるのかどうかは謎。おそらくはただの気の利いたジョーク……だと思う。 わかったのは、デフォルトが酷いものになっていると、「未入力です」と表示するよりもずっと強力に記入したい気分になるってこと。
NTT IPv6閉域網フォールバック問題:Geekなぺーじ
NTTのIPv6閉域網におけるフォールバック問題の解説です。 同問題に対する正式な名称があるわけではありませんが、ここでは「NTT IPv6閉域網フォールバック問題」と表現しています。 当初、NTT NGN IPv6マルチプレフィックス問題の解説から書き始めていたのですが、色々考えているうちにNTT NGN IPv6マルチプレフィックス問題とNTT IPv6閉域網フォールバック問題に関してゴチャゴチャな文章になってしまったので、切り分けるためにあえてIPv6閉域網フォールバック問題だけにフォーカスした文章にしました。 個人的な感想として、背景となる環境等を考えるとNTT NGNがIPv6を利用して実装されていることそのものに関して「設計が悪い」とは思ってません。 また、NTT IPv6閉域網に関連する各種問題はNTT NGNに限った話ではなく、NTT NGNではないBフレッツ等でも発生する
首相官邸ホームページのリニューアル構築費用に対して製作者側からの考察
首相官邸の公式ホームページが2012年4月2日、リニューアルされた。 これが「お金をかけすぎている」とインターネット上で批判の嵐となっている。増税や公務員削減などが実施されようとしている中、無駄使いではないかという声が多くあがっているのだ。 首相官邸HP、リニューアルに4500万円 ネットで怒りの声 「もっと安くできる」 – J-CASTニュース この記事ですが、ネット上での「高い」という声は一般消費者感覚としては理解出来ますが、Web業界で働く私の周囲のリアルな同業者からも、ネット上の一般の方と同じように「高い」「騙されてる」「金のムダ使い」というような意見が出まして、ちょっと違和感を覚えました。 また一方で、同業の方でも実際このクラスの規模の案件を受託しているような受託業者さん界隈からは「これくらいはかかる」「この金額以下だと受けられない」という声も聞かれました。 私は後者の声に同感で
はてなブログ | 無料ブログを作成しよう
うめぇヨーグルトソースでもいかがですか。個人差にもよりますが。もしよろしければ。 お久しぶりです。 最近うんめぇ〜と思ってるヨーグルトソースがあるので、書いていこうと思います。 ヨーグルトとハーブ類をもりもり使うので、そういうのが食べられない方にはうんめぇソースではないです。ごめんなさい…。もしよろしければお茶だけも…旦~ 【用意する…
処理開始後の例外処理では「サニタイズ」が有効な場合もある
このエントリでは、脆弱性対処における例外処理について、奥一穂氏(@kazuho)との会話から私が学んだことを共有いたします。セキュアプログラミングの心得として、異常が起これば直ちにプログラムを終了することが推奨される場合がありますが、必ずしもそうではないというのが結論です。 はじめに Webアプリケーションの脆弱性対策では、脆弱性が発生するのはデータを使うところであるので、データを使う際の適切なエスケープ処理などで対処するのがよいと言われます。しかし、処理内容によってはエスケープができない場合もあり、その場合の対処についてはまだ定説がないと考えます。 エスケープができない場合の例としては、以下があります。 SQLの数値リテラルを構成する際に、入力に数値以外の文字が入っていた メール送信しようとしたが、メールアドレスに改行文字が入っていた 入力されたURLにリダイレクトしようとしたところ、U
僕の知ってる「特許庁」の話 | おごちゃんの雑文
私の見聞きした話の断片を憶測でつないだことなんで、話半分で読んで欲しい。ただ、個々の事実として語っている部分は事実だ。 また、スキャンダル的な部分を除けば、いろんなプロジェクトに共通することなので、一つの「寓話」として読んでもらうといいかも知れない。 特許庁のプロジェクトがコケたって話はあちこちで語られ、いい話のネタになっているようなんだけど、私が知っている範囲では、そういった綺麗な失敗ではない。 くどいようだが、話の断片を憶測でつないだことだから、その辺は用心して読むように。実はfacebookにちょろっと書いたんだけど、もうちょっと整理して書いておく。 「特許庁」のプロジェクトは、実は始まった時くらいに誘われていた。そういった話を持って来た人がいたからだ。あれだけの大プロジェクトに「その人」がなんで関わっていたかは知らない。まぁ当時は「その人」はそれなりに信用していた部分もあったので、
特許庁の基幹システム失敗の背景にある、日本におけるITプロジェクトの実態
今週月曜日に公開した記事「特許庁の基幹システムはなぜ失敗したのか。元内閣官房GPMO補佐官、萩本順三氏の述懐」は、記事に対して数多くのブックマークやツイートが行われ、大きな反響をいただきました。 その萩本氏から「問題提起だけで終わるのではなく、こうあるべきだという提案もしたい」、という依頼をいただいたので、記事にいただいた反響への返答という意味も込めて、萩本氏の提案についても掲載したいと思います。 以下からは萩本氏の文章となります。 これまでのIT業界の慣習を捨て去り、あるべき姿へ 僕が日記(注:記事の元になったFacebookへの書き込み)を書いたのは、二度とこのような案件が出ないよう本質的な問題提起をしようと思ったからです。 それが僕の責任だと思いました。 本質的問題を提起したつもりですが、しかし本当に理解していただいたのかというのが心配でもあり、また理解していただいたとしても、今後何
日本語入力を支える技術という本を書きました - 射撃しつつ前転 改
(追記):「この本に書かれていないこと」という項を追加しました。 以前も告知しましたが、日本語入力を支える技術という本を書きました。技術評論社から2012年2月8日に発売されます。(私の知っている限りでは、ジュンク堂池袋店、有隣堂AKIBA店、丸善丸の内店、書泉ブックタワーでは既に先行販売しているよう…でしたが、ジュンク堂池袋店、有隣堂AKIBA店、書泉ブックタワーは先行販売分は売り切れの模様です。)どんな本なのか、目次などについては公式ページを参照していただくとして、以下ではどんな本なのか宣伝したいと思います。 この本のキーワードは「実装」と「初心者向け」です。初心者でも実装ができるようにサンプルコードを多用し、また数式が出てくる部分に関してはちょっとしつこいぐらいに説明を加えました。私自身の経験からすると、本を読んだで理解したと思っていても、大抵の場合、細かいところはわかっていないもの
Archive: Java[tm] Technology Products Download
The Oracle Java Archive offers self-service download access to some of our historical Java releases WARNING: These older versions of the JRE and JDK are provided to help developers debug issues in older systems. They are not updated with the latest security patches and are not recommended for use in production. For production use Oracle recommends downloading the latest JDK and JRE versions and al
![Archive: Java[tm] Technology Products Download](https://cdn-ak-scissors.b.st-hatena.com/image/square/3bce2e82ae86d829a9f8754a596310b0cdc57839/height=288;version=1;width=512/https%3A%2F%2Fwww.oracle.com%2Fa%2Focom%2Fimg%2Fsocial-og-java-logo-1200x628.jpg){kind=logo}
FAT (File Allocation Table) - Wikipedia
File Allocation Table (ファイル・アロケーション・テーブル、FAT、日: ファイル割当て表[1]) とは、MS-DOSのファイルシステム(および、その前身となったMicrosoft DISK-BASICのファイルシステム)におけるディスク内のファイルの位置情報などを記録するための領域である。これが転じて現在ではMS-DOSに採用されていたFATを用いるファイルシステムの名前としてFATファイルシステム、さらにそれを略してFATと呼ぶことも多い(なお後者でDISK-BASICのそれを指すことはまずない)。 概要[編集] オリジナルのFile Allocation Tableは1977年に、ビル・ゲイツとマーク・マクドナルド(英語版)によって開発され、DISK-BASICの中のファイル管理仕様として採用された。 DISK-BASIC以降、MS-DOSのファイルシステムでも
特許庁次期基幹システム開発中断〜真の問題は役所にITエンジニアが不足していること - 木走日記
特許庁が24日、東芝ソリューション(東京・港)に委託して進めてきた次期基幹システムの開発中断を決め、開発に投じた約55億円が無駄になってしまいました。 BLOGOSでも以下の記事で本件が取り上げられています。 特許庁の基幹システムはなぜ失敗したのか。元内閣官房GPMO補佐官、萩本順三氏の述懐 http://blogos.com/article/30617/?axis=p:0 システム業界の詐欺的行為 - 生島勘富 http://blogos.com/article/30587/ 私はIT企業を経営しつつ一人のエンジニアとして長らくソフト開発業に関わってきました。 その間、官公庁のシステム開発も何十かのプロジェクトに参加してきました。 特許庁の次期基幹システム開発プロジェクトには直接参加していませんが、知り合いの多くのエンジニアが参加しており、数年前から本プロジェクトが非常に危ない状態である
特許庁の基幹システムはなぜ失敗したのか。元内閣官房GPMO補佐官、萩本順三氏の述懐
特許庁が進めてきた基幹系システムの刷新プロジェクトが失敗に終わり、開発に投じた約55億円が無駄になってしまったことが、先週相次いで報じられました。 [スクープ]特許庁、難航していた基幹系刷新を中止へ - ニュース:ITpro 朝日新聞デジタル:費やした55億円、水の泡に 特許庁がシステム開発中断 - ビジネス・経済 このプロジェクトに「内閣官房GPMO(ガバメントプログラムマネジメントオフィス)補佐官」の肩書きで2009年まで民間から参加した萩本順三氏(現 匠BusinessPlace 代表取締役社長)がFacebook上で当時を述懐しつつ、失敗の要因を分析していました。今後、失敗プロジェクトを繰り返さないためにも、重要な発言として本人の許可をいただいてまとめました。 特許庁の情報部門に幾度も中止を迫った 萩本順三氏の発言の主要な部分を引用します。 内閣官房GPMO(ガバメントプログラムマ
【酷杉】特許庁、2006年開始の新情報システム開発を中断…55億円が水の泡、枝野氏「申し訳ない」 : 暇人\(^o^)/速報
【酷杉】特許庁、2006年開始の新情報システム開発を中断…55億円が水の泡、枝野氏「申し訳ない」 Tweet 1: ◆SCHearTCPU @胸のときめきφ ★:2012/01/24(火) 22:30:25.33 ID:???0 特許庁は24日、2006年から始めた新たな情報システムの開発を中断することを決めた。 これまでに55億円の予算を投じたが、別のシステムを考える。枝野幸男経済産業相は 「大変申し訳なく思う」と謝った。 新システムは特許の出願や登録に使い、中国の特許情報を調べられ、国際化への対応も ねらっていた。開発の遅れで、特許を申請する利用者は、機能の低い古いシステムを 使い続けることになる。特許庁は中国の情報検索などができる最低限のシステムに絞り、 別の方式で開発する。 新システムの開発期間は06年12月から14年1月。設計を東芝ソリューションと、 開発管理をアクセンチュアと契
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
これは大惨事…MSが提供したコマンドを実行→大学の全アカウント消失 | ガジェット速報
ggsoku.com
Engadget | Technology News & Reviews
"費やした55億円、水の泡に 特許庁がシステム開発中断"って一体何だったのか、報告書を読んでみた
