■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■
■ ┏━┳━┳━┓ ■
■ ┃@┃I┃T┃[@IT通信 No.401]2009/04/16 ■
■ ┗━┻━┻━┛ ■
■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■
■ C o n t e n t s ━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■
■
■今週のテーマ
押さえておくべきXSS対策の基本
■アイティメディアからのお知らせ
環境経営と環境ビジネスの情報サイト、スタート
■今週のキーワード(from @IT用語事典)
クロスサイトリクエストフォージェリ(CSRF)
■[コラム]営業担当のつぶやき
美味しいインターネットを飲もう
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━■
@IT会議室がリニューアルしました。新しい機能や使い勝手など、みなさまのお声を
拝借しながら、よりよい@IT会議室を提供していこうと思います。これまでの@IT会
議室に寄せられた書き込みはアーカイブ化して、今後も提供し続けてまいります。
新しい@IT会議室は、http://ap.atmarkit.co.jp/bbs/core/からどうぞ!
■今週のテーマ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■
■ 「今週のテーマ」は、@ITで過去に掲載された記事の中から、担当編集者が
■ お勧めの記事をテーマ別に再掲載するものです
【テーマ】押さえておくべきXSS対策の基本
●クロスサイトスクリプティング脆弱性とは?
クロスサイトスクリプティング対策の基本(前編)
最近Webアプリケーションに存在するセキュリティホールが注目を浴びている。その
中でも「クロスサイトスクリプティング」と呼ばれる脆弱性が有名であるが、クロス
サイトスクリプティング脆弱性について正確に理解している人が依然として少ないと
感じる。
本稿では、クロスサイトスクリプティングとはどのような脆弱性であるのか、この脆
弱性を持ったサイトが攻撃されるとどのような被害が起き得るのか、なぜそのような
セキュリティホールが作り込まれてしまうのか、どのように対策をすればよいのかを
解説していく。
先日、OpenSSL、Apache、Squidのような有名なアプリケーションでセキュリティホー
ルが見つかった。これらのアプリケーションを作成したプログラマたちはセキュリ
ティについて気を使いながらプログラミングを行っていたことであろう。しかし、
ちょっとしたミスや見落としによりセキュリティホールを作り込んでしまった。これ
に対して個別のWebサイト用に開発されたWebアプリケーションはどうだろうか。おそ
らく、セキュリティについての知識がないプログラマが開発している、あるいは知識
もあり意識して開発しようとしているが納期や予算の関係でセキュリティ対策を後回
しにして開発している場合がほとんどではないだろうか。そのような状態で、まとも
にセキュリティ対策の施されたアプリケーションが出来上がってくることはまれだろ
う……(2002/11/9)
▼続きは「本文」へ
http://www.atmarkit.co.jp/fsecurity/special/30xss/xss01.html
さらに「クロスサイトスクリプティング」関連記事は……
●Webアプリ、入力チェックで万事OK?
星野君のWebアプリほのぼの改造計画(3) 問い合わせフォームを作成した技術部は
クロスサイトスクリプティング対策は万全だという。しかし検査ツールを使ってみる
と……(2005/12/22)
http://www.atmarkit.co.jp/fsecurity/rensai/hoshino03/hoshino01.html
●適切なエスケープ処理でクロスサイトスクリプティングに備える
Strutsで作るセキュアWebアプリケーション(1) Strutsで作るセキュアWebアプリ
ケーション(1) JavaでWebアプリを作成するときに、セキュリティで注意すべき点
は? 代表的なカスタムタグを分析する(2006/3/23)
http://www.atmarkit.co.jp/fsecurity/rensai/struts01/struts01.html
●世間の認識とのギャップ――XSSは本当に危ないか?
川口洋のセキュリティ・プライベート・アイズ(13) 脆弱性が1つでも残ってるだ
なんて論外という方も多いでしょう。ところでその脆弱性、いったい誰が攻撃するん
でしょうか(2009/3/17)
http://www.atmarkit.co.jp/fsecurity/column/kawaguchi/013.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━■
■アイティメディアからのお知らせ━━━━━━━━━━━━━━━━━━━━━━
■
■ 環境経営と環境ビジネスの情報サイト、スタート
@IT通信をお読みの皆さんはじめまして。3月23日にオープンした「環境メディア」
で記事コンテンツを担当している佐々木です。
「環境メディア」は企業の環境経営・環境ビジネス情報に特化した専門情報サイトで
す。いまや日々の暮らしやビジネスにおいて「地球温暖化」「環境問題」といった
キーワードを目にしない日はありません。企業を取り巻く状況も、各種の環境関連の
規制が強化されたり、企業活動に伴う環境への影響に対する社会の注目度が高まるな
ど、環境に対する責任が厳しく問われるようになりました。
しかし、企業にとって環境対策は“やらなくてはいけないこと”“コストを増大させ
るもの”ではありません。むしろ企業競争力を強化し、新たな収益源になるなどビジ
ネスチャンスでもあるのです。
「環境メディア」はこうしたビジネスチャンスを生かしたい企業のマネジメント層や
環境関連製品にかかわるエンジニア層に向けて、環境ビジネスに関連する国内外の最
新ニュースや製品情報、専門家によるレポート、環境関連企業情報、イベント情報な
ど、問題解決のための多数のコンテンツを集約、整理して提供いたします。
ユーザー会員登録(無料です!)をしていただくことで、会員限定で配信されている
ニュースを読めるほか、メールマガジンなど各種のコンテンツサービスを提供いたし
ます。
「環境メディア」は環境問題に取り組むビジネスパーソンのお役に立つサイトとし
て、コンテンツやサービスを一層強化してまいります。環境対策をビジネスチャンス
にとお考えの皆さんのご登録をお待ちしております。
▼環境メディア
http://kankyomedia.jp/
▼会員登録はこちらから
https://members.kankyomedia.jp/signup/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━■
■今週のキーワード(from @IT用語事典) ━━━━━━━━━━━━━━━━━━
■
■ クロスサイトリクエストフォージェリ(CSRF)
想定していない外部のサイトからのHTTPリクエストにより、本来拒否すべき処理が実
行させる攻撃。例えばログイン認証が必要な掲示板や日記サービスに対して、別の
Webサイトに用意されたリンクをクリックすることで、掲示板への投稿や退会処理な
ど、正規のアカウントでログインを行わなければできないような処理が実行されてし
まう。
サーバが必要とする情報が攻撃者によって予測できるもののみで構成されている場
合、この方法での攻撃が成立してしまう……
▼続きは「@IT セキュリティ用語事典」へ
http://www.atmarkit.co.jp/aig/02security/csrf.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━■
■[コラム]営業担当のつぶやき━━━━━━━━━━━━━━━━━━━━━━━
■
■ 美味しいインターネットを飲もう
お酒を飲む量が減った。きっかけは1つではない。晩酌をすると翌朝に響くように
なったこと、2〜3日飲むのを我慢したあとのお酒はとてもおいしいこと、いまのうち
にあまり飲み過ぎて、もっと年を取ってから飲めなくなるのを避けたいこと(いつか
わが子と飲みたい)……。
とはいえ節酒、断酒をすることはあっても、ほどほどを心掛けながらおいしいお酒を
飲み続けたいと思っている。飲んだことのない地ビールや新しいビールの発掘・試
飲、仲間たちとの宴会。移り気でさみしがりな自分には、まだまだ楽しみが残ってい
る。
同じように最近、インターネットに接続する時間も少し減ったように思う。理由は飲
酒が減った理由と同じなのかもしれない。
深夜までネットサーフィンをすると朝起きるのがつらいこと、しばらくぶりにネット
に触れると、情報の目新しさや質がかえって際立つ(ように感じる)こと、そして、
まだ読み始めたばかりだが、「人間が一生のうちに見られるものは限られている」と
主張する本に出会ったこと。これは当然の概念のようで目からウロコだった。
ネットの世界をずーっと歩いていると、役に立ちそうな情報がたくさんある。翌朝に
は忘れてしまっているような、自分にとって本当は必要でない情報を思わずじっくり
読んでしまうことも多い。その一方で、インターネットから学んだこと、救われた経
験もとてつもなく多く、忘れられない言葉や人物にもたくさん出合った。
確かに一生は限られているので、無駄なものよりは、必要なものを見る時間の割合を
増やした方がいいに決まっている。そのためにはどうするかというと、お酒と同様、
インターネットともほどほどに付き合うに限る。なんでもかんでも飲んで悪酔いする
のを防ぐのだ。
でも単純にインターネットに触れる時間を減らすだけだとさみしい。例えばビールを
断つには、代わりに炭酸水を飲む(酒より高くつく場合もあるが、酔っぱらわないの
はメリットだ)。同じくインターネットを断つには、その代わりになるもの、新聞や
本を読んでみることにする(あまり興味のわかない話も多いが、徐々にどんな話題も
楽しめるようになってくるから不思議だ)。
かつてある先輩がつぶやいていたひとことが強烈だった。「惰性で酒を飲んじまった
らいけねーよな」。
インターネットにも同じことがいえてしまう気がする。それだけ魅力的で、中毒性が
あり、ほどほどの距離で付き合いたいんだと思う。いまそれを仕事にしてはいます
が。
(企画推進部:平野鉄平)
▼このコラムについてのご意見・ご感想は「@ITクラブ Cafe」へ
http://ap.atmarkit.co.jp/bbs/core/club_cafe
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━■
(@IT通信/編集担当:岡田大助)
==PR------------------------------------------------------------------------
┃ 進化し続けるPCワークステーションの「現在」がわかる ┃
┃ 最先端の技術を結集したワークステーションの威力を体感せよ! ┃
┗━━━━プロフェッショナルのためのPCワークステーション最新事情━━━━┛
◆セミナー開催 2009年4月22日(水) 14:00〜16:20(受付開始 13:30〜)◆
◆帝国ホテル東京 雅の間 先着50名限定◆
……………………………………………………………………………………………
かつてワークステーションは、UNIXベースのマシンが中心で、UNIXOS等の
特別な知識が必要とされる高価なものでした。しかしながら、近年のアー
キテクチャの進化により、現在はPCワークステーションが主流となってい
ます。
PCワークステーションは、CAD、製品設計、アニメーション、デジタルイメ
ージング等のハードな負荷を想定しており、そのテクノロジーも進化を続け
ています。そこで、本セミナーでは「Dell Precision ワークステーション」
の新製品や最新のIntelアーキテクチャー「Nehalem」、NVIDIAの最新プロフ
ェッショナルユーザー向けグラフィックスカード「Quadro FXシリーズ」の
優れたパフォーマンスをデモを交えて解説します。
……………………………………………………………………………………………
◆ お申込はお早めに http://www.atmarkit.co.jp/misc/ct.php?id=EV942306 ◆
--------------------------------------------------------------------------==
==「@ITメールマガジン」について--------------------------------------------
@ITでは、複数のメールマガジンを発行しています。すべて無料です。ご希望のメー
ルマガジンをお選びください。
▼メールマガジンについて
http://www.atmarkit.co.jp/applymember/club/mail_news.html
▼メールマガジン選択変更・確認・停止、配信先メールアドレスの変更は@ITクラブ
の「メールマガジン配信変更・停止」ページにログインして行ってください。
http://www.atmarkit.co.jp/applymember/profile/optin.php
本メールに記載された内容の著作権は、記事執筆者およびアイティメディア株式会社
が有します。本メールの配布・転載等は自由に行っていただいてかまいませんが、そ
の際に内容の改編等の行為は禁止します。本メールに記載された内容で不明点・疑問
点がありましたら、下記のメールアドレスまでご連絡ください。
info@atmarkit.co.jp (記事やこのメールの内容について)
membership@atmarkit.co.jp (メール配信やメンバー登録について)
aditmedia@ml.itmedia.co.jp (広告について)
発行:アイティメディア株式会社
----------------------------------------------------------------------------
Copyright(C) 2009 アイティメディア株式会社
--------------------------------------------------------------------------==
|