Posts filed under ‘General’
セキュアプログラミング
さて、今日は少しセキュリティについて触れてみたいと思います。
Web アプリケーションの開発者は色々とセキュリティについて考慮して
プログラムを行わなければなりません。
古くは、CGI 等でフォームを使用する場合、 「<」 を「<」に
置き換える文字列置換等を行ってきました。
こういった事を怠った場合、運用するシステムに致命的な欠陥を
もたらし、場合によっては情報漏洩等も発生し影響は非常に
大きな物となってしまいます。
古くからWeb アプリケーションの開発を行ってきた人は、
こういった情報を収集する必要性を感じ個々で知識を蓄えて
来たものと思います。
しかし、開発初心者の方はこういった点を見落とす、
もしくは重要性を認知していない、もしくは重要性は
認知していてもどのように対応すればよいのかがわからない
といった事があるかと思います。
また、運用管理者の方もWeb アプリケーションの
セキュリティは興味はあるが、具体的にどのような点が
問題となるのかがわからない、どのようにして問題を
発見すればいいのかがわからないといった事もあるかと
思います。
そこで、そのような開発初心者、運用管理者にとって
有用な情報を紹介したいと思います。
Web アプリケーションのセキュリティについて
IPAで資料をまとめられてましたので是非御一読いただければと思います。
独立行政法人 情報処理推進機構 セキュリティセンター
情報セキュリティ技術ラボラトリー
[IPA セキュア・プログラミング講座
]
PS.
これ以外にも有用な情報はたくさんあるのですが、個人のページであったりするため、
直接のリンクはさし控えたいと思います。google等で「セキュリティチェックリスト」をキーワードに
検索してみてください。
新年度 (FY08) 開始にあたって
さて、今日より新年度 (FY08) が開始になります。
日本企業と異なり会計年度の始まりが7月1日になるため、
日本企業で働く方にはこの時期に新年度といわれると
若干違和感があるかと思いますがUSが本社の会社なので
外資系の会社にいるとそんな事にもなれてきます。
ただ、新年度開始といっても初詣にいったり、祈願を
したりするわけでもないので新年を迎えたぁ!!
という実感もまだまだ少なく、今はまだ去年
(先週からの引き続き)の仕事をしています。
さて、昨年は、Javaエバンジェリストグループの一員になった他、
それ以外でも色々とたくさんの面白い事をやってきました。
今年もいろいろと挑戦して行きたいと思います。
2007年7月2日 FY08の初出社@用賀オフィス
JavaOne初日の報告
JavaOne初日がようやく終わりました。
今日は本当に刺激的な1日でした。
朝会場に到着すると既に多くの人が集まっていました。
ジェネラルセッションについては既にマスコミの方が
記事にされてらっしゃいますので、私が語ることも
あまりないのですが。
http://journal.mycom.co.jp/news/2007/05/09/002/index.html
http://itpro.nikkeibp.co.jp/article/NEWS/20070509/270281/
http://www.itmedia.co.jp/enterprise/articles/0705/09/news017.html
http://www.itmedia.co.jp/enterprise/articles/0705/09/news009.html
http://itpro.nikkeibp.co.jp/article/NEWS/20070508/270178/
http://www.itmedia.co.jp/enterprise/articles/0705/08/news038.html
http://japan.cnet.com/news/ent/story/0,2000056022,20348401,00.htm
http://www.atmarkit.co.jp/news/200705/08/tim.html
http://www.itmedia.co.jp/enterprise/articles/0705/08/news070.html
http://japan.zdnet.com/oss/story/0,3800075264,20348370,00.htm
http://www.atmarkit.co.jp/news/200705/08/tim2.html
http://journal.mycom.co.jp/articles/2007/05/08/timbray/index.html
(順不同)
ポイントとしては下記の4つではないでしょうか。
●Sun Java System Communications Application Serverの発表
●JavaFXの発表
●JavaFX Mobileの発表
●OpenJDKの発表
この中で、記者の方達も注目するJavaFXのデモはとてもインパクトの
あるものでした。数行のスクリプトを記述するだけでリッチクライアントを
容易に作成できるようになっており、Flashに取って変わる技術になることが
期待されます。
さて、ジェネラルセッションの最後には毎年恒例のジェームスゴスリンによる
Tシャツ投げのイベントがありました。
私は前から10列目位の比較的前方に座っていたのですが、ジェームス
ゴスリンがこっちに向ってTシャツを投げました。
私は、社員だし他の人も手を挙げているから誰かがキャッチするだろうと、
思っていた所、そのTシャツはかなりのスピードで私の方にやってくるでは
ありませんか、それでものんきに構えていたら、結局誰も取らずに、私の
顔面に直撃!!私の顔に当ったTシャツは私の足元にコロリ、周りの人は
大丈夫?!と声を掛けてくれます。ははっ(^_^;)と苦笑いをしながら、
Tシャツを手にしました。そんなこんなで痛い目をして受け取った今年の
Tシャツは下記の物です。ちなみにサイズはアメリカンサイズのXLです。
私にはぶかぶかで到底着ることはできません。
記念に家に眠らせておくことにします。
さて、ジェネラルセッションが終わった後は、テクニカルセッションの始まりです。
今日は、午前中1つ、午後5つのセッションを聞いてきました。
最後のセッションはPM10:00~PM10:50までですので、かなりハードな1日でした。
また、テクニカルセッションの合間には、JavaOne Pavilionにも少し
顔を出してきました。Sunのブースでは、Project Black Boxのトレーラが
展示されていて実際にBlack Boxの中に入ったり中身を見ることも
できるようになっていました。また、Web Serverの展示場に言った所、
プロダクトマネージャーのJoeMcCabeさん(写真右)をはじめ
エンジニアリングチームのArvindさん(写真左)や、その上司達に
会うこともできました。
私はJoeさんにしか面識はなかったのですが、何故か、あちらで私の
名前が売れているらしく
Joeさんが「彼が日本の寺田 佳央だ」と言うと本当に喜んで会って
色々な会話をしてくれました。
Joeにはアジア圏でWeb Serverを紹介する際には、エバンジェリスト
として一緒に来ないか?!なんて誘いも受けましたが、
上司に相談しなければできないと言っておきました。
(その前に私の英会話能力もないけど。。。。)
お互いに可能であれば昼食を一緒に取らないか?と御誘いを受けたので、
可能な限り一緒に食事をしてきて交流を深めたり、日本のニーズを
伝えたりして来たいと思います。
Pavilion見学が終わった後、日本のJavaOneで私がハンズオンラボを行った際に
色々と手伝ってくださった、Doris Chenさんのセッションが会ったので、
久々という事もあり挨拶がてらにセッション(Top 10 Reason to Use NetBeans
SOA(Enterprise) Pack)を受けてきました。
SOA関連のBPELのデザイナの他、非常に簡単にSOAアプリケーションの作成が
可能になるツールですので、是非皆様も試しに使ってみてください。
次にGlassFish V3に関するセッションを受けてきました。
GlassFish V3ではHTTPを扱う部分ではGrizzlyを使用し、また
モジュール化が進める事により非常にコンパクトなアプリケーション
サーバになっています。極端な言い方をすれば携帯電話上でGlassFishを
動かすことができるようなくらい非常にコンパクトなつくりになっています。
このモジュール化については、オープンソースをする事により、より多くの
開発者が容易にモジュールの開発ができるように、また既存の
フレームワークとの統合等が容易にできるように、モジュール化を
できるようにしたという事でした。
これにより、例えばEJBが必要の無いサイトではEJBを組み込まないように等と
いった必要に応じてロードするモジュールを決める事ができるようになります。
このセッションが終わった後、このセッションにヘルプで着ていた、
Sun Microsystems Incの「川口 耕介」さん(JAXの第一人者)と
話をすることができました。
川口さんには開発の現場サイドからの生の声として色々と情報を頂きたいと
伝え、快く引き受けて頂きました。(かなりラッキーな出会いでした。)
長い1日でしたが、こちらに来て開発者達と直接交流が持てるため、
本当に来て良かったと思いました。
また、明日も頑張りたいと思います。
今は、AM1:00を回りました。疲れていて乱文乱筆になって申しわけありませんが、
どうぞ御許しください。
明日も朝早いので今日はこの位で寝たいと思います。
Before JavaOne(CommunityOne) in SanFrancisco
今日は、JavaOneカンファレンス2007の前日に開催されている
CommunityOneというイベントに行ってきました。
今日のサンフランシスコ
実は、日本から持ってきたデジカメが昨日突然壊れてしまい、(T_T)
急遽、今日の朝サンフランシスコで新しいカメラを調達するという
不運にも恵まれましたが、何とかCommunityOneのGeneral Sessionに
間に合うことができました。
午前中は、Generalセッションが開催され、Tim O’Reilly
によるスピーチが行われました。
セッションの後は、GlassFish Day関連のセッションに参加しました。
まず、一つ目のGlassFish v2の紹介のセミナーでは
Glass Fish v2に関する紹介が行われました。
このセッションは、Overviewと題するように概要が説明されました。
この中で特に1点だけ注目したのは、Glass Fish v2から
セッションリプリケーションの機能が入る事になった点です。
Applicationサーバのセッションリプリケーションは、
JXTAの技術(+ Project Shoal)を使用したオンメモリの
セッションリプリケーションのようです。
# Web サーバの実装とは異なるようです。
また、セッションリプリケーションのパフォーマンスに関しても、
Application Server 8.2までセッションリプリケーションとして使用していた
(GlassFishでも使えます)HADBよりも17%~25%も向上しているようです。
次に、「GF in Real Life」では、3つのGlassFishの導入事例が紹介
されました。
●Wotif.com
●MIT
●ビデオ配信会社
ここで、注目すべきは学術系以外に商用でも既に利用されているということです。
オープンソースを使用しているメリットとして、導入前に発見された約10個の
バグが、早急に解決され現在では殆どのバグが修正されたバージョンを使用
されているという事でした。
余談
明日からJavaOneが開催されますが、私は他の方と違い仕事柄ミドルウェア系を
中心に聞く予定ですので、他の方とは違ったJavaOneになるかと思います。
あまり、最初から色々書くと後から書けなくなると困るので
今日は、この辺にさせてください。
余談2:
休憩時間にはWIRESS LANで自由にネット接続が可能なため、
多くの方がそこら辺でネットに繋いで作業をしていました。
私も自分のPCで接続して調べ物をしたりしてましたがやはり便利ですね!!
サンフランシスコ到着
先ほど、サンフランシスコに到着しました。
飛行機の中ではあまり寝れなくて、半分寝ぼけた状態ですが、
今日一日散歩などをしてこちらの時間に合わせたいと思います。
ちなみに、今日の天気は快晴で長袖では暑すぎるくらいです。
JavaOne Conference 2007
今日はゴールデンウィークの中日ですが出社しています。
社内もいつもより人も少なく、若干静かな感じです。
このような日に私は会社で何をしているかというと、
出張前の残務整理を少ししています。
実は、今週の日曜日よりアメリカのサンフランシスコに1週間程出張します。
サンフランシスコでは、JavaOneカンファレンス 2007が開催されるのですが、
今回、チャンスを頂いてこのカンファレンスに行くことができるようになりました。
日本のJavaOneには過去何度か訪れたり、またSunの社員としてハンズオンラボ等も
行いましたが、本場のスケールの大きさは日本とは比べ物にならないと聞いています。
ですので、今から非常に楽しみにしています。
また、JavaOneの開催前日にはNetBeans DayやGlassfish Day等も開催され、
Glassfish等のアップデート情報なども仕入れてきたいと思います。
また、Web Serverのコアな開発技術者であるJyri VirkkiさんもBOFでECC(楕円曲線暗号化)について
発表する予定と聞いていますので、会う約束をしていたりします。
また、あちらで面白い情報などがあればアップデートしたいと思っております。
それでは、皆様
Have a good Golden Week!!
QA2: index.htmlファイルが存在しないディレクトリにアクセスした際認証画面が表示される
【質問】
ディレクトリ配下に/index.html /index.htm /index.jsp等が無い場合に、
ディレクトリを直接指定してSun Java System Web Server 7.0にアクセスすると
下記のようなBasic認証のポップアップウィンドウが表示されます。
これを、Apache の「Options Indexes」の無効化と同じように認証画面を
表示させずに、アクセス禁止の画面を表示させるためにはどのようにしたらよいでしょうか?
【回答】
Sun Java System Web Server 7.0では仮想サーバを作成した際にデフォルトで
アクセス権限を設定しています。
/sun/webserver7にWeb Serverをインストールし仮想サーバ名をjse8-078とした場合、
アクセス権限の設定ファイルは下記に記載されています。
/sun/webserver7/https-jse8-078/config/default.acl
デフォルトの設定では、「認証データベース」に存在する全てのユーザ(all)に
対して、write,delete,listの許可を与えています。
そこで、全てのユーザ(anyone)に対して不許可の
設定を行うことで、Basic認証画面は表示されなくなり、またディレクトリ表示も
無効にできます。
変更前:
# File automatically written # # You may edit this file by hand # version 3.0; acl “default”; authenticate (user,group) { method = “basic”; prompt = “Sun Java System Web Server”; }; allow (read,execute,info) user = “anyone”; allow (write,delete,list) user = “all”; |
変更後:
# File automatically written # # You may edit this file by hand # version 3.0; acl “default”; authenticate (user,group) { prompt = “Sun Java System Web Server”; }; deny (delete,list,info) user = “anyone”; allow absolute (read,write,execute) user = “anyone”; |
変更後の動作確認:
直接URLを指定して接続を行います。
如何でしょう、ディレクトリの表示もされなくなり、認証用の画面も
表示されなくなりました。
Apache Derby DatabaseをJava Enterprise Systemへ
先日、弊社よりopen sourceのApache Derby Databaseを
Java Enterprise SystemやNetBeans5.0(次期Java統合開発環境)の
プラグインとして組み込まれることが正式に発表されました。
NetBeans5.0(Beta)ではメニューよりアップデートセンターへ問い合わせして
いただければ使用可能になります。(下記はNetBeans5.0 Beta2の画面の抜粋)
今まで、弊社のApplicationサーバやNetBeansではPointBaseという簡易DBが
付属で組み込まれていましたが、これに変わり今後Derbyも使用可能です。
そこで今後、開発案件の規模・システム要件に併せてOracle、PostgreSQLに加え
Apache Derbyも選択肢に入れていただき御使用いただければと思います。
Apache Derby Databaseの詳細http://db.apache.org/derby/
データセンターで
さて、今日は技術系の話から少し脱線して季節ねたをかきます。
今、仕事の関係でデータセンターに通っているのですが、
データセンターってとても乾いているし空気も循環しているだけ、
おまけに誇りっぽいと、とても風邪菌が繁殖しやすい環境です。
実際、JavaOneが開催する直前もこのデータセンターに通っていて、
大風邪を引いてしまいました。
病院の先生に無理を言って、点滴を打ってもらったのですが、
開催日の前々日まで熱を出しておりました。
やっと風邪が治りって安心していて
今日また行くと少し喉が痛くなりました。
データセンター等に出かける皆様くれぐれも御気をつけてくださいね。
あと、これから、インフルエンザや風邪のはやるシーズンになりますが、
くれぐれも体調には気をつけましょう。
James GoslingのT-Shirtsなげコンテストも開始
James GoslingのBlogによると、
来年、サンフランシスコで開催されるJavaOne2006のT-Shirts投げコンテストの方も
スタートし始めたようです。皆様も是非クールなT-Shirts投げ機を考えて、
JavaOneの無料チケットをゲットしていただければと思います。
http://blogs.sun.com/roller/page/jag
寺田 佳央 - Yoshio Terada 