「おーおーっすっ!」 てなこって、TwitterのAPIのBASIC認証も6月末に終了してOAuth/xAuthに移行するというこの時期に、あらためてOAuthについて勉強してみたんですのよ? OAuth認証を利用するライブラリは各言語で出そろってきてるのでそれを使えばいんじゃまいか? というと話が終わるので、じゃあそのライブラリの中身はなにやってんのよってことを、OAuthするScalaのライブラリ作りながら調べたことをまとめてみました。 間違っているところもあると思うのでツッコミ歓迎です＞＜ OAuthってそもそもなんなの? ものすごくざっくりというと「API利用側が、ユーザ認証をAPI提供サービス側にやってもらうための仕様」って感じでしょうか? BASIC認証の場合、API利用側が認証に必要なアカウントやパスワードを預かる必要があるわけです。悪意のあるAPI利用側が「なんとかメーカー

Googleは米国時間3月19日、オープンソースのウェブセキュリティスキャナ「skipfish」を公開した。ウェブアプリケーションをスキャンして、セキュリティホールの有無を調べられるものだ。 skipfishでウェブアプリをスキャンすると、ブラインドSQLやXMLインジェクションといった「巧妙な仕掛け」を含む脆弱性の有無が確認できると、Googleの開発者Michal Zalewski氏はskipfishのwikiで述べている。 skipfishは対象サイトへの再帰的クロールと辞書ベースの調査を実行し、その結果を表示したインタラクティブなサイトマップを作成する。脆弱性がある場合には強調表示する。また、skipfishが作成する最終レポートは、セキュリティ評価の判断材料として利用できる。 同様のスキャンツールは、「Nikto」や「Nessus」など、すでに商用でもオープンソースでも複数出回っ

こんにちはこんにちは！！ 今日、はてなの人気記事を見ていてこんな記事がありました…！ ちゃんとセキュリティのこと考えてますか･･･！？ 『セキュリティ対策とか難しいし面倒くせーし、俺の適当に作ったサービスとかどうなってもイイしｗｗ』 いいんですいいんです！ 別にそう思ってるならどうでもいいんです！ でもそんなプログラムをWeb上で公開すんじゃねーよボケと。 PHPで誰でも簡単Webサービス製作！でなんか作って公開した奴ちょっと来い - 甘味志向＠はてな ふむふむ、PHPで簡単につくっちゃうのは良いけど、 公開するのなら、ちゃんとセキュリティホールなくしてからにしましょうね って記事ですね！ でもぼくは、この記事を読んでも… なぜXSSがいけないのか 結局よくわかりませんでした…。 いちおうXSS脆弱性があるとダメな理由として、下のようなことが書かれてあったんだけど… フォームに入力したHT

タイトルは出来れば関連する方に読んで欲しかったので、軽く釣り針にしました。すみません。:*) 最近はやりのヒウィッヒヒー（Twitter）でも、よく「○○ったー」みたいなサービスがばんばん登場してますね！ おかげでますますツイッターが面白い感じになってて、いい流れですね！ でも･･･ちょっと気になることが･･･ 最近「もうプログラマには頼らない！簡単プログラミング！」だとか･･･ 「PHPで誰でも簡単Webサービス作成！」だとか･･･ はてなブックマークのホッテントリで見かけますよね･･･ プログラミングする人が増えるのは素敵です！レッツ･プログラミングなう！ なんですけど･･･ ちゃんとセキュリティのこと考えてますか･･･！？ 『セキュリティ対策とか難しいし面倒くせーし、俺の適当に作ったサービスとかどうなってもイイしｗｗ』 いいんですいいんです！ 別にそう思ってるならどうでもいいんです！

Webアプリにおける11の脆弱性の常識と対策：Webアプリの常識をJSPとStrutsで身につける（11）（1/4 ページ） 本連載は、JSP／サーブレット＋StrutsのWebアプリケーション開発を通じて、Java言語以外（PHPやASP.NET、Ruby on Railsなど）の開発にも通用するWebアプリケーション全般の広い知識・常識を身に付けるための連載です 【2013年2月25日】編集部より、おわびと訂正のお知らせ 本稿において読者の皆さまより多数のご指摘をいただきまして、誠にありがとうございます。編集部であらためて調べた結果、間違いを把握し、あらためて修正版を掲載させていただきます。この度は、長期にわたり誤った内容を掲載したので、読者の皆さまに多大なご迷惑をお掛けしたした点をおわび申し上げます。 通常、記事に間違いがあった場合には、筆者確認後に修正版を掲載するのですが、今回の場

性能や信頼性、保守性といった非機能要求は情報システムの高度化・大規模化が進むに伴って、その重要性が改めてクローズアップされている。あいまいにしたままシステム開発を進めるのはあまりにもリスクが大きいからだ。 こうしたなか「システム基盤の発注者要求を見える化する非機能要求グレード検討会」はこの5月に非機能要求グレードを公開した（図1）。検討会はNTT データ、富士通、NEC、日立製作所、三菱電機インフォメーションシステムズ、OKIの6社が2008年4月に共同で発足させた。 非機能要求グレードの目的は、「早期に」「誤解なく」「漏らさずに」非機能要求を発注者が受注者と共同で定義して、かつ、合意できるようにすること。これまでの非機能要求定義の難しさを克服するため、非機能要求で決めるべき項目を定め、その具体例を段階的に「見える化」することで、発注者が非機能要求を決めやすくしている。 「機能以外」だから

Windowsコンピュータの保護やウイルス除去、管理に用いることができる、Windowsユーザーにとって必携の無償セキュリティツールを10個紹介しよう。 ＃1：Secunia Personal Software Inspector トップを飾るのはSecunia Personal Software Inspectorだ。このツールはおそらく、Windowsマシン上で実行できる無償アプリケーションの中で最も役に立ち、かつ最も重要なものである。 このツールを用いることで、PC上にインストールされているすべてのアプリケーションをスキャンし、セキュリティパッチ／アップデートが必要なアプリケーションを特定することができる。 このツールはまず、あなたのコンピュータに格納されているファイルを検査し（検査するファイルは主に、拡張子が.exeと.dll、.ocxのいずれかのものである）、特定のソフトウェアビ

サーバー監視，ログ解析，安全性評価，そしてセキュリティ診断──。管理者は通常，こうしたシーンで専用のツールを使う。ただ，導入には手間がかかるし，できることが限られる場面もある。そこでオススメしたいのが便利サイトだ。中には商用の製品/サービスでは真似できない機能を持つサイトもある。無償で利用できる便利サイト20選を紹介しよう。 第1回 サーバーの振る舞いを外部から監視 第2回 サイト・チェックで危険なアクセスを回避 第3回 サイトでPCのセキュリティ診断 第4回 出先でもネット経由で社内システムを管理

ブロードバンド・ルーターを介さずにパソコンをインターネットに直接つないでいたり，ルーターのポートを開けてLAN内のパソコンをサーバーとして外部に公開したりしていると，毎日のように不審なパケットが何者かによって送りつけられてくる。 つい先日も，実験のためにWebサーバーを公開したときの1カ月分のアクセス・ログを見てみたら，攻撃を受けた痕跡が大量に記録されていた。 こうしたインターネットからの攻撃を受けたとき，やるべきことは二つ。まず最優先はサーバーやパソコンが被害を受けていないかをチェックすることだ。被害を受けていたらすぐに修復し，適切なセキュリティ対策を施す。 それから，攻撃してきたのがどこの誰なのかを突き止める。攻撃パケットをいくつか受け取ったからといって目くじらを立てる必要はないが，あまりにしつこいようなら攻撃者が契約しているプロバイダに連絡するなどの手を打つことも考えたい。そのために