You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
最初に1回認証に成功すれば、以降は利用するシステムが変わっても、利用が許可されているシステムであれば認証プロセスを経ることなくそのまま利用できる認証システム
●はじめに はじめまして。ns-writerと申します。一介のITコンサルタントをやらせてもらっています。今回、ひょんなことから@IT自分戦略研究所エンジニアライフのコラムニストをさせて頂くことになりました。 わたしのコラムでは、WEBシステム開発のキャリアを積んできた経験をいかして、WEB開発者の観点から業界俯瞰や技術知識の防忘録、エンジニア生活に関して思うこと等、ざっくばらんに情報発信していきます。わたしは現在30歳のまだまだ成長途中の若輩者です。わたしの書く記事を見て、同世代、もしくはもっと若い方々のキャリア形成における何かのきっかけになればと思っております。よろしくお願いいたします。 ●SingleSignOnについて さて、今回のテーマはSSO(SingleSignOn)です。みなさんはこのような経験はありませんでしょうか。“あるサイトにログインしようとすると、YAHOO JAP
7 シングル・サインオンの構成 アクセス・システムのシングル・サインオン機能により、ユーザーは1回のログインで複数の保護されたURLまたはアプリケーションにアクセスできます。この章を読む前に、第4章「ポリシー・ドメインによるリソースの保護」に記載されている用語や概念をよく理解するようにしてください。 この章の内容は次のとおりです。 前提条件 シングル・サインオンの概要 シングル・サインオンのCookie シングル・ドメインのシングル・サインオン マルチドメインのシングル・サインオン アプリケーションのシングル・サインオン IDシステムとアクセス・システム間のシングル・サインオン Lotus Dominoに対するシングル・サインオン アクセス・システムでの偽装の有効化 シングル・サインオンのトラブルシューティング 7.1 前提条件 シングル・サインオンを構成するには、その前提条件として、ID
スポンサードリンク シングルサインオンとは、認証を必要とする複数のシステムが存在する場合に、最初の1回認証に成功すれば、それ以降はシステムが変わっても利用が許可されているシステムであれば認証プロセスを踏むことなくアクセスが可能になる認証方式をいいます。 ●シングルサインオン導入メリット 社内ネットワークなどでユーザ認証が必要なシステムでは、複数の認証が必要なシステムが共存していることがほとんどです。この場合、システムが変わると、その度に認証プロセスを踏むことになります。こうなるとユーザの負担も増えるうえに管理者の負担まで増えることになります。 シングルサインオンを用いることで、認証情報を一括で管理することで管理者の負担も軽減され、ユーザも一回の認証で社内のすべてのシステムへアクセス出来るため利便性が向上します。 以下にシングルサインオンを実現する仕組みを解説します。 ・エージェント方式 各
■ ローソンと付き合うには友達を捨てる覚悟が必要 当初3月末開始とされていた「LAWSON Wi-Fi」が、なぜか「当初の計画より事前テストに時間を要したため」として、遅れて4月6日から開始されたのだが、早速Twitterでこんな指摘が出ていた。 少なくともこういうのを「ログイン」と呼ぶのはやめて頂きたい。金融機関などでは、暗証番号に電話番号や誕生日を使うのをやめるよう利用者を啓発する活動にコストをかけてきたが、そうした労力を台無しにする。ローソンとしては、無料の無線LANを使わせるくらい、本人確認が甘くても自社の問題だから許されると思っているのだろうが、こういうやり方が社会に悪弊をもたらすことに気付いていないのか。 今回は、前回の日記で取り上げた「PASMOマイページ」の問題とは違って、「ログイン」で電話番号と誕生日を使用している。一般に、不正アクセス禁止法では、このような、IDと電話番
Webアプリケーションのぜい弱性がなかなかなくならない。メディアなどでも盛んに取り上げられているにもかかわらず,である。特に,セッション管理がからむアプリケーションのぜい弱性には,気付かないことが多い。具体的には「クロスサイト・リクエスト・フォージェリ」(CSRF),「セッション・フィクセーション」などである。これらはクロスサイト・スクリプティング,SQLインジェクションといった比較的メジャーなぜい弱性に比べて認知度が低く,対策も進んでいない。 原因の一つは,アプリケーションの開発者が原因を正しく理解していないこと。CSRFやセッション・フィクセーションについて言えば,セッション管理に使うクッキー(cookie)の動作を理解していないと対策が難しい。ところが最近の開発環境では,セッション管理の仕組みが隠ぺいされているため,必ずしもこの知識は要求されない。こうした開発者は容易にはぜい弱性に気
サーバ/クライアント間の通信を担当するHTTPは、ステートレス(状態を管理しない)なプロトコルです。このように表現してしまうと難しく聞こえるかもしれませんが、要するに「複数のページ間で情報を保持することができない」ということです。 例えば、ページXとページZという2つのページがあったとします。ページXを処理したあとにページZを呼び出したとしても、ページZはページXで入力された内容や処理結果、さらにページXのあとに呼び出されたということも知ることはできません。 HTTPにおいては、リクエスト/レスポンスの一往復が完結された処理と見なされるので、次に発生したリクエストはまったく別物と認識されるからです。 しかし、JSP&サーブレットアプリケーションを構築する場合、複数のページ間で情報の保持が必要になるケースは少なくありません。例えば、認証を必要とするアプリケーションを想定してみてください。トッ
※ご注意: ウイルスバスターがインストールされている環境だと、この記事は読めないようです (→参考画像) (x-autocompletetypeとは?) Webサイトのフォームにワンクリックで個人情報を自動入力してくれる便利機能。ブラウザに、あらかじめ名前やメールアドレスや住所やクレジットカード番号などの情報を設定しておく。 アンケートサイトとかに超便利 入力が苦手なオカンも便利 とにかくべんり Google Chrome のみ対応してる (2012年4月4日時点)。 便利すぎて今後、他のブラウザも追随必至。 (ユーザーが自動入力を使うには) Google Chrome 設定 → 個人設定 → 自動入力設定の管理 → 住所氏名メールアドレス等を入れておく (Webページ側での自動入力の設定) inputにx-autocompletetype属性をつけて、値を email とか sname
Github に脆弱性。やった人は Rails に有りがちな脆弱性を issue に挙げていたが相手にされず、実際にそれを突いてきた。一見 childish だが、それだけ簡単に脆弱な実装がなされてしまうということだ。週明けの今日、Rubyist はまず関連情報に一読を。 — Yuki Nishijima (@yuki24) March 4, 2012 気になって調べたのでメモ。自分も気をつけないとなー。 Public Key Security Vulnerability and Mitigation - github.com/blog/ github に脆弱性があってそれが突かれたらしい。 Rails アプリにありがちな脆弱性の一つ、Mass assignment とかいうタイプの脆弱性である。 mass assignment 脆弱性とは mass assignment 脆弱性とは何か、
Redmineを実行するのに必要なもの RedmineはRubyによるwebアプリケーションフレームワークRuby on Railsで記述されています。従って、Redmineを利用するためにはRuby on Railsのアプリケーションが実行できる環境を構築する必要があります。 そのために本手順書では次のものをインストールします。 Apache (webサーバ) Passenger (Ruby on RailsアプリケーションをApache上で実行するためのモジュール) Ruby Enterprise Edition (Passengerとの組み合わせでメモリを効率よく利用できるよう変更が加えられたRubyインタプリタ) CentOSの設定 SELinuxを無効にする /etc/sysconfig/selinux 開き、 SELINUX の値を disabled に変更後、CentOSを再
Application_Timeouts CONTRIBUTORS DESIGN FAQ HACKING ISSUES KNOWN_ISSUES LICENSE Links NEWS PHILOSOPHY README SIGNALS Sandbox TUNING unicorn_1 Unicorn Configurator HttpServer OobGC PrereadInput StreamInput TeeInput Util Worker Tuning unicorn unicorn performance is generally as good as a (mostly) Ruby web server can provide. Most often the performance bottleneck is in the web application running on
Application_Timeouts CONTRIBUTORS DESIGN FAQ HACKING ISSUES KNOWN_ISSUES LICENSE Links NEWS PHILOSOPHY README SIGNALS Sandbox TUNING unicorn_1 Unicorn Configurator HttpServer OobGC PrereadInput StreamInput TeeInput Util Worker Methods ::new module Unicorn::OobGCStrongly consider github.com/tmm1/gctools if using Ruby 2.1+ It is built on new APIs in Ruby 2.1, so it is more intelligent than this hist
セッションとは Webアプリケーションにおけるセッションとは、「ユーザーのアクセスに対してユーザー毎に変数を保持する」、「複数のページ間で、変数の共有を可能にする」とあります。Webサイトを訪れた訪問者が行う一連の行動や、その行動を通じてやり取りされる情報などがセッションにあたります。 PHPでは、セッションを理解することが重要なポイントになるので、ここではセッション管理の仕組みを分かりやすく解説していきます。 クッキーの章でも解説しましたが、Webデータのやり取りには、HTTPプロトコルというWebブラウザとWebサーバ間で交わされるインターネットプロトコルが使用されています。HTTPプロトコルには、状態を保持する機能がなく、ユーザー(ブラウザ)が連続的に複数回のアクセス(Webページの表示)をしても、サーバ側はそれを特定のユーザーの連続したアクセスと認識せず、複数のユーザーが複数回
概要 SPF(Sender Policy Framework)とは、電子メールの送信元ドメインの詐称を検知する技術。ドメイン名についての情報を配布するDNS(Domain Name System)の仕組みを利用して、本当に送信元アドレスに記載されたドメインから送られてきたメールかを調べることができる。 電子メールの送受信に標準的に用いられるプロトコル(通信規約)である「SMTP」(Simple Mail Transfer Protocol)では、送信元アドレスは送信者が任意に設定できる。迷惑メールの送信者はメールの到達性や効果を高めるため、送信元アドレスのドメイン名に虚偽の内容を記載し、社会的に信用ある企業や団体になりすましたり、メールフィルタに排除されないよう大手ISPやネットサービスのドメインを詐称することがある。 自ドメインが虚偽の送信元の一部に使われることを防ぎたいドメイン管理者は
ネットショップ担当者やWeb担当者にとって夢のようなクラウドサービスが開始された。GMOホスティング&セキュリティが2010年3月からサービスを開始したクラウド型のホスティングサービス「True CLOUD(トゥルークラウド)」だ。 規模を問わずネットショップやWebサイト向けの魅力をもったTrue CLOUDの特徴をご紹介しよう。 まず、True CLOUDは、Webサイトやネットショップを運営するサーバーの機能を提供するサービスだ。つまり、これまでのレンタルサーバーと同様に、契約するだけでネット上にHTMLや画像を公開したり、プログラムを動作させたりできる「パブリッククラウドサービス」だ。 では、True CLOUDは既存のレンタルサーバーと何が違うのだろうか。要点は大きく3つに分けられる。 必要に応じて性能を増減 ―― サーバーの性能(CPU速度やメモリ量)、ディスク容量を、アクセス
はてなのサーバやネットワークの各種最適化、ハードウェア選定、運用保守などを手広く担当するid:halfrackこと村松雄介と申します。ハードウェアならなんでも大好きです。おかげさまで趣味と実益を兼ねた日々を過ごしております。さて、この世にはたくさんの愛すべきハードウェアがあるわけですが、そのなかでも筆者が特に愛するハードウェアが、はてなのサービスを支えるサーバ群です。いまご覧いただいているこのページも、愛するサーバ群が正しく動作してこそ! この、はてなのサービスを支えるサーバのほとんどは、さくらインターネット様のデータセンターに設置しています。 (※この記事はさくらインターネットの提供によるPR記事です) ■ 「中2病を実現」と語るデータセンター 石狩データセンターの見学を案内してくれた、さくらインターネット 取締役 副社長の舘野さん。なにを話していても技術力とコスト感覚のバランスがすごく
令和からの働き方について元「傲慢SE日記」で、しばらく放置していました。 2020年からはこれからの働き方などについて書いて行こうかと思います。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く