製品、トピックスやコンテンツ・タイプでフィルターをかける

(0 製品)

(106 トピック)

(1 インダストリー)

(4 種類)

1 - 42 件のうちの 42 件
概要の表示 | 概要の非表示
結果の表示
タイトル none 種類 none 日付 down
Java EE 8 Security API 入門, 第 3 回: IdentityStore を使用してユーザー資格情報へのアクセスをセキュリティーで保護する
新たに導入された IdentityStore インターフェースを使用して、Java Web アプリケーション内で RDBMS または LDAP アイデンティティー・ストレージをセットアップして構成する方法を学んでください。
記事 2018/10/18
Java EE 8 Security API 入門, 第 4 回: SecurityContext を使用して呼び出し側のデータを調査する
Java EE Security API について解説するシリーズの最終回では、SecurityContext API を紹介します。この API を使用すると、サーブレット・コンテナーと EJB コンテナーとで一貫した方法によって、呼び出し側のデータを調査できます。SecurityContext で HttpAuthenticationMechanism の宣言型機能を拡張する方法を確認してから、サーブレット・コンテナーを例に、この API を使用して呼び出し側のデータを調査する方法を説明します。
記事 2018/10/18
Java EE 8 の新機能
クラウドとリアクティブ・プログラミング向けに作成された次期 Java Platform Enterprise Edition は、今後数年のうちに、エンタープライズ・アプリケーション開発を方向付けることになるでしょう。この記事では、Java エンタープライズ・セキュリティー、JSON バインディング、HTTP/2 サーバー・プッシュなどに対応するための新しい API とアップグレードについて紹介します。
記事 2018/4/26
Liberty JAAS ログイン・モジュールを使用して Bluemix のシングル・サインオンに対応する
このチュートリアルでは、Bluemix の SSO サービスを利用して Liberty に対応した認証を行う手法を紹介します。ユーザー・ログインに Bluemix の SSO サービスを利用するサンプル・アプリケーションを作成してください。このサンプル・アプリケーションは、認証に成功すると Liberty サーバーが必要なオブジェクト (Subject、Principal、Session) をすべて作成する Liberty アプリケーションで、Bluemix の SSO 機能を利用することができます。そして、認証メカニズムがアプリケーション・コードから抽象化されるように、SSO サービスを利用した JAAS 認証を使用します。
記事 2015/5/28
Java プログラミングで実装する OAuth 2.0 クライアント: 第 2 回 クライアント・クレデンシャル・グラント
この複数のパートで構成されるシリーズは、あらゆる OAuth 2.0 対応サーバーとインターフェースを取るために使用できる、汎用的かつ再利用可能な OAuth 2.0 クライアントを開発する上で役に立ちます。第 1 回では、リソース・オーナー・パスワード・クレデンシャル・グラントを実装する方法を説明しました。第 2 回となる今回の記事では、クライアント・クレデンシャル・グラントを実装する方法を説明します。
チュートリアル 2015/4/02
Java プログラミングで実装する OAuth 2.0 クライアント: 第 3 回 認可コードによるグラント
この複数のパートで構成されるシリーズは、あらゆる OAuth 2.0 対応サーバーとインターフェースを取るために使用できる、汎用的かつ再利用可能な OAuth 2.0 クライアントを開発する上で役に立ちます。第 1 回では、リソース・オーナー・パスワード・クレデンシャル・グラントを実装する方法を説明し、第 2 回では、クライアント・クレデンシャル・グラントを実装する方法を説明しました。第 3 回となる今回の記事では、認可コードによるグラントを実装する方法を説明します。
チュートリアル 2015/4/02
Apache Tomcat でのバナー・グラビングを廃絶する
バナー・グラビングを足がかりとして、本格的なサイバー攻撃が開始されることはよくありますが、これを防ぐのは簡単です。Apache Tomcat インストール済み環境を、そのバージョン情報を基にした不正行為から保護するために、Server.xml および ServerInfo.properties ファイルのデフォルト・パラメーターを無効にする方法を学んでください。
記事 2014/3/13
万人のためのモバイル: 自作の Android アプリに署名を付け、封印し、配布する
Web ロジックではコンテンツが何よりも重要ですが、モバイル・ユーザーにとってはアプリとの対話がすべてを支配します。モバイル・アプリでは、静的な情報によるデザインが行われなくなり、代わりにゲーミフィケーションが採用されるようになっています。今回の記事では、Andrew Glover が Android モバイル開発の紹介を完結するために、前回の記事で紹介したサンプル・アプリケーションの Overheard Word に多岐選択式クイズの機能を追加します。その後、デジタル署名を生成する方法、そして署名付きのアプリを Android 向けの Google Play または Amazon Appstore で公開して宣伝する方法を説明します。
記事 2013/10/03
Direct Project: クラウド上で医療情報を送信する
米国連邦政府の医療保険制度改革では、相互運用可能で有意義な EHR (Electronic Health Record: 電子健康記録) システムの使用を促進することを主な目標の 1 つとしています。この改革で最も前途有望なイニシアチブとして挙げられるのが、Direct Project です。機密性の高い患者情報をクラウド上で送信するために設計されたこのピア・ツー・ピア・プロトコルの概要を学び、Java ベースのオープンソース・クライアントである Direct Sender を使用して、医療 IT システムでセキュアな e-メール送信を行う方法を学んでください。
記事 2012/12/06
Java 開発 2.0: クラウド・コンピューティング用の Java アプリケーション・データをセキュアにする
クラウドの導入を検討している組織にとって、データ・セキュリティーは深刻な懸念事項ですが、多くの場合、クラウド・データのセキュリティーを心配する必要はありません。連載「Java 開発 2.0」の今回の記事では、秘密鍵による暗号化と AES (Advanced Encryption Standard) を使用して、機密性の高いアプリケーション・データをクラウドでセキュアに保つ方法を説明します。またこの記事は、分散クラウド・データ・ストアに対して実行される条件付き検索を最大限に効率化する上で重要な暗号化戦略についての簡単なチュートリアルにもなっています。
記事 2012/2/23
AuthenticRoast を使用してコンテナー管理セキュリティーをカスタマイズする
AuthenticRoast は Java Authentication Service Provider Interface for Containers (JSR 196) を扱うオープンソース・プロジェクトであり、AuthenticRoast を使用することで、コンテナーで管理する宣言型セキュリティー用のカスタム認証モジュールを開発することができます。この記事では、AuthenticRoast を使用することで JEE (Java Enterprise Edition) コンテナーの設定を最小限に抑えることができ、カスタムのセキュリティー要件を満たすためのコーディング作業を大幅に省くことができることを、著者である Joe Sam Shirah が明らかにします。デモ・コードは、この記事からダウンロード可能な WAR から入手することができます。
記事 2012/2/16
Bigtable、Blobstore、あるいは Google Storage を使用した GAE ストレージ
Google App Engine ではリレーショナル・データベースの使用を控え、非リレーショナルデータストアを採用しています。具体的には、Bigtable、Blobstore、そして最も新しい非リレーショナル・データストアである Google Storage for Developers です。この記事では著者の John Wheeler が、それぞれのデータストアのセットアップ方法と使用方法に慣れ親しむためのアプリケーション・シナリオを説明するなかで、この GAE のビッグ・データ・ストレージの 3 つの選択肢の利点と欠点を詳しく探ります。
記事 2012/1/06
ヒント: ファイナライザーによる脆弱性からコードを保護する
皆さんの Java コードはファイナライズ処理を悪用した攻撃に対して脆弱な可能性があります。ファイナライズ処理を悪用した攻撃の仕組み、またそうした攻撃を受けないようにコードを変更する方法について学びましょう。
記事 2011/8/05
Java Web サービス: WS-SecurityPolicy をモデル化して検証する
WS-SecurityPolicy では、WSDL (Web Service Description Language) サービス記述の一部としてセキュリティー構成を定義できるようになっています。WS-SecurityPolicy は強力なツールですが、WS-SecurityPolicy 文書を処理するのは骨の折れる作業になりがちです。というのも WS-SecurityPolicy では、アサーションは正しく構造化されていなければ有効にならず、バージョンの名前空間は一貫していなければならないためです。この記事を読んで、WS-SecurityPolicy 文書を作成するときに犯しがちな間違いを知り、WS-Policy と WS-SecurityPolicy を検証および変換できるように Java でモデル化する方法を学んでください。
記事 2011/4/19
Java Web サービス: Web サービス・セキュリティーの現状
WS-Security およびそれに関連する標準では、Web サービス・セキュリティーに対してさまざまなオプションを規定しています。この広範なオプションのうち、Web サービス・スタックでテストするのは限られた数のセキュリティー構成だけです。相互運用性のテストに至っては、さらに少ない構成を独自にテストしているに過ぎません。この記事では、Web サービス・スタック間の相互運用性を促進するために業界がこれまで行ってきた取り組みを説明し、3 つの主要なオープンソースの Java スタックがセキュリティーの問題にどの程度まで取り組んでいるのかを比較して要約します。
記事 2010/12/07
Java Web サービス: クライアント証明書を使用しない WS-Security
クライアントとサーバーの間でクライアント証明書を使わなくてもセキュアなメッセージ交換を行えるようにする WS-Security の対称暗号化は、Web サービス構成を単純化すると同時に、パフォーマンスにもメリットをもたらします。この暗号化手法はそのまま使用することも、WS-SecureConversation メッセージ交換のブートストラップで使用することもできます。この記事では、Axis2、Metro、CXF という代表的な 3 つのオープンソースの Java Web サービス・スタックを例に、対称暗号化を構成して使用する方法を説明します。さらに、基本的な WS-Security 対称暗号化のパフォーマンスを WS-SecureConversation のパフォーマンスと比較します。
記事 2010/8/03
Java Web サービス: WS-Trust と WS-SecureConversation
WS-Security は、SOAP メッセージ交換にエンタープライズ・レベルのセキュリティー機能を追加しますが、同時にパフォーマンス面でかなりの犠牲を伴います。WS-Trust は、WS-Security をベースとしてセキュリティー・トークンを交換するための手段です。そして WS-SecureConversation は WS-Security と WS-Trust をベースに、進行中のメッセージ交換のパフォーマンスを改善します。今回の連載「Java Web サービス」では、Dennis Sosnoski が WS-Trust と WS-SecureConversation を紹介します。
記事 2010/5/25
Java Web サービス: CXF のパフォーマンス比較
Apache CXF のベースとなっているコンポーネントは Apache Axis2 および Metro とある程度共通していますが、CXF はこの 2 つとは全く異なるアーキテクチャーでコンポーネントを構成しています。Dennis Sosnoski の連載「Java Web サービス」では今回、CXF、Metro、そして Axis2 の各スタックのパフォーマンスを WS-Security を使用した場合と使用しない場合の両方で比較します。
記事 2010/4/27
OAuth を使ってソーシャル・ネットワーキング Web サイトにアクセスする: 第 3 回: Web 版 Twitter クライアントを Google App Engine にデプロイする
オープン・プロトコルである OAuth を利用すると、ユーザーのクレデンシャルが公開されるリスクを犯すことなく、保護されたリソースを複数の Web サイト間で共有することができます。この連載の「第 1 回」では OAuth を紹介し、OAuth 対応のデスクトップ Twitter クライアントの作成方法を説明しました。「第 2 回」では、OAuth 対応の Web 版 Twitter クライアントの作成方法を学びました。この連載最終回の今回は、第 2 回で作成した Web アプリケーションを GAE (Google App Engine) にデプロイします。
記事 2010/4/13
Java Web サービス: CXF での WS-Security
Apache CXF Web サービス・スタックでは、WS-SecurityPolicy を使用したセキュリティー処理の構成を含め、WS-Security をサポートしています。CXF では、セキュリティー処理を実装するために実行時に使用されるデプロイメント・パラメーターを柔軟に構成することができ、クライアント・サイドでは静的構成オプションと動的構成オプションの両方がサポートされます。連載「Java Web サービス」の今回の記事では、著者の Dennis Sosnoski が単純な UsernameToken WS-Security の場合、そして署名および暗号化を使用する場合を例に、CXF の使い方を説明します。
記事 2010/3/23
Java Web アプリケーションのための OpenID: 第 2 回
OpenID を使用して、Java Web アプリケーションのリソースを、認証されていないユーザーから保護する方法を学んでください。Steve Perry が OpenID 認証の仕様について紹介する連載の後半では、シングル・サインオンのアプリケーションというシナリオで、openid4java ライブラリーを使用して OpenID プロバイダを作成する方法を説明します。「閉ループ」アーキテクチャーのアプリケーションのうちの 1 つを OpenID プロバイダとして確立すれば、エンド・ユーザーが一度サインインするだけで複数のアプリケーションにアクセスできるようになります。さらに、OpenID リライングパーティーとプロバイダの間でのカスタム・データの交換を可能にする OpenID AX (Attribute Exchange) 拡張の使い方についても学んでください。
記事 2010/3/16
Java Web アプリケーションのための OpenID: 第 1 回
OpenID は、さまざまな Java Web アプリケーションのリソースにユーザーが簡単にアクセスできるようにする分散型認証プロトコルです。この 2 回連載の前半では、OpenID 認証の仕様について概説し、OpenID を Java アプリケーションに組み込む方法をサンプル Java アプリケーションを用いて説明します。記事の著者である J. Steven Perry は、OpenID 認証の仕様を手作業で実装する手間を省くために OpenID4java ライブラリーを使用しています。このライブラリーと知名度の高い myOpenID という OpenID プロバイダを利用して、Wicket で作成した Java アプリケーションのための安全かつ信頼性に優れた登録プロセスを作成します。
記事 2010/3/16
Java Web サービス: Metro での WS-Security
Metro Web サービス・スタックは JAXB 2.x および JAX-WS 2.x Java 標準のリファレンス実装をベースとしていますが、WS-* SOAP 拡張技術全般に対するサポートも組み込まれています。Dennis Sosnoski の連載「Java Web サービス」の今回の記事では、Metro での WS-Security の構成とその使用方法について説明します。
記事 2009/12/01
Java Web サービス: (WS-)Security に伴う高コスト
Web サービス・アプリケーションをセキュアにするためにWS-Security が提供する強力な機能は、多くのアプリケーションにとって不可欠なものです。しかしこれらの機能には、パフォーマンスとメッセージのーバーヘッドという点で、かなりの犠牲が伴います。Dennis Sosnoski による連載「Java Web サービス」では、今回、WS-Security または WS-SecureConversation を使用することが Axis2 のパフォーマンスに与える影響に着目し、HTTPS によるセキュア接続という単純な (そしてパフォーマンスに優れた) 方法を選ぶほうがふさわしい場合について説明します。
記事 2009/7/07
Java Web サービス: Axis2 WS-Security による署名および暗号化
この記事では、まず公開鍵暗号方式の原理を紹介します。その後、WS-Security がこれらの原理を適用して、公開鍵と秘密鍵のペアに共通鍵を組み合わせて SOAP メッセージに署名を付け、暗号化する方法を説明します。Dennis Sosnoski の連載「Java Web サービス」では今回、WS-Security と WS-SecurityPolicy の署名機能と暗号化機能について、Axis2 と Rampart を用いたサンプル・コードと併せて解説します。
記事 2009/6/16
Java Web サービス: Axis2 WS-Security の基本
Rampart セキュリティー・モジュールを Apache Axis2 にインストールして、Web サービスで WS-Security の機能を使用できるようにする方法を学んでください。今回、Axis2 での WS-Security および WS-SecurityPolicy の使用を焦点に再開した Dennis Sosnoski の連載「Java Web サービス」では、単純な最初のステップとして UsernameToken を取り上げます。連載の以降の記事では、Axis2 と Rampart によって実装する WS-Security、WS-SecurityPolicy について深く掘り下げていきます。
記事 2009/5/26
Grails をマスターする: 認証と許可
Grails は、単純なログイン・インフラストラクチャーからロール・ベースの許可に至るまで、セキュアな Web アプリケーションを構築するために必要なあらゆる基本ビルディング・ブロックを提供します。連載「Grails をマスターする」では今回、Scott Davis が Grails アプリケーションをセキュアにするための実践的な方法を説明します。また、アプリケーションのセキュリティー機能を新たな方向へと展開させる上で役に立つプラグインについても学んでください。
記事 2009/4/28
Web 2.0時代のWebアプリケーションセキュリティー
Ajax(Asynchronous JavaScript + XML)やマッシュアップ(Mashup)に代表されるWeb 2.0技術は、そのリッチで使いやすいユーザーインターフェイスや高速なレスポンス性から、現在のWebアプリケーション開発のトレンドの一つとなっています。
記事 2009/4/24
マルチテナント型 SaaS アプリケーションをセキュアにする
SaaS (Software as a Service) アプリケーションはマルチテナント型であるため、セキュリティーが重大な関心事項です。この記事では、オープンソースの Spring Security フレームワークと Apache Directory Server とを組み合わせることによってマルチテナント型 Java アプリケーションをセキュアにするための、実行可能で現実的な手法を紹介します。著者らは、マルチテナント型 Web アプリケーションの例を使ってこの手法を説明します。
記事 2008/9/30
Acegi を使って Java アプリケーションをセキュアにする、第 3 回: Java オブジェクトのアクセス制御
Acegi Security System を紹介するこの 3 回連載の最終回では、Bilal Siddiqui が Java クラスのインスタンスへのアクセスをセキュアにする方法を説明します。Java クラスへのアクセスをセキュアにしなければならない理由、Spring が Java クラスのインスタンスを生成してセキュアにする仕組み、そして Java アプリケーションにクラスのセキュリティーを組み込むように Acegi を構成する方法を学んでください。
記事 2007/9/25
XPath インジェクションによる危険を回避する
単純な XML API、Web サービス、そしてリッチ・インターネット・アプリケーション (RIA) が普及したことにより、構成ファイルからリモート・プロシージャー・コールに至るすべてのものに対して XML をデータ・フォーマットとして採用する組織が増えてきました。なかには、フラット・ファイルやリレーショナル・データベースの代わりに XML 文書を使っている人までいます。しかし、外部のユーザーに対してデータの実行依頼を許可する他のあらゆるアプリケーションや技術と同じく、XML アプリケーションはコード・インジェクションによる攻撃、具体的には XPath インジェクション攻撃を受けやすいものです。
記事 2007/7/17
Acegi を使って Java アプリケーションをセキュアにする、第 1 回: アーキテクチャーの概要とセキュリティー・フィルター
この 3 回からなる連載記事で紹介するのは、Java エンタープライズ・アプリケーションのための非常に優れたオープン・ソース・セキュリティー・フレームワーク、Acegi Security System です。第 1 回目のこの記事では、Bilal Siddiqui が Acegi のアーキテクチャーとコンポーネントを取り上げ、Acegi を使用して単純な Java エンタープライズ・アプリケーションをセキュアにする方法を紹介します。
記事 2007/3/27
MD5 crypt による Linux での Java アプリの保護
UNIX/Linux PAM互換システムは、crypt()システム・コールに対するGNU MD5拡張に基づく認証を使用します。この記事では、これらの拡張を説明し、UNIX/Linuxシステムと互換性のあるMD5 cryptのJava実装を示します。
記事 2006/1/10
Javaアプリケーションのテスト用に証明書チェーンを生成
ソフトウェアをテストするためにデジタル証明書チェーンを作成する方法を学びましょう。簡単に入手可能なOpenSSLツールキットを使用し、このあまり文書化される機会に恵まれないプロセスを明確にします。
記事 2004/8/18
J2EE パスファインダー: JAASとJSSEを備えたJavaセキュリティ
今回の記事では、エンタープライズJava開発者であり、教育者であるKyle Gabhart氏が、Java Authentication and Authorization Service (JAAS)とJava Secure Socket Extension (JSSE)を紹介します。
記事 2003/11/25
LinuxのJavaサービスに対する安全性を高める
この記事では、Javaサーバー・テクノロジーはLinuxになじむテクノロジーであるという持論を展開した後、LinuxにTomcatのJavaサーブレット・エンジンを「安全に」セットアップするためのヒントを紹介します。
記事 2003/4/01
上級JSSE開発者のためのカスタムSSL
この記事では、JSSE APIのあまり知られていない側面について掘り下げ、SSLの制限のいくつかを回避するプログラミング方法を示しています。
記事 2002/9/01
JavaにおけるXML: Castorによるデータ・バインディング
この記事では、データ・バインディングを紹介し、この手法の魅力について説明しています。それからJavaデータ・バインディングにオープン・ソースCastorフレームワークを使用して、ますます複雑になる文書を処理する方法を紹介します。
記事 2002/4/01
ピアツーピア・コンピューティングの実践: P2PでSSLを使用する
P2Pアプリケーションにおける信頼の役割について検討した前回の説明を、実践に移します。P2PのセキュリティーでSSL(JSSE経由で) を使用する方法を紹介していきましょう。
記事 2001/10/01
企業ネットワークを貫くトンネル作り
SOAPに代わるHTTP対応のJavaオブジェクトを掘り下げます。これを利用して、企業ネットワークにアクセスする安全で確実なテクニックを見つけましょう。
記事 2001/7/01
Javaセキュリティーの進化: 第1回
JDK 1.2のリリースによって、アプレットおよびアプリケーションのセキュリティーが統一された、まったく新しい詳細制御セキュリティー・モデルが導入されました。
記事 2001/2/01
Javaセキュリティーを利用した信頼できるe-mail
e-businessにとって、 インターネット・トランザクション、 とくにメッセージのやり取りは生命線です。この記事では、 e-businessトランザクションでセキュリティーを実現するために開発者が利用できるJavaテクノロジーを紹介します。
記事 2000/9/01
1 - 42 件のうちの 42 件
概要の表示 | 概要の非表示