Strutsの要素技術の基本的構造（その１ 概要）

Strutsの要素技術の基本的構造をまとめてみる

---

■まずは概要

大きく「Strutsを基本的に構成するもの」と＋α技術がある。

○Strutsを基本的に構成するもの
　　　Ａｃｔｉｏｎ
　　　ＡｃｔｉｏｎＦｏｒｍ
　　　Ｓｔｒｕｔｓ－ｃｏｎｆｉｇ．ｘｍｌ
　　　ＪＳＰファイル

　　↓

○＋α
　　入力に関する＋α
　　　　複数選択に関して
　　　　ActionFormのreset()
　　　　エラーチェックに関して
　　　　　　Validator()
　　　　　　Validate()
　　　　　　　→メッセージリソースの利用
　　　　　　Javascriptの利用
　　　　一画面に複数ボタンある場合
　　　　　　Javascriptの利用
　　　　　　LookupDispatchAction
　　　　　　　→メッセージリソースの利用
　　　　　　実は、submitのnameを変えて、valueが入ってるかで・・
　　　　二度押し防止
　　　　　　トランザクショントークン
　　　　　　Javascriptの利用
　　　　メッセージの国際化
　　　　　　メッセージリソースの利用
　　　　DynaActionForm

　　出力に関する＋α
　　　　エラー画面の共通化
　　　　　　globalforward
　　　　繰り返し項目
　　　　　　logic:iterateタグ
　　　　条件
　　　　　　logic:equal,emptyタグなど
　　　　Javascriptによる画面セット

---

　おおざっぱには、こんなかんじ？？
　ここでは、もっと細かいこと書いてたけど・・・
　その２につづく・・

セキュリティのまとめ

セキュリティというと、脅威、脆弱性（＝セキュリティホール）が問題になる。
この関係は、以下のとおりだけど

脅威（どこにでもある、危険性）
　　　↓　　　　　　　　↓
　対　　　策　　　　　　○　（セキュリティの穴）
（問題起きない）　　　　｜　脆弱性（セキュリティホール）
　　　　　　　　　　　　↓
　　　　　　　　　　　　Ｘ　問題発生（インシデント）
　　　　　　　　　　　情報資産

つまり、脅威はどこにでもあって、それに対策を立てていればＯＫだけど、対策してない脆弱性があったとき、
その脆弱性をもとに情報資産に損害を与えると、問題発生＝インシデントとなる。

---

ってことは、セキュリティをまとめるとき

脅威
　　それに対する対策
　　対策しない脆弱性

という感じでまとめると、わかりそう。

---

ってことでまとめてみる

■脅威：コンピューターウィルス
　　対策：アンチウィルスソフトをいれる
　　脆弱性：アンチウィルスソフトを入れていない
　　　　　　定義ファイルが更新されていない
　　　　　　０－Ｄａｙ　Ａｔｔａｃｋ（更新前に攻撃される）

■脅威：不正アクセス
　　対策：ファイヤーウォール（ネットワーク、パーソナル）
　　　　　ポートを閉じる
　　　　　アクセス権の設定
　　脆弱性：デフォルトのまま使っている

　　関連事項：不正アクセス禁止法

■脅威：大量アクセス（Ｄｏｓ，ＤＤｏｓ）
　　対策：ログを分析し、特定の相手、地域からDos攻撃されてたら、
　　　　　アクセスをきる
　　　　　あらかじめ、負荷分散しておく
　　　　　　→ＣＤＮ（アカマイなど）

■脅威：情報漏えい
　　対策：不正アクセス禁止
　　　　　認証（パスワード、生体認証、トークン、ワンタイムパスワード）
　　　　　暗号化
　　脆弱性：パスワード漏洩
　　　　　　　→パスワードクラッキング、ソーシャルエンジニアリング
　　　　　　　　簡単に推測できるパスワード、パスワードを変えない
　　　　　　　　フィッシング

　　関連事項：個人情報保護法→Ｐマーク
　　　　　　　PCIDSS（カード会社のセキュリティ管理）
　　　　　　　不正競争防止法

　　　　　　（暗号化）公開鍵暗号ＲＳＡ
　　　　　　（メール）Ｓ／ＭＩＭＥ，ＰＧＰ　　　　　　　

■脅威：成りすまし
　　対策：認証
　　　　　デジタル署名

■脅威：盗聴
　　対策：ＶＰＮ（IPsec,SSL)

---

こんなかんじ