先ほど、AllAboutのコラムの公開を開始。
公開予定機能があるので、1週間分は、公開をスクジューリングした。
http://profile.allabout.co.jp/pf/terutakahashi/column/list/
さて、どうなることや。
Thursday, August 30, 2007
Friday, August 24, 2007
セキュアプログラミング
WEB セキュアプログラミング
古くからEDPやシステム運用や開発をなされて来た方なら、驚かずに読んでいただけるでしょう。WEBシステム、携帯サイトのシステムというのは、本質的にかなりの危険を含んでいます。不特定多数の人間にDBの更新を伴うオペレーションを当たり前のように許可していますが、一昔前のシステムであれば、DBの更新などは、少なくともその組織の中の人間しかありえないと特定できましたが、今はそんなご時世ではありません。
セキィリティの問題は、運用するネットワークやサーバの管理者だけで解決できるものではありません。実は開発者サイドで留意しておくべきことがいくつかあります。ある程度の規模をもつシステム会社さんだと、ちゃんと意識して開発していらっしゃいますが、時々、社内の若い担当者が少しCGIの勉強をして作ったんじゃないだろうかと思えるようなサイトも見受けられます。
もしこれを読んでいる方の中に、サーバ運用担当、システム導入担当の方がいらっしゃいましたら、現在、管理しているサイトのプログラムについて、一度確認をされることをお勧めします。以下の項目は、言語に依存しない事項で、ソースを見なければわからないこともありますが、ブラウザからわかることもあります。
・入力データのチェックをクライアント側スクリプトに頼っていない。
-->ユーザの利便性を求め、JavaScriptを多用するサイトで見受けます。
・全ての入力データからHTMLタグとなりうる文字「<」「>」を取り除いている。
-->100% NGではありませんが、許可する場合は、
相当な例外コードが必要です。
意識して十分な予算と開発期間をとりましたか?
・HTMLにデータを埋め込む際には必ずHTMLエンコーディング
(「<」「>」「&」「"」「'」→「<」「>」「&」「"」「'」の置き換え)
をしている。
-->詳細仕様の議論の際に話題になければ
省略されている可能性があります。
・保護が必要な全てのページにユーザ認証機構を組み込んでいる。
-->WEBに不慣れなシステム会社が時々やります。
・事前に推定可能なセッションIDを用いていない。
-->やはりWEBに不慣れなシステム会社が時々やります。
また逆にWEBしか経験のないSOHO系のエンジニアが時々やります。
・重要なデータのキーをURLのクエリストリングで受け渡していない。
-->100% NGではありませんが、やる場合は熟慮が必要です。
弊社でも、他サイトのシステムとのI/Fのため
(先方のミドルウエアの仕様)でやむを得ずやったことがありますが、
最低限キーをジャミングする必要があります。
・hiddenフィールドでデータを受け渡していない。
-->100% NGではありませんが、やむを得ずやる場合は、
クライアントからの値を信用しないことを前提としたサーバサイドの
コーディングが必要です。
このコラムでは割愛しますが、チェックすべき項目は、その他、DB周りのコーディング、それぞれの言語に依存した項目にも、重要な事柄があります。
IPAのガイドライン等には、一度は目を通し、開発パートナの選択や社内開発に際に、留意いただくべきかと思います。
古くからEDPやシステム運用や開発をなされて来た方なら、驚かずに読んでいただけるでしょう。WEBシステム、携帯サイトのシステムというのは、本質的にかなりの危険を含んでいます。不特定多数の人間にDBの更新を伴うオペレーションを当たり前のように許可していますが、一昔前のシステムであれば、DBの更新などは、少なくともその組織の中の人間しかありえないと特定できましたが、今はそんなご時世ではありません。
セキィリティの問題は、運用するネットワークやサーバの管理者だけで解決できるものではありません。実は開発者サイドで留意しておくべきことがいくつかあります。ある程度の規模をもつシステム会社さんだと、ちゃんと意識して開発していらっしゃいますが、時々、社内の若い担当者が少しCGIの勉強をして作ったんじゃないだろうかと思えるようなサイトも見受けられます。
もしこれを読んでいる方の中に、サーバ運用担当、システム導入担当の方がいらっしゃいましたら、現在、管理しているサイトのプログラムについて、一度確認をされることをお勧めします。以下の項目は、言語に依存しない事項で、ソースを見なければわからないこともありますが、ブラウザからわかることもあります。
・入力データのチェックをクライアント側スクリプトに頼っていない。
-->ユーザの利便性を求め、JavaScriptを多用するサイトで見受けます。
・全ての入力データからHTMLタグとなりうる文字「<」「>」を取り除いている。
-->100% NGではありませんが、許可する場合は、
相当な例外コードが必要です。
意識して十分な予算と開発期間をとりましたか?
・HTMLにデータを埋め込む際には必ずHTMLエンコーディング
(「<」「>」「&」「"」「'」→「<」「>」「&」「"」「'」の置き換え)
をしている。
-->詳細仕様の議論の際に話題になければ
省略されている可能性があります。
・保護が必要な全てのページにユーザ認証機構を組み込んでいる。
-->WEBに不慣れなシステム会社が時々やります。
・事前に推定可能なセッションIDを用いていない。
-->やはりWEBに不慣れなシステム会社が時々やります。
また逆にWEBしか経験のないSOHO系のエンジニアが時々やります。
・重要なデータのキーをURLのクエリストリングで受け渡していない。
-->100% NGではありませんが、やる場合は熟慮が必要です。
弊社でも、他サイトのシステムとのI/Fのため
(先方のミドルウエアの仕様)でやむを得ずやったことがありますが、
最低限キーをジャミングする必要があります。
・hiddenフィールドでデータを受け渡していない。
-->100% NGではありませんが、やむを得ずやる場合は、
クライアントからの値を信用しないことを前提としたサーバサイドの
コーディングが必要です。
このコラムでは割愛しますが、チェックすべき項目は、その他、DB周りのコーディング、それぞれの言語に依存した項目にも、重要な事柄があります。
IPAのガイドライン等には、一度は目を通し、開発パートナの選択や社内開発に際に、留意いただくべきかと思います。
Wednesday, August 22, 2007
サイト構築:ゴールのページはどこですか?
Google Analytics をご存知の方は多いでしょう。無料で提供されているアクセス解析、トラッキング解析ツールです。もしご存知なければ、Google Analyticsで、検索してみて下さい。
万能ではありませんが、なかなか優れものです。
これが無料で公開されるまで、私たちもアクセス解析の仕掛をお客様に提案してきていたのですが、実際に自分達で使ってみて、これだけのAPの構築と維持を続ける予算をお客様からいただくなら、サイトの他のこと(機能やサービス)に使ってもらったほうがメリットがあると考えています。利用するためには、各ページにJavaScriptを入れておく必要がありますが、WEB系の開発を行っている会社であれば技術的なハードルになりません。既存サイトのHTMLに入れていくとなると、ページの数だけ手間はかかりますが、リニューアルの際にあわせて行えば、わずかな費用で実現可能です。
Googleに統計情報でも把握させたくない、Googleを信用しきってはいけない社会的立場がある、というクリティカルな会社様や組織でない限り、お勧めしています。
そのGoogle Analitics の機能の中に、「コンヴァージョンの達成」の測定があります。サイトを訪れた方が、最期に何をして欲しいのか、最期にどこのページを見て欲しいのか、そこに至ることがコンヴァージョンの達成です。
サイトを構築する際、あるいはリニューアルの際、意識しておきたいのは、そのゴールページです。ゴールは、ひとつである必要はありません。
ECサイトであれば、商品の購入でしょう。販売サイトでなければ、資料請求やメルマガの購読申込、お問い合わせフォームで見込み客の情報登録をしてもらう・・などでしょう。すでに自社製品を購入された方に商品のメンテナンス情報をPDFで提供するからPDFのダウンロードをしてもらえればいい、という場合もあるでしょう。
ゴールが決まるといろいろなことが検討しやすくなります。
サイトのすべてのページは、そのゴールページへ行きやすくなっているでしょうか?
あるいは、PDFは単純なダウンロードだけでいいのでしょうか? 誰がダウンロードしてくれたかは、その後の営業フォローに役に立ちませんでしょうか?メールアドレスだけでも所得したほうがいいのではないでしょうか?
サイトの目的が販売であれば、売り上げ=効果で、単純な効果測定ができます。しかしそうでない場合でも、サイトや投入したコンテンツは効果測定を行っていくことが重要です。
効果測定をしておかないと、次に投資するべき事柄、予算を使うべき優先順位は見えてきません。
一番ゴールにつながったページはどんなページだったでしょうか?
一番効果のないページはどんなページだったでしょうか?
今までの広告は、数、露出度が重要な要素でした。TVでも電車の広告でも、あまりターゲットを絞れず、インプレッション(露出)の数や、絶対的刺激度で勝負してきたかと思います。広告を見る人は、自分に必要かどうかを選ぶことができず、とにかく興味があろうがなかろうが、目や耳に入るようになっています。
しかしWEBの場合、ユーザは、必要な情報を選択(検索)して閲覧します。必要でないことは目にふれさせることさえできませんが、必要としている・興味を持ってくれたユーザは、整理された見やすい情報であれば、TVのCM以上に熱心に見てもらえます。
WEBサイトをビジネスに役立たせるためには、いくつか持つべき手段がありますが、そのひとつがアクセス解析です。統計を得る手段は無料で使えるようになりました。解析の入口は、ゴールの確認と、そこに至るための効果的なページの認識です。
もっとも、アクセスや数値データで測れない事柄も存在します。
「社長挨拶」や「会社概要」がこれにあたりますが、仮に、どんなにアクセス数が少ないという結果が出ても、例外はありますが多くの企業の場合、省くべきでないのは自明かと思います。
万能ではありませんが、なかなか優れものです。
これが無料で公開されるまで、私たちもアクセス解析の仕掛をお客様に提案してきていたのですが、実際に自分達で使ってみて、これだけのAPの構築と維持を続ける予算をお客様からいただくなら、サイトの他のこと(機能やサービス)に使ってもらったほうがメリットがあると考えています。利用するためには、各ページにJavaScriptを入れておく必要がありますが、WEB系の開発を行っている会社であれば技術的なハードルになりません。既存サイトのHTMLに入れていくとなると、ページの数だけ手間はかかりますが、リニューアルの際にあわせて行えば、わずかな費用で実現可能です。
Googleに統計情報でも把握させたくない、Googleを信用しきってはいけない社会的立場がある、というクリティカルな会社様や組織でない限り、お勧めしています。
そのGoogle Analitics の機能の中に、「コンヴァージョンの達成」の測定があります。サイトを訪れた方が、最期に何をして欲しいのか、最期にどこのページを見て欲しいのか、そこに至ることがコンヴァージョンの達成です。
サイトを構築する際、あるいはリニューアルの際、意識しておきたいのは、そのゴールページです。ゴールは、ひとつである必要はありません。
ECサイトであれば、商品の購入でしょう。販売サイトでなければ、資料請求やメルマガの購読申込、お問い合わせフォームで見込み客の情報登録をしてもらう・・などでしょう。すでに自社製品を購入された方に商品のメンテナンス情報をPDFで提供するからPDFのダウンロードをしてもらえればいい、という場合もあるでしょう。
ゴールが決まるといろいろなことが検討しやすくなります。
サイトのすべてのページは、そのゴールページへ行きやすくなっているでしょうか?
あるいは、PDFは単純なダウンロードだけでいいのでしょうか? 誰がダウンロードしてくれたかは、その後の営業フォローに役に立ちませんでしょうか?メールアドレスだけでも所得したほうがいいのではないでしょうか?
サイトの目的が販売であれば、売り上げ=効果で、単純な効果測定ができます。しかしそうでない場合でも、サイトや投入したコンテンツは効果測定を行っていくことが重要です。
効果測定をしておかないと、次に投資するべき事柄、予算を使うべき優先順位は見えてきません。
一番ゴールにつながったページはどんなページだったでしょうか?
一番効果のないページはどんなページだったでしょうか?
今までの広告は、数、露出度が重要な要素でした。TVでも電車の広告でも、あまりターゲットを絞れず、インプレッション(露出)の数や、絶対的刺激度で勝負してきたかと思います。広告を見る人は、自分に必要かどうかを選ぶことができず、とにかく興味があろうがなかろうが、目や耳に入るようになっています。
しかしWEBの場合、ユーザは、必要な情報を選択(検索)して閲覧します。必要でないことは目にふれさせることさえできませんが、必要としている・興味を持ってくれたユーザは、整理された見やすい情報であれば、TVのCM以上に熱心に見てもらえます。
WEBサイトをビジネスに役立たせるためには、いくつか持つべき手段がありますが、そのひとつがアクセス解析です。統計を得る手段は無料で使えるようになりました。解析の入口は、ゴールの確認と、そこに至るための効果的なページの認識です。
もっとも、アクセスや数値データで測れない事柄も存在します。
「社長挨拶」や「会社概要」がこれにあたりますが、仮に、どんなにアクセス数が少ないという結果が出ても、例外はありますが多くの企業の場合、省くべきでないのは自明かと思います。
Tuesday, August 21, 2007
AllAbout
AllAbout プロファイルにコラムを出すことになった。7月から話があって、ぼちぼち準備をしてきたが、9/1からいよいよ。
このブログは書きなぐり ^^;;だったが、AllAboutは、少しは丁寧に書かないとなあ。
AllAbout用の下書きも、このブログに一度UPすると思います。
OpenしたらURL貼っておきます。
このブログは書きなぐり ^^;;だったが、AllAboutは、少しは丁寧に書かないとなあ。
AllAbout用の下書きも、このブログに一度UPすると思います。
OpenしたらURL貼っておきます。
携帯サイトを構築したい
携帯サイトを自らのビジネスに生かしたい。最近、地に足の着いた会社さんからも、そのようなお話をいただくことが多くなってきました。
1,2年前ですと、「これからは携帯だ」と、ハッキリしたビジネスの地盤、勝算やプランもないままで、携帯によって新しいビジネスにトライする、あるいは、新しいモノにすぐにチャレンジする体質の会社さんが多かったと思います。
ひどい話だと「今、サラリーマンなんだけど、辞めて携帯で儲けたいんだけど、何かいいアイデアない?」というような個人の方からの問い合わせもありました。
現在、そういった有る意味軽薄な騒ぎは終息しています。いよいよ本当にビジネスのツールとして、本業の強みをちゃんと持っている会社さんが、携帯サイトを手段として、地道ながら真剣に考えるようになってこられたと思います。
WEBでも携帯でも同じで、私たちが最初にお話をいただいた時に考えるのは、その会社様にとってサイトの構築の目的や目標は何だろうという点です。
ECの販売サイトであれば、比較的簡単な話で、集客し、商品を購入してもらうことがゴールです。その商品を買ってくれそうなターゲットについての仮説をたて、それにあわせたプロモーション、マーケティングの仕掛を実現するシステムにしていけばいいわけです。サラっと書きましたが、勿論、ケースバイケースでイロイロ課題はあります。
携帯サイトはWEBサイトに比べ、いくつかの特質があります。
情報量の少なさ、文字入力の操作性の悪さ、にも関わらず、若年層に有効なアプローチ方法であるということなどです。
お客様のターゲットの年齢層が高い場合、あるいは個人を対象としていない会社である場合ですと、携帯サイトで何をするのかハッキリさせておかないと、無駄なシステム投資になりかねません。おそらくそういった会社ですと、携帯サイトの構築がそのまま売り上げに直結するかどうかは、疑問が残るでしょう。
しかし、そのような会社でも、若い世代へのリクルーティング、あるいは企業のイメージ戦略の一環として用いるのなら、有効な手段となるでしょう。
携帯サイト構築の重要性や、そこに期待する役割は、会社様によって様々です。
国内の自動車メーカのWEBの統括責任者のお話を伺ったことがあるのですが、
「WEBサイトのアクセスに比べ携帯でのアクセスは10%に過ぎない」
「車を購入するため情報を欲しがる人にとっては、携帯の表現力では不足している。」
「今現在だけで言えば、携帯からのユーザはまったく重視していない。販売にはほとんど繋がっていない。」
「が、中期的には無視できない。携帯で企業のメッセージ、イメージを伝える努力はこれから重要になってくる。WEBの情報を携帯で出すのではなく、携帯を使うユーザに特化した別の情報を提供することで、効果がある。」
その一方、海外から若い女性向けの商品を並行輸入し販売している会社様ですと、
「携帯で売るのが一番大事。」
「WEBより携帯、ことに深夜のアクセスが非常に多い。」
と、携帯サイトには、積極的に投資をしておられます。
漠然とでも携帯サイトの構築をお考えでしたら、企画・検討段階でも一度お話させていただければと思います。場合によっては、「携帯サイトは、現段階では構築する価値が無い」というアドバイスになるかもしれません。携帯サイト構築の売り上げの多い会社としては、商売として困った話なのですが、「代わりに、こういったことをやりましょう。」というご提案ができるかもしれません。
WEBや携帯に限らず、システム構築の仕事は初期構築だけでは終わりません。長いお付き合いがすることが大事だと思っています。
1,2年前ですと、「これからは携帯だ」と、ハッキリしたビジネスの地盤、勝算やプランもないままで、携帯によって新しいビジネスにトライする、あるいは、新しいモノにすぐにチャレンジする体質の会社さんが多かったと思います。
ひどい話だと「今、サラリーマンなんだけど、辞めて携帯で儲けたいんだけど、何かいいアイデアない?」というような個人の方からの問い合わせもありました。
現在、そういった有る意味軽薄な騒ぎは終息しています。いよいよ本当にビジネスのツールとして、本業の強みをちゃんと持っている会社さんが、携帯サイトを手段として、地道ながら真剣に考えるようになってこられたと思います。
WEBでも携帯でも同じで、私たちが最初にお話をいただいた時に考えるのは、その会社様にとってサイトの構築の目的や目標は何だろうという点です。
ECの販売サイトであれば、比較的簡単な話で、集客し、商品を購入してもらうことがゴールです。その商品を買ってくれそうなターゲットについての仮説をたて、それにあわせたプロモーション、マーケティングの仕掛を実現するシステムにしていけばいいわけです。サラっと書きましたが、勿論、ケースバイケースでイロイロ課題はあります。
携帯サイトはWEBサイトに比べ、いくつかの特質があります。
情報量の少なさ、文字入力の操作性の悪さ、にも関わらず、若年層に有効なアプローチ方法であるということなどです。
お客様のターゲットの年齢層が高い場合、あるいは個人を対象としていない会社である場合ですと、携帯サイトで何をするのかハッキリさせておかないと、無駄なシステム投資になりかねません。おそらくそういった会社ですと、携帯サイトの構築がそのまま売り上げに直結するかどうかは、疑問が残るでしょう。
しかし、そのような会社でも、若い世代へのリクルーティング、あるいは企業のイメージ戦略の一環として用いるのなら、有効な手段となるでしょう。
携帯サイト構築の重要性や、そこに期待する役割は、会社様によって様々です。
国内の自動車メーカのWEBの統括責任者のお話を伺ったことがあるのですが、
「WEBサイトのアクセスに比べ携帯でのアクセスは10%に過ぎない」
「車を購入するため情報を欲しがる人にとっては、携帯の表現力では不足している。」
「今現在だけで言えば、携帯からのユーザはまったく重視していない。販売にはほとんど繋がっていない。」
「が、中期的には無視できない。携帯で企業のメッセージ、イメージを伝える努力はこれから重要になってくる。WEBの情報を携帯で出すのではなく、携帯を使うユーザに特化した別の情報を提供することで、効果がある。」
その一方、海外から若い女性向けの商品を並行輸入し販売している会社様ですと、
「携帯で売るのが一番大事。」
「WEBより携帯、ことに深夜のアクセスが非常に多い。」
と、携帯サイトには、積極的に投資をしておられます。
漠然とでも携帯サイトの構築をお考えでしたら、企画・検討段階でも一度お話させていただければと思います。場合によっては、「携帯サイトは、現段階では構築する価値が無い」というアドバイスになるかもしれません。携帯サイト構築の売り上げの多い会社としては、商売として困った話なのですが、「代わりに、こういったことをやりましょう。」というご提案ができるかもしれません。
WEBや携帯に限らず、システム構築の仕事は初期構築だけでは終わりません。長いお付き合いがすることが大事だと思っています。
Subscribe to:
Posts (Atom)
