HOME > サポート > 技術的なFAQ > セキュリティ

技術的なFAQ


Qusestion.1
クライアント証明書は使用できますか?
Answer
使用可能です。
技術的なお問い合わせ
Qusestion.2
バッファオーバフロー防止策について教えて下さい。
Answer
Curlの実行環境上でCurlコードを実行することにおいて特に意識する必要はありません。ただし、Curlの実行環境4.0より外部ライブラリ(DLLファイルなど)へのインターフェースが用意されてますので、これらの機能を利用するときに、外部ライブラリによって不具合を引き起こす可能性がありますので、十分注意する必要があります。
技術的なお問い合わせ
Qusestion.3
Curlのセキュリティについて教えて下さい。
Answer
Curlは、サンドボックスモデルで動作します。これにより悪意のある非特権アプレットがユーザーのシステムに害を与えたり、個人情報を取得、送信することを防ぎます。サーバと通信する時に、暗号化通信HTTPSがご利用できます。
詳しくは次のCurl IDEドキュメントを参照してください:
Curl IDEドキュメント→目次→CURL→Curl 開発者ガイド→コンテンツの構成要素→セキュリティ

Curlの実行環境4.0から、セキュリティが強化されてます。暗号化APIが用意され、クライアントマシンにデータを保存する時に、CurlのAPIを利用して、暗号化してから保存することが可能になります。また、署名付きアプレット機能も標準整備されています。
Curlの開発環境4.0以上をご利用すれば手軽に署名付きアプレットを作成できます。
技術的なお問い合わせ
Qusestion.4
特権ロケーションについて教えて下さい。
Answer
セキュリティ制限を越えて動作する必要があるアプレットのロケーション(場所)のことです。
実行時の特権ロケーションリストに含まれているロケーションからアプレットがロードされた場合、このアプレットに特権が与えられます。Curlの実行環境4.0より、Curlコントロールパネルの特権ロケーションの設定タブに、証明書リストが追加されました。
この証明書リストに登録した証明書によって署名されたアプレットであれば、特権付きアプレットで実行されます。
詳しくは次のCurl IDEドキュメントを参照してください:
Curl IDEドキュメント→目次→CURL→Curl 開発者ガイド→コンテンツの構成要素→セキュリティ
技術的なお問い合わせ
Qusestion.5
パーシスタントデータは暗号化されていますか?
Answer
パーシスタントデータは暗号化されていません。
ただし、Curlの実行環境4.0より暗号化APIが追加されましたので、暗号化をしてファイルに保存するなどセキュアなソリューションを実現することが可能です。
サンプルにつきましては「APPS Gallery」よりご確認ください。
APPS Gallery 【暗号化】別ウィンドウ
技術的なお問い合わせ
Qusestion.6
OpaqueSecurityExceptionというセキュリティーエラーが出ます。なぜでしょうか?
Answer
特権が設定されていない場合に、アプレットがWebサイトへアクセスすることを許可する
curl-access.txtを配置する必要があります。一般公開のWebサイトの場合、curl-access.txtは次のようになります。

version: 2.0
allow-all:

作成したcurl-access.txtは、状況に応じて次のどちらかに置いて下さい。

①Webサイト上の全ファイルを同じアクセスルールの対象にする場合
Webサイトのルートのみに配置
(例 http://www.example.com/curl-access.txt)
②ディレクトリによってアクセスルールを変えたい場合
Curlのアプレットがアクセスしうる全ディレクトリに配置

アクセスを制限したい場合のcurl-access.txtの記述方法など、詳しくは次のCurl IDEドキュメントを参照してください:
Curl IDEドキュメント→目次→CURL→Curl IDE ユーザーガイド→Webサーバーの構成→アプレットがWebサイトのファイルへアクセスする許可
技術的なお問い合わせ