昨日のブログエントリ「PHP5.3.7のcrypt関数に致命的な脆弱性(Bug #55439)」にて、crypt関数の重大な脆弱性について報告しました。脆弱性の出方が近年まれに見るほどのものだったので、twitterやブクマなどを見ても、「どうしてこうなった」という疑問を多数目にしました。 そこで、このエントリでは、この脆弱性がどのように混入したのかを追ってみたいと思います。 PHPのレポジトリのログや公開されているソースの状況から、PHP5.3.7RC4までこのバグはなく、PHP5.3.7RC5でこのバグが混入した模様です。RC5はPHP5.3.7最後のRelease Candidateですから、まさに正式リリースの直前でバグが入ったことになります。 バグの入る直前のソースは、ここの関数php_md5_crypt_rから参照することができます。以下に、おおまかな流れを図示します。まずはバ
このページについての説明・注意など PHP は、Apache モジュールや、CGI、コマンドラインとして使用できるスクリプト言語です。このページでは、主に PHP における、Web アプリケーションのセキュリティ問題についてまとめています。 Web アプリケーションのセキュリティ問題としては、以下の問題についてよく取り挙げられていると思いますが、これらのセキュリティ問題について調べたことや、これら以外でも、PHP に関連しているセキュリティ問題について知っていることについてメモしておきます。 クロスサイトスクリプティング SQL インジェクション パス・トラバーサル(ディレクトリ・トラバーサル) セッションハイジャック コマンドインジェクション また、PHP マニュアル : セキュリティや、PHP Security Guide (PHP Security Consortium) には、PH
GT Nitro: Car Game Drag Raceは、典型的なカーゲームではありません。これはスピード、パワー、スキル全開のカーレースゲームです。ブレーキは忘れて、これはドラッグレース、ベイビー!古典的なクラシックから未来的なビーストまで、最もクールで速い車とカーレースできます。スティックシフトをマスターし、ニトロを賢く使って競争を打ち破る必要があります。このカーレースゲームはそのリアルな物理学と素晴らしいグラフィックスであなたの心を爆発させます。これまでプレイしたことのないようなものです。 GT Nitroは、リフレックスとタイミングを試すカーレースゲームです。正しい瞬間にギアをシフトし、ガスを思い切り踏む必要があります。また、大物たちと競いつつ、車のチューニングとアップグレードも行わなければなりません。世界中で最高のドライバーと車とカーレースに挑むことになり、ドラッグレースの王冠
Keitaです。 携帯画像で待ち受け画像などで、ダウンロードはできるけどメールに添付できないタイプの画像があるとおもいます。 ここらへんどうやるか、気になって調べてみると、 Docomoと、AUは画像のコメント部分に、それぞれ、特定の文字列を入れれればいいようで、 Docomoの場合「copy="NO"」、KDDIの場合「kddi_copyright=on」を追加することでで、携帯でダウンロードできるが、メールなどで転送できない画像が作れました。 具体的に、MagickWand For PHPを使う場合には以下のような感じでヘッダを埋め込みます。 <?php $image = NewMagickWand(); MagickReadImage($image, 'Keita_s.jpg'); MagickCommentImage($image, 'kddi_copyright=on,
yukiです。 今回はPHPでSSL通信したい時の注意点などを紹介します。 PHPでSSL通信を行う際には、 fsockopenpfsockopenfile_get_contentsfopenstream_socket_client など様々であり、利用する場面がありますが、SSL通信が許可されている必要があります。 よくHTTP_Requestなどを利用してPOSTしたいがhttpsだとうまくいかない!という記事を見かけますが、参考になればと思います。 * allow_url_fopenが有効かどうか 上記の関数についてfile_get_contents・fopenでは上記設定が有効かを調べます。 php.iniで設定されていますが、通常デフォルトで使用可能なのですが、レンタルサーバーなどでは使えないこともありますので調べてみましょう。 phpinfo()関数を利用するか
Photo Location Maroon Bells, CO 39.0494° N 107.0195° W “Nothing makes the earth seem so spacious as to have friends at a distance; they make the latitudes and longitudes.” · HENRY DAVID THOREAU 05 Oct 2006 Stephen de Vries sent an email to SecurityFocus's web application security mailing list earlier today to comment on the new Google Code Search: Google's code search provides an easy way to find
こんにちは,ttsuruoka です. 会員制のサイトなどを作るとき, ユーザー登録時に仮のパスワードを発行したいときがあります. そういうときに便利なのが PEAR::Text_Password です. こんな感じで使えます: $passwd = Text_Password::create(); echo $passwd; // 出力 : // praimifrou デフォルトでは覚えやすい(発音可能な)10 文字のパスワードを生成しますが, 以下のようにすると複雑なパスワードも生成できます: $passwd = Text_Password::create(16, 'unpronounceable'); echo $passwd; // 出力(16文字の発音不可能なパスワード): // mArR99H3ZN#JsuK%
Disclosure: Privacy Australia is community-supported. We may earn a commission when you buy a VPN through one of our links. Learn more. In an effort to highlight sound security practices in PHP development, we publish articles that exhibit a high level of quality and accuracy. These articles can be written by members of the general PHP community but are subject to Consortium approval. The followin
何でもかんでも3行にまとめて、読む時間を節約するというアイデア。 GIGAZINEの記事経由で知った記事。RSSリーダ作成には興味があったため読んでみました。その内容については・・・よろしくないことが普通にかかれています。 件の記事で作ろうとしているものはRSSリーダーですが、Ajax―つまりWebブラウザ側―でRSSをどうにかする式のものです。 このたった一言で読者の50%には何となくイヤな予感がよぎっているのではないかと思ったりもします。 さて、先に書いたとおり記事にあるRSSリーダーはAjaxでサーバからRSSをとってくる仕組みです。しかしながら一般的にAjaxと呼ばれる技術で使うXMLHttpRequestなどは異なるドメインにアクセスすることをセキュリティ上の観点から許可していません。そうなるとWebブラウザベースのRSSリーダーとしては大変困るわけです。RSSを読みたいのに他の
JamesDam.com ? AJAX Login System Demo This is an example of a login system that does not require page refreshes, but is still very secure. Ajax+PHPでの画面遷移なしのログイン画面作成サンプルが公開されています。 フォームに、user1, pass1 を入力すると即時認証が行われ、次のようにログイン状態になります。 認証には、Ajaxを使ったワンタイムパスワード方式が使われます。 具体的には、Ajaxでサーバからチャレンジコードを取得し、チャレンジコードとパスワードをmd5でハッシュして、更にその値をサーバに送信し、認証を取ります。 このため、従来の方式よりは安全な認証が可能となります。 Ajaxが出てきたことで、ブラウザを開いたままの状態でインタ
Posted by: Hirotaka Ogawa @ December 28, 2005 06:43 PM | 隣のオフィスの人がこんなことを書いていました: 高木浩光@自宅の日記 - プログラミング解説書籍の脆弱性をどうするか, 「サニタイズ言うなキャンペーン」とは何か, ASPとかJSPとかPHPとかERBとか、逆だ.. なるほどね、「サニタイズ言うなキャンペーン」とはそういう意味でしたか。私自身、PHPやPerlで適当に書き散らしたものをこのブログで公開してしまっているわけでそれらについてすべてケアできているとは到底思えない、これから気をつけようと思いました(笑)。 で、やっぱり思ったのは、PHPにしろPerlにしろSQLにしろ、String Processingの範疇にあるプログラムは、ほとんど常に処理中の文字列が指し示す「型」を意識しなければ作れないにも関わらず、最もベーシック
■ プログラミング解説書籍の脆弱性をどうするか 印刷されて流通する書籍に脆弱性がある、つまり掲載されているサンプルコードにズバリ脆弱性があるとか、脆弱性を産みやすいコーディングスタイルを身につけさせている解説があり、それが脆弱なプログラマを生産し続ける根源になっている問題は、「なんとかしないといけないねえ」と以前から言われてきた。 ソフトウェア製品の脆弱性は、指摘があればパッチが提供されたり修正版に差し替えられたりするが、書籍の脆弱性はどうか。正誤表が差し込まれるとか、回収する措置がとられるかというと、それは望めそうにない。言論には言論で対抗すればよいということになるだろうか。 久しぶりにいくつかの書籍について調べてみた。先月園田さんの日記などで比較的評判良く紹介されていた2冊を読んだ。 山本勇, PHP実践のツボ セキュアプログラミング編, 九天社, 2004年6月 GIJOE, PHP
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
