個人的なメモと備忘録 2005年 2月

HOME | LastUpdate: 2005-02-27

目次


2005.02.27(Sun)

>>セキュリティ関係

*PuTTY

PuTTY に2つのセキュリティ問題が報告されています。PuTTY のコードなどを利用しているツールでも影響を受ける可能性があるそうですので、確認と、必要であれば、アップデートを行っておくと安全です。

*その他

>>気になったニュース、ツールなど

▲ 目次へ戻る


2005.02.20(Sun)

PHP マニュアルを表示する Vim スクリプトを更新して、カラー表示に対応させてみました。

wwwcheck.php で簡単な Cross-Site Request Forgery(CSRF) 問題への対処を行いました。もし、このツールを使用している方がおられましたら、できる限りアップデートを行ってください。

>>PHP 関連

>>セキュリティ関係

*その他

>>気になったニュース、ツールなど

▲ 目次へ戻る


2005.02.13(Sun)

>>PHP 関連

>>セキュリティ関係

*Windows

多くのセキュリティ問題に対する修正プログラムが公開されました。非常に危険性の高い問題の修正も含まれますのでアップデートを行っておいた方が安全です。

2005 年 2 月のセキュリティ情報 (Microsoft) に必要な情報がまとまっています。

*Mozilla

Mozilla や Firefox に 3 つのセキュリティ問題が報告されています。修正されたバージョンはまだ公開されていませんが、CVS 上では修正されているそうです。これらの問題は Mozilla 1.7.5、Firefox 1.0、Netscape 7.2 で確認されています。

  • 通常、Mozilla や Firefox はブラウザに表示されている実行ファイルをドラッグアンドドロップした場合、ショートカットが コピーされるだけになっています。それが、中に実行ファイル(例えば bat ファイルなど)を埋め込んだ画像をブラウザから ドラッグアンドドロップした場合、ファイルをコピーしてしまいます。 それをダブルクリックすると、危険なコードを実行してしまう可能性があるという問題です。

    http://www.mikx.de/index.php?p=8

  • 通常、Javascript security manager の機能により、あるホストから開かれた javascrpt: から始まる URI は 別のホストから表示されている内容に対して Javascript を動作させられないように制限されています。 それがタブにドラッグアンドドロップされたリンクではその制限が働かないという問題です。

    http://www.mikx.de/index.php?p=9

  • Flash や -moz-opacity フィルタなどのプラグインを使用することによって、about:config などの本来は 表示されるべきではないページを iframe などに表示させることが可能という問題です。 これによって、プラグインが勝手にブラウザ設定を変更することはできないようですが、 ユーザに設定を変更するなどの指示を出して、ユーザ自身に設定を書き換えさせることは可能だそうです。

    http://www.mikx.de/index.php?p=9

>>気になったニュース、ツールなど

▲ 目次へ戻る


2005.02.06(Sun)

>>PHP 関連

*PHP Security Consortium

PHP Security Consortium という団体が設立されました。現在は多くの PHP のセキュリティ関連の文書などが公開されています。

PHP Security Consortium: Projects には、PHP Security Guide が追加され、PHP で気を付けるべきセキュリティ問題についての詳しい解説があります。セキュリティ問題の基本的な部分についてはこれだけで十分だと思います。

PHP Security Consortium: Library には、PHP 関連のセキュリティ情報のリンク集があります。リンク先では勉強になる情報が多く集められています。

また、PHP Security Consortium: Articles には、Using PEAR's Text_CAPTCHA to Secure Web Forms という記事が追加されています。

この記事では GD ライブラリを使用して、ランダム文字列の画像を作成する PEAR ライブラリについての解説がされています。このライブラリを使用すると、PHP でパスワードを画像で表示するなどの機能が簡単に作成できるようになります。認証に画像を取り入れることにより、効果的に不正 ID 取得などを行うロボットに悪用されることを防ぐ事ができるようになります。

ただ、最近はこのような画像や音声を認証に使用することの問題について議論がありますので、安易に画像認証を使用するというのは止めておいた方が良いかもしれません。

*PHP 関連その他

気になった PHP 関連の話題のメモです。

  • PHP 101 (part 12): Bugging Out

    PHP 4 と PHP 5 でのエラーハンドリングについて。

  • Referer Buys You Nothing (Chris Shiflett's Blog)

    フォーム情報のなりすまし(Cross-Site Request Forgery(CSRF) や フォーム情報の改竄)を防止するのに Referer のチェックを行うという対処方法は役に立たないということが指摘されています。

    この問題に対する対処方法として、トークンを発行し、セッション情報とフォームの hidden にトークンを設定して、POST 時にこれらの文字列が一致することを確認するという方法が挙げられています。

  • gonzui 0.4

    ソースコード検索エンジンの gonzui がバージョン 0.4 で PHP のソースコード検索に対応したようです。

>>セキュリティ関係

*その他

>>気になったニュース、ツールなど

▲ 目次へ戻る


更新履歴

2005.02.20

2005年 2月20日分を追加。

2005.02.13

2005年 2月13日分を追加。

2005.02.06

このページを作成。2005年 2月 6日分を追加。

▲ 目次へ戻る

LastUpdate: 2005-02-27 | HOME