yohgaki's blog

広島で中四国で行われている地域コミュニティが合同で行っているオープンセミナーが11/28（土曜）開催されます。

http://www.postgresql.jp/events/5e835cf630aa30fc30f330bb30df30ca30fc-1/view

ご都合が良い方は是非参加ください。

来る11月28日（土）に（株）SRA西日本会議室（Pルーム）にて
JPUG中国支部主催のオープンセミナーを開催します。
今回はオープンラボ岡山の協力を得、RubyやAndroidの話題も盛り込んでいます。
また、東京から桑村潤氏、石井達夫氏にお越しいただきますので、
興味のある方は是非ご参加ください。

セミナー、懇親会に参加を希望される方は、人数把握のため、三谷(mitani@sraw.co.jp)までメールでお申し込みください。

１．日時：2009年11月28日（土）13時から17時
（開場受付 12:30〜、懇親会 18:00-20:00）
２．場所：（株）SRA西日本　会議室（Pルーム）
広島市南区稲荷町 2-16　広島稲荷町第一生命ビル 10F
http://www.sraw.co.jp/map_hiroshima.html
３．定員：30名
４．会費：無料（懇親会は別途費用）
５．プログラム
13:00-13:25 三谷さん：PostgreSQLのClustering最新動向
13:30-13:55 吉田さん：RubyとPostgreSQLの全文検索　
14:00-14:25 英吉さん：Android Marketの理想と現実
14:30-14:55 大垣さん：SQLインジェクション
15:00-15:50 桑村さん：PL/Proxy,PgBouncerの紹介
16:00-16:50 石井さん：pgpool-II最新情報

OSC Tokyo Fallでは多くの方にプレゼンテーション（SQLインジェクション"ゼロ"のPostgreSQL利用法 - 今更聞けないSQLインジェク ションの現実と対策）を聞いて頂きありがとうございました。気に入って頂けた方も多かったようで何よりです。

何人もの方から「プレゼンファイルは公開するのか？」「プレゼンファイルを公開してほしい」聞いています。

もう直ぐ開催するOSC高知で同じプレゼンを行います。ネタばれプレゼンするのも恥ずかしいのでOSC高知の後にプレゼンファイルは公開します。

11/14(土)
http://www.ospn.jp/osc2009-kochi/

中国／関西からだと高速バスが便利かも。
岡山からは10時前には着くようです。
http://www.jr-shikoku.co.jp/bus/businfo/ryoma_ex/okayama.asp

北や難波から朝でると昼くらいには現地に着きます。
http://www.jr-shikoku.co.jp/bus/businfo/kochi_ex/index.asp

四国や近県の方（関西、中国の方）はOSC高知に是非お越し下さい！

明日のOSC東京Fallでは「SQLインジェクション"ゼロ"のPostgreSQL利用法 - 今更聞けないSQLインジェク ションの現実と対策」と題したセッションを日本PostgreSQLユーザ会の講師として話をさせて頂きます。

SQLインジェクションはとうの昔に枯れた話題と思われていますが、古くても今の問題です。何年か前、日本PostgreSQLユーザ会のセミナーで手作業でのブラインドSQLインジェクションのデモをした事がありますが今回はツールを使ったデモもあります。書いている間に当初作ろうと思っていたプレゼンとは異なる物なってしまいました。多少紹介から期待する内容とは異なっているかも知れません。既にSQLインジェクションについては十分知っている方でも、それなりに(?)楽しめる内容になっていると思います。おかげ様で満員だそうですが、飛び込みでも少しは入れるのかな？

45分なのに60枚もスライドがある上、デモもあります。かなりハイペースで話すことになります。ネットで直ぐに見つかるような基本的な事はあまり書かなかったのですが、無いようで書くとSQLインジェクションについて色々在る物です。多少スライドは飛ばす事になります。

ほぼ同じ内容でOSC高知でも話をさせて頂く予定です。
来たくても来れなかった方は是非高知でお会いしましょう。

この本は今年のPHPカンファレンスで景品として頂いた本です。

CakePHPと言えば「CakeMatsuriTokyo2009」が10/30, 10/31に開催されます。興味がある方、CakePHPによるWeb開発にさらに磨きをかけたい方は参加されてはどうでしょうか?

続きを読む »

本格的にSubversionからGitへの移行を行った際に作ったGit+SSHサーバの手順をWikiに書きました。この手順を実行すると

• SSHの公開鍵を持っているユーザにのみリポジトリへのアクセスを許可
• 複数あるリポジトリへのアクセス許可を個別に設定
• グループを設定して「読み込み」「書き込み」の権限を管理

ができるようになります。

詳しくはWikiのgit sshサーバの構築をご覧下さい。

Subversionの頃はWebDAV+SSL+Basic認証だったので以前と比べればかなり認証の安全性は増したと言えます。

PHP 5.2.11用のStrict Session Patchを公開しました。

http://wiki.ohgaki.net/index.php?PHP%2Fpatch%2FStrictSession

これが無いとセッション管理が面倒です。 どう面倒なのかは既に何度も書いているので省略します。(本当は面倒なだけではないのですが.. ）最新リリースの追随がいつも遅れているので、もし作った方は送って頂けると助かります。

もし問題を発見した場合は教えて下さい。直します。

このパッチを使っているサイト例はこのブログです :)

PHPが文字エンコーディング攻撃に比較的強い理由は入出力の文字エンコーディングのバリデーション（サニタイズ）が行えるだけではありません。PHPが提供するHTMLエスケープ関数が文字エンコーディング攻撃に対して強い事も理由の一つです。

PerlでHTMLエスケープと言えば、<,>,&,",'をエンティティ変換するコードが一番に見つかります。

「perl html escape」でググると一番に見つかったページは次のページです。このページではまだ3バイトEUCの場合の例、CGIモジュールを使った例も載っているので良い方でしょう。

http://saboten009.blogspot.com/2008/04/perlhtml-xss.html

少し前にPerl, Ruby,Pythonユーザは検索で有用なセキュリティ情報を得られるのか？と疑問に思い調べました。これだけ知っていれば取り合えず十分というページはそう簡単には見つかりませんでした。

いつも問題になるのは PHP だけど Perl は問題ないのか、すでに議論し尽くされた問題なのか、PHPer のモラルが低いせいか。

Perl,Ruby, Pythonで議論し尽くされ対策が浸透している、とは到底思えません。Railsで文字エンコーディングを利用したXSS脆弱性が話題になっていることからも明らかです。PHPがいつも問題になるのはよく使われていて、初心者も多く、公開されているWebアプリも圧倒的に多いからです。モラルの問題ではありませんし、このページで紹介されているPerlのエスケープ方法だけではPHPのhtmlentities()やhtmlspecialchars()よりも脆弱です。文字エンコーディングを考慮するようになっていないからです。

続きを読む »

前のエントリで「書かない日記」の名前通り、出力文字エンコーディングのバリデーションについてあまりに書かなさすぎで何の事やら分からない方も居たと思います。もう少し詳しく書きます。出力バッファとエラーハンドラで出力文字エンコーディングを簡単にバリデーションできます。

続きを読む »

リンク: http://www.postgresql.jp/branch/shikoku/300c30aa30fc30f330bb30df30ca30fc2009-5fb35cf6300d958b50ac306e304a77e53089305b/

恒例の「オープンセミナー2009@徳島」が10/3(土曜）に開催されます。毎年パワーアップしている無料セミナーです。徳島近郊の方は是非ご参加ください。転載自由です。興味がある方へお知らせ、転送頂けると助かります。

追記：懇親会費が変更されました！4000円→4500円です。ご注意ください。

続きを読む »

Rails+Ruby 1.9では不正な文字エンコーディング攻撃で脆弱にならない理由を詳しく解説されたブログエントリをまっちゃさんのブログで知りました。 入力で特には何もしていない事は知っていたので、出力時のどこかで全体をチェックできるような仕組みになっているのでは？と思っていたのですが、ETagの値を生成するコードの正規表現で例外が発生する、という事だそうです。

続きを読む »