Archives for: 2008年July

PHPプロジェクトのセキュリティに対する姿勢

July 29th, 2008

久しぶりにPHPプロジェクトに貢献すべく、私が確認したセキュリティ上の問題をPHP Security Response Teamに送りました。

具体的な対応については準備が整ってからにしますが、まずは大まかな感想だけ書きます。

PHPのセキュリティは随分改善された、とお墨付きをScanの報告書「Open Source Software 2008」で貰っており、バッファオーバーフロー等の欠陥コード減っているのは事実です。Month of PHP Bug (MOPB)でセキュリティレスポンスチームのセキュリティ意識も改善されたと思っていました。

まだメールのやり取りをしている段階なので断定できませんが、セキュリティに対する意識の改善は十分では無いと言えるようです。

詳しい状況や事情、セキュリティの問題などは8月の終わりくらいには書けるかも知れません。

Posted in Security, PHP | PermalinkPermalink | Send feedback »

PHP 4.4.8用のStrict Sessionパッチ

July 15th, 2008

桝形さんから

http://blog.ohgaki.net/php-5-2-strict-session 

で公開したパッチのPHP4.4.8版を送っていただきました。私のWikiにも添付ファイルとして掲載させていただきました。

http://d.hatena.ne.jp/masugata/20080714#p2

に掲載されているパッチと同じパッチです。

私は全てのPHPユーザがStrict Sessionパッチ適用すべきと考えています。詳しくはWikiをご覧ください。

http://wiki.ohgaki.net/index.php?PHP%2Fpatch%2FStrictSession

桝形さん、パッチありがとうございました。

Posted in Security, PHP, Webシステム開発 | PermalinkPermalink | 1 feedback »

PHP 5.2用のStrict Sessionパッチ

July 12th, 2008

随分前からバージョンアップしたパッチ公開しないと、と思いつつ遅れていました。PHP 5.2.6用の厳格なセッション管理を行うパッチを公開しました。詳しくはWikiをご覧下さい。

http://wiki.ohgaki.net/index.php?PHP%2Fpatch%2FStrictSession

他のネットワークからパッチをダウンロードしようとして、セキュリティ強化の為にPukiwikiのattachモジュールのカスタマイズで添付ファイルのダウンロードが出来なくなっていました。これも修正しました。

このパッチを摘要するとmake testのsession関連のテストがエラーになりますが、気にする必要はありません。テストの内容をみるとこれらのテストは本来失敗すべきであることが分かります。

Posted in Security, PHP | PermalinkPermalink | Send feedback »