PEAR AUTHのSQLインジェクション

ちょっと古いネタなのですが古いPEAR AUTHにはSQLインジェクションに対して脆弱です。Blogに書くか迷ったのですがPEARのサイトにはセキュリティ情報のページが無いので書いておきます。PEARをアップデートして使っていれば大丈夫なのですが、運用環境で理由無くライブラリをアップデートしながら使う、と言うことは考えられません。

私はPEARライブラリのヘビーユーザではなく詳しくPEARのセキュリティ情報を収集していませんが、気になったPEARの脆弱性情報はWikiの

PHP/脆弱性リスト/PEAR

に記載しています。このリストには漏れが沢山あると思います。正確なセキュリティ情報がどこかにまとめてあった方が良いですね。でないと知らない間に重要なセキュリティ上の修正があるようでは怖くて使えませんよね。

# Wikiへ変更箇所はメールで受け取っています。
# 追加・修正はご自由に行っていただいても構いません。
# と、いうよりWikiとはそういう物なのでよろしくお願
# いします。

Wikiのページランクが復活

私のWikiはGoogleのページランクが表示されないなと思ったらSEOの基本を忘れていました。
セキュリティなども考えてwikiのURLを

http://www.ohgaki.net/wiki/

から

http://wiki.ohgaki.net/

に変えた際、手っ取り早くApacheのmod_rewriteで旧URLから新URLに書き換えた(Redirectさせた)のですが、これはSEO的にはやってはならない事の一つです。Redirectによるページの更新をするとサーチエンジンスパムが可能になるのでこういった仕様になっているのだと思います。エラーページハンドラを作り「新しいページはこちらです」と新URLへのページを表示する方法を取ればページランクを落とすこと無く引越しできます。しかし、ページランクが表示されていても、されていなくても私のWikiの場合はGoogle検索の順位はあまり変わらなかったようです。新旧ページがほとんど同じだったので救済策(?)として検索結果順位は変わらなかったのかもしれません。世の中にはRedirectによる引越しでGoogle八分状態になったサイトもあるようなので商用サイトの場合はRedirectによる引越しには注意しましょう。

Googleのクローラは毎日来ているようなのですが、Redirectを止めてからページランクが復活するまでにかなり時間がかかります。これは私のWikiの場合に限らず時間がかかるようです。顧客のサイト/ページでやってしまうと面倒なことにもなりかねないので注意が必用ですね。

嘘のような本当の話?

CentOSのApacheのデフォルトページが表示され、クラックされたと思い込んだユーザとCentOSプロジェクトスタッフとのやり取りの話。わざわざ嘘を載せたりするとは思えないので本当なのでしょう…

英語のメールを読む方はどうぞ。

GoogleのAdWords広告の問題

GoogleのAdWordsにおかしな広告が載っている、という話。
確かに日本ではあまり話題になっていなかったです。本当にAdWordsに掲載する方法は振り込め詐欺にも似た感じを持ちます。Googleも全ての広告主がまっとうな広告主なのか、低コストで、検証する方法は無いでしょうからおかしな広告主がいる事は簡単に予想できます。あまりに酷いと「不正な広告主をレポート!」の様な仕組みを作るかもしれませんが、このような機能は心無い競争相手により悪用されてしまう事が容易に想像できます。難しいですね。

ところでスパイウェアの中にはWebページのAdWords広告を書き換える物もある、と聞いた事があります。こちらの場合は丸っきり書き換えているのでGoogleとは関係ありません。

Web Hacking Incidents Database

Web Application Security ConsortiumがWeb Hacking Incidents Database (whid)のアナウンスがありました。Defacement(ページ改ざん)データベースで有名なZone-Hとは異なるアプローチのデータベースです。全てのインシデントを記録する、と言うよりメンテナが気になった(気が付いた?)問題を記録しているようです。例えば、2006年のエントリではGoogleのHTTP Response Splitting問題は記載されていますがgmailのXSS問題は記載されていません。コントリビュータが2人となっているので単なるリソース不足が問題のような気がします。興味がある方はコントリビュータとして立候補されてはいかがでしょうか?

それでもIEを使いますか?

IEは危険すぎるので使わない方が良いと言っています。過去の実績から言っても明らかです。2004年には1年の内、98%の期間、既知のセキュリティホールに対して脆弱だったとされています。

MSIE was 98% unsafe. There were only 7 days in 2004 without an unpatched publicly disclosed security hole.

Firefox was 15% unsafe. There were 56 days with an unpatched publicly disclosed security hole. 30 of those days were a Mac hole that only affected Mac users. Windows Firefox was 7% unsafe.

さすがにセキュリティホールのレポートが少なくなってきたかな、と昨年末頃には思っていたのですが、最近はすごい事になっています。危険なIEのセキュリティホールが次々に発見されています。

セキュリティ系MLでも書かれていましたが明日にもセキュリティパッチがリリースされる模様です。

Firefoxでは参照できないサイトもIE Viewをインストールしていればさほど困りません。

注意しなければいけないのはFirefoxを使っていても一年の内15%ほど期間な期間があった事です。エンドユーザ教育として「Winnyをインストールしない・使わない」と教えるのも良いですが「ブラウザは危険です」と教える必用があるかと…

# 多くのWebサイトがかなり危険な状態である事も教える必用がありますね…

電子政府は使えない

Slashdotに

25日の朝日新聞に電子政府も縦割り弊害 各種申請、同一PCで無理という記事が出ている。記事には日本行政書士会連合会の話として、新車登録のための設定をしたパソコンでは不動産・商業登記の申請や国交省の電子入札ができなくなり、公的個人認証を使用するパソコンでは不動産登記ができなくなるそうだ。

こんなのは随分前から分かっていて、入札システムなど使っている方にはVMWareを使うようにアドバイスしています。しかし、素人が新しいVMを作るのは結構難しいと思います。

本当は最新版のJREで動作するようにメンテナンスするべきですけどね…

Internetを使った株価操作

私が受信する最近のSPAMメールの傾向に、株価操作を狙ったSPAMメールが増えています。

ほとんどは単価が安い数ドルの株で、「現在の株価は3ドルで1週間後のターゲットは5ドル!」とか書いてあります。このようなSPAMで株価が変動すると困るのですが、投資家も馬鹿ではないのでこのようなメールを送っても株価の変動はほとんど無いようなので一安心です。

気が向いたのでNSLT(よくSPAMメールに記載されている会社)をGoogle Financeで検索してみると結果が表示されません。もしかしてもう潰れたかな?と思いつつYahoo Financeで検索すると表示されました。

株価操作を狙ったSPAMメールを送信するとGoogle Finance八分される(?)のかも知れませんね。# それとも単純にデータ登録がないだけかな?

遅いWindowsの共有フォルダ

前にもクライアント側でWebClientが有効な場合、Windowsの共有フォルダへのアクセスが遅くなる、と書きました。

なんだか最近Windows 2003 Serverの共有が耐え難い程遅くなってきていたので、久しぶりに様子を見てみると自動のWindowsアップデートに何故か失敗していました。再起動が必用かな、と思い再起動後に手動でWindowsアップデート(正確にはMicrosoft Updateにバージョンアップした後Microsoftアップデート)を実行したところ全てのパッチが正常に適用されました。

ついでということでWindows 2003 Server SP1も導入する事にしました。正常にインストールできたようですが、再起動すると起動中の画面でフリーズしてしまいました。SFUを入れている以外は素のWindows Serverでプリント・ファイルサーバとしてしか使っていないのに… と思いつつ強制的に再起動すると今度は普通に立ち上がって来ました。

しかし、ログインしてみるとspxss.exeがクラッシュしたとメッセージが… 何度再起動してもこのサービスはクラッシュしますが、POSIXサブシステムのプロセスらしいのでとりあえず無視。

クライアントから共有ファイルへアクセスしてみると、何故か共有フォルダへのアクセス速度が「普通」に戻っていました。SP1を当てていなかったことが共有フォルダへのアクセスが遅い原因(?)だったようです。# 少なくとも私の環境では。

Sendmailにセキュリティホール

OSVDBに1983年に登録されたとされる”SendmailのUnspecified Overflow“のエントリ他3つが更新されていたので、またSendmailにセキュリティホールかな?と思っていたら色々なディストリビューションからアドバイザリが出始めました。sendmailのホームページにもアドバイザリが記載されています。

任意コマンド実行など危険性が高いセキュリティホールなのでsendmailを使っている方は直ぐにアップグレードが必要です。

# Sendmail 8.13.6 is available (2006-03-22); it contains a fix for a security problem discovered by Mark Dowd of ISS X-Force. Sendmail urges all users of sendmail 8 to upgrade to sendmail 8.13.6.
If you cannot upgrade to 8.13.6, then you can apply a patch to 8.13.5, or a patch for 8.12.11. Note: these patches do not apply cleanly to older versions; moreover, they may not even work properly due to other changes that have been made in the latest versions. Hence we strongly suggest all users of sendmail 8 to upgrade to sendmail 8.13.6.
For those not running the open source version, check with your vendor for a patch. If you use the commercial version from Sendmail, Inc. then please see their advisory.

出展: http://www.sendmail.org/

Sendmail.comのアドバイザリ:
http://www.sendmail.com/company/advisory/index.shtml

ちなみに私はqmail派です。qmailはアップグレードの必要が無いのでその意味では楽です。

全ての国内電話番号が10桁に

Webシステムの開発に限った事ではありませんが、入力チェックが少し簡単になります。来年から全ての国内の電話番号が10桁になるようです。最後の9桁地域は箱根だそうです。9桁から10桁になるのは来年の2月25日から。

9桁から10桁への移行は1961年からの開始したそうですが半世紀近い時間がかかっていますね。

Google Finance

Googleが金融情報サービスを開始したようです。

ちなみにMSFTの場合
http://finance.google.com/finance?q=MSFT&btnG=Search
な感じで表示されます。

ちょっと変わった所では取締役の名前の上にマウスカーソルを置くと写真や説明などが参照できます。グラフの部分にマウスカーソルを持っていくとJavaScriptFlashが使われている事が分かります。FF1.5では時々グラフの更新に問題があるようです。

グラフはAJAXで作っていると思い込んでいたので、最初はここまでAJAXでやるか!と思いましたが流石にAJAXであそこまでやるのは難しかったようですね。

書籍のサンプルプログラムをダウンロードできるようにしました

重い腰を上げて「Webアプリセキュリティ対策入門」と「はじめてのPHP言語プログラミング入門」のサンプルプログラムをWikiからダウンロード出来るようにしました。特に「はじめてのPHP言語プログラミング入門」は出版からかなりの時間が経過してしまいました。申し訳ございません。

Wikiのページへのリンク

はじめてのPHP言語プログラミング入門

Webアプリセキュリティ対策入門

文脈認識

文脈認識技術とは、顔認識技術を強化したようなものだという。Riyaのソフトウェアは人物の顔を調べるほか、その人物がきているシャツなど、他の手がかりも利用して似たものを見つけ出す。さらに、このソフトウェアは画像の中にあるテキストも探すため、たとえば「フロリダへようこそ」という看板の横に立つ人物の写真は、「フロリダ」というキーワードで見つけ出せるという。

不勉強なもので知りませんでした。

http://www.riya.com/

がそのサイトだそうですが今アクセスしてみるとバグ(?)で使えませんでした… そういう事もありますよね。バグ(?)のおかげでResinがサーバであることが判りました。

しかしこの技術とサイト、爆発的な人気を呼ぶ可能性がありますね。

Wikiを復旧

先日、PHPをPHP 5.0.6相当からPHP 5.1.3相当にバージョンアップしたところ一部に動作不良があったのでデバッグしていたコードの消し忘れがありました。コンテンツに”AAAAAAA”と表示して終了している状態になっていました。デバッグ途中で時間が来たのでデバッグコードが残ったものrsyncしたようです。(汗

現在は直っていますが、PHP 5.0.6からPHP 5.1.3相当へのバージョンアップでは思いもよらない部分で問題が発生したりしました。

if (expr) expr;

と{}でブロックにしていないと文法的には正しくてもT_ELSEが無いとエラーになったりしていました。エラーが発生する場合と発生しない場合があります。全てのブロック無しif文でエラーが発生する訳ではありません。

コーディングスタイルを

if (expr) {
expr;
}

としているので気が付きませんでした。

date関数のオプションの取り扱いが微妙に違うか、壊れているかで日付判定もおかしくなっていたのですがこちらは詳しく調べていません。(AAAAAAと表示されていた件がデバッグ用のコードdie(‘AAAAAAAAAA’)でした)

追記:
テストも兼ねてohgaki.netのPHPは5.1.3相当にしています。もし、Wiki、Blogでおかしな動作(空白ページなど)を見つけたら教えてください。

OWASPガイドの日本語訳

Webシステムを開発している方は必読のSWASP Guideの日本語訳がリリースされているようです。実は1.1は私も読んでいません。さっき日本語版の目次を見たらページ数が随分すくななりすっきりしたような感じでしたが、必用な項目は含まれているように思えました。ダウンロードしたので時間があるときに読むことにします。

Zend Framework 0.1.2リリース

3/8にZend Framework 0.1.2リリースされています。

解凍すると10MBくらいになります。ドキュメント、テストコードなども含まれているのでフレームワーク本体は2MBくらいのようです。さっと見た程度ですがよく出来ていそうな感じです。PHP5以上が必要です。多分PHP5.1でないと動作しないように思えます。(確かめていません)

http://devzone.zend.com/

はZend Frameworkで作られているそうです。