月: 2006年3月

PEAR AUTHのSQLインジェクション

ちょっと古いネタなのですが古いPEAR AUTHにはSQLインジェクションに対して脆弱です。Blogに書くか迷ったのですがPEARのサイトにはセキュリティ情報のページが無いので書いておきます。PEARをアップデートして使っていれば大丈夫なのですが、運用環境で理由無くライブラリをアップデートしながら使う、と言うことは考えられません。

私はPEARライブラリのヘビーユーザではなく詳しくPEARのセキュリティ情報を収集していませんが、気になったPEARの脆弱性情報はWikiの

PHP/脆弱性リスト/PEAR

に記載しています。このリストには漏れが沢山あると思います。正確なセキュリティ情報がどこかにまとめてあった方が良いですね。でないと知らない間に重要なセキュリティ上の修正があるようでは怖くて使えませんよね。

# Wikiへ変更箇所はメールで受け取っています。
# 追加・修正はご自由に行っていただいても構いません。
# と、いうよりWikiとはそういう物なのでよろしくお願
# いします。

Wikiのページランクが復活

私のWikiはGoogleのページランクが表示されないなと思ったらSEOの基本を忘れていました。
セキュリティなども考えてwikiのURLを

http://www.ohgaki.net/wiki/

から

http://wiki.ohgaki.net/

に変えた際、手っ取り早くApacheのmod_rewriteで旧URLから新URLに書き換えた(Redirectさせた)のですが、これはSEO的にはやってはならない事の一つです。Redirectによるページの更新をするとサーチエンジンスパムが可能になるのでこういった仕様になっているのだと思います。エラーページハンドラを作り「新しいページはこちらです」と新URLへのページを表示する方法を取ればページランクを落とすこと無く引越しできます。しかし、ページランクが表示されていても、されていなくても私のWikiの場合はGoogle検索の順位はあまり変わらなかったようです。新旧ページがほとんど同じだったので救済策(?)として検索結果順位は変わらなかったのかもしれません。世の中にはRedirectによる引越しでGoogle八分状態になったサイトもあるようなので商用サイトの場合はRedirectによる引越しには注意しましょう。

Googleのクローラは毎日来ているようなのですが、Redirectを止めてからページランクが復活するまでにかなり時間がかかります。これは私のWikiの場合に限らず時間がかかるようです。顧客のサイト/ページでやってしまうと面倒なことにもなりかねないので注意が必用ですね。

嘘のような本当の話?

CentOSのApacheのデフォルトページが表示され、クラックされたと思い込んだユーザとCentOSプロジェクトスタッフとのやり取りの話。わざわざ嘘を載せたりするとは思えないので本当なのでしょう…

英語のメールを読む方はどうぞ。

GoogleのAdWords広告の問題

GoogleのAdWordsにおかしな広告が載っている、という話。
確かに日本ではあまり話題になっていなかったです。本当にAdWordsに掲載する方法は振り込め詐欺にも似た感じを持ちます。Googleも全ての広告主がまっとうな広告主なのか、低コストで、検証する方法は無いでしょうからおかしな広告主がいる事は簡単に予想できます。あまりに酷いと「不正な広告主をレポート!」の様な仕組みを作るかもしれませんが、このような機能は心無い競争相手により悪用されてしまう事が容易に想像できます。難しいですね。

ところでスパイウェアの中にはWebページのAdWords広告を書き換える物もある、と聞いた事があります。こちらの場合は丸っきり書き換えているのでGoogleとは関係ありません。

Web Hacking Incidents Database

Web Application Security ConsortiumがWeb Hacking Incidents Database (whid)のアナウンスがありました。Defacement(ページ改ざん)データベースで有名なZone-Hとは異なるアプローチのデータベースです。全てのインシデントを記録する、と言うよりメンテナが気になった(気が付いた?)問題を記録しているようです。例えば、2006年のエントリではGoogleのHTTP Response Splitting問題は記載されていますがgmailのXSS問題は記載されていません。コントリビュータが2人となっているので単なるリソース不足が問題のような気がします。興味がある方はコントリビュータとして立候補されてはいかがでしょうか?

それでもIEを使いますか?

IEは危険すぎるので使わない方が良いと言っています。過去の実績から言っても明らかです。2004年には1年の内、98%の期間、既知のセキュリティホールに対して脆弱だったとされています。

MSIE was 98% unsafe. There were only 7 days in 2004 without an unpatched publicly disclosed security hole.

Firefox was 15% unsafe. There were 56 days with an unpatched publicly disclosed security hole. 30 of those days were a Mac hole that only affected Mac users. Windows Firefox was 7% unsafe.

さすがにセキュリティホールのレポートが少なくなってきたかな、と昨年末頃には思っていたのですが、最近はすごい事になっています。危険なIEのセキュリティホールが次々に発見されています。

セキュリティ系MLでも書かれていましたが明日にもセキュリティパッチがリリースされる模様です。

Firefoxでは参照できないサイトもIE Viewをインストールしていればさほど困りません。

注意しなければいけないのはFirefoxを使っていても一年の内15%ほど期間な期間があった事です。エンドユーザ教育として「Winnyをインストールしない・使わない」と教えるのも良いですが「ブラウザは危険です」と教える必用があるかと…

# 多くのWebサイトがかなり危険な状態である事も教える必用がありますね…

電子政府は使えない

Slashdotに

25日の朝日新聞に電子政府も縦割り弊害 各種申請、同一PCで無理という記事が出ている。記事には日本行政書士会連合会の話として、新車登録のための設定をしたパソコンでは不動産・商業登記の申請や国交省の電子入札ができなくなり、公的個人認証を使用するパソコンでは不動産登記ができなくなるそうだ。

こんなのは随分前から分かっていて、入札システムなど使っている方にはVMWareを使うようにアドバイスしています。しかし、素人が新しいVMを作るのは結構難しいと思います。

本当は最新版のJREで動作するようにメンテナンスするべきですけどね…

Internetを使った株価操作

私が受信する最近のSPAMメールの傾向に、株価操作を狙ったSPAMメールが増えています。

ほとんどは単価が安い数ドルの株で、「現在の株価は3ドルで1週間後のターゲットは5ドル!」とか書いてあります。このようなSPAMで株価が変動すると困るのですが、投資家も馬鹿ではないのでこのようなメールを送っても株価の変動はほとんど無いようなので一安心です。

気が向いたのでNSLT(よくSPAMメールに記載されている会社)をGoogle Financeで検索してみると結果が表示されません。もしかしてもう潰れたかな?と思いつつYahoo Financeで検索すると表示されました。

株価操作を狙ったSPAMメールを送信するとGoogle Finance八分される(?)のかも知れませんね。# それとも単純にデータ登録がないだけかな?

遅いWindowsの共有フォルダ

前にもクライアント側でWebClientが有効な場合、Windowsの共有フォルダへのアクセスが遅くなる、と書きました。

なんだか最近Windows 2003 Serverの共有が耐え難い程遅くなってきていたので、久しぶりに様子を見てみると自動のWindowsアップデートに何故か失敗していました。再起動が必用かな、と思い再起動後に手動でWindowsアップデート(正確にはMicrosoft Updateにバージョンアップした後Microsoftアップデート)を実行したところ全てのパッチが正常に適用されました。

ついでということでWindows 2003 Server SP1も導入する事にしました。正常にインストールできたようですが、再起動すると起動中の画面でフリーズしてしまいました。SFUを入れている以外は素のWindows Serverでプリント・ファイルサーバとしてしか使っていないのに… と思いつつ強制的に再起動すると今度は普通に立ち上がって来ました。

しかし、ログインしてみるとspxss.exeがクラッシュしたとメッセージが… 何度再起動してもこのサービスはクラッシュしますが、POSIXサブシステムのプロセスらしいのでとりあえず無視。

クライアントから共有ファイルへアクセスしてみると、何故か共有フォルダへのアクセス速度が「普通」に戻っていました。SP1を当てていなかったことが共有フォルダへのアクセスが遅い原因(?)だったようです。# 少なくとも私の環境では。

Sendmailにセキュリティホール

OSVDBに1983年に登録されたとされる”SendmailのUnspecified Overflow“のエントリ他3つが更新されていたので、またSendmailにセキュリティホールかな?と思っていたら色々なディストリビューションからアドバイザリが出始めました。sendmailのホームページにもアドバイザリが記載されています。

任意コマンド実行など危険性が高いセキュリティホールなのでsendmailを使っている方は直ぐにアップグレードが必要です。

# Sendmail 8.13.6 is available (2006-03-22); it contains a fix for a security problem discovered by Mark Dowd of ISS X-Force. Sendmail urges all users of sendmail 8 to upgrade to sendmail 8.13.6.
If you cannot upgrade to 8.13.6, then you can apply a patch to 8.13.5, or a patch for 8.12.11. Note: these patches do not apply cleanly to older versions; moreover, they may not even work properly due to other changes that have been made in the latest versions. Hence we strongly suggest all users of sendmail 8 to upgrade to sendmail 8.13.6.
For those not running the open source version, check with your vendor for a patch. If you use the commercial version from Sendmail, Inc. then please see their advisory.

出展: http://www.sendmail.org/

Sendmail.comのアドバイザリ:
http://www.sendmail.com/company/advisory/index.shtml

ちなみに私はqmail派です。qmailはアップグレードの必要が無いのでその意味では楽です。

全ての国内電話番号が10桁に

Webシステムの開発に限った事ではありませんが、入力チェックが少し簡単になります。来年から全ての国内の電話番号が10桁になるようです。最後の9桁地域は箱根だそうです。9桁から10桁になるのは来年の2月25日から。

9桁から10桁への移行は1961年からの開始したそうですが半世紀近い時間がかかっていますね。

Google Finance

Googleが金融情報サービスを開始したようです。

ちなみにMSFTの場合
http://finance.google.com/finance?q=MSFT&btnG=Search
な感じで表示されます。

ちょっと変わった所では取締役の名前の上にマウスカーソルを置くと写真や説明などが参照できます。グラフの部分にマウスカーソルを持っていくとJavaScriptFlashが使われている事が分かります。FF1.5では時々グラフの更新に問題があるようです。

グラフはAJAXで作っていると思い込んでいたので、最初はここまでAJAXでやるか!と思いましたが流石にAJAXであそこまでやるのは難しかったようですね。