カテゴリー
Computer Development

遅ればせながらXAMPPをインストールしてみた

随分前からXAMPP(ザンプ、と読むらしい。間違っていたら教えてください。)は知っていたのですが使ったことがありませんでした。基本的な開発環境はLinux、ターゲットもLinuxなので特に必要性が無かったからです。最近は時間や場所の都合からもWindows環境でもある程度の開発環境を維持する必要があったため、XAMPPを入れてみました。インストールするにあたってApache, PHP, MySQLは最初にアンインストールしておきました。

XAMPPはApache、MySQL、PHP(最後のPは何? PEARがインストールされるのPEARのP?、PerlもあるのでPerl? ドイツ語のWikipediaによるとPerlのPらしい)をまとめてセットアップする仕組みです。パッケージを集めて簡単に使えるようしているLinuxのディストリビューションのようなイメージのパッケージです。

XAMPP自体は

– Windows
– Mac OSX
– Linux
– Solaris

に対応していて、以下のパッケージが含まれています。

– Apache (DAV,SSLも)
– MySQL
– PHP(PHP4とPHP5、全てのモジュール)+ PEAR
– FileZilla(FTPサーバとクライアント)
– Mercury(メールサーバ、SMTP、POP、IMAP)

をまとめてインストールしてくれます。全てのパッケージをC:\Program Files\xampp以下のディレクトリにインストールします。メールサーバであるMercuryを理解しないで動作させるとSPAMメールの踏み台にされるのでデフォルトでは有効に設定されないようです。普通はインストールはしても動作はさせない方が良いでしょう。

各パッケージは基本的に最新の安定版が利用されているようです。Apacheの最新安定版は2.2系列なのでApache 2.2がインストールされます。

PHPのサンプルスクリプトの他にphpMyAdmin、Webalizerもインストールされデフォルトのページからアクセスできるようになっています。

PHP4とPHP5はスイッチして使えるようになっていてこれは便利です。MomongaのPHPもスイッチできるようにしてしまおうかな、と思ってしまいました。

インストールしてみた感想は「超簡単」です。何も知らなくても直ぐ使える最新環境がインストールできます。ネットで検索した限りでは「バージョンアップが速過ぎてついていけない」と言う声もありますが、基本的には開発開始時点での最新版を使う方が良いのでバージョンアップが速いのはデメリットと言うよりメリットだと思います。基本的にデフォルトでインストールすれば危ないサービス(メールサーバなど)も起動する事はありません。(Apache+PHPだけで「十分危ない」とも言えますが…. Apache、PHPをインストールする事が「危ない」という意味ではなく「Webサーバ+サーバサイドプログラミング全般が危ない」と言う意味です。念のため)

一つだけ気になったのはインストール直後にアクセスした http://localhost の言語がドイツ語になっていた事です。ドイツ語は分からないのでソースをみてlang.tmpに”de”が指定されていたのを”en”に変えて英語表示に出来ました。ファイルのアクセス権限の問題で書き換えが出来なかっただけと思いますが、面倒なのであまり調べず直接書き換えてしまいました。インストーラは日本語でしたがWebページには日本語訳は無いようです。

あとApacheに慣れていない方がはまり易い(?)のはセキュリティ対策の為にApacheの設定が厳しく設定されている事かもしれません。

C:\Program Files\xampp\apache\conf\extra\httpd-vhosts.conf

にVirtual Hostの設定を書くようになっている(私は元々LinuxのApacheの設定でもvhosts.confを作って分けているので好感)ですが、Directory設定を使って制限を変えておかないとアクセス自体も拒否されます。XAMPPのデフォルト状態では+Indexes等が指定できなくて不便です。私はhttp-vhosts.confを以下の様に設定しました。開発&テスト用に便利な設定であってセキュアな設定ではありません。念のため。

NameVirtualHost *:80

<VirtualHost *:80>
ServerAdmin webmaster@xampp
DocumentRoot “C:/Program Files/xampp/htdocs
ServerName localhost
ErrorLog logs/xampp-error_log
CustomLog logs/xampp-access_log common
</VirtualHost>

< Directory “C:/www”>
AllowOverride All
Order allow,deny
Allow from all

Options +Indexes
</Directory>

<VirtualHost *:80>
ServerAdmin webmaster@dev
DocumentRoot “C:/www”
ServerName dev
ErrorLog logs/dev-error_log
CustomLog logs/dev-access_log common
</VirtualHost>

PostgreSQLもWindows版が出来てかなり経つ事だしXAMPPに入れてほしいですね。

カテゴリー
Computer

Intel MacのMacBook、bootcampでXP、Right Clickはできる?

CoreDuoのMacBookが発売されていますが、bootcampでWindows XPがインストールできるのは分かるのですがマウスを付けずに右マウスクリックをする方法がすこし探しただけでは見付かりませんでした。(探し方が悪いだけ?

http://www.olofsson.info/

と言うサイトにMacBook Proで「FN+左クリック」で「右クリック」になるプログラムが掲載されています。

これを使うとWindows XP+MacBook/MacBook Proで右クリックできるようになるのでしょうか? どうなんでしょう?

ちなみに私のWindows XPのPC(MacBook/MacBook Proではありません)にインストールしてみるとウィザード形式のインストーラが起動してインストールは完了しましたが、「FN+左クリック」で「右クリック」にはなりませんでした。

モバイルで使うにはマウスを付けて使うのはあまり現実的ではありません。特にMacBook+Win XPで右クリックできるようになるのか知りたいです。使っている方、いらっしゃいませんか?

【追記】
もう少し探すとApple Mouse Utilityと言うWindowsでApple Mouseを使っている方向けのユーティリティも見付けました。これはどうでしょうか?自分のWindows XPのPCにインストールしてみたところ「CTRL+左マウスボタン」で「右クリック」になったので多分MacBookでも大丈夫だとは思うのですが…

http://www.geocities.com/pronto4u/applemouse.html

カテゴリー
Computer Development

PHP 4.4.3RC1

PHP 4.4.3RC1がテスト中です。
PHP 4を使われている方、テストをお勧めします。

カテゴリー
Other

似ているようで似ていない

随分前にSRPMを比較してどちらが新しいか表示するプログラムを作っていたのですが、久しぶりに動かしてみました。元々はMomonga Projectの私のホームディレクトリで動作するように作っていたので、sample.ohgaki.netにはふさわしくないデザイン(とリンク先)になっています。

リンク先をクリックするとMomongaLinuxの開発版とFedoraCoreの開発版を比べて、MomongaLinuxだけに在るパッケージを表示します。MomongaLinuxだけに在るパッケージは

Number of packages: 821

FedoraCoreだけにあるパッケージは

Number of packages: 426

になっています。(メンテナンス不足で多少、不正確ですが)

2005/04にMomongaLinux2がリリースされた頃に作ったスクリプトですが、その頃より違いが大きくなっているように思えます。単純にパッケージ名だけでも1200くらいの違いあるので、似ているようで実は似ていないですね。

# MomongaLinux3は夏から秋にかけてリリース予定です。

カテゴリー
Windows

IE 7のセキュリティ改善を台無しにするIE 7 Beta2日本語版

IE7の設定画面の日本語訳の話。

そして、同図右のように、「(not secure)」な項目を選択すると、その設定項目部分の背景色が赤っぽくなり、項目タイトルの「Download signed ActiveX controls」の右の部分に、「(not secure)」と表示され、この項目が「安全でない」設定になっていることを警告するようになった。

今後ユーザは、ここが「赤くなるような設定使ってはいけない」ということになる。

そして、IE 7 Beta 2の日本語版が先日リリースされた。この画面がどうなっているかを確認したところ、図2のようになっていた。

図2: 図1の日本語版での翻訳

なんだこの「(セキュリティで保護されていない)」というのは。SSLが使われていないとでも言いたいのか?

マイクロソフトの日本語化係の人は、「安全でない (not secure)」という言葉をどうしても使いたくないのだろうか。

確かに日本語版IE7の表記は紛らわしいですね。

not secure = 安全でない = 危険

なので

セキュリティで保護されていない = 危険

に変えた方が分かりやすいかな。

カテゴリー
Security

“Path Insecurity” – クッキー/HTTP認証のパスは信頼できるか?

3月1日に”Path Insecurity” と題するテクニカルノートが投稿されていますが、さっき試しに“Path Insecurity”をキーワードにググってみても日本語のページが一つも無いので要旨だけ書いておきます。

「クッキー、HTTP認証のPathは信頼できない」

setTimeoutを使って他のページ開くとPath設定されたクッキー(セッションID)で制御していても効果が無いです。(他のページがXSSに脆弱であればその影響を受けてしまう)URLエンコードを使った単純な攻撃でHTTP認証のPathをごまかせる。

MLではHttpOnly Cookieの攻略など最近これに関連した話題で盛り上がっていました。こちらも面白いので興味のある方はMLのアーカイブを検索してみてはいかがでしょうか。(特に共有サーバを利用されている方)

“Path Insecurity”を投稿した方が書いた別のメールには次のような文面も… IE7では直る?

Note that my %2e%2e “finding” for IE 6.0 of early 2006 was
assigned a CVE number CAN-2003-0513 on July 2003.
I suppose Microsoft didn’t find time to fix this in over 2.5
years.
So, to clarify: while I did think of the %2e%2e all by
myself, it was apparently known to the public (courtesy of
Martin O’Neal from Corsaire) for over 2 years.
And that’s what matters

.

カテゴリー
Computer Development PHP Security Programming Secure Coding Security

解答:まちがった自動ログイン処理

問題:まちがった自動ログイン処理の解答です。このブログエントリは最近作られたアプリケーションでは「問題」にしたような実装は行われていないはず、と期待していたのですがあっさり期待を破られたのでブログに書きました。このブログの方が詳しく書いていますけが「Webアプリセキュリティ対策入門」にも正しい自動ログイン処理を書いています。

参考:自動ログイン以外に2要素認証も重要です。「今すぐできる、Webサイトへの2要素認証導入」こちらもどうぞ。HMACを利用した安全なAPIキーの送受信も参考にどうぞ。