PHP 5.2用のStrict Sessionパッチ

随分前からバージョンアップしたパッチ公開しないと、と思いつつ遅れていました。PHP 5.2.6用の厳格なセッション管理を行うパッチを公開しました。詳しくはWikiをご覧下さい。

http://wiki.ohgaki.net/index.php?PHP%2Fpatch%2FStrictSession

他のネットワークからパッチをダウンロードしようとして、セキュリティ強化の為にPukiwikiのattachモジュールのカスタマイズで添付ファイルのダウンロードが出来なくなっていました。これも修正しました。

このパッチを摘要するとmake testのsession関連のテストがエラーになりますが、気にする必要はありません。テストの内容をみるとこれらのテストは本来失敗すべきであることが分かります。

6/28 オープンセミナー@四国、会場変更

「オープンセミナー2008@四国」開催のご案内

でご紹介したオープンソースとインターネットをテーマにした無料セミナーの件です。いよいよ明日(6/28)になりました。好評の為座席が足りない事が確実となりました。会場となる会議室を大きな会議室に変更しました。

旧:66会議室(30名)
新:61会議室(144名)

ご興味をお持ちの方はサンポート高松ホール棟6階の61会議室にお越しください。12:30頃から開場致します。

懇親会も飛び入り参加可能です。是非、ご参加ください。

進まないFlash Playerのバージョンアップ

Flash Playerのバージョンアップがなかなか進まないようです。

先月末にあったSymantec社の0Day攻撃の誤報のおかげでかなりバージョンアップが進んだのですが、残念ながらまだまだのようです。例えば、先週1週間のこのブログへのアクセス集計では既知の脆弱性が無い9.0.124を利用していたのはたったの40%です。

バージョンアップが進まない原因にはAdobeのサポート方針にも大きな原因があると言えます。
“進まないFlash Playerのバージョンアップ” の続きを読む

自ら顧客離れを促進するバッファロー、不必要なアプリケーション利用制限とQ&Aの嘘

比較的最近無線LANのアクセスポイントをNEC製からBaffalo製のWiFi Gamers (WCA-G) に交換しました。

ゲームの為にこのアクセスポイントにしたのではなく、ルータ機能は不必要であること、PCが無くても最低限の状態がわかるように液晶ディスプレイが付いていることが気に入ったので購入しました。このアクセスポイントには安全にアクセスポイントに接続する為のWPS (WiFi Protected Setup) 、WPSに良く似たBaffalo独自のAOSSをサポートしています。付属のCDにはBaffalo製品以外のネットワークカードでもWPSまたはAOSSを利用して簡単かつ安全に無線LANをセットアップする「クライアントマネージャV」(Windows Vista用)と「クライアントマネージャ3」(XP用)が付属しています。

“自ら顧客離れを促進するバッファロー、不必要なアプリケーション利用制限とQ&Aの嘘” の続きを読む

中国でのソフト開発は大丈夫なのか?

中国でのソフト開発が進められています。例えば、

「NEC、中国のソフト開発体制を強化−5000人にトレーニング開始」
http://enterprise.watch.impress.co.jp/cda/topic/2008/06/11/13158.html

人件費が圧倒的に安い中国ですがセキュリティの問題も考えなければなりません。中国政府の機関が直接関与していると考えられるセキュリティ上の問題は海外メディアやブログではかなり頻繁に報道されています。

A New Cold War?
http://www.spinhunters.org/blog/a-new-cold-war/

にはアメリカの通商代表が中国訪問中にコンピュータから情報を盗まれた可能性があり、捜査中だとしています。

随分前になりますが国防相のメールが中国のサイバー攻撃により読み取られた、とする報道も記憶に新しいです。アメリカ軍が利用しているルータや兵器部品でさえ中国製の偽物が多数発見されるような状態です。まさに「何でもあり」の無法状態です。

セキュリティは意識しなくてもよいシステム開発案件なら良いですが、中国での開発はさらにリスクが高いと考えるべきでしょう。システム開発にもチャイナリスクを十分に考慮しなければならない時代がやってきたようです。

「オープンセミナー2008@四国」開催のご案内

追記:会場が変更されました。旧:66会議室、新:61会議室。参加者が予想より多いため大きな会議室になりました。

毎年四国で行っているオープンソース(特にPostgreSQL)とコンピュータ関連の話題をテーマに無料セミナーを行っています。今年も6/28(土曜)に高松市にて行います。

本年度でJPUG四国支部 担当理事を山下さんに交代したので、次のオープンセミナーからは山下さんが取りまとめ役を行います。

JPUGサイトのセミナーの告知文
http://www.postgresql.jp/branch/shikoku/300c30aa30fc30f330bb30df30ca30fc2008-56db56fd300d958b50ac306e304a77e53089305b

セミナー告知用のテンプレートです。興味がある方、ML等にお知らせ頂けると助かります。

○○@□□です。

「オープンセミナー2008@四国」開催のご案内をさせて頂きます。

2008年6月28日(土)にサンポート高松(香川県高松市)にて開催します。
参加費無料です。是非ご参加頂きますようお願い致します。

このメールは転送自由です。ご興味があると思われる方、メールリストに転送
頂ければ幸いです。

—————————————————————

       「オープンセミナー2008@四国」 開催のお知らせ

                       主催:
                       NPO法人 日本PostgreSQLユーザ会
                             瀬戸内Linuxユーザ会
                               四国BSDユーザ会
                       協力:
                              日本UNIXユーザ会

「オープンセミナー2008@四国」は毎年技術者向けにオープンソースとインターネットを
テーマとして開催している無料セミナーです。昨年は「オープンセミナー2007@四国」、
「オープンセミナー2007@徳島」としてそれぞれ7月と11月に開催されました。2008年
もオープンソースとインターネットをテーマに香川県高松市にて無料セミナーを開催致し
ます。事前登録は必要ございません。プログラミング、セキュリティ、オープンソースや
インターネットに興味をお持ちの技術者、管理者、学生の皆様をお待ちしています。

セミナーに使用する会議室の定員は30名です。定員を超える可能性もあります。定員を超
えた場合、立ち見となる場合がございます。お早めにお越し下さい。

当日夜に高松駅近辺にて懇親会も予定しています。予約を行うため懇親会の参加には申し
込みが必要です。懇親会に参加をご希望の方は問合せ先にEメールでご連絡下さい。
(メール末尾を参照)

                  記

オープンセミナー2008@四国 − 四国で学べるオープンソースとインターネットの世界

主催:  日本PostgreSQLユーザ会(JPUG)
     瀬戸内Linuxユーザ会(STLUG)
     四国BSDユーザ会(S*BUG)
協力:  日本UNIXユーザ会 (JUS)
開催日: 2008年6月28日 13:00 〜 18:00 (12:50受付開始)
開催場所:サンポート香川ホール棟6F 61会議室
http://www.sunport-hall.jp/shisetu/kaigi.htm
アクセス: JR高松駅より徒歩1分
懇親会: JR高松駅近辺

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
13:00 – 13:10 開会のご挨拶

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
13:10 – 14:00 KOFの過去、今、これから
講師:中野秀男 大阪市立大学 学術情報総合センター 所長・教授/
        大学院創造都市研究科 教授、KOF実行委員長
   法林浩之 日本UNIXユーザ会 副会長、KOF実行委員

近年ソフトウェアコミュニティの活動が各地でさかんになっていますが、関西では
「オープンソースならびにコミュニティが元気に交流できる場を、関西でも作ろう」
という目的の下に集った有志により、「関西オープンソース+関西コミュニティ大決戦」
(通称KOF)を2002年から開催しています。

本講演では、今年7年目を迎えるKOFの活動について、これまでの経緯、活動の経験
から得たもの、今年の予定、そして今後はどういう方向に向かっていくのかをお話し
します。

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
14:10 – 15:00 PG Cluster
講師:三谷 篤 株式会社SRA西日本/日本PostgreSQLユーザ会

PostgreSQLは本格的なオープンソースRDBMSと広く利用されています。PostgreSQL 8.3
では更なる高速化など大規模システムに欠かせない機能が追加されています。対規模DBに
はクラスタリングソリューションが欠かせませんが、PostgreSQL本体にクラスタリング
機能は組み込まれていません。

本講演では、PostgreSQLのクラスタリングソリューションとして実績を積んでいるPG
Clusterの技術と最新動向を紹介します。

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
15:10 – 16:00 最新セキュリティ事情
講師:片山 昌樹 有限会社マギシステム

各地で発生している様々なインシデントについて、最新の情報を交えつつ紹介します。

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
16:05 – 16:35 ライトニングトーク

1人5分程度でユーザ会や技術動向などを紹介するコーナーです。
ライトニングトーク講師を募集中です。コンピュータやインターネットに関連する
事であればテーマは自由です。応募される方は yohgaki@ohgaki.net までご連絡く
ださい。お待ちしております。

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
16:40 – 17:30 Rails 2.1
講師:吉田 和弘 日本Rubyの会, 株式会社ミッタシステム 取締役

RailsはWeb開発の現場でも広く利用されるようになりました。Rails 2.1では新機能が
数多く盛り込まれています。特にO/Rマッパ(ActiveRecord)の新機能についてご紹介し
ます。

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
17:40 – 18:30 JavaScriptで書かれたPIC-BASICエミュレータ
講師:白石 啓一 詫間電波工業高等専門学校

PIC基板を持ってなくともPIC-BASICプログラミングを楽しめる環境を作るため,Web
ブラウザに実装されたJavaScriptでPIC-BASICエミュレータを実装しました。本エミュ
レータの設計や実装方法を紹介します。

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
18:30 閉会のご挨拶

—-
日本PostgreSQLユーザ会 http://www.postgresql.jp/
瀬戸内Linuxユーザ会 http://www.stlug.org/
四国BSDユーザ会 http://www.bbsbrain.ne.jp/~sbug/
日本UNIXユーザ会 http://www.jus.orjp/

問い合わせ先:
日本PostgreSQLユーザ会 四国支部 (株式会社Result内)
四国支部長: 山下 武志 TEL: 087-832-5527
メール:tyama@mbp.ocn.ne.jp
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

懇親会費は約4000円を予定しています。会場から徒歩で移動可能な居酒屋などを
予定しています。懇親会参加をご希望の方は以下のメールをお送りください。
……………………………………………………………
To: tyama@mbp.ocn.ne.jp
Subject: [オープンセミナー2008@四国 懇親会 参加申込]
——————–
※ 氏名(ふりがな): ( )
 所属:
 連絡先郵便番号:
 連絡先住所:
 Tel:
 Fax:
※ E-Mail:

注1 先頭に”※”がある項目は必須項目です。他はオプショナル項目です。
……………………………………………………………

BootcampのWindows VistaがParallelsで起動するとライセンス認証エラーでログインできない

先月のWindows Update以降、BootcampからはVistaは正常に起動し使えるのですが、Parallelsから起動するとWindowsライセンス認証のエラーが発生しログインできない状態になってしまいました。ちょっと探してみただけでは同じような問題で困っている方の情報は見つかりませんでした。

この状態はかなり使い勝手が悪いので、なんとかしたかったのですが時間の都合で放置していました。ようやく直す事ができました。

Windows側で何かしなければならないと思っていたのですが、Parallelsをアンインストールして再度インストール、ライセンス認証を求められるので認証を行うと使えるようになりました。

環境
OSX 10.5.3
Parallels Desktop build 5600
Windows Vista Business SP1

同じような問題でお困りの方、一度Parallelsをアンインストールしてみましょう。

PostgreSQLカンファレンス2008

PostgreSQLカンファレンス2008が今週金曜日(6/6)に開催されます。

http://www.postgresql.jp/events/postgresql-conference-2008

例年通り参加費が必要ですが懇親会費込みです。

参加費:
カンファレンス ならび に懇親会 4,000 円
チュートリアルも含むカンファレンス ならびに 懇親会 10,000 円

今回のカンファレンスの目玉は色々ありますが、その一つはチュートリアルセッションです。まだ、空席が残っているようなのでライセンスもBSDでMySQLよりも使いやすいPostgreSQLを始めてみたい方には良いチャンスだと思います。新人研修の一環としても良いと思います。

* MySQLユーザのためのPostgreSQL入門
(リナックスアカデミー 学校長 濱野 賢一朗 氏)

興味がある方は是非カンファレンスにお越し下さい。

Flashの0day脆弱性を利用した攻撃が蔓延

追記:この件、どうも0dayでなく既知の脆弱性の問題だったということで決着しているようです。情報ありがとうございます。ただ、このブログにアクセスしている方でもgoogle analyticsによると脆弱性の無いバージョンだと分かるFlashを利用している方がたったの16.6%です。前のバージョン(9.0.115)の利用者は31.78%です。残りのユーザもほとんどが危険なFlash Playerを利用していると思われます。かなり有効な攻撃であることには変わりないようです。Flash Playerは時々アップデートがある、と教えてくれますがあまり役立たないので自分で脆弱性情報を収集してバージョンチェックする方が良いです。

とりあえず9.0.124.0であれば大丈夫なようです。
http://www.adobe.com/jp/support/flashplayer/ts/documents/tn_15507.htm

いろいろ困る事もあるのですがFirefox+NoScriptを利用するとこの種の攻撃のリスクを大幅に低下させられます。

追記2:
Flash attack may as well have been zero-day
http://blogs.zdnet.com/security/?p=1236

結果的には0dayでなかったが同じくらい効果的に攻撃されているではないか、という意見です。私も同じ意見です。このブログでも時々Flashの自動更新は役立たずであり、その結果危険なFlashを使い続けているユーザが多い事を書いています。

Flashのバージョンチェックや設定チェックはお世辞にも分かり易いとは言えないのでWikiにリンク集も作っています。
http://wiki.ohgaki.net/index.php?Flash%E3%83%90%E3%83%BC%E3%82%B8%E3%83%A7%E3%83%B3%E3%83%81%E3%82%A7%E3%83%83%E3%82%AF

FlashやQuickTime等のプラグインはエンドユーザにとっては最大の脅威といっても良いくらいですが、あまりその事実は理解されていないと思います。このブログをご覧の方で最新版のFlash Playerに更新されている方はバージョンアップが進み、最新版を利用されている方の割合が17%から30%に向上しています。しかし、向上したと言ってもたったの3割で残りのほとんどは危険なFlash Playerを使い続けています。


“Flashの0day脆弱性を利用した攻撃が蔓延” の続きを読む