詳しくはリンク先を見て頂くとして、XSSは クライアントサイドで発生する 通常JavaScriptで発生する と言う点着目してスクリプトにサインを付けクライアント側でもXSSを検出しようと言う話です。フェイルセーフ対策としては有用だと思います。Flash, PDF, Javaなどのオブジェクトにもサインすればより良いと思います。サインさえ付けておけばあとは決…

PHP4のサポート終了がアナウンスされことに伴い、技術評論社の方からPHP4からPHP5への移行の記事を書く事になりました。毎週新しい記事が公開されます。下記のURLが最初の記事で8/2（予定）から順次続きが公開されます。 http://gihyo.jp/dev/feature/01/php-migration/0001?page=1 記事を書いてみて思った…

SecondLifeとか話題になっているのにSonyがPS3で参入しない手はない、と思っていたらPLAYSTATIOIN@Homeというサービスを予定しているのですね。ニュースになっていたのでしょうが知りませんでした。基本無料、一部有料というスタイルらしいです。タイトルをクリックすると紹介ムービーが見れます。PS3らしくかなり凝った3Dです。仮想世界は結構い…

コピーすると「COPY」と印刷されてしまう機能は有名です。 コピー機、PhotoShopの紙幣複製を防止する機能も知っていましたが カラーレーザープリンターで印刷されたものには全てこのように肉眼では判別し難い黄色いピクセルをバーコード（大きさは8x15ピクセル）のように印字することによって、プリンターのメーカー名、機種名、シリアル番号、印刷された日時の4つの…

BIND9にDNSキャッシュ汚染の脆弱性だそうです。 The paper shows that BIND 9 DNS queries are predictable – i.e. that the source UDP port and DNS transaction ID can be effectively predicted. A predictabi…

数日前のエントリで書いた通りFlashコンテンツが自動的に再生されるリスクを回避するために、明示的に指示しないとFlashコンテンツが再生されないFirefoxアドオンを利用しています。 Flashblock https://addons.mozilla.org/ja/firefox/addon/433 私はサイト上の広告はほとんど気にしない方なので広告をブ…

FirstにPHPのglobで任意コード実行の脆弱性、とあったのでCVSを見てみるとglob用のメモリ構造体を未初期化で使用しているコードが修正されていました。未初期化の構造体メモリを任意データで書き換える必要があるので、攻撃を行うには攻撃が可能となるメモリレイアウトを作る比較的特殊なコードが必要になると思われます。 任意コード実行の脆弱性として Remot…

Flash Player関連のセキュリティ問題は結構レポートされています。最近見つかった脆弱性もかなり危険です。デフォルトでFlashを実行するのはリスクが高いですがFlashがないとまともにナビゲーションできないサイトも多いのでインストールしない訳にもいきません。 Firefoxの場合ならFlashblockアドオンでFlashをブロックし、選択してから実…

PHPでGTKアプリが作れるPHP-GTKは以前からありましたが、PHPでQtアプリが作れるPHP-Qt 0.1がリリースされています。 The PHP-Qt team is pleased to announce the immediate release of PHP-Qt Version 0.1! It's been nearly a year sin…

たまたま見たPHPのコードでSQL文中の整数値を $intval * 1 として整数型にするサニタイズがありました。この方法をお薦めするわけではありませんが、以前のエントリ http://blog.ohgaki.net/index.php/yohgaki/2007/07/04/example_1428_a_best_practice_query でsprin…