私が受信する最近のSPAMメールの傾向に、株価操作を狙ったSPAMメールが増えています。
ほとんどは単価が安い数ドルの株で、「現在の株価は3ドルで1週間後のターゲットは5ドル!」とか書いてあります。このようなSPAMで株価が変動すると困るのですが、投資家も馬鹿ではないのでこのようなメールを送っても株価の変動はほとんど無いようなので一安心です。
気が向いたのでNSLT(よくSPAMメールに記載されている会社)をGoogle Financeで検索してみると結果が表示されません。もしかしてもう潰れたかな?と思いつつYahoo Financeで検索すると表示されました。
株価操作を狙ったSPAMメールを送信するとGoogle Finance八分される(?)のかも知れませんね。# それとも単純にデータ登録がないだけかな?
前にもクライアント側でWebClientが有効な場合、Windowsの共有フォルダへのアクセスが遅くなる、と書きました。
なんだか最近Windows 2003 Serverの共有が耐え難い程遅くなってきていたので、久しぶりに様子を見てみると自動のWindowsアップデートに何故か失敗していました。再起動が必用かな、と思い再起動後に手動でWindowsアップデート(正確にはMicrosoft Updateにバージョンアップした後Microsoftアップデート)を実行したところ全てのパッチが正常に適用されました。
ついでということでWindows 2003 Server SP1も導入する事にしました。正常にインストールできたようですが、再起動すると起動中の画面でフリーズしてしまいました。SFUを入れている以外は素のWindows Serverでプリント・ファイルサーバとしてしか使っていないのに… と思いつつ強制的に再起動すると今度は普通に立ち上がって来ました。
しかし、ログインしてみるとspxss.exeがクラッシュしたとメッセージが… 何度再起動してもこのサービスはクラッシュしますが、POSIXサブシステムのプロセスらしいのでとりあえず無視。
クライアントから共有ファイルへアクセスしてみると、何故か共有フォルダへのアクセス速度が「普通」に戻っていました。SP1を当てていなかったことが共有フォルダへのアクセスが遅い原因(?)だったようです。# 少なくとも私の環境では。
前に書いたSendmail脆弱性の攻撃コードだそうです。
急いでいるとは思いますがSendmailを使っている方は早くアップグレードをしないとならないです。
OSVDBに1983年に登録されたとされる”SendmailのUnspecified Overflow“のエントリ他3つが更新されていたので、またSendmailにセキュリティホールかな?と思っていたら色々なディストリビューションからアドバイザリが出始めました。sendmailのホームページにもアドバイザリが記載されています。
任意コマンド実行など危険性が高いセキュリティホールなのでsendmailを使っている方は直ぐにアップグレードが必要です。
# Sendmail 8.13.6 is available (2006-03-22); it contains a fix for a security problem discovered by Mark Dowd of ISS X-Force. Sendmail urges all users of sendmail 8 to upgrade to sendmail 8.13.6.
If you cannot upgrade to 8.13.6, then you can apply a patch to 8.13.5, or a patch for 8.12.11. Note: these patches do not apply cleanly to older versions; moreover, they may not even work properly due to other changes that have been made in the latest versions. Hence we strongly suggest all users of sendmail 8 to upgrade to sendmail 8.13.6.
For those not running the open source version, check with your vendor for a patch. If you use the commercial version from Sendmail, Inc. then please see their advisory.
出展: http://www.sendmail.org/
Sendmail.comのアドバイザリ:
http://www.sendmail.com/company/advisory/index.shtml
ちなみに私はqmail派です。qmailはアップグレードの必要が無いのでその意味では楽です。
Webシステムの開発に限った事ではありませんが、入力チェックが少し簡単になります。来年から全ての国内の電話番号が10桁になるようです。最後の9桁地域は箱根だそうです。9桁から10桁になるのは来年の2月25日から。
9桁から10桁への移行は1961年からの開始したそうですが半世紀近い時間がかかっていますね。
Googleが金融情報サービスを開始したようです。
ちなみにMSFTの場合
http://finance.google.com/finance?q=MSFT&btnG=Search
な感じで表示されます。
ちょっと変わった所では取締役の名前の上にマウスカーソルを置くと写真や説明などが参照できます。グラフの部分にマウスカーソルを持っていくとJavaScriptFlashが使われている事が分かります。FF1.5では時々グラフの更新に問題があるようです。
グラフはAJAXで作っていると思い込んでいたので、最初はここまでAJAXでやるか!と思いましたが流石にAJAXであそこまでやるのは難しかったようですね。
重い腰を上げて「Webアプリセキュリティ対策入門」と「はじめてのPHP言語プログラミング入門」のサンプルプログラムをWikiからダウンロード出来るようにしました。特に「はじめてのPHP言語プログラミング入門」は出版からかなりの時間が経過してしまいました。申し訳ございません。
Wikiのページへのリンク
文脈認識技術とは、顔認識技術を強化したようなものだという。Riyaのソフトウェアは人物の顔を調べるほか、その人物がきているシャツなど、他の手がかりも利用して似たものを見つけ出す。さらに、このソフトウェアは画像の中にあるテキストも探すため、たとえば「フロリダへようこそ」という看板の横に立つ人物の写真は、「フロリダ」というキーワードで見つけ出せるという。
不勉強なもので知りませんでした。
http://www.riya.com/
がそのサイトだそうですが今アクセスしてみるとバグ(?)で使えませんでした… そういう事もありますよね。バグ(?)のおかげでResinがサーバであることが判りました。
しかしこの技術とサイト、爆発的な人気を呼ぶ可能性がありますね。
先日、PHPをPHP 5.0.6相当からPHP 5.1.3相当にバージョンアップしたところ一部に動作不良があったのでデバッグしていたコードの消し忘れがありました。コンテンツに”AAAAAAA”と表示して終了している状態になっていました。デバッグ途中で時間が来たのでデバッグコードが残ったものrsyncしたようです。(汗
現在は直っていますが、PHP 5.0.6からPHP 5.1.3相当へのバージョンアップでは思いもよらない部分で問題が発生したりしました。
if (expr) expr;
と{}でブロックにしていないと文法的には正しくてもT_ELSEが無いとエラーになったりしていました。エラーが発生する場合と発生しない場合があります。全てのブロック無しif文でエラーが発生する訳ではありません。
コーディングスタイルを
if (expr) {
expr;
}
としているので気が付きませんでした。
date関数のオプションの取り扱いが微妙に違うか、壊れているかで日付判定もおかしくなっていたのですがこちらは詳しく調べていません。(AAAAAAと表示されていた件がデバッグ用のコードdie(‘AAAAAAAAAA’)でした)
追記:
テストも兼ねてohgaki.netのPHPは5.1.3相当にしています。もし、Wiki、Blogでおかしな動作(空白ページなど)を見つけたら教えてください。
Webシステムを開発している方は必読のSWASP Guideの日本語訳がリリースされているようです。実は1.1は私も読んでいません。さっき日本語版の目次を見たらページ数が随分すくななりすっきりしたような感じでしたが、必用な項目は含まれているように思えました。ダウンロードしたので時間があるときに読むことにします。
3/8にZend Framework 0.1.2リリースされています。
解凍すると10MBくらいになります。ドキュメント、テストコードなども含まれているのでフレームワーク本体は2MBくらいのようです。さっと見た程度ですがよく出来ていそうな感じです。PHP5以上が必要です。多分PHP5.1でないと動作しないように思えます。(確かめていません)
http://devzone.zend.com/
はZend Frameworkで作られているそうです。
RFIDを使ってSQLインジェクションという話題があるようですが、ID3やEXIFなどのタグ情報を使った攻撃は既知の問題です。バッファオーバーフローを使ったウィルス感染の危険性も指摘されていますが、バッファオーバーフローも既知ですね。セキュリティ上の問題に気が付くか(気を付ける?)は簡単な基礎知識を持っているか持っていないかによって違いが出る例です。
普通に作れば直接SQLインジェクションは確実に防いていると思いますが、セカンドオーダSQLインジェクション(間接SQLインジェクション)を防ぐにはプログラマが意識して入力確認を確実に行わないと問題が発生します。
私の環境だけなのかも知れませんが、WindowsXP+FirefoxにFlash Player 8のバージョンアップがインストールできません。自己解凍EXEをダウンロードしたのですが解凍したあとインストーラが起動せずに終了しているようです。ウィザード画面も開かず勝手にインストールが終了した(?)ようです。Firefoxを再起動すると8.0.22->8.0.24にバージョンアップされていました。(勝手にインストールしたのではなくてENTERキーが押せたのかな??そのうち別のXPでも試して見ますが勝手にインストールするのも良くないですし、再インストールしたらインストール済みであることを表示してほしいです。)
Critical vulnerabilities have been identified in Flash Player that could allow an attacker who successfully exploits these vulnerabilities to take control of the affected system.
http://www.macromedia.com/devnet/security/security_zone/apsb06-03.html
とあるように、コンピュータを乗っ取られる可能性があります。Flash Player 8.0.22以前のユーザはバージョンアップの必要があります。
それにしてもこのような情報は判りやすい所に書くべきと思いますが、Macromediaのセキュリティ情報は分かりづらいところにあります。分かりづらいというより普通のユーザは絶対に見ない(?)Developerのページからさらに2クリック必用なところにセキュリティ情報が記載されています。普通のユーザはサイトを見ていても更新の必要があることさえ気が付かないと思うのですが… Adobeに買収されたので改善を期待したいところですが、Adobeのセキュリティ情報の公開方法も親切とは言いがたいので期待できないかも知れませんね…
ここ数年毎年、インフルエンザや風邪で大変な目にあっていたので今年はインフルエンザの予防接種を2回受けいました。風邪とインフルエンザのシーズンももうすぐ終わりで今年はOKと思っていたらひどい風邪をもらいました。朝起きてどうも熱っぽいな、普通の風邪かなと思って気にせず仕事をしていたのですが昼ごろになって耐えられなくなり体温を測るとその時点でもう39.6度… 予防接種を受けているのにインフルエンザかなと思ったら検査の結果インフルエンザは陰性、白血球の数が正常値の2倍以上あったので細菌性の風邪と診断されました。点滴を2日連続でしてもらってやっと今日から復活です…