このブログでZend Frameworkの事はほとんど書いていませんが、セキュリティ関係のところを少しだけ書きます。 Zend Frameworkはまだまだ作りかけ、と開発元が言っているだけあって、セキュリティに関係する部分も作りかけだったりします。 例えば、mysqliアダプタは適切にエスケープ処理されていますが、Oracleアダプタのエスケープ処理は全く…

PostgreSQLのプリペアードクエリを使ったプログラムのユニットテストを書いてユニットテストの書き方の問題に気がつきました。普通にユニットテストを書くと relation with OID ##### does not exist というPL/PgSQLで良く見かけるエラーが発生してしまう場合があります。 通常ユニットテストを書く場合、テストのセットアッ…

A Process for Performing Security Code Reviewsのような記事が公開されています。The State of Web Security等は何かプレゼンテーションを作る場合に役立ちそうです。 基本的にはブログのようになっているようです。しかし、ここの記事は時間が経つと買わないとならない(?)ようです。画面上部の"Cont…

PHPには require('http://example.com/script.php'); と外部のURLからデータを読み取りローカルのスクリプトとして実行する機能があります。以下のようなスクリプトが致命的であることは以前にも書きました。 require($_REQUEST['type'].'.php'); allow_url_fopen設定で読み取りの…

タイトルどおり「書かない日記」なっているので久しぶりに書きます。 先日のPHPカンファレンスで私のセッションを聞かれた方は「一応、問題はレポートしてあります」と話していた件、と言えば覚えていらっしゃると思います。この件、返信メールが来ていました。他のシングルバイト圏の方と話したときと同じかなと思いました。「これって問題なの?」と言う内容のメールでした。とりあ…

10日ほど忙しくてブログ更新とスパム削除をサボっていると、SPAMが2500以上もたまっていました.. 本格的に対応しないと....

ohgaki.netのメールサーバにはqmailを使っているのですが、 また"unable to scan $HOME/Maildir"とpop3d がエラーで終了してしまいました。 このエラーはエラーメッセージの通りMaildirをスキャンできないため表示されるエラーです。qmailのpop3dがMaildirをスキャンしている途中に何らかのエラーでスキャ…

ディスカッションを行うMLを除き「MLのTo:（宛先）に送信先のユーザメールアドレス（各個人のメールアドレス）を記載するのは迷惑だ」と思っていました。理由は次の通りです。 - MLの情報は私信ではない。したがってTo:である必要はない。 - To: に自分のメールアドレスが入っている場合には特別なフィルタ処理行っているユーザが多いと思われる。 商用サイトのM…

また新しいsafe_modeをバイパスできる脆弱性を利用した攻撃方法を見つけた人がいるようです。safe_modeをバイパスできる脆弱性なので大きな問題とは思いませんが、 CVSS Severity: 7.0 (High) となっていますね.... 具体的には This issue is due to an input validation error in…

ホワイトペーパーというものは基本的に宣伝の為に作成するものであって「危険なソフトオウェア15種」というホワイトペーパーも宣伝の為のホワイトペーパーでしょうね。PDFのダウンロードには登録が必要らしい（？）のでPDF自体は読んでいません。「危険なソフトがインストールされていないかチェックするにはこちらを見てね」といった旨の記述がPDFにはあるらしいです。 マー…