随分前にSRPMを比較してどちらが新しいか表示するプログラムを作っていたのですが、久しぶりに動かしてみました。元々はMomonga Projectの私のホームディレクトリで動作するように作っていたので、sample.ohgaki.netにはふさわしくないデザイン（とリンク先）になっています。 リンク先をクリックするとMomongaLinuxの開発版とFedo…

IE7の設定画面の日本語訳の話。 そして、同図右のように、「(not secure)」な項目を選択すると、その設定項目部分の背景色が赤っぽくなり、項目タイトルの「Download signed ActiveX controls」の右の部分に、「(not secure)」と表示され、この項目が「安全でない」設定になっていることを警告するようになった。 今後ユー…

3月1日に"Path Insecurity" と題するテクニカルノートが投稿されていますが、さっき試しに"Path Insecurity"をキーワードにググってみても日本語のページが一つも無いので要旨だけ書いておきます。 「クッキー、HTTP認証のPathは信頼できない」 setTimeoutを使って他のページ開くとPath設定されたクッキー（セッションID…

問題：まちがった自動ログイン処理の解答です。このブログエントリは最近作られたアプリケーションでは「問題」にしたような実装は行われていないはず、と期待していたのですがあっさり期待を破られたのでブログに書きました。このブログの方が詳しく書いていますけが「Webアプリセキュリティ対策入門」にも正しい自動ログイン処理を書いています。 参考：自動ログイン以外に2要素認…

問題：以下のコードはセキュリティ上大きな問題となる脆弱な処理が含まれています。セキュリティ上のベストプラクティス、他の自動ログインの実装方法と比較し、以下のコードの脆弱性を詳しく述べよ。 if (serendipity_authenticate_author( $serendipity['POST']['user'], $serendipity['POST'…

PHP 5.1.3では地味なパフォーマンスチューニングが施されています。しかし、個人的には非常に気に入っているので紹介します。ChangeLogには以下のように記載されています。 Eliminated run-time constant fetching for TRUE, FALSE and NULL. (Dmitry) http://www.php.ne…

PHP 5.1.4が素早くリリースされた原因の一つが「$_POST配列の要素が配列の場合、要素の値が壊れる問題」です。 この「$_POST、$_GET、$_COOKIE配列の要素に配列を使う機能」はよく知られていない機能の一つと言っても良いかも知れません。オンラインマニュアルにも解説がなかったような気がします。説明を簡単にする為に$_GETの例を紹介します。…

体調を崩している間にPHP 5.1.3がリリースされRC2以降に紛れ込んだ$_POST要素が配列である場合のバグ、FCGIのバグ等の為、PHP 5.1.4が直ぐにリリースされていますが、PHP 5.1.2から直った脆弱性は次の通りです。一部フライングで公開されていた物もあります。 # CVSのコミットログなどをチェックしている人にはもっと前から公開 # され…

A cross-site scripting (XSS) vulnerability in phpinfo (info.c) in PHP <= 5.1.2 allows remote attackers to inject arbitrary web script or HTML via long array variables, including…

今さっき気が付きました。Thunderbird 1.5.0.2のメッセージフィルタを編集、削除しようとすると無応答状態になりました。クリックできなくなった状態と言った方が良いかも知れません。私だけかな? Windows XP SP2日本語版/Thunderbird 1.5.0.2 英語版