yohgaki's blog

カテゴリー: Computer

  • PHPの$_POST, $_GET, $_COOKIEの要素に配列を使用する

    PHP 5.1.4が素早くリリースされた原因の一つが「$_POST配列の要素が配列の場合、要素の値が壊れる問題」です。

    この「$_POST、$_GET、$_COOKIE配列の要素に配列を使う機能」はよく知られていない機能の一つと言っても良いかも知れません。オンラインマニュアルにも解説がなかったような気がします。説明を簡単にする為に$_GETの例を紹介します。

    値を配列を送信するには変数名に[]を付け加えて送信するだけでOKです。

    http://example.com/test.php?a[]=1&a[]=2

    array(1) {
    [“a”]=>
    array(2) {
    [0]=>
    string(1) “1”
    [1]=>
    string(1) “2”
    }
    }

    連想配列を送信するには[]の中に要素名を指定するだけです。

    http://example.com/test.php?test.php?a[foo]=1&a[bar]=2

    array(1) {
    [“a”]=>
    array(2) {
    [“foo”]=>
    string(1) “1”
    [“bar”]=>
    string(1) “2”
    }
    }

    $_POST, $_COOKIEも同様の要領で配列要素を送信できます。フォームのチェックボックスの値などを配列で送信すると便利です。

    ただしURIを定義するRFC3986のセクション2.2、2.3では以下がReserved、Unreservedな文字としています。

    reserved = gen-delims / sub-delims

    gen-delims = “:” / “/” / “?” / “#” / “[” / “]” / “@”

    sub-delims = “!” / “$” / “&” / “‘” / “(” / “)”
    / “*” / “+” / “,” / “;” / “=”

    unreserved = ALPHA / DIGIT / “-” / “.” / “_” / “~”

    “[“, “]”は予約済みの文字であるためURIで利用する場合、正式には、URIエンコードが必要です。

    参考:古いURIのRFCであるRFC2396では

    reserved = “;” | “/” | “?” | “:” | “@” | “&” | “=” | “+” |
    “$” | “,”

    unreserved = alphanum | mark

    mark = “-” | “_” | “.” | “!” | “~” | “*” | “‘” | “(” | “)”

    となっており”[“,”]”はReserved文字になっていません。しかし、Unreservedでもありません。

    $_POSTの場合、HTML4.01ではinputのname属性はCDATAになっていたと思うので[]を使用しても大丈夫だったと思います。

    http://www.w3.org/TR/1999/REC-html401-19991224/interact/forms.html#adef-name-INPUT
    http://www.w3.org/TR/1999/REC-html401-19991224/index/attributes.html
    http://www.w3.org/TR/1999/REC-html401-19991224/intro/sgmltut.html#h-3.2.2

    XHTML 1.0の場合、XMLと同じなのでXML 1.0 Specification(Sect. 3.1)を見ると

    [41] Attribute ::= Name Eq AttValue

    となっており属性名はNameルールに従うことになっています。Nameは次のように定義されています。

    [4] NameChar ::= Letter | Digit | ‘.’ | ‘-‘ | ‘_’ | ‘:’ | CombiningChar | Extender
    [5] Name ::= (Letter | ‘_’ | ‘:’) (NameChar)*

    NameCharは

    [84] Letter ::= BaseChar | Ideographic
    [85] BaseChar ::= [#x0041-#x005A] | [#x0061-#x007A] | [#x00C0-#x00D6] | [#x00D8-#x00F6] | [#x00F8-#x00FF] | [#x0100-#x0131] | [#x0134-#x013E] | [#x0141-#x0148] | [#x014A-#x017E] | [#x0180-#x01C3] | [#x01CD-#x01F0] | [#x01F4-#x01F5] | [#x01FA-#x0217] | [#x0250-#x02A8] | [#x02BB-#x02C1] | #x0386 | [#x0388-#x038A] | #x038C | [#x038E-#x03A1] | [#x03A3-#x03CE] | [#x03D0-#x03D6] | #x03DA | #x03DC | #x03DE | #x03E0 | [#x03E2-#x03F3] | [#x0401-#x040C] | [#x040E-#x044F] | [#x0451-#x045C] | [#x045E-#x0481] | [#x0490-#x04C4] | [#x04C7-#x04C8] | [#x04CB-#x04CC] | [#x04D0-#x04EB] | [#x04EE-#x04F5] | [#x04F8-#x04F9] | [#x0531-#x0556] | #x0559 | [#x0561-#x0586] | [#x05D0-#x05EA] | [#x05F0-#x05F2] | [#x0621-#x063A] | [#x0641-#x064A] | [#x0671-#x06B7] | [#x06BA-#x06BE] | [#x06C0-#x06CE] | [#x06D0-#x06D3] | #x06D5 | [#x06E5-#x06E6] | [#x0905-#x0939] | #x093D | [#x0958-#x0961] | [#x0985-#x098C] | [#x098F-#x0990] | [#x0993-#x09A8] | [#x09AA-#x09B0] | #x09B2 | [#x09B6-#x09B9] | [#x09DC-#x09DD] | [#x09DF-#x09E1] | [#x09F0-#x09F1] | [#x0A05-#x0A0A] | [#x0A0F-#x0A10] | [#x0A13-#x0A28] | [#x0A2A-#x0A30] | [#x0A32-#x0A33] | [#x0A35-#x0A36] | [#x0A38-#x0A39] | [#x0A59-#x0A5C] | #x0A5E | [#x0A72-#x0A74] | [#x0A85-#x0A8B] | #x0A8D | [#x0A8F-#x0A91] | [#x0A93-#x0AA8] | [#x0AAA-#x0AB0] | [#x0AB2-#x0AB3] | [#x0AB5-#x0AB9] | #x0ABD | #x0AE0 | [#x0B05-#x0B0C] | [#x0B0F-#x0B10] | [#x0B13-#x0B28] | [#x0B2A-#x0B30] | [#x0B32-#x0B33] | [#x0B36-#x0B39] | #x0B3D | [#x0B5C-#x0B5D] | [#x0B5F-#x0B61] | [#x0B85-#x0B8A] | [#x0B8E-#x0B90] | [#x0B92-#x0B95] | [#x0B99-#x0B9A] | #x0B9C | [#x0B9E-#x0B9F] | [#x0BA3-#x0BA4] | [#x0BA8-#x0BAA] | [#x0BAE-#x0BB5] | [#x0BB7-#x0BB9] | [#x0C05-#x0C0C] | [#x0C0E-#x0C10] | [#x0C12-#x0C28] | [#x0C2A-#x0C33] | [#x0C35-#x0C39] | [#x0C60-#x0C61] | [#x0C85-#x0C8C] | [#x0C8E-#x0C90] | [#x0C92-#x0CA8] | [#x0CAA-#x0CB3] | [#x0CB5-#x0CB9] | #x0CDE | [#x0CE0-#x0CE1] | [#x0D05-#x0D0C] | [#x0D0E-#x0D10] | [#x0D12-#x0D28] | [#x0D2A-#x0D39] | [#x0D60-#x0D61] | [#x0E01-#x0E2E] | #x0E30 | [#x0E32-#x0E33] | [#x0E40-#x0E45] | [#x0E81-#x0E82] | #x0E84 | [#x0E87-#x0E88] | #x0E8A | #x0E8D | [#x0E94-#x0E97] | [#x0E99-#x0E9F] | [#x0EA1-#x0EA3] | #x0EA5 | #x0EA7 | [#x0EAA-#x0EAB] | [#x0EAD-#x0EAE] | #x0EB0 | [#x0EB2-#x0EB3] | #x0EBD | [#x0EC0-#x0EC4] | [#x0F40-#x0F47] | [#x0F49-#x0F69] | [#x10A0-#x10C5] | [#x10D0-#x10F6] | #x1100 | [#x1102-#x1103] | [#x1105-#x1107] | #x1109 | [#x110B-#x110C] | [#x110E-#x1112] | #x113C | #x113E | #x1140 | #x114C | #x114E | #x1150 | [#x1154-#x1155] | #x1159 | [#x115F-#x1161] | #x1163 | #x1165 | #x1167 | #x1169 | [#x116D-#x116E] | [#x1172-#x1173] | #x1175 | #x119E | #x11A8 | #x11AB | [#x11AE-#x11AF] | [#x11B7-#x11B8] | #x11BA | [#x11BC-#x11C2] | #x11EB | #x11F0 | #x11F9 | [#x1E00-#x1E9B] | [#x1EA0-#x1EF9] | [#x1F00-#x1F15] | [#x1F18-#x1F1D] | [#x1F20-#x1F45] | [#x1F48-#x1F4D] | [#x1F50-#x1F57] | #x1F59 | #x1F5B | #x1F5D | [#x1F5F-#x1F7D] | [#x1F80-#x1FB4] | [#x1FB6-#x1FBC] | #x1FBE | [#x1FC2-#x1FC4] | [#x1FC6-#x1FCC] | [#x1FD0-#x1FD3] | [#x1FD6-#x1FDB] | [#x1FE0-#x1FEC] | [#x1FF2-#x1FF4] | [#x1FF6-#x1FFC] | #x2126 | [#x212A-#x212B] | #x212E | [#x2180-#x2182] | [#x3041-#x3094] | [#x30A1-#x30FA] | [#x3105-#x312C] | [#xAC00-#xD7A3]
    [86] Ideographic ::= [#x4E00-#x9FA5] | #x3007 | [#x3021-#x3029]
    [87] CombiningChar ::= [#x0300-#x0345] | [#x0360-#x0361] | [#x0483-#x0486] | [#x0591-#x05A1] | [#x05A3-#x05B9] | [#x05BB-#x05BD] | #x05BF | [#x05C1-#x05C2] | #x05C4 | [#x064B-#x0652] | #x0670 | [#x06D6-#x06DC] | [#x06DD-#x06DF] | [#x06E0-#x06E4] | [#x06E7-#x06E8] | [#x06EA-#x06ED] | [#x0901-#x0903] | #x093C | [#x093E-#x094C] | #x094D | [#x0951-#x0954] | [#x0962-#x0963] | [#x0981-#x0983] | #x09BC | #x09BE | #x09BF | [#x09C0-#x09C4] | [#x09C7-#x09C8] | [#x09CB-#x09CD] | #x09D7 | [#x09E2-#x09E3] | #x0A02 | #x0A3C | #x0A3E | #x0A3F | [#x0A40-#x0A42] | [#x0A47-#x0A48] | [#x0A4B-#x0A4D] | [#x0A70-#x0A71] | [#x0A81-#x0A83] | #x0ABC | [#x0ABE-#x0AC5] | [#x0AC7-#x0AC9] | [#x0ACB-#x0ACD] | [#x0B01-#x0B03] | #x0B3C | [#x0B3E-#x0B43] | [#x0B47-#x0B48] | [#x0B4B-#x0B4D] | [#x0B56-#x0B57] | [#x0B82-#x0B83] | [#x0BBE-#x0BC2] | [#x0BC6-#x0BC8] | [#x0BCA-#x0BCD] | #x0BD7 | [#x0C01-#x0C03] | [#x0C3E-#x0C44] | [#x0C46-#x0C48] | [#x0C4A-#x0C4D] | [#x0C55-#x0C56] | [#x0C82-#x0C83] | [#x0CBE-#x0CC4] | [#x0CC6-#x0CC8] | [#x0CCA-#x0CCD] | [#x0CD5-#x0CD6] | [#x0D02-#x0D03] | [#x0D3E-#x0D43] | [#x0D46-#x0D48] | [#x0D4A-#x0D4D] | #x0D57 | #x0E31 | [#x0E34-#x0E3A] | [#x0E47-#x0E4E] | #x0EB1 | [#x0EB4-#x0EB9] | [#x0EBB-#x0EBC] | [#x0EC8-#x0ECD] | [#x0F18-#x0F19] | #x0F35 | #x0F37 | #x0F39 | #x0F3E | #x0F3F | [#x0F71-#x0F84] | [#x0F86-#x0F8B] | [#x0F90-#x0F95] | #x0F97 | [#x0F99-#x0FAD] | [#x0FB1-#x0FB7] | #x0FB9 | [#x20D0-#x20DC] | #x20E1 | [#x302A-#x302F] | #x3099 | #x309A
    [88] Digit ::= [#x0030-#x0039] | [#x0660-#x0669] | [#x06F0-#x06F9] | [#x0966-#x096F] | [#x09E6-#x09EF] | [#x0A66-#x0A6F] | [#x0AE6-#x0AEF] | [#x0B66-#x0B6F] | [#x0BE7-#x0BEF] | [#x0C66-#x0C6F] | [#x0CE6-#x0CEF] | [#x0D66-#x0D6F] | [#x0E50-#x0E59] | [#x0ED0-#x0ED9] | [#x0F20-#x0F29]
    [89] Extender ::= #x00B7 | #x02D0 | #x02D1 | #x0387 | #x0640 | #x0E46 | #x0EC6 | #x3005 | [#x3031-#x3035] | [#x309D-#x309E] | [#x30FC-#x30FE]

    となっています。”[“( #x005B )、”]”( #x005D )共に在りません。

    COOKIEで配列を使おうと思った事が無いのでCOOKIEの場合は調べた事がありません。ご存知の方、是非教えてください。

    【蛇足】
    RFC3986のセクション2.3には以下の記述もあります。

    URIs that differ in the replacement of an unreserved character with its corresponding percent-encoded US-ASCII octet are equivalent: they identify the same resource. However, URI comparison implementations do not always perform normalization prior to comparison (see Section 6). For consistency, percent-encoded octets in the ranges of ALPHA (%41-%5A and %61-%7A), DIGIT (%30-%39), hyphen (%2D), period (%2E), underscore (%5F), or tilde (%7E) should not be created by URI producers and, when found in a URI, should be decoded to their corresponding unreserved characters by URI normalizers.

    “tilde (%7E) should not be created by URI producers”と”~”はURLエンコードしてはならない、としています。時々”~”がURIエンコードされているケースが見かけられますがRFC的にはエンコードせずに表記すべきです。

  • PHP 5.1.3リリース

    体調を崩している間にPHP 5.1.3がリリースされRC2以降に紛れ込んだ$_POST要素が配列である場合のバグ、FCGIのバグ等の為、PHP 5.1.4が直ぐにリリースされていますが、PHP 5.1.2から直った脆弱性は次の通りです。一部フライングで公開されていた物もあります。
    # CVSのコミットログなどをチェックしている人にはもっと前から公開
    # されている、ともいえますが。

    The security issues resolved include the following:

    * Disallow certain characters in session names.
    * Fixed a buffer overflow inside the wordwrap() function.
    * Prevent jumps to parent directory via the 2nd parameter of the tempnam() function.
    * Enforce safe_mode for the source parameter of the copy() function.
    * Fixed cross-site scripting inside the phpinfo() function.
    * Fixed offset/length parameter validation inside the substr_compare() function.
    * Fixed a heap corruption inside the session extension.
    * Fixed a bug that would allow variable to survive unset().

    議論の余地はあると思いますが、厳格にセキュリティ関係の修正として含めても良いかも知れない物は次の修正があります。

    * Fixed tiger hash algorithm generating wrong results on big endian platforms.
    * Make is_*() function account of open_basedir restrictions.
    * Fixed a number of crashes in the DOM and PDO extensions.
    * Make memory_limit work in Win32 systems.
    * Fixed a deadlock in the sqlite extension caused by the sqlite_fetch_column_types() function.
    * Fixed memory leaks in the realpath() cache.

  • PHP 5.1.2の脆弱性

    A cross-site scripting (XSS) vulnerability in phpinfo (info.c) in PHP
    <= 5.1.2 allows remote attackers to inject arbitrary web script or HTML
    via long array variables, including (1) a large number of dimensions
    or (2) long values, which prevents HTML tags from being removed.
    (CVE-2006-0996)

    Directory traversal vulnerability in file.c in PHP <= 5.1.2 allows
    local users to bypass open_basedir restrictions and allows remote
    attackers to create files in arbitrary directories via the tempnam
    function. (CVE-2006-1494)

    The copy function in file.c in PHP <= 5.1.2 allows local users to
    bypass safe mode and read arbitrary files via a source argument
    containing a compress.zlib:// URI. (CVE-2006-1608)

    Mandriva Linux Security Advisoryによると現行リリースのPHP 5.1.2,4.4.2にも含まれる脆弱性を修正したPHPパッケージをリリースしましたね。重要な修正ではないので「適切」にシステムを構築・管理しているPHPユーザは気にする必要はありません。

    phpinfo関数を一般に公開するのは絶対に止めた方が良いです。基本的にphpinfo関数の出力はデバッグ用の情報です。セキュアなシステムではデバッグ情報を一般に公開する事はありません。開発時以外はシステムや言語のエラー情報を出力しないのと同じです。

    open_basedirは「フェイルセーフ機能」であるため、これに頼った設計を行うべきではありません。Perlなどでtaintモードを信頼するのと変わりません。

    # 言い古されてはいますが、セキュリティ対策は繰り返し言い続ける事が重要ですから。

  • Thunderbird 1.5.0.2のメッセージフィルタ不良?

    今さっき気が付きました。Thunderbird 1.5.0.2のメッセージフィルタを編集、削除しようとすると無応答状態になりました。クリックできなくなった状態と言った方が良いかも知れません。私だけかな?

    Windows XP SP2日本語版/Thunderbird 1.5.0.2 英語版

  • 「はじめてのPHP言語プログラミング入門」誤り募集中

    Amazonの「はじめてのPHP言語プログラミング入門」に新しいコメント :)

    全体の構成は、良いが、説明文の日本語がお粗末!!。
    いわゆる、て、に、を、は、が、なってない。
    特に、コード内での解説文は、再度、著者、自らが見直すべきと思う。
    例示:抽象メソッドに関数に中身は記述できない
    いたるところ、このような記述であるが、類推して読まざるを
    えないため、わかりにくくなっている。
    また、「入門」は、外した方が良い。

    ご指摘の通り後で中途半端に書き加えたりした部分が残ってしまっている部分があると思います。本としての完成度と執筆に使える時間は比例すると思いますが、いつも締め切りギリギリに間に合わせている状況なので残ってしまいます(汗 最終の著者校正でもおかしな日本語を結構直した記憶があるので修正漏れが沢山あってもおかしくないと思います。またありがちですがコード中のコメントは見てなかったような気がします。

    と言うことでおかしな日本語も大募集中です。メール、ブログへのコメント何でも結構です。見つけた方、ページ数と一緒に変な日本語を教えてください。よろしくお願いします。

    自分でも変な日本語を見つけた箇所もありますが付箋が無くなってどこだったか分からない状態だったりします。「いたるところに」と書いてるので何箇所くらい見つけられたのか非常に興味があります。

    抽象メソッドに関数に中身は記述できない

    これは多分「関数に中身は記述できない」を最初に書き、これではおかしいので「抽象メソッドに中身は記述できない」にしたかったのだと思われます。例示の部分は後でPDFを検索してみよう。

    【追記】検索しました。p140です。

    abstract class AbstractClass2 {
    // 抽象メソッドに関数に中身は記述できない
    abstract public function AbstractMethod();

    自分で読んでたら見逃しやすそうな部分です。(というより実際見逃していますけど)抽象メソッド、抽象クラスを知らない読者には??となる可能性もあるかも知れませんね。「いたるところ」全部教えてほしいです。

    「てにをは」不良は結構残っている可能性は高いです。とりあえずはじめての誤植レポートなのでブログにも書いてみました。解りづらい表記・誤植も教えて頂けるとありがたいです。

    正誤一覧のページ

  • 0DAY Firefox Remote Code Execution and Denial of Service Vulnerability

    Firefox 1.5.0.2以下のiframe.contentWindow.focus()に問題がありバッファがオーバーフローするようです。これ件フォローが無いので真偽は??です。

    NoScript拡張を使って不用意にJavaScriptが実行されないように注意した方が良いかも知れません。

    http://www.noscript.net/whats

    IEもObjectタグで騒ぎになっていますね。セミナーでは「WebクライアントとWebサーバアプリは最も危険なアプリです」と言っていますが最近は色々ありすぎですね…

  • PHPの問題? BugTrackのレポート – Multiple PHP4/PHP5 vulnerabilities

    このアドバイザリのメールの日付は何故か「2005/11/13」となっているのですが4/24のメールの様です。結論から言うとこのアドバイザリは通常は「無視してOK」です。

    メールではメモリ消費のPoCとして以下のコードを例示しています。

    i. wordwrap()
    ——
    <?
    $a = str_repeat (“A”,438013);
    $b = str_repeat (“B”,951140);
    wordwrap ($a,0,$b,0);
    ?>
    ——

    ii. array_fill()
    ——
    <array_fill (1,123456789,”Infigo-IS”);?>
    ——

    iii. substr_compare()
    ——
    &lt?substr_compare (“A”,”A”,12345678);?%gt;
    ——

    まず1つ目ですが日本語環境でwordwrapを使っているケースは無いでしょう。更にプログラマが長大な分割文字(ラップした時の区切り文字)を指定する事はあり得ません。攻撃される事はまず無いでしょう。とは言っても典型的な整数オーバーフロー問題がある事は確かです。しかし、リスクがMediumとされていますがLowが適切でしょう。

    【追記】古いwordwrapには整数オーバーフローがあったため修正されていました。まだ整数オーバーフローがあるのはおかしい、と思いPHP 5.1.2のソースを確認しました。少なくともPHP 5.1.2ではオーバーフローは発生せず整数オーバーフローが発生した場合、エラーが発生するコードになっています。と思っていたら、間違ってCVSのパッチ適用済みPHP5.1.2版のソースを見ていたようです。PHP5.1.2にも整数オーバーフローがあります。PHP 4.4.2も整数オーバーフローの影響を受けます。しかし、既に書いたとおり脆弱性自体の危険性は非常に低いです。同じようなバグが過去にレポートされていて直されていたと思うのですがまだ残っていたようです。

    【追記2】substr_compare(“A”,”A”,12345678) ですがメモリ参照の問題でSegfaultします。バグですがこの手の問題は普通DoSとは言いませんね… PHP 5.1.3では修正されます。 “The start position cannot exceed initial string length.”とエラーになります。このエラーメッセージからも分かるように確保しているメモリよりも先のアドレスを参照している為、Segfaultしてしまったバグです。プログラム中に間違えて踏みそうなバグですが、この時点までこんなバグが残っていたのは色々な意味で「どうかな…」と思います。このバグ「クラッシュするよ」とレポートがあれば、PHPソース中で不具合を発生させる箇所が不明でも、バックトレース一発で原因まで特定できる単純なバグです。substr_compareはPHP5からの関数ですがzval(PHP変数のデータ構造体)には文字列(データ)の長さが保存されているのですが、これを使っていなかったのも「どうかな…」と思わされます…

    2、3つ目ですがDoSが可能となるとしていますがこれに書いてあるコードでメモリを沢山消費しても仕方ないコードです。(ちょっと乱暴な例えかもしれませんが)C言語で「メモリをGB単位で確保して、確保したメモリにmemsetするとsegfaultする」と言っているような物です。言語とアプリケーションは違います。言語でメモリを大量に消費すると問題になるケースもありますが、これらは問題として取り扱うような動作ではありません。memory_limitの引っかかってしまっても当たり前でしょう。レポートした方はどうすべき、と考えているか聞いてみたいくらいです。

    今までにもこの手のレポートはいくつかあったのですが、PHPをプログラミング言語として捉えていない人が多いのは驚かされます… たしか、最近もまた

    function foo($arg) {
   foo($arg);
}

    で「PHPがクラッシュするからおかしい」とメールがあったと思います。メモリは有限リソースなんですけどね… しかも同じ内容のメールは私が気が付いただけでも複数回見ています… 初心者向けに再帰呼び出し回数に制限を設けてもよいかも知れませんが、再帰呼び出し制限なんて必要なんでしょうか?

    私が知らないだけかも知れませんが手続き型のライトウェイト言語(Ruby、Python、Perl、Tclなど)で「関数のコールスタックは1000まで」と言った感じでチェックしている(できる)言語がある??!

    【追記】
    気になりついでにPHP,Ruby,Python,Perlの動作も調べたので、気になる方はコメントをどうぞ。制限するか? しないか? ポリシーの問題のようですね。Perl,PHPは制限しない。Ruby,Pythonは制限する。で、最も中途半端なのはPHP ;) 詳しくはコメントをどうぞ。

  • Zend Framework 0.1.3

    4/18にZend Frameworkのリリースがアップデートされていますね。

    詳しくはリンク先のチェンジログを見ていただくとして

    – Zend_HttpClient moved to Zend_Http_Client (Mike)

    のように互換性に関連する修正や機能追加もありますが、あまり大きな変更や追加はなく基本的にはバグフィックスリリースになっています。

  • OpenDocumentがISO標準に

    先頃発足したOpenDocument Format Alliance(ODF Alliance)は、推進中のファイルフォーマットが5月にInternational Organization for Standardization(ISO:国際標準化機構)の承認を得られるだろうとの自信を示している。

    OpenDocumentがISO標準になると各機関の調達基準になるので良い事ですね。独自拡張を許さない調達基準であれば相互互換性も上がって便利です。

    【追記】OpenDocumentはOpenOfficeの標準の保存形式です。一太郎も準拠していたと思います。

  • オープンセミナー2006@四国

    今日はサンポート高松で13時からPostgreSQL、インターネット、セキュリティ、オープンソースに関するセミナーがあります。

    セミナーの詳細はこちら

    http://www.postgresql.jp/ug/shikoku/conf/20060422/index.html

    懇親会の当日受付もしています。
    ご都合の良い方は是非お越し下さい。

  • 超極める!PHP

    超極める!PHP

    ムック形式本の「極めるPHP」の続き、「超極める!PHP」に何本か記事を書かせていただきました。こんな表紙になるそうです。

    Amazonの著者の順序は書いたページ数が多い順、と聞いていたので私が一番沢山書いたのですね。40~50ページの間だったと思います。

  • オープンセミナー2006@四国 – 4月22日(土曜日)

    詳しくはリンク先を見ていただくとして、4月22日(土曜日)に「オープンセミナー2006@四国」がサンポート高松 eとぴあ香川にて13時より開催されます。

    参加費は無料です。できる限り多くの方にお越し頂ければ幸いです。

    「オープンセミナー2006@四国」 開催のお知らせ

    日本PostgreSQLユーザ会 四国支部

    「オープンセミナー2006@四国」は2003年、2004年とPostgreSQLユーザ会主催のセミナーとして開催された 「PostgreSQLセミナー」の流れをくむセミナーです。

    PostgreSQLとは無料かつ自由に利用可能なリレーショナルデータベースシステムです。日本PostgreSQLユー ザ会(以下JPUG)2006年3月よりNPO法人となり装いも新たに日本におけるPostgreSQLの普及と発展を主な目 的とし以下の活動を行っています。

    * ・PostgreSQLの研究開発および普及促進
    * ・PostgreSQLに関する情報の公開  
    * ・会員相互および外部との技術的・人間的交流

    これまでのPostgreSQLセミナーではPostgreSQLの話題が中心でした。本セミナーでは瀬戸内Linuxユーザ 会(STLUG)から2名の講師、IPAから1名、JPUGから2名の多彩な講師によるオープンソースとインター ネット関連のセミナーとして企画いたしました。インターネットの中核であるIXの内側、最新のOSS動向、 セキュリティ、PostgreSQLを対象のセミナーです。

    セミナー開催のご案内が直前になってしまいましたが、中国・四国地方では数少ないオープンソース/イン ターネット/セキュリティのセミナーです。ご都合の良い方は是非ご参加ください。スタッフ一同お待ちし ています。

    当日夜に高松駅近辺にて懇親会も予定しています。懇親会に参加をご希望の方は問合せ先にEメールでご連 絡下さい。

  • Firefox, Thunderbird, SeaMonkyは直ぐにアップグレードが必要

    Thunderbirdのアップグレードが出たのでUS-CERTからアドバイザリが出てました。

    Firefox: 1.5.0.2
    Thunderbird: 1.5.0.2
    SeaMonkey: 1.0.1

    以外はリモートコード実行の脆弱性があります。重要なのは前にここにも書きましたがMozilla SuiteユーザはSeaMonkeyに移行しなければならないことです。

    ついでにFirefoxしか普段使っていない方でIEにFlashをインストールしている方、IEのFlashを削除するかIEのFlashも最新にしなければなりません。
    (Mozillaのどこかに書いてあるはず。先月のことだったかな?)

    【追記】
    Flash Player の更新に関する注意喚起
    http://www.mozilla-japan.org/kb/solution/2092

  • 「プロフィールが未設定となっております。」 Yahoo!を語るフィッシング?

    備考:かなり古いブログですが公開し忘れしていた分です。

    次のようなメールが来ました。一瞬、Yahoo!のメールかと思いました。

    From: (profile_page_mail)@yahoo.com <profile_page_mail@yahoo.com>
    To: (yohgaki)@ohgaki.net <yohgaki@ohgaki.net>
    Subject: プロフィールが未設定となっております。

    プロフィールが未設定となっておりますので、プロフィールを作成下さいませ。
    すべてが無料となっておりますので、ご自由にご利用出来ます。

    ↓のURLからプロフィール作成が簡単に行えます。
    (http)://www.profile-page.com/?member&mail=yohgaki@ohgaki.net

    From:はyhoo.comドメインに偽装しています。
    「120% SPAMメールだな」と思いましたがリンク先を確認してみる為にクリック。
    やはり出会い系サイトのプロフィールを入力するページが表示されました。一目見てYahooとは関係ないと分かるサイトです。ページには

    会員の方々のプライバシーの保護、および個人情報のセキュリティには万全を期しています。
    あなたが当会の会員であることをはじめ、あなたの個人情報が外部に漏れることはありませんので、ご安心ください。

    と書いてありますが、Phishingメールに載っているようなサイトが信頼できるはずがありません。

    このメールはFromアドレスを偽造しているのでSPAMというよりPhishingと言った方が適切と思います。送信元を偽ったメールを送っても罪にはならないかな?

    Phishingの危険性はサービス開始当事にあまり認識されていなかったとは言え、Yahoo!メールはgmail.comやhotmail.comの様に一目でフリーメールだと分かるドメイン名の方が良かったですよね。

  • 自分で作るblogツール

    Zend Frameworkの参考URLの一つになっている方の著書です。

    自分で作るblogツール

    著者のブログ個人サイト(?)やOSS公開サイトを見て「この人すごいなぁ」と思っていたら「自分で作るblogツール」と言う本を執筆されているではないでか。早速Amazonで1-Clickしてしまいました。

    Amazonのコメントには知り合いのコメントもありますね。細かい事は気にしないので、どのような内容か楽しみです。

    ところでWEBXP(Web eXtream Programmingの略かな?)フレームワークのダウンロードはどこからするのだろう?