「オープンセミナー2009@徳島」 開催のお知らせ
恒例の「オープンセミナー2009@徳島」が10/3(土曜)に開催されます。毎年パワーアップしている無料セミナーです。徳島近郊の方は是非ご参加ください。転載自由です。興味がある方へお知らせ、転送頂けると助かります。
追記:懇親会費が変更されました!4000円→4500円です。ご注意ください。
セキュリティ専門家でも間違える!文字エンコーディング問題は難しいのか?
一見徳丸さんのブログは分かりやすいように思えますが、それは単純な実験により分かりやすいように見えるだけで複数の間違いがあります。
その間違いとは
- 意図の取り違い – 誤読
- 言語の仕様と実装の理解不足
- HTTPやPHP仕様の理解不足
- セキュリティ対策をすべき場所の理解不足
です。(※0)
9/12 はオープンラボ岡山の日
9/12はオープンラボ岡山の日です。オープンラボとは勉強会の名前です。
今回のフマートフォン特集で私は「知っててあたり前 – モバイルセキュリティ」をテーマに話します。携帯開発をしている人にはあたり前の話が多いと思いますが、それ以外の小ネタも混ぜるつもりです。
参加登録
http://openlab.okaya.ma/wiki.cgi?page=%CA%D9%B6%AF%B2%F1%2F%C2%E8003%B2%F3
勉強会
http://openlab.okaya.ma/
Twitter ハッシュタグ #OLO
Androidの開発環境を作っとかないと…
Drupal勉強会とその時の資料
Linux Foundationは全面的にDrupalと呼ばれるCMSに移行したそうです。日本のLinux Foundationも当然、Drupalに移行しています。そこでLinux Foundationの小薗井さんから一度講師をして欲しい、と頼まれていました。PHPカンファレンスにいったので、その次の日の日曜日、9月6日の勉強会に参加してきました。
外国人の方が多い、と聞いていたのですが本当に外国人の方の割合が多かった。20名弱(?)ほどのうち4名くらい(?)は外国人の方、日本人の方(?)でも帰国したばかりで日本語がたどたどしいと言われている方もいました。とてもインターナショナルな感じで学生のころを思い出しました。
ユーザ会のURL: http://groups.drupal.org/japan
勉強会の様子は次のような感じです。
その時に使った資料を公開します。
テーマはPHPを使った安全なWebプログラミングの概要です。
クリックしてSecure-PHP-Programming.pdfにアクセス
かなり古い資料をリフレッシュさせたのですが、時代の流れを感じました。昔は「まあ、いいか」と判断していた部分も今でもは「絶対ダメ」になっていたりしました。とは言っても「Webアプリセキュリティ対策入門」はこれより新しく書いたもなので今でも十分通用します。ちょうど良い時期に出版したといえるのかも知れません。
資料にタイポや概要の説明であっても分かり辛い点と思える箇所などありましたら、ぜひ教えて下さい。
DrupalなどのCMSは興味の対象外だったのですが、NetCommonsといい個人的にはブーム(遅すぎ?)になっています。ToDoリストにやりたいことが山積みです…
第二回目のオープンラボ岡山は8月8日(土曜日)
告知の為のブログみたいになってきていますが、岡山のITとオープンソースの勉強会、オープンラボ岡山の第2回目です。
私は、前回Perlを使ったWebサイト構築のセキュリティで注意すべき点を紹介しました。今回は、RubyかPythonと思っていたのですが、DDDによるデバックを紹介してほしい、とリクエストがあったのでDDDによる簡単Cプログラムのデバック術、をテーマに話をします。
http://openlab.okaya.ma/
まだ、登録済みの参加者が少ないようです。長時間ですが、気楽な勉強会なので全く疲れません。都合良い方は是非どうぞ。
第2回 – オープンラボ岡山
開催日時
2009年8月8日(土)13:00-18:00
会場さんかく岡山 会議室A(定員50名)
http://www.city.okayama.jp/shimin/danjo/center/
参加費300円
参加者は運営委員を含めて参加費を負担していただきます。また(基本的には)当日の講師/発表者も参加費を負担します。
参加費は、会場にかかる費用等で変動することがありますが、500円程度を目安にご負担いただいております。
この参加費は、当日必要な経費(会場・プロジェクタ代)などに活用します。
余剰金がでた場合には、次回開催時の費用に当てます。懇親会
岡山駅近辺で考えています。
参加登録http://utage.org/enkai/menu.cgi?ENKAI_CODE=openlab01
主催オープンラボ岡山 実行委員会
共催* 岡山Javaユーザ会( http://java.okaya.ma/ )
* 瀬戸内Linuxユーザ会( http://www.stlug.org/ )
* LinuxKernelHackJAPAN( http://hira-consulting.com/wiki )
* オープンセミナー@岡山実行委員会( http://openseminar.okaya.ma/ )
* 日本PostgreSQLユーザ会 中国支部( http://www.postgresql.jp/ )
オープンセミナー2009@四国
例年、香川県高松で行っているオープンセミナー2009@四国は今週末、7/25(土)午後からです。都合が良い方は是非どうぞ。
オープンセミナー2009@四国
オープンセミナーはオープンソースとインターネットをテーマにした無料セミナーです。このセミナーの企画と運営はオープンソースのユーザコミュニティのボランティアで行われています。昨年は香川県高松市、徳島県徳島市、岡山県総社市で開催され、今年も既に岡山県総社市で開催しており、徳島県徳島市にて開催予定です。首都圏ではこのようなオープンソースユーザコミュニティが主催するセミナーや勉強会は数多くありますが、地方ではまだまだ少ないのが現状です。すばらしい講師陣である事は講師名で検索して頂くと直ぐに分ります。コミュティ主催のセミナーに参加が初めての方もお気軽にお越し下さい。
■名称: オープンセミナー2009@四国
■参加費: 無料
■開催日時:2009年7月25日 13:00から17:00(受付 12:30〜)
■開催場所:サンポートホール高松 54会議
http://www.sunport-hall.jp/
サンポートホール高松 施設概要 各階平面図
http://www.sunport-hall.jp/shisetu/heimen/index.htm
■アクセス:JR高松駅より徒歩1分。
電車または車でお越し下さい。(有料駐車場あり)
http://www.sunport-hall.jp/shisetu/access.htm
■主催: 瀬戸内Linuxユーザ会(STLUG)http://www.stlug.org/
■共催: 日本PostgreSQLユーザ会 http://www.postgresql.jp/
岡山Javaユーザ会
四国BSDユーザ会(S*BUG)
■懇親会: 高松駅近辺。費用 学生3,000円 社会人 5,000円 (事前にお申し込みください)————————————————————————
■セミナー12:30- 受付開始
13:00-13:50
○講師: 吉田 和弘 様(日本Rubyの会/株式会社ミッタシステム)
「GPUプログラミング実践編」14:00-14:50
○講師: 片山 昌樹 様(有限会社マギシステム)
「ボット最新動向 〜米韓サイバー攻撃を読み解く〜」15:00-15:50
○講師: 相馬 純平様(アジャイルプロセス協議会)16:00-16:50
○講師: 澤田 潔 様(日本PostgreSQLユーザ会)
「PostgreSQLを安心して使い、性能を見える化する
〜OSSによる病院情報システム(HIS)の強化〜」
内容:
前半は、病院の基幹情報システム(電子カルテ)の隙間・谷間のサブシステムを、病院側のエンジニアが、オープン・ソース・ソフトウェアを活用して開発し、病院職員に満足されつつ、ささやかながらも医療の効率化に貢献した事例をご紹介します。
後半は、現在医療現場の課題となっている「安心・安全・透明性」に絡めて、PostgreSQLを題材に、データベースシステムを安心して使い性能を見える化する話題を提供し、参加された皆さんと議論を深めたいと思います。16:50-17:00 閉会の挨拶
————————————————————————
■問い合わせ先、懇親会申し込み先:
日本PostgreSQLユーザ会 四国支部 (株式会社Result内)
四国支部長: 山下 武志 TEL: 087-832-5527
メール:tyama@mbp.ocn.ne.jp懇親会費は学生 3,000円/社会人 5,000円を予定しています。
会場から徒歩で移動可能な居酒屋などを予定しています。
懇親会参加をご希望の方は以下のメールをお送りください。
………………………………………………………..
To: tyama@mbp.ocn.ne.jp
Subject: [オープンセミナー2009@四国 懇親会 参加申込]
——————–
※ 氏名(ふりがな): ( )
所属:
連絡先郵便番号:
連絡先住所:
Tel:
Fax:
※ E-Mail:〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜
山下武志
E-mail <tyama @mbp.ocn.ne.jp>
〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜
オープンラボ岡山 第1回 7/18
「オープンラボ岡山」とは毎月1回、第三土曜日にICT関連の勉強をなんでも行う勉強会です。ロボットの制御、Web開発、言語、カーネル、データベース、セキュリティ、ネットワーク管理、システム管理、勉強したいことをなんでも勉強する勉強会です。
http://openlab.okaya.ma/
詳しい事はリンク先を見ていただくとして、7/13(土)午後から、参加資格なし(誰でもOK。だたし参加登録だけは必用。席の確保の為)、参加費は500円、懇親会ありです。
アナウンスが直前ということもありまだ、余裕がかなりあるようです。
私はPerlを使った安全なWebプログラミングをテーマに話をします。
gihyo.jpにPHP 5.3の紹介記事を書きました
「PHP 5.3の新機能と変更点」と題した記事を書きました。
http://gihyo.jp/dev/feature/01/php53
レイトスタティックバインディングは何に使うのか?と疑問に思っている方も多いようです。新しい機能がどう使えるのか解説するとともに、追加されたモジュールや関数、削除された機能、注意が必用な変更箇所などを紹介しています。
4回に分けて公開されます。気がついた点などはメールかコメントを頂けるとありがたいです。
第3回 はじめてのZendFrameworkアプリケーション
第3回 はじめてのZendFrameworkアプリケーション がgihyo.jpで公開されています。
http://gihyo.jp/dev/serial/01/zf-ajax/0003
コメント、質問、不具合など、気づかれた事がございましたらコメントを頂けると助かります。
次回はこのダメダメな初めてアプリケーションを少しマシにします。
その次は4/30にリリースされたZend Framework 1.8の紹介をします。
オープンセミナー2009@岡山
今年もオープンセミナー2009@岡山を5月30日に岡山県立大で開催します。
午前は軽いライトニングトークと勉強会風のセッション、午後はセミナー形式のセッションになります。車で来る事もできるのでお気軽に参加下さい。
http://os2009.okaya.ma/wiki.cgi?page=%B3%AB%BA%C5%B3%B5%CD%D7
Strict Sessionパッチ – PHP 5.2.8
PHP 5.2.8がリリースされてしばらくたち、既にPHP 5.2.9RC1が出ています。更新が遅れていましたが、PHP 5.2.8用のStrict SessionパッチをWikiに入れておきました。
http://wiki.ohgaki.net/index.php?PHP%2Fpatch%2FStrictSession
Zend_Toolの使い方 – パスに入れない
Zend_ToolのzfコマンドがZendFrameworkのバージョンによって使えたり、使えなかったりする問題で困っていたのですが原因が分かりました。
Zend_Toolのzfコマンドでプロジェクトを作成すると
$ zf create project
ZendFrameworkのファイルをカレントディレクトリのlibraryに全てコピーします。プロジェクトの雛形にはapplication/boostrap.phpが含まれ、ここでinclude_pathが設定されます。boostrap.phpは、エントリポイントとなるpublic/index.php
// @see application/bootstrap.php
$bootstrap = true;
require ‘../application/bootstrap.php’;
から毎回必ず呼ばれるので
// you may wish to add other paths here, or keep system paths: set_include_path(‘../library’ . PATH_SEPARATOR . get_include_path()
set_include_path(‘../library’);
ZendFrameworkのアーカイブはどこに展開しても構わないようになっています。
この事は知っていたのですが、zfコマンドを使わないでZendFrameworkを使えるよう、PEARをインストールしたディレクトリにlibrary/Zendディレクトリをコピーし、デフォルトのphp.iniでinlcude_pathに設定してZendFrameworkを使うようにしていました。
これがどうもダメだったようです。Zend_Toolのディレクトリ構成を見て、似通った構成だったのでもしかして、と思いinclude_path設定を変えて試してみました。すると動かないと思っていたバージョンでもzfコマンドが動作するようになりました。インクルードパスにZendFrameworkのライブラリをパスにいれると、意図しないスクリプトが読み込まれてエラーになったりしていたようです。中途半端に動く物もあったりしたのでですが「previrew版だから仕方ないか」と思って詳しく調べていませんでした。これで一つすっきりしました。
Zend_Toolを試す場合、ZendFrameworkのZendディレクトリはinclude_pathに入れないようにした方が良いようです。基本的な事ですが、探しても情報が見つからなかったので書いておきます。
PHP:既知のセキュリティ脆弱性 – Session Adoption
追記:より新しい情報については間違いだらけのHTTPセッション管理とその対策をどうぞ。
PHPには広く知られているにも関わらず放置されている既知のセキュリティ脆弱性が幾つかあります。その一つがセッションモジュールのセッションアダプション(Session Adoption)脆弱性です。この脆弱性は現在広く利用されているWebアプリケーションの安全性に、非常に大きな影響を与える脆弱性です。
セッションアダプション脆弱性とはセッション固定化攻撃を可能とする脆弱性の一種です。セッションアダプションに脆弱なセッション管理システムは、ユーザ(ブラウザ)が送信してきた未初期化のセッションIDを受け入れ、セッションを初期化してしまいます。PHPに限らず、RailsやJavaのフレームワーク等、多くのWebフレームワークに発見されている脆弱性です。
セッションアダプション脆弱性を利用すると、攻撃者は長期間に渡って他人のIDを使う成りすましが可能になる場合があります。IDを盗みたい犯罪者には利用価値の高い脆弱性です。
この脆弱性は、10年以上前から問題視されている国別TLD(ccTLD)の属性ドメイン(国別Top Level Domain, co.jp, or.jpなどのドメイン)にも下位ドメインからクッキーが設定でき、サブドメインのクッキー設定が無視される(送信順序、優先順位がいい加減)、というとんでも無いクッキーの仕様と組み合わせると、大量の他人のユーザセッションIDを取得(設定)し、成りすます事ができます。
セッションアダプション問題は全てのPHP、PHP 4.4.9/PHP 5.2.8/PHP 5.3/PHP 6.0に共通する脆弱性です。
最近、影響範囲はかなり狭くなりましたが、まだまだ注意が必要な脆弱性であり、根本的な解決にはパッチと適切なセキュリティ対策が必要です。
文字エンコーディングとセキュリティ(3)
gihyo.jpのブログ型の連載である「なぜPHPアプリにセキュリティホールが多いのか?」の
http://gihyo.jp/dev/serial/01/php-security/0021
で、PHPのサンプルコードを書いているのに「JavaScriptなど」とJavaScript用のサンプルコードであるかの様に書いていました。
JavaScript -> PHPに書き換えても良いのですが、両方JavaScriptのサンプルを掲載するように編集者の方に依頼しておきました。
ご指摘頂いた方、ありがとうございます。
PHP4.4.9のセキュリティ状態
PHP4のサポートは2008/8/8を持って終了しました。サポート終了に合わせて、最後のPHP4リリースとなる4.4.9がリリースされています。サポートが終了していますが、稼動中のPHPの半分はまだPHP4であるとる統計情報もあり、まだまだ現役です。
PHPプロジェクトのサポート終了したため、PHP 4.4.9のセキュリティ脆弱性はCVEなどでも報告されなくなりました。この為、普通にセキュリティ情報を収集していてもPHP4.4.9に対する脆弱性情報は入手できません。