yohgaki's blog

カテゴリー: Computer

  • “unable to scan $HOME/Maildir”

    ohgaki.netのメールサーバにはqmailを使っているのですが、 また”unable to scan $HOME/Maildir”とpop3d がエラーで終了してしまいました。

    このエラーはエラーメッセージの通りMaildirをスキャンできないため表示されるエラーです。qmailのpop3dがMaildirをスキャンしている途中に何らかのエラーでスキャンに失敗した場合に表示されます。私が知る限りでは2種類の原因があります。

    1. Maildirへのディレクトリへのアクセス権限の問題。(ユーザがMaildirを所有していないなど。Virtualホストの場合はVirtualホスト管理アカウント以外の所有になっているなど)
    2. pop3dのrunスクリプトでsoftlimit(利用可能なメモリを制限するコマンド)を利用しているとpop3dがその制限を越えてメモリを利用しようとした場合。

    今回の場合、普通に使えていたpop3dが突然特定のアカウントだけで利用できなくなったので2のケースかな?と思い10MB余分にメモリを使えるようにしたらエラーが無くなりました。前に同じ原因でエラーが起きたのを覚えていたので良かったのですが、次は忘れているかもしれないのでメモとしてブログに残しておきます。

  • MLの宛先にユーザのメールアドレスを使用しない方が良い?

    ディスカッションを行うMLを除き「MLのTo:(宛先)に送信先のユーザメールアドレス(各個人のメールアドレス)を記載するのは迷惑だ」と思っていました。理由は次の通りです。

    – MLの情報は私信ではない。したがってTo:である必要はない。
    – To: に自分のメールアドレスが入っている場合には特別なフィルタ処理行っているユーザが多いと思われる。

    商用サイトのMLなどはTo:に設定されている特別なフィルタ処理を考慮して、ユーザがメールを読んでくれやすいよう「確信犯」でTo:に送信先メールアドレスを記載していると思います。

    確かに昔はTo:に送信先に個人のメールアドレスアドレスを使っていると読まれる確立が高くなり、商用MLの送信者にはある程度のメリットがあったと思います。しかし、最近はSPAMが多くなりすぎていてデメリットの方が多いのではないかと思います。

    例えば、私の場合フィルタルールでTo:かCc:に自分のメールアドレスが記載されている場合、特別なフォルダに保存されて分かるように分類しています。しかし、詐欺・迷惑メールは一部の商用MLと同じくTo:に自分のメールアドレスを記載して送信してきます。MLのメールも詐欺・迷惑メールも送信先のユーザに読んでほしいので同じ事をしてきます。その結果、私の個人アドレス宛のメールフォルダには詐欺・迷惑メールと振り分け処理を行っていないMLのメールが保存されます。

    詐欺・迷惑メールの多くはSPAMフィルタでほとんど削除されますが、量が多すぎて一部はフォルダに残ってしまいます。MLのメールも残っているのですが、MLのタイトルと迷惑メールのタイトルはたいして違いが無い場合も多いので間違ってMLのメールをSPAMメールとマークしてしまう場合があります。(AmazonのメールとかSPAMになっていてキャンペーンのクーポンメールがゴミ箱に行きかけたことも…)一旦、迷惑メールと判定してしまうとかなりの確立で同じMLからのメッセージは迷惑メールとして処理されてしまう事になります。これでは、「ユーザに読んでほしいからTo:にユーザの個人メールアドレスを設定する」意味が無いと思います。

    確かに私信に近いカスタマイズされたML(というよりはダイレクトEメール)も多いですが、customers@example.comの様なアドレスを使い、タイトルのプレフィックスにサイト名を書いて「example.com: あなたにお勧めの10冊!」等と書いた方がスパムに分類される確率が低くなると思います。特にユーザが「迷惑だ」と思っていない場合には効果が高いと思います。

    まっとうなMLは宛先にユーザのメールアドレスを使用しない方が良いように思います。

    システムが自動的に送信するメールでも一部のメールにはTo:にcustomers@example.comのようなアドレスは向かない物もあると思いますが、多くの商用MLはTo:に個人メールアドレスを設定する必要は無いように思えます。

  • 良く知られたPHPの脆弱性…

    また新しいsafe_modeをバイパスできる脆弱性を利用した攻撃方法を見つけた人がいるようです。safe_modeをバイパスできる脆弱性なので大きな問題とは思いませんが、

    CVSS Severity: 7.0 (High)

    となっていますね….

    具体的には

    This issue is due to an input validation error in the “error_log()” function that does not properly validate the destination parameter, which could be exploited by malicious users to bypass the safe mode feature by supplying a “php://” wrapper with directory traversal sequences as a destination argument.

    の様なことができてしまう事が問題としてあげられています。

    <?php
    $file=””; # FILENAME
    error_log(“<? echo \”cx\”; ?>”, 3,
    “php://../../”.$file);
    ?>

    が攻撃例としてあげられています。最初のアドバイザリメールには6/10にPHP開発者に連絡しレスポンスが無かったと書いてあります。

    このようなケースはsefe_modeの範疇外(sefe_modeはfail safeを提供する機能。攻撃から防御する機能ではない)なので無視された、ということだと思います。

    ちなみに、セーフモードはPHP6では無くなります。個人的にはfail safe機能としては非常に有用な機能だと思いますが、セキュリティホールとしてレポートされすぎるので削除されます。以前にも書きましたが「なんだかなぁ」と感じます。

    システム上のファイルにアクセスしたければデータベース経由や他のライブラリ経由でアクセスすればアクセスし放題なんですけどね… safe mode = sandbox と勘違いしているユーザが多すぎです。

  • 爆発ノート

    既に色々なところで紹介されているようですが、本当すごいですね、この爆発の仕方は。PCのリコール情報にも注意が必要ですね。

    ところで燃料電池は可燃性の燃料を使いますがやはり爆発の危険性があるのでしょうかね?

  • PHPのバージョン統計 – 半数はPHP4.3ユーザ

    PHP 4.4.2が増えてきているようですが、半数近くが4.3ユーザだそうです。
    PHP 5系は低空飛行の状態のようです。

    http://www.nexen.net/images/stories/phpversion/200605/evolution.milieu.en.png

    アップグレードがいかに難しいかを表している数値だと思います…
    セキュリティホールもあるのでスクリプトで対策するなど必要な処置やセキュリティ上の評価が行われているか心配になります…

  • PukiWiki 1.4.7

    PukiWiki 1.4.7が6/12にリリースされていますね。文字エンコーディングにUTF-8を使っていると思われるバージョンもあります。

    ホームページには最新版は1.4.6と記載されているのでリリースと言うよりダウンロードできるようにしてあるだけかな?

    ところで今朝私のWikiにPukiwikiであるにも関わらず海外のSPAMMERからスパムが来ていました。MenuBarを仮想リンクネット(Link Farm, Splog)へのリンクに書き換えられていいました。ほんの少しだけ調べてみるとこの人たちは出来の悪いWeb Botを作っていたりいろいろ悪さをしているようです。ちなみにドイツの会社のようでした。

    スパム防止は基本機能として必要な時代になりましたね…

  • 本気だったのですね – 日本で検索エンジン開発

    ある官僚が「100億あれば新しい検索エンジンがつくれるかな」と言った発言をしていた、と報道されていたのですが本当になったようです。

    日立製作所や富士通、NTTなど電機、情報通信大手と東京大など国内の約30社・機関が共同で、日本独自のインターネット情報の検索エンジンの開発に乗り出す。16日にも研究組織を発足させ、2年以内の実用化を目指す。国も予算面などで支援する。

    エンジン自体から再開発なのでしょうか? コアのエンジン部分だけでもオープンソースになったりすると非常にうれしいのですが無理でしょうね。この話、実現性は50%くらい、と思っていたのですが良い物ができる事を期待します。

  • trackbackもDNS逆引きなしホストから拒否します

    海外からのコメント/トラックバックspam対策としてコメントだけはDNS逆引きなしのホストを拒否(というか登録したように見えても実際には反映しない)していたのですが、最近は一度に数百のトラックバックスパムを送ってくるSEO/SEM業者がいます。

    コメントスパムに比べるとトラックバックURLを知った上でスパムを送信する必要があるのでコメントスパムに比べてトラックバックスパムの方が若干手間がかかるのですが、スパム業者もそれくらいの手間は惜しまなくなったようです。

    DNS逆引きなしのホストからはトラックバックは受け付けないようにソースを修正しました。普通のまっとうなISPの場合、必ず逆引きは設定されているので普通のユーザは困ることはありません。(少なくとも日本は)逆引きくらいは簡単に設定できるのであまり意味が無いように思えますが、実際にSpamを送信してくるホストに逆引きが設定されていないケースが多いので多少は役に立つはずです。

    # 三浦さんのspamパッチを試さないと…

    ところでspamメールでは結構おなじみのドメイン名を使ったSpam効果測定を行っていると思われるspamが連続して送信されていました。例えば以下のドメインです。

    4109.mejsef.info

    (サーバはオーストリア、ドメイン所有者はポーランド、ネットワークアドレスが26ビットなので大口の一般ユーザ(?)のように思えますが逆引きはISPが設定した(?)ままの状態のようです)

    4109がなんらかのIDと思われます。サイト識別IDにしては4109は短すぎるのでキャンペーン番号のようなID番号なのでしょう。いちいちDNSに登録するのが面倒では?と思われるかも知れませんが、ずっと前のspamメールのエントリにも書いたようにドメインをIDとして利用するのは、ワイルドカードをサポートしたDNSなら非常に簡単です。ほとんど手間もかかりません。DJBDNS、Apache 仮想ホスト、サーバサイドスクリプト少々、なんらかのデータベースシステム等があれば簡単に汎用的な仕組みが出来てしまいます。

  • マウスをぐるぐる回して高速化!?

    前のエントリで

    本当かどうか知らないのですが「マウスでぐるぐるポインタを回しているとPCが速く動作する」と言うバカバカしいと思われる知識

    と書いたのですが、divineさんから「Word の「印刷」を劇的に速くする方法を発見。ホイールを上下するだけ!」と言うブログへのリンクを教えていただきました。(divineさん、ありがとうございます)「マウスをぐるぐるして高速化」はバカバカしいように思えるのですがマウスホイールを回すと実際に速くなる場合もあるようです。以下が速くスプールできる理由の推測です。

    ご存知の様にWindows95より前(Windowsは3.1まで)はコーポレイティブ(非プリエンプティブ)なマルチタスク(アプリが自分で処理をOSに返す)でした。MS Officeの開発は少なくともWindows 3.xの頃(Windows 3.1上でOffice 4.xを実際に使っていました。実際の開発ルーツはもっと前でしょう)までさかのぼれますが、Wordの印刷処理をバックグラウンドで行うには現在のようにスレッドを作ってOSに任せる事が出来ませんでした。昔のアプリケーションではバックグラウンド処理を行うには擬似的にスレッドを実行するような感じのコードを書く必要がありました。この擬似スレッドの様に動作するコードのためにイベントが発生するたびに、より速いタイミングでバックグランド処理が行われる仕様となってしまったアプリケーションができたのだと思います。Wordのスプールの場合、再描画のスレッドとスプール処理が関連している(リンク先(Word の「印刷」を劇的に速くする方法)を参照)ためマウスのホイールを動かしてスクロールさせると速くスプール出来てしまう動作(仕様)になってしまったようです。
    # 今のOfficeならこんなコードを捨てて普通にスプール用の
    # スレッド作るだけで劇的にスプールが速くなると思います。
    # 推測ですが。

    とにかく「マウスでぐるぐる回しているとPCが速く動作する」というノウハウは100%嘘ではなく、一部では本当に処理が高速化できる!という事は書いておなければと思いここに書いています。(注:とは言っても単純に「マウスポインタだけ」をぐるぐるしているだけでは処理は速くなりません)

    さて、マウスやキーボードを使っていると処理が速くなるケースはUNIXでもありえます。/dev/randomはマウスやキーボードなどからの入力を乱数生成に利用しているので一部のアプリケーション(特に強度が強い暗号処理)で乱数のシード待ち状態が発生する事があります。このような場合にはマウスポインタをぐるぐる回すと結果として処理が早く完了します。

    Windowsだけでなく昔のMac OSもWindowsと同様にコーポレイティブマルチタスクでした。探してみればWindows、Mac OSがコーポレイティブマルチタスクだった頃の名残りで「マウスを動かしている(イベントを発生させている)と処理が速くなる」ケースは結構沢山あるのかも知れませんね。

    マウスぐるぐるでアプリケーションの動作が高速化する場合が他にもあるでしょうか? もしご存知の方、是非教えてください。

  • RFC原理主義者ではないですが… 迷惑な迷惑メール対策に反対!

    RFCの位置づけも、絶対的に崇め奉る技術者がいたり、そもそも読んでない(あることを知らない)なんて技術者がいたりとまちまちだが、相互接続に影響する部分は準拠しておいてほしいと思う。携帯各社のメールアドレス仕様でユーザより「PCのメールからメール送受信ができない!」とクレームを受けたことのあるタレコミ人としては、ユーザに対しきっちり警告も行わないままで、相互接続に問題がある形式を採用するのは迷惑なだけ、と思うのだが、みなさんはいかが?そもそも、メールの相互接続は保障していない!って?”

    DoCoMoもAUも何を考えているのだろう?
    想像力が不足しているように思えます。不正なメールアドレスを使って他のドメイン/サーバからの迷惑メールを防ぎたいなら、自分のドメインからのみ受信できる状態をデフォルトにすれば良いだけでは?

    このような迷惑な仕様によって発生するサポートコストは「DoCoMoとAUに請求したいくらいだ」と思っている人も多いと思います。

    時間があるAUユーザは是非自分のメールアドレスを非RFC対応メールアドレスに変更してAUサポートに電話をお薦めしたいくらいです。

    ユーザ:「PCからのメールが届きません!」
    サポート:「メールアドレスに一部に一般的に使えない文字が含まれているからです」
    ユーザ:「使ってよいとしたのはそちらなので使えるようにして下さい。機械の事はよくわからないので受信できるようにしてもらいたいのです」
    サポート:「連続した.(ドット)や@直前に.は使わないでください」
    ユーザ:「もうこのアドレスにしたよ、って友人送っちゃいました。アドレス変えて送り直すってことですか?」
    … 以下延々と …

    と言ったサポートコールが山のようにあれば改めるかな?一端広げた仕様を狭めるのは非常に難しいので出来るだけ早く修正されることを期待したいです。

    文字コードといい、いい加減なのは技術者でなくて、技術をよくわかっていない上司の鶴の一声だったりするのかも知れません….

    それともユーザから「どうしてこの文字はアドレスに使えないのか?」といった問い合わせが多いのかな? 「DoCoMoでは使えるよ!」とか?

    ところでこの投稿のリンク先に書いてあったAU, DoCoMoの迷惑メール対策も「いかがなものか」と思います。

    半角英数字と「- (ハイフン)」「. (ピリオド/ドット)」「_ (アンダーバー)」などの記号を組み合わせた長いアドレスが、迷惑メールの防止に効果的です。

    http://www.au.kddi.com/notice/meiwaku/email/mail_address/

    メールアドレスの文字数別に迷惑メール受信率を調査したところ、文字数が多いほど迷惑メールを受信してしまう率が低いという結果が出ています

    http://www.nttdocomo.co.jp/info/spam_mail/measure/change_add/

    AU, DoCoMoは「長いメールアドレスが迷惑メール防止に効果的だ」としていますが、長いメールアドレスが迷惑メール防止に役立つとは思えません。単純に迷惑メールに辟易したユーザが長い別の新しいメールアドレスを取得しただけだと思います。

    当り前ですが迷惑メール業者はメールアドレスをデータベース化し、そのデータを元に送信しているはずです。データベースに登録されるか?されないか?はメールアドレスの長さや使っている文字に関係しません。(迷惑メールを送る業者がわざわざメールアドレスがRFC準拠かチェックしているとは思えない)長いメールアドレスが迷惑メール防止に役に立つ、と言う技術的根拠を示してほしいものです。(統計的に役に立っている、という議論は無意味)

    私は携帯、PHSメールアドレスを送信にはほとんど使わない&Webサイトに登録しないので迷惑メールは全くきません。@前のユーザ名部分もいつも使っている”yohgaki”です。しかもこのアドレスはずっと以前から使っています。さらに私が他のメールサービスなどでメールアドレスを設定する場合、yohgakiがユーザ名に使用できれば必ずyohgakiを使っています。yohgakiをユーザ名にすることにより迷惑メールを送信されるリスクは高くなると思われます。にも関わらず迷惑メールは受信していません。メールアドレスのユーザ名部分が分かりづらいから迷惑メールがこないのでは無く、メールアドレスがデータベースに登録されていないから迷惑メールがこないのです。
    # ちなみに公開メールアドレスのyohgaki@ohgaki.netに
    # は毎日数百通のSPAMメールが世界中から送信されてき
    # ます。

    統計的に長いメールアドレスを持つユーザが迷惑メールを受信していないのは

    SPAMメールに辟易

    新しいアドレスの取得を試みる

    分かり易いアドレスはほぼ全て使用済み

    仕方が無いので分かりづらい長いアドレスを設定する

    結果として新しいメールアドレスになる ←ここだけが迷惑メールを防ぐポイント

    当然新メールアドレスはSPAM業者のデータベースに登録されていない

    当然、SPAM業者からSPAMメールが来ない

    と考えるのが妥当と思います。メールアドレスが分かりやすいか、長いかはSPAMメール対策に何の効果ももたらしません。

    更に短いメールアドレスを持つユーザは「長い期間」そのメールアドレスを使用していると考えられます。その結果として複数のSPAM業者のデータベースに登録されてしまい、多くのSPAMメールを受信していると思われます。「短いメールアドレスを持つ」事と「SPAMを受け取りやすくなる」事には全く因果関係はありません。実際、@ohgaki.netの1文字メールアドレスには1通もSPAMメールが来たことがありません。

    長いメールアドレスが迷惑メール対策に有効と宣伝するのは「嘘をついている」言われても仕方ないと思います。

    本当かどうか知らないのですが「マウスでぐるぐるポインタを回しているとPCが速く動作する」と言うバカバカしいと思われる知識(追記:WORDでは処理タイミングの問題で印刷スプール処理が速くなる場合があるそうです。私が聞いたのはEXCELファイルの読み込み中にマウスをぐるぐる回している速く読み込める、と言うものでしたがもしかしてこれも本当だってりします?マウスイベントでスプール処理が速くなるのはWindowsとOfficeの歴史からも納得できるのですがEXCELのファイル読み込みでも同じ現象が確認できるでしょうか?ご存知の方、是非教えてください。)を本気で信じている初心者の方も多いらしいです。「長いメールアドレスが迷惑メール対策に有効」と宣伝するのはこれと変わりありません。
    # 一部のアプリケーションでスクロール中にマウスを動かすと
    # 速くスクロールするのですが、この仕様が誤解の原因??

    とにかく、技術的根拠が全くない迷惑な迷惑メール対策には強く反対です。RFCに違反していると知りつつ大手ネットワークサービスプロバイダがRFC違反するのにも強く反対です。RFCが気に入らないなら、RFCを変えてから変更するか、本気になってRFCの変更を提案する姿勢を見せてほしいものです。

  • 遅ればせながらXAMPPをインストールしてみた

    随分前からXAMPP(ザンプ、と読むらしい。間違っていたら教えてください。)は知っていたのですが使ったことがありませんでした。基本的な開発環境はLinux、ターゲットもLinuxなので特に必要性が無かったからです。最近は時間や場所の都合からもWindows環境でもある程度の開発環境を維持する必要があったため、XAMPPを入れてみました。インストールするにあたってApache, PHP, MySQLは最初にアンインストールしておきました。

    XAMPPはApache、MySQL、PHP(最後のPは何? PEARがインストールされるのPEARのP?、PerlもあるのでPerl? ドイツ語のWikipediaによるとPerlのPらしい)をまとめてセットアップする仕組みです。パッケージを集めて簡単に使えるようしているLinuxのディストリビューションのようなイメージのパッケージです。

    XAMPP自体は

    – Windows
    – Mac OSX
    – Linux
    – Solaris

    に対応していて、以下のパッケージが含まれています。

    – Apache (DAV,SSLも)
    – MySQL
    – PHP(PHP4とPHP5、全てのモジュール)+ PEAR
    – FileZilla(FTPサーバとクライアント)
    – Mercury(メールサーバ、SMTP、POP、IMAP)

    をまとめてインストールしてくれます。全てのパッケージをC:\Program Files\xampp以下のディレクトリにインストールします。メールサーバであるMercuryを理解しないで動作させるとSPAMメールの踏み台にされるのでデフォルトでは有効に設定されないようです。普通はインストールはしても動作はさせない方が良いでしょう。

    各パッケージは基本的に最新の安定版が利用されているようです。Apacheの最新安定版は2.2系列なのでApache 2.2がインストールされます。

    PHPのサンプルスクリプトの他にphpMyAdmin、Webalizerもインストールされデフォルトのページからアクセスできるようになっています。

    PHP4とPHP5はスイッチして使えるようになっていてこれは便利です。MomongaのPHPもスイッチできるようにしてしまおうかな、と思ってしまいました。

    インストールしてみた感想は「超簡単」です。何も知らなくても直ぐ使える最新環境がインストールできます。ネットで検索した限りでは「バージョンアップが速過ぎてついていけない」と言う声もありますが、基本的には開発開始時点での最新版を使う方が良いのでバージョンアップが速いのはデメリットと言うよりメリットだと思います。基本的にデフォルトでインストールすれば危ないサービス(メールサーバなど)も起動する事はありません。(Apache+PHPだけで「十分危ない」とも言えますが…. Apache、PHPをインストールする事が「危ない」という意味ではなく「Webサーバ+サーバサイドプログラミング全般が危ない」と言う意味です。念のため)

    一つだけ気になったのはインストール直後にアクセスした http://localhost の言語がドイツ語になっていた事です。ドイツ語は分からないのでソースをみてlang.tmpに”de”が指定されていたのを”en”に変えて英語表示に出来ました。ファイルのアクセス権限の問題で書き換えが出来なかっただけと思いますが、面倒なのであまり調べず直接書き換えてしまいました。インストーラは日本語でしたがWebページには日本語訳は無いようです。

    あとApacheに慣れていない方がはまり易い(?)のはセキュリティ対策の為にApacheの設定が厳しく設定されている事かもしれません。

    C:\Program Files\xampp\apache\conf\extra\httpd-vhosts.conf

    にVirtual Hostの設定を書くようになっている(私は元々LinuxのApacheの設定でもvhosts.confを作って分けているので好感)ですが、Directory設定を使って制限を変えておかないとアクセス自体も拒否されます。XAMPPのデフォルト状態では+Indexes等が指定できなくて不便です。私はhttp-vhosts.confを以下の様に設定しました。開発&テスト用に便利な設定であってセキュアな設定ではありません。念のため。

    NameVirtualHost *:80

    <VirtualHost *:80>
    ServerAdmin webmaster@xampp
    DocumentRoot “C:/Program Files/xampp/htdocs
    ServerName localhost
    ErrorLog logs/xampp-error_log
    CustomLog logs/xampp-access_log common
    </VirtualHost>

    < Directory “C:/www”>
    AllowOverride All
    Order allow,deny
    Allow from all

    Options +Indexes
    </Directory>

    <VirtualHost *:80>
    ServerAdmin webmaster@dev
    DocumentRoot “C:/www”
    ServerName dev
    ErrorLog logs/dev-error_log
    CustomLog logs/dev-access_log common
    </VirtualHost>

    PostgreSQLもWindows版が出来てかなり経つ事だしXAMPPに入れてほしいですね。

  • Intel MacのMacBook、bootcampでXP、Right Clickはできる?

    CoreDuoのMacBookが発売されていますが、bootcampでWindows XPがインストールできるのは分かるのですがマウスを付けずに右マウスクリックをする方法がすこし探しただけでは見付かりませんでした。(探し方が悪いだけ?

    http://www.olofsson.info/

    と言うサイトにMacBook Proで「FN+左クリック」で「右クリック」になるプログラムが掲載されています。

    これを使うとWindows XP+MacBook/MacBook Proで右クリックできるようになるのでしょうか? どうなんでしょう?

    ちなみに私のWindows XPのPC(MacBook/MacBook Proではありません)にインストールしてみるとウィザード形式のインストーラが起動してインストールは完了しましたが、「FN+左クリック」で「右クリック」にはなりませんでした。

    モバイルで使うにはマウスを付けて使うのはあまり現実的ではありません。特にMacBook+Win XPで右クリックできるようになるのか知りたいです。使っている方、いらっしゃいませんか?

    【追記】
    もう少し探すとApple Mouse Utilityと言うWindowsでApple Mouseを使っている方向けのユーティリティも見付けました。これはどうでしょうか?自分のWindows XPのPCにインストールしてみたところ「CTRL+左マウスボタン」で「右クリック」になったので多分MacBookでも大丈夫だとは思うのですが…

    http://www.geocities.com/pronto4u/applemouse.html

  • PHP 4.4.3RC1

    PHP 4.4.3RC1がテスト中です。
    PHP 4を使われている方、テストをお勧めします。

  • 解答:まちがった自動ログイン処理

    問題:まちがった自動ログイン処理の解答です。このブログエントリは最近作られたアプリケーションでは「問題」にしたような実装は行われていないはず、と期待していたのですがあっさり期待を破られたのでブログに書きました。このブログの方が詳しく書いていますけが「Webアプリセキュリティ対策入門」にも正しい自動ログイン処理を書いています。

    参考:自動ログイン以外に2要素認証も重要です。「今すぐできる、Webサイトへの2要素認証導入」こちらもどうぞ。HMACを利用した安全なAPIキーの送受信も参考にどうぞ。

    (さらに…)

  • PHP 5.1.3の地味なパフォーマンスチューニング

    PHP 5.1.3では地味なパフォーマンスチューニングが施されています。しかし、個人的には非常に気に入っているので紹介します。ChangeLogには以下のように記載されています。

    Eliminated run-time constant fetching for TRUE, FALSE and NULL. (Dmitry)

    http://www.php.net/ChangeLog-5.php#5.1.3

    TRUE、FALSE、NULLはPHPがデフォルトで定義する定数です。PHP 5.1.3からこれらの定数は定数のシンボルテーブルから値を取得せずに処理されるようになりました。

    この意味を理解するにはPHPが定数をどのように扱っているか知る必要があります。PHPの定数は一度値が定義されると値が変更できない”変数”の様に定義されています。つまり、TRUE、FALSE、NULLと言ったシステムが提供する定数も内部的には

    $constant = array(‘TURE’ => true, ‘FALSE’ => false, ‘NULL’ => null);

    の様な配列から’TRUE’, ‘FALSE’, ‘NULL’の値を取得する仕組みになっていました。PHP 5.1.3からは本当の定数の様に処理されるようになりました。

    以下が1000万回TRUEを代入した場合の違いです。(PentiumD 820 – 2.8GHz dual core, 3GB memory)10%強の速度改善が見られます。最初に書いたように地味ですが本当の定数として処理される事は良い事です。

    [yohgaki@dev public_html]$ cat true.php
    <?php
    for ($i=0; $i < 10000000; $i++) {
    $v = true;
    }
    ?>
    [yohgaki@dev public_html]$ time /usr/local/php-5.1.2/bin/php true.php

    real 0m2.315s
    user 0m2.308s
    sys 0m0.007s
    [yohgaki@dev public_html]$ time /usr/local/php-5.1.4/bin/php true.php

    real 0m2.042s
    user 0m2.013s
    sys 0m0.029s
    [yohgaki@dev public_html]$

    【参考】PHP4.4.2の場合

    [yohgaki@dev public_html]$ time /usr/local/php-4.4.2/bin/php true.php

    real 0m6.470s
    user 0m6.258s
    sys 0m0.013s