カテゴリー: Computer

良く知られたPHPの脆弱性…

また新しいsafe_modeをバイパスできる脆弱性を利用した攻撃方法を見つけた人がいるようです。safe_modeをバイパスできる脆弱性なので大きな問題とは思いませんが、

CVSS Severity: 7.0 (High)

となっていますね….

具体的には

This issue is due to an input validation error in the “error_log()” function that does not properly validate the destination parameter, which could be exploited by malicious users to bypass the safe mode feature by supplying a “php://” wrapper with directory traversal sequences as a destination argument.

の様なことができてしまう事が問題としてあげられています。

<?php
$file=””; # FILENAME
error_log(“<? echo \”cx\”; ?>”, 3,
“php://../../”.$file);
?>

が攻撃例としてあげられています。最初のアドバイザリメールには6/10にPHP開発者に連絡しレスポンスが無かったと書いてあります。

このようなケースはsefe_modeの範疇外(sefe_modeはfail safeを提供する機能。攻撃から防御する機能ではない)なので無視された、ということだと思います。

ちなみに、セーフモードはPHP6では無くなります。個人的にはfail safe機能としては非常に有用な機能だと思いますが、セキュリティホールとしてレポートされすぎるので削除されます。以前にも書きましたが「なんだかなぁ」と感じます。

システム上のファイルにアクセスしたければデータベース経由や他のライブラリ経由でアクセスすればアクセスし放題なんですけどね… safe mode = sandbox と勘違いしているユーザが多すぎです。

爆発ノート

既に色々なところで紹介されているようですが、本当すごいですね、この爆発の仕方は。PCのリコール情報にも注意が必要ですね。

ところで燃料電池は可燃性の燃料を使いますがやはり爆発の危険性があるのでしょうかね?

PHPのバージョン統計 – 半数はPHP4.3ユーザ

PHP 4.4.2が増えてきているようですが、半数近くが4.3ユーザだそうです。
PHP 5系は低空飛行の状態のようです。

http://www.nexen.net/images/stories/phpversion/200605/evolution.milieu.en.png

アップグレードがいかに難しいかを表している数値だと思います…
セキュリティホールもあるのでスクリプトで対策するなど必要な処置やセキュリティ上の評価が行われているか心配になります…

PukiWiki 1.4.7

PukiWiki 1.4.7が6/12にリリースされていますね。文字エンコーディングにUTF-8を使っていると思われるバージョンもあります。

ホームページには最新版は1.4.6と記載されているのでリリースと言うよりダウンロードできるようにしてあるだけかな?

ところで今朝私のWikiにPukiwikiであるにも関わらず海外のSPAMMERからスパムが来ていました。MenuBarを仮想リンクネット(Link Farm, Splog)へのリンクに書き換えられていいました。ほんの少しだけ調べてみるとこの人たちは出来の悪いWeb Botを作っていたりいろいろ悪さをしているようです。ちなみにドイツの会社のようでした。

スパム防止は基本機能として必要な時代になりましたね…

本気だったのですね – 日本で検索エンジン開発

ある官僚が「100億あれば新しい検索エンジンがつくれるかな」と言った発言をしていた、と報道されていたのですが本当になったようです。

日立製作所や富士通、NTTなど電機、情報通信大手と東京大など国内の約30社・機関が共同で、日本独自のインターネット情報の検索エンジンの開発に乗り出す。16日にも研究組織を発足させ、2年以内の実用化を目指す。国も予算面などで支援する。

エンジン自体から再開発なのでしょうか? コアのエンジン部分だけでもオープンソースになったりすると非常にうれしいのですが無理でしょうね。この話、実現性は50%くらい、と思っていたのですが良い物ができる事を期待します。

trackbackもDNS逆引きなしホストから拒否します

海外からのコメント/トラックバックspam対策としてコメントだけはDNS逆引きなしのホストを拒否(というか登録したように見えても実際には反映しない)していたのですが、最近は一度に数百のトラックバックスパムを送ってくるSEO/SEM業者がいます。

コメントスパムに比べるとトラックバックURLを知った上でスパムを送信する必要があるのでコメントスパムに比べてトラックバックスパムの方が若干手間がかかるのですが、スパム業者もそれくらいの手間は惜しまなくなったようです。

DNS逆引きなしのホストからはトラックバックは受け付けないようにソースを修正しました。普通のまっとうなISPの場合、必ず逆引きは設定されているので普通のユーザは困ることはありません。(少なくとも日本は)逆引きくらいは簡単に設定できるのであまり意味が無いように思えますが、実際にSpamを送信してくるホストに逆引きが設定されていないケースが多いので多少は役に立つはずです。

# 三浦さんのspamパッチを試さないと…

ところでspamメールでは結構おなじみのドメイン名を使ったSpam効果測定を行っていると思われるspamが連続して送信されていました。例えば以下のドメインです。

4109.mejsef.info

(サーバはオーストリア、ドメイン所有者はポーランド、ネットワークアドレスが26ビットなので大口の一般ユーザ(?)のように思えますが逆引きはISPが設定した(?)ままの状態のようです)

4109がなんらかのIDと思われます。サイト識別IDにしては4109は短すぎるのでキャンペーン番号のようなID番号なのでしょう。いちいちDNSに登録するのが面倒では?と思われるかも知れませんが、ずっと前のspamメールのエントリにも書いたようにドメインをIDとして利用するのは、ワイルドカードをサポートしたDNSなら非常に簡単です。ほとんど手間もかかりません。DJBDNS、Apache 仮想ホスト、サーバサイドスクリプト少々、なんらかのデータベースシステム等があれば簡単に汎用的な仕組みが出来てしまいます。

マウスをぐるぐる回して高速化!?

前のエントリで

本当かどうか知らないのですが「マウスでぐるぐるポインタを回しているとPCが速く動作する」と言うバカバカしいと思われる知識

と書いたのですが、divineさんから「Word の「印刷」を劇的に速くする方法を発見。ホイールを上下するだけ!」と言うブログへのリンクを教えていただきました。(divineさん、ありがとうございます)「マウスをぐるぐるして高速化」はバカバカしいように思えるのですがマウスホイールを回すと実際に速くなる場合もあるようです。以下が速くスプールできる理由の推測です。

ご存知の様にWindows95より前(Windowsは3.1まで)はコーポレイティブ(非プリエンプティブ)なマルチタスク(アプリが自分で処理をOSに返す)でした。MS Officeの開発は少なくともWindows 3.xの頃(Windows 3.1上でOffice 4.xを実際に使っていました。実際の開発ルーツはもっと前でしょう)までさかのぼれますが、Wordの印刷処理をバックグラウンドで行うには現在のようにスレッドを作ってOSに任せる事が出来ませんでした。昔のアプリケーションではバックグラウンド処理を行うには擬似的にスレッドを実行するような感じのコードを書く必要がありました。この擬似スレッドの様に動作するコードのためにイベントが発生するたびに、より速いタイミングでバックグランド処理が行われる仕様となってしまったアプリケーションができたのだと思います。Wordのスプールの場合、再描画のスレッドとスプール処理が関連している(リンク先(Word の「印刷」を劇的に速くする方法)を参照)ためマウスのホイールを動かしてスクロールさせると速くスプール出来てしまう動作(仕様)になってしまったようです。
# 今のOfficeならこんなコードを捨てて普通にスプール用の
# スレッド作るだけで劇的にスプールが速くなると思います。
# 推測ですが。

とにかく「マウスでぐるぐる回しているとPCが速く動作する」というノウハウは100%嘘ではなく、一部では本当に処理が高速化できる!という事は書いておなければと思いここに書いています。(注:とは言っても単純に「マウスポインタだけ」をぐるぐるしているだけでは処理は速くなりません)

さて、マウスやキーボードを使っていると処理が速くなるケースはUNIXでもありえます。/dev/randomはマウスやキーボードなどからの入力を乱数生成に利用しているので一部のアプリケーション(特に強度が強い暗号処理)で乱数のシード待ち状態が発生する事があります。このような場合にはマウスポインタをぐるぐる回すと結果として処理が早く完了します。

Windowsだけでなく昔のMac OSもWindowsと同様にコーポレイティブマルチタスクでした。探してみればWindows、Mac OSがコーポレイティブマルチタスクだった頃の名残りで「マウスを動かしている(イベントを発生させている)と処理が速くなる」ケースは結構沢山あるのかも知れませんね。

マウスぐるぐるでアプリケーションの動作が高速化する場合が他にもあるでしょうか? もしご存知の方、是非教えてください。

RFC原理主義者ではないですが… 迷惑な迷惑メール対策に反対!

RFCの位置づけも、絶対的に崇め奉る技術者がいたり、そもそも読んでない(あることを知らない)なんて技術者がいたりとまちまちだが、相互接続に影響する部分は準拠しておいてほしいと思う。携帯各社のメールアドレス仕様でユーザより「PCのメールからメール送受信ができない!」とクレームを受けたことのあるタレコミ人としては、ユーザに対しきっちり警告も行わないままで、相互接続に問題がある形式を採用するのは迷惑なだけ、と思うのだが、みなさんはいかが?そもそも、メールの相互接続は保障していない!って?”

DoCoMoもAUも何を考えているのだろう?
想像力が不足しているように思えます。不正なメールアドレスを使って他のドメイン/サーバからの迷惑メールを防ぎたいなら、自分のドメインからのみ受信できる状態をデフォルトにすれば良いだけでは?

このような迷惑な仕様によって発生するサポートコストは「DoCoMoとAUに請求したいくらいだ」と思っている人も多いと思います。

時間があるAUユーザは是非自分のメールアドレスを非RFC対応メールアドレスに変更してAUサポートに電話をお薦めしたいくらいです。

ユーザ:「PCからのメールが届きません!」
サポート:「メールアドレスに一部に一般的に使えない文字が含まれているからです」
ユーザ:「使ってよいとしたのはそちらなので使えるようにして下さい。機械の事はよくわからないので受信できるようにしてもらいたいのです」
サポート:「連続した.(ドット)や@直前に.は使わないでください」
ユーザ:「もうこのアドレスにしたよ、って友人送っちゃいました。アドレス変えて送り直すってことですか?」
… 以下延々と …

と言ったサポートコールが山のようにあれば改めるかな?一端広げた仕様を狭めるのは非常に難しいので出来るだけ早く修正されることを期待したいです。

文字コードといい、いい加減なのは技術者でなくて、技術をよくわかっていない上司の鶴の一声だったりするのかも知れません….

それともユーザから「どうしてこの文字はアドレスに使えないのか?」といった問い合わせが多いのかな? 「DoCoMoでは使えるよ!」とか?

ところでこの投稿のリンク先に書いてあったAU, DoCoMoの迷惑メール対策も「いかがなものか」と思います。

半角英数字と「- (ハイフン)」「. (ピリオド/ドット)」「_ (アンダーバー)」などの記号を組み合わせた長いアドレスが、迷惑メールの防止に効果的です。

http://www.au.kddi.com/notice/meiwaku/email/mail_address/

メールアドレスの文字数別に迷惑メール受信率を調査したところ、文字数が多いほど迷惑メールを受信してしまう率が低いという結果が出ています

http://www.nttdocomo.co.jp/info/spam_mail/measure/change_add/

AU, DoCoMoは「長いメールアドレスが迷惑メール防止に効果的だ」としていますが、長いメールアドレスが迷惑メール防止に役立つとは思えません。単純に迷惑メールに辟易したユーザが長い別の新しいメールアドレスを取得しただけだと思います。

当り前ですが迷惑メール業者はメールアドレスをデータベース化し、そのデータを元に送信しているはずです。データベースに登録されるか?されないか?はメールアドレスの長さや使っている文字に関係しません。(迷惑メールを送る業者がわざわざメールアドレスがRFC準拠かチェックしているとは思えない)長いメールアドレスが迷惑メール防止に役に立つ、と言う技術的根拠を示してほしいものです。(統計的に役に立っている、という議論は無意味)

私は携帯、PHSメールアドレスを送信にはほとんど使わない&Webサイトに登録しないので迷惑メールは全くきません。@前のユーザ名部分もいつも使っている”yohgaki”です。しかもこのアドレスはずっと以前から使っています。さらに私が他のメールサービスなどでメールアドレスを設定する場合、yohgakiがユーザ名に使用できれば必ずyohgakiを使っています。yohgakiをユーザ名にすることにより迷惑メールを送信されるリスクは高くなると思われます。にも関わらず迷惑メールは受信していません。メールアドレスのユーザ名部分が分かりづらいから迷惑メールがこないのでは無く、メールアドレスがデータベースに登録されていないから迷惑メールがこないのです。
# ちなみに公開メールアドレスのyohgaki@ohgaki.netに
# は毎日数百通のSPAMメールが世界中から送信されてき
# ます。

統計的に長いメールアドレスを持つユーザが迷惑メールを受信していないのは

SPAMメールに辟易

新しいアドレスの取得を試みる

分かり易いアドレスはほぼ全て使用済み

仕方が無いので分かりづらい長いアドレスを設定する

結果として新しいメールアドレスになる ←ここだけが迷惑メールを防ぐポイント

当然新メールアドレスはSPAM業者のデータベースに登録されていない

当然、SPAM業者からSPAMメールが来ない

と考えるのが妥当と思います。メールアドレスが分かりやすいか、長いかはSPAMメール対策に何の効果ももたらしません。

更に短いメールアドレスを持つユーザは「長い期間」そのメールアドレスを使用していると考えられます。その結果として複数のSPAM業者のデータベースに登録されてしまい、多くのSPAMメールを受信していると思われます。「短いメールアドレスを持つ」事と「SPAMを受け取りやすくなる」事には全く因果関係はありません。実際、@ohgaki.netの1文字メールアドレスには1通もSPAMメールが来たことがありません。

長いメールアドレスが迷惑メール対策に有効と宣伝するのは「嘘をついている」言われても仕方ないと思います。

本当かどうか知らないのですが「マウスでぐるぐるポインタを回しているとPCが速く動作する」と言うバカバカしいと思われる知識(追記:WORDでは処理タイミングの問題で印刷スプール処理が速くなる場合があるそうです。私が聞いたのはEXCELファイルの読み込み中にマウスをぐるぐる回している速く読み込める、と言うものでしたがもしかしてこれも本当だってりします?マウスイベントでスプール処理が速くなるのはWindowsとOfficeの歴史からも納得できるのですがEXCELのファイル読み込みでも同じ現象が確認できるでしょうか?ご存知の方、是非教えてください。)を本気で信じている初心者の方も多いらしいです。「長いメールアドレスが迷惑メール対策に有効」と宣伝するのはこれと変わりありません。
# 一部のアプリケーションでスクロール中にマウスを動かすと
# 速くスクロールするのですが、この仕様が誤解の原因??

とにかく、技術的根拠が全くない迷惑な迷惑メール対策には強く反対です。RFCに違反していると知りつつ大手ネットワークサービスプロバイダがRFC違反するのにも強く反対です。RFCが気に入らないなら、RFCを変えてから変更するか、本気になってRFCの変更を提案する姿勢を見せてほしいものです。

遅ればせながらXAMPPをインストールしてみた

随分前からXAMPP(ザンプ、と読むらしい。間違っていたら教えてください。)は知っていたのですが使ったことがありませんでした。基本的な開発環境はLinux、ターゲットもLinuxなので特に必要性が無かったからです。最近は時間や場所の都合からもWindows環境でもある程度の開発環境を維持する必要があったため、XAMPPを入れてみました。インストールするにあたってApache, PHP, MySQLは最初にアンインストールしておきました。

XAMPPはApache、MySQL、PHP(最後のPは何? PEARがインストールされるのPEARのP?、PerlもあるのでPerl? ドイツ語のWikipediaによるとPerlのPらしい)をまとめてセットアップする仕組みです。パッケージを集めて簡単に使えるようしているLinuxのディストリビューションのようなイメージのパッケージです。

XAMPP自体は

– Windows
– Mac OSX
– Linux
– Solaris

に対応していて、以下のパッケージが含まれています。

– Apache (DAV,SSLも)
– MySQL
– PHP(PHP4とPHP5、全てのモジュール)+ PEAR
– FileZilla(FTPサーバとクライアント)
– Mercury(メールサーバ、SMTP、POP、IMAP)

をまとめてインストールしてくれます。全てのパッケージをC:\Program Files\xampp以下のディレクトリにインストールします。メールサーバであるMercuryを理解しないで動作させるとSPAMメールの踏み台にされるのでデフォルトでは有効に設定されないようです。普通はインストールはしても動作はさせない方が良いでしょう。

各パッケージは基本的に最新の安定版が利用されているようです。Apacheの最新安定版は2.2系列なのでApache 2.2がインストールされます。

PHPのサンプルスクリプトの他にphpMyAdmin、Webalizerもインストールされデフォルトのページからアクセスできるようになっています。

PHP4とPHP5はスイッチして使えるようになっていてこれは便利です。MomongaのPHPもスイッチできるようにしてしまおうかな、と思ってしまいました。

インストールしてみた感想は「超簡単」です。何も知らなくても直ぐ使える最新環境がインストールできます。ネットで検索した限りでは「バージョンアップが速過ぎてついていけない」と言う声もありますが、基本的には開発開始時点での最新版を使う方が良いのでバージョンアップが速いのはデメリットと言うよりメリットだと思います。基本的にデフォルトでインストールすれば危ないサービス(メールサーバなど)も起動する事はありません。(Apache+PHPだけで「十分危ない」とも言えますが…. Apache、PHPをインストールする事が「危ない」という意味ではなく「Webサーバ+サーバサイドプログラミング全般が危ない」と言う意味です。念のため)

一つだけ気になったのはインストール直後にアクセスした http://localhost の言語がドイツ語になっていた事です。ドイツ語は分からないのでソースをみてlang.tmpに”de”が指定されていたのを”en”に変えて英語表示に出来ました。ファイルのアクセス権限の問題で書き換えが出来なかっただけと思いますが、面倒なのであまり調べず直接書き換えてしまいました。インストーラは日本語でしたがWebページには日本語訳は無いようです。

あとApacheに慣れていない方がはまり易い(?)のはセキュリティ対策の為にApacheの設定が厳しく設定されている事かもしれません。

C:\Program Files\xampp\apache\conf\extra\httpd-vhosts.conf

にVirtual Hostの設定を書くようになっている(私は元々LinuxのApacheの設定でもvhosts.confを作って分けているので好感)ですが、Directory設定を使って制限を変えておかないとアクセス自体も拒否されます。XAMPPのデフォルト状態では+Indexes等が指定できなくて不便です。私はhttp-vhosts.confを以下の様に設定しました。開発&テスト用に便利な設定であってセキュアな設定ではありません。念のため。

NameVirtualHost *:80

<VirtualHost *:80>
ServerAdmin webmaster@xampp
DocumentRoot “C:/Program Files/xampp/htdocs
ServerName localhost
ErrorLog logs/xampp-error_log
CustomLog logs/xampp-access_log common
</VirtualHost>

< Directory “C:/www”>
AllowOverride All
Order allow,deny
Allow from all

Options +Indexes
</Directory>

<VirtualHost *:80>
ServerAdmin webmaster@dev
DocumentRoot “C:/www”
ServerName dev
ErrorLog logs/dev-error_log
CustomLog logs/dev-access_log common
</VirtualHost>

PostgreSQLもWindows版が出来てかなり経つ事だしXAMPPに入れてほしいですね。

Intel MacのMacBook、bootcampでXP、Right Clickはできる?

CoreDuoのMacBookが発売されていますが、bootcampでWindows XPがインストールできるのは分かるのですがマウスを付けずに右マウスクリックをする方法がすこし探しただけでは見付かりませんでした。(探し方が悪いだけ?

http://www.olofsson.info/

と言うサイトにMacBook Proで「FN+左クリック」で「右クリック」になるプログラムが掲載されています。

これを使うとWindows XP+MacBook/MacBook Proで右クリックできるようになるのでしょうか? どうなんでしょう?

ちなみに私のWindows XPのPC(MacBook/MacBook Proではありません)にインストールしてみるとウィザード形式のインストーラが起動してインストールは完了しましたが、「FN+左クリック」で「右クリック」にはなりませんでした。

モバイルで使うにはマウスを付けて使うのはあまり現実的ではありません。特にMacBook+Win XPで右クリックできるようになるのか知りたいです。使っている方、いらっしゃいませんか?

【追記】
もう少し探すとApple Mouse Utilityと言うWindowsでApple Mouseを使っている方向けのユーティリティも見付けました。これはどうでしょうか?自分のWindows XPのPCにインストールしてみたところ「CTRL+左マウスボタン」で「右クリック」になったので多分MacBookでも大丈夫だとは思うのですが…

http://www.geocities.com/pronto4u/applemouse.html

解答:まちがった自動ログイン処理

問題:まちがった自動ログイン処理の解答です。このブログエントリは最近作られたアプリケーションでは「問題」にしたような実装は行われていないはず、と期待していたのですがあっさり期待を破られたのでブログに書きました。このブログの方が詳しく書いていますけが「Webアプリセキュリティ対策入門」にも正しい自動ログイン処理を書いています。

参考:自動ログイン以外に2要素認証も重要です。「今すぐできる、Webサイトへの2要素認証導入」こちらもどうぞ。HMACを利用した安全なAPIキーの送受信も参考にどうぞ。

もっと読む

PHP 5.1.3の地味なパフォーマンスチューニング

PHP 5.1.3では地味なパフォーマンスチューニングが施されています。しかし、個人的には非常に気に入っているので紹介します。ChangeLogには以下のように記載されています。

Eliminated run-time constant fetching for TRUE, FALSE and NULL. (Dmitry)

http://www.php.net/ChangeLog-5.php#5.1.3

TRUE、FALSE、NULLはPHPがデフォルトで定義する定数です。PHP 5.1.3からこれらの定数は定数のシンボルテーブルから値を取得せずに処理されるようになりました。

この意味を理解するにはPHPが定数をどのように扱っているか知る必要があります。PHPの定数は一度値が定義されると値が変更できない”変数”の様に定義されています。つまり、TRUE、FALSE、NULLと言ったシステムが提供する定数も内部的には

$constant = array(‘TURE’ => true, ‘FALSE’ => false, ‘NULL’ => null);

の様な配列から’TRUE’, ‘FALSE’, ‘NULL’の値を取得する仕組みになっていました。PHP 5.1.3からは本当の定数の様に処理されるようになりました。

以下が1000万回TRUEを代入した場合の違いです。(PentiumD 820 – 2.8GHz dual core, 3GB memory)10%強の速度改善が見られます。最初に書いたように地味ですが本当の定数として処理される事は良い事です。

[yohgaki@dev public_html]$ cat true.php
<?php
for ($i=0; $i < 10000000; $i++) {
$v = true;
}
?>
[yohgaki@dev public_html]$ time /usr/local/php-5.1.2/bin/php true.php

real 0m2.315s
user 0m2.308s
sys 0m0.007s
[yohgaki@dev public_html]$ time /usr/local/php-5.1.4/bin/php true.php

real 0m2.042s
user 0m2.013s
sys 0m0.029s
[yohgaki@dev public_html]$

【参考】PHP4.4.2の場合

[yohgaki@dev public_html]$ time /usr/local/php-4.4.2/bin/php true.php

real 0m6.470s
user 0m6.258s
sys 0m0.013s

PHPの$_POST, $_GET, $_COOKIEの要素に配列を使用する

PHP 5.1.4が素早くリリースされた原因の一つが「$_POST配列の要素が配列の場合、要素の値が壊れる問題」です。

この「$_POST、$_GET、$_COOKIE配列の要素に配列を使う機能」はよく知られていない機能の一つと言っても良いかも知れません。オンラインマニュアルにも解説がなかったような気がします。説明を簡単にする為に$_GETの例を紹介します。

値を配列を送信するには変数名に[]を付け加えて送信するだけでOKです。

http://example.com/test.php?a[]=1&a[]=2

array(1) {
[“a”]=>
array(2) {
[0]=>
string(1) “1”
[1]=>
string(1) “2”
}
}

連想配列を送信するには[]の中に要素名を指定するだけです。

http://example.com/test.php?test.php?a[foo]=1&a[bar]=2

array(1) {
[“a”]=>
array(2) {
[“foo”]=>
string(1) “1”
[“bar”]=>
string(1) “2”
}
}

$_POST, $_COOKIEも同様の要領で配列要素を送信できます。フォームのチェックボックスの値などを配列で送信すると便利です。

ただしURIを定義するRFC3986のセクション2.2、2.3では以下がReserved、Unreservedな文字としています。

reserved = gen-delims / sub-delims

gen-delims = “:” / “/” / “?” / “#” / “[” / “]” / “@”

sub-delims = “!” / “$” / “&” / “‘” / “(” / “)”
/ “*” / “+” / “,” / “;” / “=”

unreserved = ALPHA / DIGIT / “-” / “.” / “_” / “~”

“[“, “]”は予約済みの文字であるためURIで利用する場合、正式には、URIエンコードが必要です。

参考:古いURIのRFCであるRFC2396では

reserved = “;” | “/” | “?” | “:” | “@” | “&” | “=” | “+” |
“$” | “,”

unreserved = alphanum | mark

mark = “-” | “_” | “.” | “!” | “~” | “*” | “‘” | “(” | “)”

となっており”[“,”]”はReserved文字になっていません。しかし、Unreservedでもありません。

$_POSTの場合、HTML4.01ではinputのname属性はCDATAになっていたと思うので[]を使用しても大丈夫だったと思います。

http://www.w3.org/TR/1999/REC-html401-19991224/interact/forms.html#adef-name-INPUT
http://www.w3.org/TR/1999/REC-html401-19991224/index/attributes.html
http://www.w3.org/TR/1999/REC-html401-19991224/intro/sgmltut.html#h-3.2.2

XHTML 1.0の場合、XMLと同じなのでXML 1.0 Specification(Sect. 3.1)を見ると

[41] Attribute ::= Name Eq AttValue

となっており属性名はNameルールに従うことになっています。Nameは次のように定義されています。

[4] NameChar ::= Letter | Digit | ‘.’ | ‘-‘ | ‘_’ | ‘:’ | CombiningChar | Extender
[5] Name ::= (Letter | ‘_’ | ‘:’) (NameChar)*

NameCharは

[84] Letter ::= BaseChar | Ideographic
[85] BaseChar ::= [#x0041-#x005A] | [#x0061-#x007A] | [#x00C0-#x00D6] | [#x00D8-#x00F6] | [#x00F8-#x00FF] | [#x0100-#x0131] | [#x0134-#x013E] | [#x0141-#x0148] | [#x014A-#x017E] | [#x0180-#x01C3] | [#x01CD-#x01F0] | [#x01F4-#x01F5] | [#x01FA-#x0217] | [#x0250-#x02A8] | [#x02BB-#x02C1] | #x0386 | [#x0388-#x038A] | #x038C | [#x038E-#x03A1] | [#x03A3-#x03CE] | [#x03D0-#x03D6] | #x03DA | #x03DC | #x03DE | #x03E0 | [#x03E2-#x03F3] | [#x0401-#x040C] | [#x040E-#x044F] | [#x0451-#x045C] | [#x045E-#x0481] | [#x0490-#x04C4] | [#x04C7-#x04C8] | [#x04CB-#x04CC] | [#x04D0-#x04EB] | [#x04EE-#x04F5] | [#x04F8-#x04F9] | [#x0531-#x0556] | #x0559 | [#x0561-#x0586] | [#x05D0-#x05EA] | [#x05F0-#x05F2] | [#x0621-#x063A] | [#x0641-#x064A] | [#x0671-#x06B7] | [#x06BA-#x06BE] | [#x06C0-#x06CE] | [#x06D0-#x06D3] | #x06D5 | [#x06E5-#x06E6] | [#x0905-#x0939] | #x093D | [#x0958-#x0961] | [#x0985-#x098C] | [#x098F-#x0990] | [#x0993-#x09A8] | [#x09AA-#x09B0] | #x09B2 | [#x09B6-#x09B9] | [#x09DC-#x09DD] | [#x09DF-#x09E1] | [#x09F0-#x09F1] | [#x0A05-#x0A0A] | [#x0A0F-#x0A10] | [#x0A13-#x0A28] | [#x0A2A-#x0A30] | [#x0A32-#x0A33] | [#x0A35-#x0A36] | [#x0A38-#x0A39] | [#x0A59-#x0A5C] | #x0A5E | [#x0A72-#x0A74] | [#x0A85-#x0A8B] | #x0A8D | [#x0A8F-#x0A91] | [#x0A93-#x0AA8] | [#x0AAA-#x0AB0] | [#x0AB2-#x0AB3] | [#x0AB5-#x0AB9] | #x0ABD | #x0AE0 | [#x0B05-#x0B0C] | [#x0B0F-#x0B10] | [#x0B13-#x0B28] | [#x0B2A-#x0B30] | [#x0B32-#x0B33] | [#x0B36-#x0B39] | #x0B3D | [#x0B5C-#x0B5D] | [#x0B5F-#x0B61] | [#x0B85-#x0B8A] | [#x0B8E-#x0B90] | [#x0B92-#x0B95] | [#x0B99-#x0B9A] | #x0B9C | [#x0B9E-#x0B9F] | [#x0BA3-#x0BA4] | [#x0BA8-#x0BAA] | [#x0BAE-#x0BB5] | [#x0BB7-#x0BB9] | [#x0C05-#x0C0C] | [#x0C0E-#x0C10] | [#x0C12-#x0C28] | [#x0C2A-#x0C33] | [#x0C35-#x0C39] | [#x0C60-#x0C61] | [#x0C85-#x0C8C] | [#x0C8E-#x0C90] | [#x0C92-#x0CA8] | [#x0CAA-#x0CB3] | [#x0CB5-#x0CB9] | #x0CDE | [#x0CE0-#x0CE1] | [#x0D05-#x0D0C] | [#x0D0E-#x0D10] | [#x0D12-#x0D28] | [#x0D2A-#x0D39] | [#x0D60-#x0D61] | [#x0E01-#x0E2E] | #x0E30 | [#x0E32-#x0E33] | [#x0E40-#x0E45] | [#x0E81-#x0E82] | #x0E84 | [#x0E87-#x0E88] | #x0E8A | #x0E8D | [#x0E94-#x0E97] | [#x0E99-#x0E9F] | [#x0EA1-#x0EA3] | #x0EA5 | #x0EA7 | [#x0EAA-#x0EAB] | [#x0EAD-#x0EAE] | #x0EB0 | [#x0EB2-#x0EB3] | #x0EBD | [#x0EC0-#x0EC4] | [#x0F40-#x0F47] | [#x0F49-#x0F69] | [#x10A0-#x10C5] | [#x10D0-#x10F6] | #x1100 | [#x1102-#x1103] | [#x1105-#x1107] | #x1109 | [#x110B-#x110C] | [#x110E-#x1112] | #x113C | #x113E | #x1140 | #x114C | #x114E | #x1150 | [#x1154-#x1155] | #x1159 | [#x115F-#x1161] | #x1163 | #x1165 | #x1167 | #x1169 | [#x116D-#x116E] | [#x1172-#x1173] | #x1175 | #x119E | #x11A8 | #x11AB | [#x11AE-#x11AF] | [#x11B7-#x11B8] | #x11BA | [#x11BC-#x11C2] | #x11EB | #x11F0 | #x11F9 | [#x1E00-#x1E9B] | [#x1EA0-#x1EF9] | [#x1F00-#x1F15] | [#x1F18-#x1F1D] | [#x1F20-#x1F45] | [#x1F48-#x1F4D] | [#x1F50-#x1F57] | #x1F59 | #x1F5B | #x1F5D | [#x1F5F-#x1F7D] | [#x1F80-#x1FB4] | [#x1FB6-#x1FBC] | #x1FBE | [#x1FC2-#x1FC4] | [#x1FC6-#x1FCC] | [#x1FD0-#x1FD3] | [#x1FD6-#x1FDB] | [#x1FE0-#x1FEC] | [#x1FF2-#x1FF4] | [#x1FF6-#x1FFC] | #x2126 | [#x212A-#x212B] | #x212E | [#x2180-#x2182] | [#x3041-#x3094] | [#x30A1-#x30FA] | [#x3105-#x312C] | [#xAC00-#xD7A3]
[86] Ideographic ::= [#x4E00-#x9FA5] | #x3007 | [#x3021-#x3029]
[87] CombiningChar ::= [#x0300-#x0345] | [#x0360-#x0361] | [#x0483-#x0486] | [#x0591-#x05A1] | [#x05A3-#x05B9] | [#x05BB-#x05BD] | #x05BF | [#x05C1-#x05C2] | #x05C4 | [#x064B-#x0652] | #x0670 | [#x06D6-#x06DC] | [#x06DD-#x06DF] | [#x06E0-#x06E4] | [#x06E7-#x06E8] | [#x06EA-#x06ED] | [#x0901-#x0903] | #x093C | [#x093E-#x094C] | #x094D | [#x0951-#x0954] | [#x0962-#x0963] | [#x0981-#x0983] | #x09BC | #x09BE | #x09BF | [#x09C0-#x09C4] | [#x09C7-#x09C8] | [#x09CB-#x09CD] | #x09D7 | [#x09E2-#x09E3] | #x0A02 | #x0A3C | #x0A3E | #x0A3F | [#x0A40-#x0A42] | [#x0A47-#x0A48] | [#x0A4B-#x0A4D] | [#x0A70-#x0A71] | [#x0A81-#x0A83] | #x0ABC | [#x0ABE-#x0AC5] | [#x0AC7-#x0AC9] | [#x0ACB-#x0ACD] | [#x0B01-#x0B03] | #x0B3C | [#x0B3E-#x0B43] | [#x0B47-#x0B48] | [#x0B4B-#x0B4D] | [#x0B56-#x0B57] | [#x0B82-#x0B83] | [#x0BBE-#x0BC2] | [#x0BC6-#x0BC8] | [#x0BCA-#x0BCD] | #x0BD7 | [#x0C01-#x0C03] | [#x0C3E-#x0C44] | [#x0C46-#x0C48] | [#x0C4A-#x0C4D] | [#x0C55-#x0C56] | [#x0C82-#x0C83] | [#x0CBE-#x0CC4] | [#x0CC6-#x0CC8] | [#x0CCA-#x0CCD] | [#x0CD5-#x0CD6] | [#x0D02-#x0D03] | [#x0D3E-#x0D43] | [#x0D46-#x0D48] | [#x0D4A-#x0D4D] | #x0D57 | #x0E31 | [#x0E34-#x0E3A] | [#x0E47-#x0E4E] | #x0EB1 | [#x0EB4-#x0EB9] | [#x0EBB-#x0EBC] | [#x0EC8-#x0ECD] | [#x0F18-#x0F19] | #x0F35 | #x0F37 | #x0F39 | #x0F3E | #x0F3F | [#x0F71-#x0F84] | [#x0F86-#x0F8B] | [#x0F90-#x0F95] | #x0F97 | [#x0F99-#x0FAD] | [#x0FB1-#x0FB7] | #x0FB9 | [#x20D0-#x20DC] | #x20E1 | [#x302A-#x302F] | #x3099 | #x309A
[88] Digit ::= [#x0030-#x0039] | [#x0660-#x0669] | [#x06F0-#x06F9] | [#x0966-#x096F] | [#x09E6-#x09EF] | [#x0A66-#x0A6F] | [#x0AE6-#x0AEF] | [#x0B66-#x0B6F] | [#x0BE7-#x0BEF] | [#x0C66-#x0C6F] | [#x0CE6-#x0CEF] | [#x0D66-#x0D6F] | [#x0E50-#x0E59] | [#x0ED0-#x0ED9] | [#x0F20-#x0F29]
[89] Extender ::= #x00B7 | #x02D0 | #x02D1 | #x0387 | #x0640 | #x0E46 | #x0EC6 | #x3005 | [#x3031-#x3035] | [#x309D-#x309E] | [#x30FC-#x30FE]

となっています。”[“( #x005B )、”]”( #x005D )共に在りません。

COOKIEで配列を使おうと思った事が無いのでCOOKIEの場合は調べた事がありません。ご存知の方、是非教えてください。

【蛇足】
RFC3986のセクション2.3には以下の記述もあります。

URIs that differ in the replacement of an unreserved character with its corresponding percent-encoded US-ASCII octet are equivalent: they identify the same resource. However, URI comparison implementations do not always perform normalization prior to comparison (see Section 6). For consistency, percent-encoded octets in the ranges of ALPHA (%41-%5A and %61-%7A), DIGIT (%30-%39), hyphen (%2D), period (%2E), underscore (%5F), or tilde (%7E) should not be created by URI producers and, when found in a URI, should be decoded to their corresponding unreserved characters by URI normalizers.

“tilde (%7E) should not be created by URI producers”と”~”はURLエンコードしてはならない、としています。時々”~”がURIエンコードされているケースが見かけられますがRFC的にはエンコードせずに表記すべきです。

PHP 5.1.3リリース

体調を崩している間にPHP 5.1.3がリリースされRC2以降に紛れ込んだ$_POST要素が配列である場合のバグ、FCGIのバグ等の為、PHP 5.1.4が直ぐにリリースされていますが、PHP 5.1.2から直った脆弱性は次の通りです。一部フライングで公開されていた物もあります。
# CVSのコミットログなどをチェックしている人にはもっと前から公開
# されている、ともいえますが。

The security issues resolved include the following:

* Disallow certain characters in session names.
* Fixed a buffer overflow inside the wordwrap() function.
* Prevent jumps to parent directory via the 2nd parameter of the tempnam() function.
* Enforce safe_mode for the source parameter of the copy() function.
* Fixed cross-site scripting inside the phpinfo() function.
* Fixed offset/length parameter validation inside the substr_compare() function.
* Fixed a heap corruption inside the session extension.
* Fixed a bug that would allow variable to survive unset().

議論の余地はあると思いますが、厳格にセキュリティ関係の修正として含めても良いかも知れない物は次の修正があります。

* Fixed tiger hash algorithm generating wrong results on big endian platforms.
* Make is_*() function account of open_basedir restrictions.
* Fixed a number of crashes in the DOM and PDO extensions.
* Make memory_limit work in Win32 systems.
* Fixed a deadlock in the sqlite extension caused by the sqlite_fetch_column_types() function.
* Fixed memory leaks in the realpath() cache.