"the Month of PHP Bugs"をできるだけ多くの方が読めるように、Stefanさんの承諾を得て日本語訳を公開しています。このブログの「the Month of PHP Bugs」カテゴリでMOPBの翻訳ページを一覧できます。分かりやすいように意訳できる部分は意訳します。厳密に原文の通り訳していないので正確性を重視される方は原文をご覧ください。…

"the Month of PHP Bugs"が始まりました。できるだけ多くの方が読めるように、Stefanさんの承諾を得て、日本語訳を公開します。「the Month of PHP Bugs」カテゴリがMoPBの翻訳ページになります。 https://blog.ohgaki.net/tag/mopb まずはトップページから翻訳します。分かりやすいように意訳…

Stefanさんが公言していた通り、セキュリティホールの公開が3月から始まるそうです。 The Month for the "Month of PHP bugs" was choosen and it will be March. This means I will post every day in March information about one …

WebサイトでSSO（Single Sign On）を実装するところも増えてきています。 比較的最近、SSO実装について議論する機会が幾つかありました。WebでSSOを実装する場合にどう実装すべきか議論したのですが、設計上に問題がある実装をイメージされている場合がありました。 Webサイトの場合、認証情報・状態を管理するサーバ（認証サーバ ）とそれを利用する…

情報としては古くなっていますが、念のため書きます。PHP 5.2.1がリリースされています。 JP-CERTのアドバイザリ（JPCERT/CC REPORT 2007-02-07）にMODxのXSSが記載されていましたがこっちの方が重要性は高いと思われます。次のアドバイザリでは記載されるかもしれませんが、例によってPHP4は置き去りにされているので、記載され…

パスワードを平文で保存するのは論外で、MD5やSHA1でハッシュ化するのは当たり前です。しかし、SHA1を2000倍早くクラックする方法などが発見され「SHA1は脆弱だ」（ちなみにMD5はもっと危険）とされてからしばらく経ちます。アメリカ政府や大手企業はSHA1は使わない、としています。

最近時々Users-MLにメールが流れています。Ultramonky L7（L7：Layer7スイッチ、HTTPプロトコル・Webアプリケーションレベルでの負荷分散機能）はがんばってもらいたいプロジェクトなので転載します。 ultramonkey-l7-usersの皆様へ こんにちは。 渡丸と申します。 UltraMonkey-L7のSNMP対応版（Ver.…

SANS TOP20が更新されています。 Cross Platformの一位が「Web Applications」になっています。PHP以外のWebアプリにもセキュリティ上の問題が数多くあることに気が付いたと言うことでしょう。といっても解説はPHPが対象となっています。HTTP Response Splittingは最近のPHPでは不可能になっていますが記載…

結構便利そう。 ホーム： http://www.openqa.org/selenium-core/ デモ： http://www.openqa.org/selenium-core/demos.html ダウンロード： http://www.openqa.org/selenium-core/download.action

備考：前のエントリのコメントに対してこのエントリを作成しました。 セキュリティ対策の3大要素の一つとしてデータの整合性（Integrity）があります。3要素は私が勝手に決めたことではなくISO規格でも決まっています。 個別のアプリでの解釈の問題になりますが、データの整合性に重複送信が含まれない、と考えるのであればコメントされている通り「発想が変」と言う考え…