Ajax普及目指すオープンソースプロジェクト「Open Ajax」をIBMやその他の会社がはじめた、とニュースリリースがりました。 ApacheとMozilla Pulicライセンスに基づき公開されるAjaxランタイムツールキットを提供するZimbraのサイトにデモアプリケーションがありました。メールとスケール管理のアプリケーションですが、ここまでやれば従来…

PHPのセッションID管理がいまひとつであることは http://blog.ohgaki.net/index.php/yohgaki/2005/12/24/strict_sessioncric にも書きました。PHP 5.1.2用のパッチですがsqliteと一緒にコンパイルするとsqlite用のvalidationパッチが含まれていないのでビルドできませんで…

CVS HEADでは昨年11月にallow_url_includeオプションが追加されています。allow_url_fopenからinclude/require文の設定を分離するオプションです。 このオプションを付けると万が一、 $dir = $_GET['dir']; ..... ..... include($dir.$file); の様なコードがあっても…

PHP 4.4.2がリリースされました。 * Prevent header injection by limiting each header to a single line. * Possible XSS inside error reporting functionality. * Missing safe_mode/open_basedir chec…

重要なセキュリティフィックスが含まれています。 * HTTP Response Splitting has been addressed in ext/session and in the header() function. * Fixed format string vulnerability in ext/mysqli. * Fixed possibl…

webappsecでこんなメールを見かけました。 For the most part I ignore the dozens of daily attacks against my system but this one caught my eye. Looks like some defacing groups are writing/implementi…

Hardedned PHPプロジェクトのStefan EsserさんがPHP SESSIONをより安全に運用するパッチを公開しています。 このパッチはPHPのセッション管理の問題に対応します。PHPのSESSIONモジュールがSession Fixation（セッションIDの固定化）に対して脆弱であることは随分前から広く（？）知られていました。このパッチを適…

例えば、DELLのショッピングサイトなどはIEしかサポートしていません。 FirefoxのUser Agent Switcherを使えばDELLのショッピングサイトでもLinux+Firefoxでも発注できる（多少問題はありますが）ので致命的とは言えませんが、普通にFirefoxをサポートしてくれるようになってほしいですね。 Mac用IEの終了でFirefo…

グーグルローカルではかなり複雑なJavaScriptを利用しているのですが「これでトラブルは発生していないのかな?」と思っていたらやはり結構苦労が多いようです。 1. Internet Explorer を起動し、[ツール] をクリックします。 2. [インターネット オプション] を選択します。 3. [全般] が選択されていない場合は、[全般] をクリッ…

今の所ベータ版のようですがJNSAから「JNSAセキュアシステム開発ガイドライン」という文書が公開されています。 非常に細かい部分では追加・修正しても良いのかな?と思える部分もありますが、全体としては非常に良い文書だと思います。Webシステム開発で不十分なRFPをもらった時には利用させてもらいます。確かJNSAの文書は会員でないと自由にダウンロードできなかっ…