カテゴリー
Other

Sonyも仮想世界に参入

SecondLifeとか話題になっているのにSonyがPS3で参入しない手はない、と思っていたらPLAYSTATIOIN@Homeというサービスを予定しているのですね。ニュースになっていたのでしょうが知りませんでした。基本無料、一部有料というスタイルらしいです。タイトルをクリックすると紹介ムービーが見れます。PS3らしくかなり凝った3Dです。仮想世界は結構いろいろなところが参入/参入表明していますがハードを持っているSonyはなんだかんだいって強いかと思います。

アメリカで一番利用されているゲーム機はPS2とのニュースがありましが、システムソフトウェアのバージョンアップでPS2ゲームもフルスペックハイビジョン化(アップコンバート)できたり、さらに普通のDVDもフルスペックハイビジョン化、最新のシステムソフトウェアではCDを2倍、4倍でアップコンバートしたり、Cellの利点を生かした機能はいろいろ便利そうです。PS3ももう少しうれても良さそうなんですけどね。ハイビジョン対応のテレビの普及率の問題もあるのかな?

ドルビー(だったかな?もしかするとBOSEだったかも)がどんなソースでも5.1ch化する物を発表していましたが、何でも5.1ch化もあったら良いですね。(もしかしてもうある?)
# このニュースを見たときモノラルでも5.1ch化できるの?と疑問に
# 思ったのですがニュースには詳細は書いてありませんでした。

PS3は欲しいハードの一つなので年末商戦値下げで買っても良いくらいの値段になると良いですね。
# ゲームを全くしないので無駄遣いですが

カテゴリー
Other

Flashをブロックして意外と使えると思った副作用

数日前のエントリで書いた通りFlashコンテンツが自動的に再生されるリスクを回避するために、明示的に指示しないとFlashコンテンツが再生されないFirefoxアドオンを利用しています。

Flashblock
https://addons.mozilla.org/ja/firefox/addon/433

私はサイト上の広告はほとんど気にしない方なので広告をブロックするような拡張は使っていませんが、Flashをブロックすると動きがある広告が表示されなくなりページが読みやすくなりました。気にはしていなかったのですが文章を読んでいる最中にすぐ横でアニメーション広告があると非常に邪魔です。

私の使い方では作者コメントに書いてあるようにクラッシュが頻繁に発生することも無いようです。セキュリティが気になる方には当然お勧めのアドオンですが、アニメーション広告が邪魔で仕方ない方にもお勧めだと思います。
# アニメーションGIFの広告もあるのでこちらは別途ブロックしないと
# ブロックできません。念のため。

カテゴリー
Other

Flashもブロック対象の時期か…

Flash Player関連のセキュリティ問題は結構レポートされています。最近見つかった脆弱性もかなり危険です。デフォルトでFlashを実行するのはリスクが高いですがFlashがないとまともにナビゲーションできないサイトも多いのでインストールしない訳にもいきません。

Firefoxの場合ならFlashblockアドオンでFlashをブロックし、選択してから実行できるようになります。

Flashblock
https://addons.mozilla.org/ja/firefox/addon/433

Firefox coreのバグで頻繁にクラッシュする、とコメントにありますがとりあえず入れてみました。Firefoxでインストールする必須セキュリティ関係アドオンリストに加えるべきか試してみたいと思います。

他のセキュリティ関係アドオンでお勧め

NoScript- JavaScriptを実行しない
https://addons.mozilla.org/ja/firefox/addon/722

HttpOnly – IEの「JavaScriptにクッキーを読ませない機能」をFirefoxに追加
https://addons.mozilla.org/ja/firefox/addon/3629

この2つは安定していると思います。すべてのユーザにお勧めです。HttpOnlyはすべてのサイトでJavaScriptからクッキーが読めなくなるアドオンではありません。WebアプリがMS独自拡張のhttponly属性を追加してクッキーを設定した場合にのみJavaScriptからクッキーが読み出せなくなります。PHP5のsetcookie/setrawcookieにはhttponly属性を送信するオプションが追加されています。

カテゴリー
Other

VaioのHDD壊れる…

Windowsのメインマシンとして利用していたVaio Z1ですがHDDが壊れました…時間がないのでここ数日はZero3のメール(仕事のメールだけ)しか見てません。# メールを送っている方、済みません

なんとなくHDDへのアクセスの感じが変わったので、もしかして、と思い次のノートPCはMacBookに決めていたので新しくMacBookは買っていたのですがバックアップはプロファイルディレクトリだけだったので、最近の書いたサンプルコードが消えてなくなりました。結構がんばって書いたのに… subversionリポジトリ作成を後回しにしていた付けです。同じコードを書き直すのは疲れるんですよね…

壊れたのは数日前でやっとましな環境になった、と思ったらOSXとVistaの両方が使えるようにParallels DesktopをインストールしていたのですがParallelsを起動しているにも関わらず何故かWindowsのボリュームは共有ではなくボリュームとして見えていたので開いてみるとNTFSがボロボロに壊れてしまいました。ボリュームはリードオンリーなのかな?と思っていたらリードライトだったのですね… もしParallels Desktopが起動しているときにWindowsのボリュームが見えても決して開いてはいけないようです。(普通は隠れる)

文面から分かると思いますがまだあまりParallels Desktopは使っていませんが結構便利にできているのでXP/Vistaのライセンスが余っている人にはお薦めだと思います。試用版があるのでためし易いです。(私もまだ試用版)ただし、何もしてなくても50%CPU時間を消費(Vista Business)ので軽くはないです。いざと言うときはにbootcampで起動すれば良いので困らないと思います。

ところでParallels DesktopはbootcampにインストールしたWindowsを起動できるので既にWindowsをbootcampでインストールしている人なら追加ライセンスは要らないようです。(間違っていたら教えてください)共有を利用してWindowsからOSX、OSXからWindowsのファイルが扱えるようになっているのは便利です。直接OSXのファイルをWindowsアプリで開くことができるなどかなり便利です。

追記:プロファイルのデータをコピーしはじめたら1日以上かかるって….

カテゴリー
Other

Hardened PHPプロジェクトの収入

Today I banned secunia.com from our adsense ads,
because they were all over the place and according
to Adsenses statistic noone wanted to click on their ads.

Actually It is a pity that people seem to block the ads
or not click on them anymore.

A few month ago adsense was atleast good enough to
pay for the hosting, now it is peanuts…

私の個人ブログ、Wiki場合、サーバの電気代の足しにはなるくらいです。もっとあると思っていたのですが、Hardened PHPプロジェクトレベルでもそれほどAdsense収入がある訳では無いようです。一般受けを狙っているサイト以外では広告収入で儲かることはあまり無いようですから普通と言えるかもしれませんが…

Hardened-PHPプロジェクトへの寄付はこちらからPayPalで行えます。
http://www.hardened-php.net/donate.45.html

カテゴリー
Other

b2evolutionバージョンアップ

セキュリティ問題の修正を含むアップグレード版がリリースされています。

http://b2evolution.net/news/2007/01/22/b2evo_1_8_7_and_1_9_2_released

「意味がある形での攻撃は難しいだろう」と書いてありますがアップグレードしておいた方が良いと思います。

正規表現がおかしてくリンクが正しく表示されない問題は直っていないですね。

カテゴリー
Other

b2evolution 1.8.6にXSS脆弱性

このブログのb2evolutionは1.9.1なので、1.9.1のコードを確認してみたところ、1.9.1にも厳格な入力チェックが行われていないなど、確かに好ましくない処理が行われていました。XSSと言うよりHTTP Response Splittingに脆弱なコードになっていました。

攻撃を成功させるには幾つかの条件が必要でした。

  • 普通のクロスサイトスクリプティングであるため、ログインするページを表示する場合に他人が用意した罠ページのログインリンクをクリックしないとならない
  • その後、ログイン操作を実際に行わなければならない
  • PHPのバージョンが古くheader関数が脆弱である

特に重要なのはPHPのバージョンが古くなければならない点です。PHP 4.4/PHP5.xなら問題ありません。このサーバで利用しているPHPも大丈夫なので対処は行っていません。

例えばRHEL 4はPHP 4.3なので攻撃が成功するかも知れません。(パッチを確認すれば脆弱性を攻撃できるか直ぐ分かるのですが未確認)いずれにせよ、公開用のPHPスクリプトを書く場合、比較的古いバージョンのPHPも広く利用されている事を前提にコーディングしなければならないです。

この脆弱性の危険度はCVEでHighになっていますが、SecuniaではLowになっています。どちらに設定するかは微妙なところです。環境が古ければ「非常に危険」と考える事もできますが、現在PHPプロジェクトが正式にサポートしているバージョンは4.4と5.2で両方とも影響を受けません。

話は変わりますがb2evolution 1.9.1は使わない方が良いかも知れません。正規表現に問題があるらしくアンカータグが正しく処理できない事がよくあります。本家サイト見るとサポートされているバージョンが1.8系と1.9系だけになっているのでバージョンアップを考えている方は1.8系を先に試す事をお勧めします。1.8.6で正しく表示されるかどうかは検証していませんが、少なくとも1.9.1は問題が多いです。