yohgaki's blog

カテゴリー: Misc

  • b2evolution 1.8.6にXSS脆弱性

    このブログのb2evolutionは1.9.1なので、1.9.1のコードを確認してみたところ、1.9.1にも厳格な入力チェックが行われていないなど、確かに好ましくない処理が行われていました。XSSと言うよりHTTP Response Splittingに脆弱なコードになっていました。

    攻撃を成功させるには幾つかの条件が必要でした。

    • 普通のクロスサイトスクリプティングであるため、ログインするページを表示する場合に他人が用意した罠ページのログインリンクをクリックしないとならない
    • その後、ログイン操作を実際に行わなければならない
    • PHPのバージョンが古くheader関数が脆弱である

    特に重要なのはPHPのバージョンが古くなければならない点です。PHP 4.4/PHP5.xなら問題ありません。このサーバで利用しているPHPも大丈夫なので対処は行っていません。

    例えばRHEL 4はPHP 4.3なので攻撃が成功するかも知れません。(パッチを確認すれば脆弱性を攻撃できるか直ぐ分かるのですが未確認)いずれにせよ、公開用のPHPスクリプトを書く場合、比較的古いバージョンのPHPも広く利用されている事を前提にコーディングしなければならないです。

    この脆弱性の危険度はCVEでHighになっていますが、SecuniaではLowになっています。どちらに設定するかは微妙なところです。環境が古ければ「非常に危険」と考える事もできますが、現在PHPプロジェクトが正式にサポートしているバージョンは4.4と5.2で両方とも影響を受けません。

    話は変わりますがb2evolution 1.9.1は使わない方が良いかも知れません。正規表現に問題があるらしくアンカータグが正しく処理できない事がよくあります。本家サイト見るとサポートされているバージョンが1.8系と1.9系だけになっているのでバージョンアップを考えている方は1.8系を先に試す事をお勧めします。1.8.6で正しく表示されるかどうかは検証していませんが、少なくとも1.9.1は問題が多いです。

  • PuTTY for Zero3

    Zero3用のPuTTYをインストールしてみました。動作はしますが直ぐに固まるようです。

  • ブラウザのシェア

    このブログの場合はおよそ3割がFirefoxでIEのシェアは6割ほどです。もちろんほとんどが日本国内からのアクセスです。普段Firefoxを使っていますが自分のアクセスは計算されないようになっています。(実はアクセスが増えてきてIE比率が上昇していたります)

    ブラウザのシェア(blog.ohgaki.netへのアクセス)

    Hatenaなので一般的ユーザとは言えないかもしれませんが、今はFirefoxは2割超、IEは5割強。2005年12月でもFirefoxが1割以上ですね。
    http://counter.hatena.ne.jp/sample/report?cid=11&date=2006-12-01&mode=summary&target=browser&type=monthly&view=

    現時点ではIEのシェアはおよそ75%。
    http://www.w3counter.com/globalstats/

    セキュリティ系のサイトの場合、IEのシェアは半分以下の場合も多いと思います。
    http://security-protocols.com/2006/12/10/my-firefox-vs-internet-explorer-statistics/

    その他、検索して見つけたブラウザシェア情報を書いたページ
    http://www.kkoba.com/blog/archives/2005/10/20059.shtml
    http://www.spreadfirefox.com/node/23850
    http://www.seo-equation.com/www/cat25/browser_market_share
    http://lovesolid.com/nuc/item/243
    http://salo919.lar.jp/modules/wordpress/index.php?p=48
    http://taisyo.seesaa.net/article/28702371.html

    2005年には依然日本ではIEが9割以上のシェアを持っているというレポートもあります。
    http://www.websidestory.com/products/web-analytics/datainsights/spotlight/05-10-2005.html

    こちらは2005年12月でおよそ10%のシェアとしています。
    http://japan.internet.com/webtech/20060110/12.html

    2006年1月の時点で12%のシェアがFirefoxとするレポートもあります。
    http://internet.watch.impress.co.jp/cda/news/2006/01/23/10575.html

    日本に限ればFirefoxなどのシェアはまだ低く、確かに日本では欧米に比べてFirefoxのシェアの伸びは遅れています。2006年になってから一般への普及も広がってきているように思います。

    データが少ないので想像に近い値ですが、現在の日本のユーザのブラウザシェアは7割強がIE、2割がFirefox、1割弱がその他といったところが現実に近いシェアではないでしょうか?

    ちょっとWebのことを知っている方(Web開発をメインでやっていないIT系の方など)は未だに「IEのシェアは国内では90%+で圧倒的、Firefoxは数%」と思っている方も多いようです。2005年にはメディアで「日本は欧米に比べFirefoxのシェアは低い」という情報が多かったことも原因と思われます。

    どうもブラウザのシェアがどうなっているか、認識にずれが生じてきていると思います。

  • Zero3の名刺リーダ

    W-Zero3 esの 本体アプリケーションを1.50a
    にアップグレードしました。

    携帯風のメニューや使い勝手がよくなっているようです。使い勝手で気が付いたのはパスワードロックを利用し、数字のみのパスワードで同じ数字が連続している場合はフルキーボードの方から入力しないと入力できなかった不具合が解消されているようです。

    携帯風メニュー    の方も割りと使いやすいです。

    名刺リーダの読み込みだけ対応しているバージョンも付いていました。あまり使えない、と聞いていたのですが私が使ってみたところ、認識率も良く、速度も遅くないと感じました。もう少し試してみて大丈夫そうだったら購入します。

  • Zero3 es修理から戻る

    壊れたZero3が修理から戻ってきました。修理には2週間くらい必要かな、と思っていたのであまりに速いことに驚きました。シャープのサポート素晴らしい :)

    W-SIM,本体とも無料でした。(W-SIMは壊れていなかったはずです)電源部分の調整(何を調整したかは不明)OSの再インストールをしたようです。

    修理前のZero3は電源を入れているとアンテナマーク横のLEDはほとんど「青」が点燈していたのですが、修理後は「緑」になりました。外側の傷等は修理前と同じだったので中身をまるごと替えたのかな?と思ったのですが「青」で点燈する場合もあるようです。

    私はZero3を発売と同時購入したので初期ロットのはずなので、最近Zero3を購入した知人に聞いてみるとLEDは「緑」で点燈しているとのことでした。初期ロットのファームウェアには微妙な違いがあったのかも知れません。

  • Zero3 es壊れる

    車に乗っている間にZero3が固まっていました。

    いつものことなので取り合えずリセットボタンを押す。再起動しようとするのですが起動中の画面から先に進まず… 仕方ないのでバッテリカバーを外してフルリセットボタンを押し、電源投入、しかし同じ状態…

    完全に壊れていると判断してそのままWillcomショップに直行し代替機を貸してもらって帰ってきました。この忙しい時にこれだけで半日使ってしまいました。7月発売の機種なので多分無料修理になるとは思いますが、「W-SIM(PHSの本体・心臓部)は最大でも2100円で修理できます」とショップの方が言っていました。本体とW-SIM、別々に修理申込書を書きました。いつ帰ってくるのかは不明ですが、数週間は必要なようです。

    カウンター後ろの棚には修理受付したと思われるZero3 esが2台ありました。もしかして結構壊れやすいのかも?

    追記:Zero3 es用のワンセグチューナーが発売になってたようですね。値段は思ったよりもリーズナブルで14,800円。

    http://arena.nikkeibp.co.jp/rev/20061207/120089/

    このワンセグチューナーを見て思ったのは「USB充電できないが電源を別にしておいて正解」と思いました。USB接続するのでUSB充電では長時間視聴できません。クレードルも使いづらいので別電源にしていた事がメリットになっています。

  • 新手のBlogスパム

    前のバージョンから「ひらがな」フィルタを使って海外からのコメント・トラックバックスパムを削除していたのですが、敵も気が付いてきたようでタイトルのコピーを入れたスパムを送ってくるようになりました。

    スパムを送ってくる業者はページランクが上がれば良いので同じ言語であるかどうか関係なくスパムを送っていると思われます。日本語サイト以外でも言語フィルタをつけたサイトが増えてきているのかも知れません。

    「ひらがな」フィルタの効果は絶大だったのですが、タイトルのコピー・本文の一部をコピーされたスパムの場合、ほぼ無力に近いです。blogアプリをアップグレードしてる半日程度の時間、平仮名フィルタが無かっただけで900くらいのトラックバックスパムが着てしまいました。半分だけでもタイトルや本文のコピーをつけてSPAMを送られてきたらモデレートなんて不可能です。そのうちまた新しい手法が必要になりそうです。やはりGeoIPかな… あまりやりたくない手法ですが…

  • Blogアプリをバージョンアップ

    このBlogはb2evolutionなのですが、一応安定版となっているとはいえ随分前からアップグレードしていませんでした。調べてみたら2年間アップグレードしていませんでした。

    1.9.1Betaにアップグレードしました。基本的にconf/_basic_conf.phpの文字エンコーディングを”utf-8″に設定するだけでそれなりに日本語環境でも動作するようです。メールのエンコーディングはダメなようで修正が必要です。一部には明らかな不具合もありますがBetaなので次の最終版では直っている事を期待したいです。

    改行文字がファイルによってCR/LFとLFが利用されている部分などは修正されているのかな?と期待していたのですが直っていないようです。ほぼ同じ内容のコードを含むファイルが複数ある等、改善した方が良い箇所があるのですが気長に待つ事にします。
    # ずっと直っていないのですぐに直る
    # 事は期待できないでしょうね。

    バージョンアップに伴いコメント・トラックバックのモデレートができるようになりました。デフォルトがモデレートなのでコメント・トラックバックが即座に反映されません。面倒ですがスパムの量を考えると仕方ないです。

  • VAIO Z1をメモリ増設して延命

    プリンストンテクノロジーのページを見ると自分が持っているVaio Z1は1GBのDIMMを付ける事ができるようです。Core2DuoのMac Bookを買おうかと思っていたのですが1GB DIMMに交換して少し延命する事にしました。どちらにしてもこのノートも捨てる訳ではないので512MB -> 1GB DIMMに交換しても良いかなと。

    多分載せる事ができるだろうとは思っていましたがこれで安心して買う事ができました。ありがとうプリンストン :)

    と言うことで今日、通販で買ったプリンストンのメモリ(バルクより高いですが情報提供料としてプリンストンテクノロジー製を購入。今値段を調べたらこのメモリ、買った時に比べてめちゃくちゃ安くなってますね…)が届きました。768MBと1256MBではWindowsの動作は雲泥の差です。メモリが少なくてディスクアクセスが多くて困っている方には、この手のアップグレードはお勧めです。
    # 一部のVaio Z1には1GBのDIMMは付けれないようです。ご注意下さい。

    ところでノートPC用の512MB DIMM(PC2100)が余ってしまいました。送付するのは面倒なので高松近郊にいらっしゃる方限定になってしまいますが、STLUGのオフ会に来れる方でこのDIMMが有効活用できる方であれば差し上げます。メール下さい。
    # STLUGの方、私のブログ読まれているかな??

  • Flash Player 9 beta for linux

    2006/11/20付けでBeta版のバージョンアップ行われたようです。IA64は出さないのかな?出してほしい。

  • Easy video creation using only FOSS software

    Free+OSSだけでビデオ編集するための情報。

    娘が生まれてから大量のビデオは撮っていますが編集はした事が無いです。OSSで手軽編集できる環境になった?!

  • これもspam? Wikiページの一部削除

    これまでに時々あったのですが割りと頻繁にアクセスされている私のWikiページの一部が削除されている場合があります。「操作ミスで誤って削除したのかな?」と思って気にもしていませんでしたが、もしかしてこれもSPAMなのかも知れませんね。変なSPAMプログラムが削除しているのか?人間が削除しているのか?どちらにしてもPukiWikiにもチューリングテストが必要かも知れません。しかし、トラックバックにチューリングテストは難しいですね…

    昨日気が付いたspamっぽい削除の痕跡は次の通りです。

    http://wiki.ohgaki.net/index.php?cmd=backup&action=diff&page=Momonga%20Linux%2FSubversion%A5%B5%A1%BC%A5%D0%B9%BD%C3%DB&age=7
    http://wiki.ohgaki.net/index.php?cmd=backup&action=diff&page=Momonga%20Linux%2FSubversion%A5%B5%A1%BC%A5%D0%B9%BD%C3%DB&age=8

    このページの説明だけでWebDAVを使ったSubversionサーバが作れるようになっていたのですが後半部分が削除されています。

    222.7.56.51 – – [04/Apr/2006:18:32:05 +0900] “POST //index.php HTTP/1.1” 302 – “http://wiki.ohgaki.net//index.php?cmd=edit&help=true
    &page=Momonga%20Linux%2FSubversion%A5%B5%A1%BC%A5%D0%B9%BD%C3%DB” “KDDI-SA34 UP.Browser/6.2.0.9.1 (GUI) MMP/2.0”

    このIPはAUのゲートウェイのIPであり確かにAUの携帯からリクエストが来ていたことが分かります。前に気が付いたときにもAUの携帯からのアクセスであった気がします。携帯であまり大きなデータをPOSTする事は無かったので気にしたことが無いのですが、POSTサイズに制限に引っかかっているのかな? そのうち調べてみよう。でも、ご存知の方、教えて頂けると助かります :)

  • 本気だったのですね – 日本で検索エンジン開発

    ある官僚が「100億あれば新しい検索エンジンがつくれるかな」と言った発言をしていた、と報道されていたのですが本当になったようです。

    日立製作所や富士通、NTTなど電機、情報通信大手と東京大など国内の約30社・機関が共同で、日本独自のインターネット情報の検索エンジンの開発に乗り出す。16日にも研究組織を発足させ、2年以内の実用化を目指す。国も予算面などで支援する。

    エンジン自体から再開発なのでしょうか? コアのエンジン部分だけでもオープンソースになったりすると非常にうれしいのですが無理でしょうね。この話、実現性は50%くらい、と思っていたのですが良い物ができる事を期待します。

  • 似ているようで似ていない

    随分前にSRPMを比較してどちらが新しいか表示するプログラムを作っていたのですが、久しぶりに動かしてみました。元々はMomonga Projectの私のホームディレクトリで動作するように作っていたので、sample.ohgaki.netにはふさわしくないデザイン(とリンク先)になっています。

    リンク先をクリックするとMomongaLinuxの開発版とFedoraCoreの開発版を比べて、MomongaLinuxだけに在るパッケージを表示します。MomongaLinuxだけに在るパッケージは

    Number of packages: 821

    FedoraCoreだけにあるパッケージは

    Number of packages: 426

    になっています。(メンテナンス不足で多少、不正確ですが)

    2005/04にMomongaLinux2がリリースされた頃に作ったスクリプトですが、その頃より違いが大きくなっているように思えます。単純にパッケージ名だけでも1200くらいの違いあるので、似ているようで実は似ていないですね。

    # MomongaLinux3は夏から秋にかけてリリース予定です。

  • 「はじめてのPHP言語プログラミング入門」誤り募集中

    Amazonの「はじめてのPHP言語プログラミング入門」に新しいコメント :)

    全体の構成は、良いが、説明文の日本語がお粗末!!。
    いわゆる、て、に、を、は、が、なってない。
    特に、コード内での解説文は、再度、著者、自らが見直すべきと思う。
    例示:抽象メソッドに関数に中身は記述できない
    いたるところ、このような記述であるが、類推して読まざるを
    えないため、わかりにくくなっている。
    また、「入門」は、外した方が良い。

    ご指摘の通り後で中途半端に書き加えたりした部分が残ってしまっている部分があると思います。本としての完成度と執筆に使える時間は比例すると思いますが、いつも締め切りギリギリに間に合わせている状況なので残ってしまいます(汗 最終の著者校正でもおかしな日本語を結構直した記憶があるので修正漏れが沢山あってもおかしくないと思います。またありがちですがコード中のコメントは見てなかったような気がします。

    と言うことでおかしな日本語も大募集中です。メール、ブログへのコメント何でも結構です。見つけた方、ページ数と一緒に変な日本語を教えてください。よろしくお願いします。

    自分でも変な日本語を見つけた箇所もありますが付箋が無くなってどこだったか分からない状態だったりします。「いたるところに」と書いてるので何箇所くらい見つけられたのか非常に興味があります。

    抽象メソッドに関数に中身は記述できない

    これは多分「関数に中身は記述できない」を最初に書き、これではおかしいので「抽象メソッドに中身は記述できない」にしたかったのだと思われます。例示の部分は後でPDFを検索してみよう。

    【追記】検索しました。p140です。

    abstract class AbstractClass2 {
    // 抽象メソッドに関数に中身は記述できない
    abstract public function AbstractMethod();

    自分で読んでたら見逃しやすそうな部分です。(というより実際見逃していますけど)抽象メソッド、抽象クラスを知らない読者には??となる可能性もあるかも知れませんね。「いたるところ」全部教えてほしいです。

    「てにをは」不良は結構残っている可能性は高いです。とりあえずはじめての誤植レポートなのでブログにも書いてみました。解りづらい表記・誤植も教えて頂けるとありがたいです。

    正誤一覧のページ