GoogleにXSSの情報の出所はBloggerユーザのブログだったようです。 http://ph3rny.blogspot.com/2006/03/vulnerability-in-gmail.html 予想に反してSubjectにスクリプトタグを入れるとJavaScriptを埋め込めるという単純なミスだったようです。 日本人のWebプログラマなら「Sub…

F-Secureのウィルスマップは現在のウィルス感染状況が地図で分かるようになっています。過去の履歴も参照できるようです。 私が日本の地図を参照したときは三浦半島だけウィルスが流行している状況（Epidemic）に分類されていました。 このマップ、なかなか良くできています。

Strictセッション管理パッチのダウンロード数がやっと?100を超えました。 PHP5用のパッチなのが一番の問題なのでしょうか?非常にダウンロード数が少ないように思えます。私はこのパッチはセキュリティ上かなり重要なパッチだと思っています。 PHP4のパッチが必要なのかな? 枡形さんが作ってましたっけ? 関連： http://blog.ohgaki.net/…

詳しくはリンク先を見ていただくとして（脆弱性の詳しい情報は書いてありません)、パーソナライズド機能やgmailは修正されるまで使わない方がよいらしい。

これはコードブログに書こうと思ったらTypePadのパスワードが分からなくなっていました。ブラウザに記憶させたはずなんですけどね....　とにかく以下のSECUNIAアドバイザリは（今度こそ）本当に間違っています。 # 前にCVSの更新が異常だったため勘違いしていた件がありました。 # 今度はSECUNIAが勘違いする番ですね。 TITLE: PHP "mb…

PHPのmail関数は\r\n,\r,\nを無視するようになっていてmb_send_mail関数の方は、チェックするマクロがphp_mail(PHPの内部関数）の前のPHP_FUNCTION()の部分で実行されていたので、mb_send_mailを使っているとMailヘッダインジェクションが出来てSPAMの踏み台にされる。という問題がありました。PHPユーザ…

追記：現在のPHPでは$_SERVER['PHP_SELF']はクエリ文字列（?以降のクエリパラメータ）を含みません。しかし、index.php/<script>alert(1)</script>/aaa/bbb とすることは可能です。PHP_SELFと同様の変数は以下です。 $_SERVER['PATH_INFO'] $_SERVE…

備考：かなり古いブログですが公開し忘れしていた分です。 前にも書いたと思いますが、一般に公開する画面でリファラ表示は止めるようにした方よいと思います。以前に比べてリファラが一般に広く公開されているサイトは少なくなりましたがまだまだ沢山あります。 リファラSPAMでbotを使っていると思われるSPAMが常識になっています。IPはリクエスト毎に異なり、短時間に大…

久しぶりにブログへのSPAM掃除をしていたら、日本のアイドルサイトからのリファラSPAMと思われるログが複数ありました。 #リンクにならないようにhttpのhを削除しました。 ttp://suzukiairi.net/cgi-bin/up/upload.php?page=all ttp://www.umedaerika.com/ume/uperika.php…

随分前にブログにも書いたつもりでいたのですが、書いていないようなので。 ccTLD(*.co.jpなど）のクッキーの信頼性はTLD（*.com）に比べて低い、という話。 自分で最後に試したのは去年末か今年初め（だったかな?）だと思いますが、IE、FF共にccTLDのドメインにたいしてクッキーを設定できました。 まさかクッキーを信用しているサイトは無いと思いま…