PostgreSQL 8.0 psql(Native Windows版)+cygwin ssh = not working!?

Native Windows版 PostgreSQL 8.0は結構快調に動作しています。しかし、結構困った問題もあります。

リモート管理用にcygwinのsshdを使ってみたのですが何故かpsqlはssh接続から動作しません。

psql -p 5678

bashが気に入らないのかと思いcmd.exeに切替えても同じです。全く接続できていない訳ではないようで

psql -p 5678 -l

とするとデータベースの一覧は出力されます。

Facebook Comments

Pukiwikiページ改竄

先日私のPukiwikiのページが荒しにあいました。初めての荒しでしたが、ついに来たかと、さっさとバックアップを使ってページを回復し気にせず放っておいたのですが、どうも他のサイトも荒しあったようです。

ググってみるとPukiwikiの開発日記にこの荒しと関連していると思われる記載がありました。これによると荒しにも関わらず不正侵入で書き換えたようなメッセージが表示されていましたがご丁寧にもzone-hにまで登録したらしい… 恥じを知らないクラッカーですね。

Facebook Comments

Need Rolex?

internet.comの記事によると9月はハリケーンの影響でSPAMが減ったらしい。個人的には気が付きませんでしたが…

ここ数週間Rolex関連のSPAMが沢山くるようになりました。「 Do you want a Rolex for $75 – $275 ?」と言う値段が安すぎな価格で送られてくるものもあり、120%偽物と思われます。

SPAM関連の法律も個人的には役に立たなかったりします。日本では「未承諾広告」をタイトル付ける、広告主の連絡先などを記載する、などの制限がありますが、あまり機能していません。法律が施行された当時は「未承諾広告」をタイトルに付けた日本語SPAMメールが増えましたが、最近は全くお構い無しのではないでしょうか? 調べれば直ぐに判りますが海外サーバから送信しているとかあたりでしょうか? 少なくとも個人レベルではSPAM関連の法律で役立つものはないように思えます。

このスピードでSPAMが増えると本当に近い将来メールなどが使いものにならなくなる可能性も否定できないですね…

追記
日本では「直罰規定」が検討されているようです。

http://news.goo.ne.jp/news/asahi/shakai/20041110/K0010201126024.html

これに効果があるかはSPAM増加の根本原因であるSPAMメール送信によって利益を得ることが可能であることを防ぐことができるかどうかが問題になります。海外サーバを使った抜け道など一切無くし、最低1000万円/上限無しの罰金、悪質な場合は懲役刑、くらいにしないとSPAMは少なくならないと思います。仮にこのような法律が出来ても「Need Rolex」メール等は減らないでしょうけど…

# 最近このblogにもReferer SPAMが来ています。この法律は
# こういったメール以外のSPAMも対象にしていない気が…

Facebook Comments

Firefox 1.0リリース

そういえば今日はFireFox 1.0のリリース日。午前中にhttp://www.mozilla.org/にアクセスしてもアナウンスページになっていませんでしたが、今アクセスすると1.0リリースのアナウンスページになっていました。

最近、IEのシェアは目に見えて減って来ています。FireFox 1.0のリリースは更にこの傾向を加速させるでしょう。

# 何故、IEを捨てるか? 理由は単純です。IEを使っていると
# PCにスパイウェアやウィルスが勝手にインストールさせる
# 可能性が高くなるからです。
# このblogにアクセスする方の半数以上がまだIEです。自分
# の身を守るためにもMozillaかFireFoxを利用しましょう。

参考リンク
CNet Japan

Facebook Comments

まるごとPostgreSQL! Vol. 1

「まるごとPHP! Vol.1」もエキスパートセクションのセキュリティ関連トピックで執筆させて頂きましたが同シリーズの「まるごとPostgreSQL! Vol.1」も執筆させて頂きました。私も編集者の方からのメールで今日知りましたが、以下の様な内容になるそうです。

■書名:まるごとPostgreSQL! Vol.1
 (売れたらVol.2を作りたい、という希望を込めてのVol.1です)
■ISBN:4-8443-2035-X
■価格:1800円+税
■体裁:232ページ、B5判、1色刷
■発売日:2004年12月8日
■目次:
特集1●PostgreSQLによる高可用性の実現
  pgpoolでPostgreSQLを大幅にパワーアップ!……石井 達夫
  PostgresForestのすべて……谷越 桂太
  ESM for PostgreSQL……安永 尚稔
  Slony-I first impressions!……谷田 豊盛
特集2●PostgreSQLとOracleによるデータベース相互移行マニュアル……奥畑 裕樹
特集3●PostgreSQLによる大規模運用……大垣 靖男
特集4●新バージョンPostgreSQL 8.0先行レビュー 〜使えるRDBMSをめざして
  PostgreSQLのあゆみ、そして8.0へと続く道……谷田 豊盛
  Point In Time Recoveryのしくみ……坂田 哲夫
特集5●PostgreSQLで.NET
  開発者が語るPgsqlの歴史と今後……Francisco Figueiredo Jr.
  Pgsqlのインストールとその機能……さいとう ひろし
  VB.NET+PostgreSQLでWebアプリを作ろう……白井 伸昌
  C#でPostgreSQLを操作しよう……林 重行
  5分でできる。Npgsqlを使ったExcelへのデータ取り込み……多度 純一
●一般記事
  PostgreSQLチューニング実践テクニック……石井 達夫
  PostgreSQL技術者認定制度(PostgreSQL CE)を受けに行こう!……稲葉 香里

Facebook Comments

Windows Firewallとドメインコントローラ

Windowsファイアーウォール(ICF:Internet Connection Firewall)には色々注文を付けていますが、無いより随分よいとは思っています。ICFを設定するネットワークプロパティーの詳細設定タブが表示されたり、されなかったりする問題も解決したようです。

今日、ICFで新たに気が付いたのですがドメインコントローラ(Windows Server 2003のアクティブディレクトリドメインコントローラ)がある環境ではドメインのセキュリティーポリシーが適用され、ユーザは変更できない仕様になっているようです。当然といえば当然の仕様ですが、Windowsクライアント上でサーバアプリケーション実行したい場合にセキュリティーポリシーに慣れていないユーザが正しく設定するのはかなり難しいのではないかと思いました。

pgbenchでNative Windows版PostgreSQLとCygwin版 PostgreSQLのパフォーマンスの違いを測定しようと思ったのですが、小さなLANなのであまりセキュリティーポリシーにこだわる必要はないのですが、変更が面倒なのでまた今度ベンチマークするにします。

しかし、最初はドメインのセキュリティーポリシーはロードされてなかったような気がするのですが気のせい?!

Facebook Comments

MySQL 4.1リリース と PostgreSQL 8.0

MySQL 4.1がリリースされたらしい。今年中にはPostgreSQL 8.0もリリースされると思いますが同じくらいのニュースとして扱われると良いですね。

PostgreSQL 8.0の目玉はネイティブWindows版です。使いやすいインストーラもあります。インストーラを起動する前に管理者では無い一般ユーザ(ユーザ名: postgres)を先に作成しておけば簡単にインストールできます。PostgreSQLはもちろんサービスとして実行されます。RULE, PL/PGSQLを使ったシステム、300万レコード程度、システムロードはかなり高い状態で試用していますが特に問題は見つけていません。

Win32 Native Server以外の重要な機能追加は以下の通りです。

Savepoints
Point-In-Time Recovery
Tablespaces
Improved Buffer Management, CHECKPOINT, VACUUM
Change Column Types
New Perl Server-Side Language
CSV support in COPY

Facebook Comments

PHPで巨大ファイル

PHPで巨大なファイルを取り扱うことが出来るか下調べしました。PHP内部的にPHPストリームと言う仕組でファイル等を取り扱う事が可能になっているのですが、ファイルヘのアクセスに符号付き32bit整数を使っています。このため扱えるファイルサイズが2GBに制限されています。

タイムリーな事にPHP-INTERNALメールリストでPHPストリームのコードを書いたWez氏がint64_t対応を行う旨の投稿をしていました。待っていれば2^63-1バイトまでのファイルが取り扱える様になるようです。

Facebook Comments

関西オープンソース 2004

去年は関西オープンソース&フリーウェアというタイトルで開催されたイベントが今年は関西オープンソース 2004として今日から開催されています。

各方面に「仕事で行けない」と言っていたのですが何とか来る時間を作れました。行けないと言いつつ来ています。

Facebook Comments

ディスプレイ

SXGAのLCDモニタ(FlexScan L565 2台)に替えた時は十分満足していたのですが、UXGAのモニタがかなり安くなってきました。15でUXGA – IODATA LCD-AD152U、実売で7万円台や20インチクラスでも10万円を切っています。現在使用しているノートのディスプレイがSXGA+なのでなおさら欲しくなってきます。

Macユーザでは無いのでいつから方針を変えた(?)のか知らないですが、最近はAppleも100dpiくらいが適切なディスプレイ解像度と言っているようですね。個人的には解像度は高ければ高い程良いと思うのですがどうでしょうか? FAXでも200dpi(低解像度時は100dpi)あるのでディスプレイでも200dpi程かそれ以上あっても良いような気がします。

IOデータのLCD-AD152Uはプログラマ等大量のテキストを表示したいユーザにはかなり良いかもと思っています。実際に15′ UXGAの画面を見たことがないので作業しやすいかは不明ですが、アンチエイリアスが効くシステムでは解像度は高い程良いのではと思います。気になる点はスペック上の反応速度と明るさですがテキスト表示がメインである私の使い方では問題なしかな?やはりNanaoが同様のスペックのモニタを出すまで待つべきか?

Facebook Comments

HTTP Response Splitting Attack: PHPの場合

ここの日記にも書いたHTTP Response Splitting Attackの対策がPHPでも取られるようです。

header(“bad-header: This is bad header\r\n but having CR/LF in a haeder is allowed by the standard in some case.”);

上記のヘッダが送られた際に\r\nを自動削除可能な設定が追加されます。ただし、\r\nがヘッダ中に現れる事は標準で認められいいますが、パッチを適用したPHPの場合は拒否&警告エラー(php.ini設定のデフォルト値になる)が発生します。もちろん「不正なユーザ入力対策は万全」というサイト向けではそのままCR/LFを送ることも可能です。次のPHPリリース時には取り込まれていると思いますが、仕様が変わっているかも知れないのでChangeLogなどで確認する必要があります。

未対策のアプリがあるサーバはエラーハンドラ(必ず作ってますよね。PHPプログラマの方!)で処理するだけです。普通にエラー処理しているPHPアプリケーションならPHP本体にパッチを当てるだけで完了です。

Facebook Comments

すごいペンギン

kazさんの日記で見つけたのですがEmperorPenguinEmpire 〜ペンギンのフリーWEB素材サイト〜はすごいですね。

同じ日の日記にtDialyもb2evolutionと同じように集中型ブラックリストを構築する動きがあると書いてありますね。メールのみ無くてオーブンプロキシを対象にしたブラックリストが必要になって来ていると思います。tDialyでrbldnsを使ったIPブラックリストが出来たら早速利用させていただきます。

# rbldnsならb2evolutionをカスタマイズして取り込むのも簡単!

Facebook Comments

SANS Top 20

SANS Top 20が10/8日に発表されていますね。UNIXはBINDが1位になっています。インストールしたままアップグレードしない、古いパッケージをそのまま使う管理者も多いと言うことなのでしょう。

ちなみに私は出来るかぎりdjbdnsを使ってます。このリンク先にDan J. Bernstein氏が随分前から指摘していたDNS キャッシュを DNS サーバから分離することの重要性を知らないユーザも多いと言うこともあるでしょう。こちらも随分前になりますがCERTもこの件に関してアドバイザリを出しています。

しかし、今でもDNSキャッシュとDNSサーバに同じIPアドレスを指定させているISPがあります。CERTアドバイザリのURL等を添付して改善を依頼するメールを送った所、「検討します」という内容のメールが来ました。しかし、それから早くも半年近くも経ちます。DNSキャッシュの汚染によるサイトの乗っ取りなどの被害が発生した場合、このISPは損害賠償を請求されても仕方が無いですね。

世界中にはこの様なISPが沢山あるのかも!?

Facebook Comments

RFID報道の大間違いを正す

ITMediaに総論:RFID報道の大間違いを正すと言う記事が掲載されています。RFIDについて時々日記に書いていましたがこの記事は必読と思います。

RFIDとは全く異なりますがBluetooth話題になっているころには色々ありましたね。Bluetooth対応洗濯機・レンジ・冷蔵庫は2年以上前のニュースです。今頃Bluetoothが溢れているハズだったのですが、先日買った東芝の最新型の洗濯乾燥機にはBluetoothは付いてませんでした。

Facebook Comments

Mozillaプロファイルの引っ越し

メインのLinuxで使っているMozillaがメールを自動的にダウンロードしなかったり、ブラウザが設定している検索サイトで検索出来なかったり、瀕死の状態になっていました。しかも随分長い間… こういった場合、壊れたプロファイルが原因である事がほとんどであることは知っていたのですが…

やっと重い腰を上げて新しいプロファイルに移行することにしました。

方針

  • メールとニュースの設定およびダウンロード済みメッセージは保持
  • 残りは全て再設定

まず新しいプロファイルをプロファイルマネージャ([ツール]-[プロファイルの切替え])で作成します。

古いプロファイルと新しいプロファイルに位置を確認します。

~/.mozilla/<ProfineName>/<salt>/

Mail メールメッセージ(ディレクトリ)
News ニュースメッセージ(ディレクトリ)
prefs.js メールアカウント等の情報(ファイル)
abook.mab メールアドレスDB(ファイル)
数字.s パスワードファイル

prefs.jsからメールとニュース設定項目を新しいプロファイルにコピー。重複するエントリは削除。

以下の文字列で始まる行がコピー対象の行

user_pref(“mail
user_pref(“news

古いプロファイルディレクトリのMail, Newsをコピー。


cp -a Mail News ../yohgaki/some-salt/

以上で引っ越し完了。
後は面倒なパスワードの再設定を行えば移行完了です。パスワードの再設定が面倒な場合、

“数字.s”形式のファイルをコピーします。


93824234.s

を新しいプロファイルディレクトリに作成された同様の形式ファイルに上書きするとパスワードも移行できます。

# もしかしてプロファイル移行ツールとかあるのかも?知っているかたコメントお願いします。

Facebook Comments

tDiaryローカル・キャッシュ・システム

著作権法は引用を正式に認めているので、引用の程度を越えなければ法律上は問題無いはずです。音楽に関しても同様だったと思います。(何小節まで同じメロディーでもOK、と言うような感じだったと思います)

引用は法律上問題無く行えるといっても、ハイパーリンク先のページが無くなると後でページを読んでも意味が通じない事がしばしばあるのでtDiaryローカル・キャッシュ・システムは便利そうですね。

Facebook Comments

Home -> Professional


Windows XP HomeとWindows Server 2003
でHome Editionでは少なくとも共有に問題がある、と書きました。この日記を書いた時点ではHome->Professionalのアップグレード版は無かったようですが、苦情が多かったせい(?)かHome->Professionalのアップグレード版が10/22から発売になるようです。価格は通常のアップグレード版の約半分の約1万円。泣く泣く通常のXP Professionalのアップグレード版を買った人も多いのではないかと思います。

Homeを付けて販売しているノートPCはかなり多いのでビジネス用ノートPCの選択肢が増えますね。このアップグレード版は期間が限定されていないと良いのですが… (調べてません。コメント歓迎)

Facebook Comments

HTTP Response Splitting Attack

HTTP Reponse Splitting AttackはOWASPの新しい脅威のカテゴリになるそうですね。

簡単言うと言語やブラウザ等のHTTP Reuqestヘッダによって別のページに振り分ける(リダイレクト)させるWebサイトのヘッダに問題があると脆弱性が発生し攻撃が可能になります。

可能になる攻撃にはクッキーの漏洩からキャッシュシステムが組み込まれたWebサイトでは意図しないページの表示(複数のユーザ向けへのページの改竄)まで、と色々な影響があります。対処方法は正しいヘッダを返す。つまりCR,LFを含んだ入力をリダイレクトに使わない。

詳しくは
http://lists.virus.org/webappsec-0403/msg00004.html
http://www.sanctuminc.com/pdf/whitepaper_httpresponse.pdf

PDFは非常に丁寧にHTTP Response Splitting Attackを解説しています。

Facebook Comments