タグのアーカイブ: security (RSS)

SSL証明書の期限切れは実によくあること

2008 年 2 月 26 日 – 4:55 AM

Web designer?
Creative Commons License photo credit: geognerd

リニューアルついでに、RSSをfeedburnerで配信するように設定したのですが、feedburnerにサインアップするとき、いわゆるひとつの「SSL証明書の有効期限が切れています」警告がでました。

実際 https://www.feedburner.jp/ のSSL証明書の有効期限が2/15/2008で切れているようで、サポートにメールしておきましたが、Googleに買収されたWeb2.0企業がこんなミスをしちゃうんだから、インターネットなんてある意味いい加減なものですな(笑)
続きを読む »

作者: りょすけ | 雑記 カテゴリー | また , , のタグ付き | コメント(0)

オススメできないSpyware Doctor(ドザはツライよ)

2007 年 7 月 31 日 – 2:51 PM

Windowsはスパイウェア対策が大変、ってことでSpyware Doctorというスパイウェア駆除ツールを使っていたのだけど、正規ライセンスを持っているにもかかわらず、更新されたライセンスコードを何度入力しても認証されず・・・
サポートに連絡すると、大文字小文字だのコピーペーストの方法だのもうホント馬鹿にすんのもいい加減にしてくれというような内容の返信が・・・
ハイ、もう捨てることにしました。
続きを読む »

作者: りょすけ | IT関連 カテゴリー | また , のタグ付き | コメント(3)

flash player 7 for linuxにセキュリティーホール

2006 年 9 月 13 日 – 3:00 PM

flash player 7 for linuxにセキュリティーホールです(via FedoraNews.org

FC5でRPMで入ってる人はyumやaptで自動アップデート可能ですが、自前でインストールしてる人は手動アップデートが必要ですので注意してください。

AdobeからのAdvisoriesによると、正確には全てのプラットフォームでのFlash Player 8.0.24.0以前のバージョンとのことなんで、念のため確認しといたほうがいいかと。
(おそらくWindowsやMacでは9にしてるでしょうから大丈夫かと思いますが)

作者: りょすけ | IT関連 カテゴリー | また , のタグ付き | コメントは受け付けていません。

テンプレートシステムはデフォルトでエスケープするべきじゃなかろうか?

2006 年 8 月 7 日 – 9:13 PM

mixiに機能要望の投票とトラッキングがついたらしいので、個人ごとにタイムゾーン設定できるようにってのに投票しました。
# 現時点で評価は 良い94/悪い4 なんだけど、いつになったら検討されるのかさっぱり謎です。

で、他にどんな面白い要望があるんだろうかとブラウズしたりして、ふと実装済のところを見てみると、XSS脆弱性の修正が並んでる・・・
しかも、「mixi機能要望におけるXSSの問題を根本的に修正してほしい」なんてのを筆頭に、最近リリースされてる機能にも平気でXSS脆弱性があった模様。

いまどきリリースされるwebアプリでも、XSS脆弱性はゴロゴロしてるのね。
まあ、そこらのサンプルコードや入門書にXSS脆弱性やSQLインジェクションがゴロゴロしてるのは知ってましたが、mixiでリリースされてるアプリケーションでも未だにゴロゴロしてるとは、ちょっとびっくりです。

mixiのシステムはおいといて、ふと思ったのが「テンプレートシステムはデフォルトでエスケープするべきじゃなかろうか?」ってこと。

DBなどに入力値をそのまま持っておく設計(極めてフツーだけど)のwebアプリケーションだと、たとえばsmartyなら、HTMLを保存しているもの以外の全ての変数表示項目で{$hogehoge|escape}として、エスケープする必要があります。
「ちゃんとエスケープしろよ」といっちゃえばそれまでなのですが、テンプレートってのはwebデザイナーさんもいじることがあるわけで、webデザイナーさんがescapeを忘れちゃったり間違えて取っちゃったりする可能性ってのは十分あるわけです。

このあたりの危うさを考慮すると、テンプレートシステムではデフォルトでエスケープするほうが安全だし、コードの量も減るでしょうね。

作者: りょすけ | IT関連 カテゴリー | また , , のタグ付き | コメント(6)

あなたのブログペットが勝手に売り子になる日

2006 年 8 月 6 日 – 9:57 AM

「ブログアクセサリー」にハマる人たち
http://www.itmedia.co.jp/enterprise/articles/0608/04/news061.html

ブログアクセサリーがブログの記事中の言葉を勝手にしゃべるらしい
それぐらいなら気の利いたギミックで済みそうだが、なんとそれが広告に使われるというのだ

これ、ブログオーナー側にコミッションが発生するならともかく、勝手に広告に使われるってのならけっこうケシカラン事態だけどな
著作権的にもだし、景品表示法や特定商取引法あたりも、けっこうやばそうだよね

自分で
『最近早寝早起きで、ちょーちょーちょー調子いいわよ〜ん』
なんて書いた文章が勝手に広告に使われて、それが怪しげな健康食品にリンクされるとしたら・・・ゾッとするねぇ

記者にそーいう着眼点がまったくないのが平和な感じでいいです

まあ何もこんな心配しなくても、記事中に現れる『彼女たち』は、
「なに〜?ウチの子がへんな広告はじめちゃった〜!チョーウザー!」
ってなったら外しちゃうんだろうけどね

気になるのは、この記者、過去に

あなたのBlogは誰のもの
http://www.itmedia.co.jp/enterprise/articles/0411/29/news023.html

なんて記事もかいてることだ
# なんでこんな記事も書けるのに、こんな能天気な記事も書けるのだろう。プロってのは恐ろしいな

ブログサービスだけでなく、ブログアクセサリサービスの規約にもきっちり目を通したほうがいいのかもしれない

けどきっと、大抵のブログアクセサリサービスの規約なんて、ロクにまとまった文章になってないだろうし、どこかからのコピペだったりしそうだけどね

そのへんは何か問題が起こってから、ちょびちょびと整備されていくんでしょうな

作者: りょすけ | IT関連 カテゴリー | また , のタグ付き | コメントは受け付けていません。

md5とさよならしよう

2005 年 11 月 19 日 – 2:57 PM

MD4/MD5 コリジョンの実証コードが公開(slashdot.jp)

phpコードの中でも、死んでしまったmd5とは可能な限りさよならしましょう

パスワードの保存にハッシュ関数をつかっているか確認し、md5関数の変わりにsha1関数を使うようにしましょう
RDBMSで、md5()でつくった16進32文字をに保存するフィールドがchar(32)になっているなら、sha1()でつくられる16進40文字を保存できるようにchar(40)に拡張しましょう

セッション処理の識別子にmd5で生成したIDをつかっている場合、可能ならsha1を使用するように移行すべきです
PHP5の場合、session.hash_function に1を設定するとsha1を使用するようです
詳しくはマニュアルのセッション処理関数の章を見てください

作者: りょすけ | IT関連 カテゴリー | また , , , のタグ付き | コメント(2)