[B! php] ockeghemのブックマーク

XREA.COM スペック

時代の変化を汲み取り、多様なアプローチを続けてきた無料レンタルサーバー﹁XREA﹂が、デザイン・コンセプトも新たに初心者の方から企業様までさまざまな用途に使える次世代のレンタルサーバーとして生まれ変わります。 Webサイト全面リニューアル Webサイトを全面的に再構築し、シンプルなUIと導線で初心者の方でも、必要な情報に簡単に素早く到達できるよう設計いたしました。また、タブレット端末やスマートフォンなどそれぞれのマルチデバイスにも対応しています。全プラン最新のCPU、SSDに対応サーバー環境に最新のCPU、SSDを採用し、さらなる高速化と安定性を提供しています。高機能なインフラ上で運用することで、ユーザーが構築したシステムの安定稼働を実現できます。現在の仕様はこちら

ockeghem 2012/05/21

『使用可能な言語は…PHP3/4(日本語化パッチ済み)』<まっ、マジっすか?

php
security

リンク

PHP 5.4.3とPHP 5.3.13が公開 - CGIの重大な脆弱性に対処

PHPデベロッパチームは5月8日(米国時間)、PHPの最新版となる﹁PHP 5.4.3﹂および﹁PHP 5.3.13﹂を公開した。どちらもPHPのCGIモードにあった重大な脆弱性が修正されており、すべてのユーザに対してアップグレードを推奨している。 PHP 5.4.3、PHP 5.3.13はともに同じ脆弱性に対処したバージョン。この脆弱性は、アメリカのセキュリティ研究センターCERTが3日(米国時間)に発表した問題で、DoS攻撃を受けたりWebサーバ権限でコードを実行される危険性があった。 PHP GroupではURLの末尾(index.php?)に﹁-s﹂をつけてアクセスし、ソースコードが表示された場合には、これらの攻撃を受ける可能性があるという。実はこの脆弱性については、3日に公開された﹁PHP 5.4.2﹂および﹁PHP 5.3.12﹂で対処したと発表したが、その後、6日に修正が不十

ockeghem 2012/05/11

『この問題については、PHP 5.3系はまだ修正されていない』<これは誤り。未修正ではなく、対象外

php
security

リンク

【対策されました】WebARENA SuiteX で WordPress3.2 以上を使いたい等の理由で PHP 5.3 を使ってる人は今すぐ脆弱性対策しましょう / JeffreyFrancesco.org

︻対策されました︼WebARENA Sui teX で WordPress3.2 以上を使いたい等の理由で PHP 5.3 を使ってる人は今すぐ脆弱性対策しましょう公開日: 2012年5月7日タグ: php, sui tex, wordpress, security 以下の内容は 2012年5月7日に緊急でアップしたものです。現在はSui teX 側で同様の対策が実施されておりますのでユーザ側で対策する必要はありません。追記2に示したリンク先をご確認下さい。朝起きたら徳丸浩の日記にCGI版PHPにリモートからスクリプト実行を許す脆弱性(CVE-2012-1823)という記事がアップされておりました。 CGI環境でPHPを動作させているサイトには、リモートからスクリプト実行を許してしまう脆弱性があります。php.netから提供されている修正リリース(PHP 5.3.12 / PHP 5.

ockeghem 2012/05/07

フォローありがとうございます!>『 WebARENA SuiteX って PHP 5.3 を使おうとすると CGI モードでの起動になる』

リンク

「PHP 5.4.2」におけるCGI関連のバグ修正は不完全、5月8日に再リリースへ | OSDN Magazine

PHP開発チームは5月3日、﹁PHP 5.4.2﹂および﹁PHP 5.3.12﹂をリリースした。ここで2004年より存在していたというCGI関連の脆弱性を修正したとしていたが、その3日後にこの脆弱性を完全に修正できていないことが報告された。そのため、5月8日にこの脆弱性を修正したものがリリースされる予定となっている。この脆弱性はCGIベースでPHPを動作させている一部の環境で発生するもので、悪用されると遠隔からコードが実行されてしまうという。脆弱性情報のCommon Vulnerabilities and Exposures︵共通脆弱性識別子︶では﹁CVE-2012-1823﹂と識別されており、Apache＋mod_phpや、nginx+php-fpmは影響しないとしているが、Apache＋mod_cgiを利用している場合は影響を受ける可能性があるとしている。PHP開発チームでは確認方法

ockeghem 2012/05/07

『脆弱性を修正したバージョンは5月8日に公開される予定』

php
security

リンク

JVNVU#520827: PHP-CGI の query string の処理に脆弱性

PHP には、CGI として使用される設定において query string をコマンドラインオプションとして認識してしまう脆弱性が存在します。

ockeghem 2012/05/07

JVNからも情報出ました

php
security

リンク

CGI版PHPにリモートからスクリプト実行を許す脆弱性(CVE-2012-1823)

CGI環境でPHPを動作させているサイトには、リモートからスクリプト実行を許してしまう脆弱性があります。php.netから提供されている修正リリース(PHP 5.3.12 / PHP 5.4.2)は不完全なため、該当するサイトは至急回避策を導入することを推奨します。概要 CGIの仕様として、クエリ文字列に等号を含めない場合は、クエリ文字列がCGIスクリプトのコマンドライン引数として指定されます。例えば、http://example.jp/test.cgi?foo+bar+bazという呼び出しに対しては、test.cgiは以下のコマンドラインで呼び出されます。 test.cgi foo bar baz この仕様を悪用して、CGI版のPHPにコマンドライン引数としてPHPのオプションを指定できます。例えば、http://example.jp/test.php?-s というリクエストは、-s

ockeghem 2012/05/07

日記書いた

php
security

リンク

[PHP]CVE-2012-1823の回避策

追記:より詳細の報告を公開しましたのでそちらを参照下さい CGI版PHPにリモートからスクリプト実行を許す脆弱性(CVE-2012-1823)　追記終わり。昨日のメモでは、CVE-2012-1823の対処をFastCGIかmod_phpに移行するとしていたが、CGIのまま暫定対処する方法を以下に公開する。 PHPの設定が以下と想定する。 AddHandler application/x-httpd-php5 .php Action application/x-httpd-php5 /cgi-bin/php-cgiphp-cgiを呼び出すラッパー(/cgi-bin/php-wrapper)を以下のように記述する。実行権限を付与すること。php-cgiにパラメータを渡さないところがポイント。 #!/bin/sh exec /usr/local/bin/php-cgiPHPの設定を以下のよ

ockeghem 2012/05/06

CGI版PHP環境におけるCVE-2012-1823の回避策

php
security

リンク

[PHP]CVE-2012-1823に関する暫定メモ

追記:より詳細の報告を公開しましたのでそちらを参照下さい CGI版PHPにリモートからスクリプト実行を許す脆弱性(CVE-2012-1823)　追記終わり。︻概要︼ PHP5.4.2で修正された脆弱性だが、直っていない。CGI版のみが影響を受ける。mod_phpやFastCGIによるPHP実行の場合影響なしとされる。︻影響︼・PHPの実行時オプションが外部から指定されるその結果として以下の影響がある・リモートのスクリプト実行(影響甚大) ・PHPソースの表示︻影響を受けるサイト︼・PHPをCGIとして実行しているサイト︵FastCGIは大丈夫らしい︶︻回避策︼・PHP 本家の改修リリース(5.4.2など)は不十分な対策︵PHP5.4.2でもリモートコード実行できることを確認済み︶・mod_rewriteによる回避策も不十分らしいが情報不足・FastCGIまたはmod_ph

ockeghem 2012/05/05

情報不足につき暫定的なメモを書きました

php
security

リンク

PHPのロケールに関するまとめ - hnwの日記

5/3 17:45追記‥t_komuraさんに指摘いただいた関数と、さらに僕が調べ直したものを含め、﹁ロケール設定に従う関数一覧﹂に25個ほど追加しました。かなり見落としがありましたね…。 PHPのロケール*1まわりについて調査したので、これをまとめてみます。この記事は﹁ロケールの影響を受ける関数 - Sarabande.jp﹂を掘り下げたものです。masakielasticさん、ナイスな記事をありがとうございます。 PHPの文字列型と文字エンコーディング他のモダンなLL言語と異なり、PHPは文字列の文字エンコーディングに関して何も仮定せず、単なるバイト列として管理しています。つまり、文字エンコーディングの取り扱いは各関数の実装に委ねられています。下記の通り、これはマニュアルにも記述があるのですが、実に残念なことです。残念ながら、PHP の各関数が文字列のエンコーディングを判断する

ockeghem 2012/05/01

これは労作。『セキュリティクラスタの人がワクワクするような関数が並んでいますが、本稿ではこれ以上の深追いはしません』<ワクワクというか、うんざりというかw

php
security

リンク

徳丸本に載っていないWebアプリケーションセキュリティ / PHPカンファレンス北海道2012 on Vimeo

Keyboard Shortcuts Just think about it… What if you were trapped under something heavy and the mouse was out of your reach? Scary, right? That's exactly why we have these keyboard shortcuts so you can still use Vimeo until the help arrives. [ Prev video ] Next video L Like this video S Share this video F Full screen V Couch Mode M More videos ? More shortcuts

ockeghem 2012/04/29

講演のビデオアップロードされていました。鈴木さん、ありがとうございます #phpcondo

php
event

リンク

explore

We’ve updated our privacy policy so that we are compliant with changing global privacy regulations and to provide you with insight into the limited ways in which we use your data. You can read the details below. By accepting, you agree to the updated privacy policy. Thank you!

ockeghem 2012/04/26

PHPカンファレンス北海道のスライドがslideshareの「今週のもっとも見られたプレゼンテーション」11位に入りました #phpcondo

PHP

リンク

PHPカンファレンス北海道を開催しました #phpcondo - nazolabo

2012年4月21日︵土︶に、北海道では初めてとなる、PHPカンファレンス北海道が開催されました。今回、私は実行委員長ということで、立ち上げから全ての面でイベントを作っていきました。何で開催したの？元々﹁北海道でもPHPカンファレンスやるといいんじゃないかなー関西でも開催したしなー﹂と、関西の開催あたりからぼんやりと思っていたのですが、直接のきっかけは、しまださんから、﹁札幌でPHPの大きいイベントやらないの？﹂みたいなことを言われたことでした。とは言っても、言われたからやったわけではないです。普段から、LOCAL PHP部での発表者不足や、PHP 技術者がそもそもどこにいるかわからない、という悩みを抱えており、大きいイベントをすることで、そういう人達が集まることができるのではないか、と思っていました。また、実績がある﹁PHPカンファレンス﹂という名前を使うことにより、普段の

ockeghem 2012/04/25

移転されたということで、再ブクマ。楽しいイベントありがとうございました。お疲れ様でした

php
event

リンク

http://www.hash-c.co.jp/archives/phpcondo2012.html

ockeghem 2012/04/25

講演資料PDFはこちら #phpcondo

リンク

PHPカンファレンス北海道での講演の聞き所と事前課題

すでに私のブログでご案内のように、PHPカンファレンス北海道で講演します。このエントリでは、講演の聞き所と、講演を十分に理解するための事前課題をご案内します。タイトル‥徳丸本に載っていないWebアプリケーションセキュリティアジェンダキャッシュからの情報漏洩に注意クリックジャッキング入門Ajaxセキュリティ入門ドリランドカード増殖祭りはこうしておこった…かも?キャッシュからの情報漏洩に注意このネタをやろうと思ったきっかけは、OpenPNEの以下のセキュリティリリースです。︻緊急リリース︼すべてのバージョンの OpenPNE に存在する、クライアント側キャッシュを経由した非公開情報漏洩の問題への対応のお知らせ (OPSA-2011-004)キャッシュ経由での情報漏洩は、脆弱性診断屋の診断項目には入っています︵但し上級プランのみの場合が多い︶が、あまりこの問題が脆弱情報として流れてくるのを

ockeghem 2012/04/17

日記書いた #phpcondo

リンク

はてなブログ | 無料ブログを作成しよう

文学フリマ東京38に行ってきました bunfree.net文学フリマに遊びに行ってたくさんお買い物をし、大変刺激を貰ったのち、そういえば最近ブログの更新ができてないなと思ったら最終更新が2月で止まっていることに愕然としました。ので、熱い気持ちのうちに更新しておきます。もちろんまだほぼ読んでいない…

ockeghem 2012/04/12

filter_varによるチェックはRFCを基準にしているようだけど、アプリケーション要件はRFC通りとは限らないよね / コメントした

PHP

リンク

PHP :: Doc Bug #60116 :: escapeshellcmd() cannot escape the chars which causes shell injection.

ockeghem 2012/04/12

escapeshellcmdの脆弱性修正の議論。大垣さん、廣川さん、徳丸の名前が登場

PHP

リンク

PHP :: Bugs homepage

PHP Bug Tracking System Before you report a bug, please make sure you have completed the following steps: Used the form above or our advanced search page to make sure nobody has reported the bug already. Make sure you are using the latest stable version or a build from Git, if similar bugs have recently been fixed and committed. Read our tips on how to report a bug that someone will want to help f

ockeghem 2012/04/12

PHPのheader関数がCRのみで改行した入力を許容していたが、PHP5.4.0で修正された。廣川さんありがとうございました

PHP

リンク

PHP classの教室

PHPで関数は使えるけれどオブジェクト指向はよくわからないという人向けの勉強会の資料です。 Ustream録画 (1/5) http://www.ustream.tv/recorded/21256905 67分 (2/5) http://www.ustream.tv/recorded/21253084 80分 (3/5) http://www.ustream.tv/recorded/21254139 60分 (4/5) http://www.ustream.tv/recorded/21254817 24分 (5/5) http://www.ustream.tv/recorded/21255084 6分 Read less

ockeghem 2012/04/12

これは分かりやすい。traitにも言及

PHP

リンク

CakePHP における Mass Assignment 脆弱性対策

Rails 界隈で話題の Mass Assignment 脆弱性を CakePHP で防ぐ方法です。 Github に Mass Assignment 脆弱性が発見されて、Rails 界隈で話題になっています。この問題自体は目新しいものではなく、Rails 自体の問題というより、Rails アプリケーションの作り方の問題ということで、以前から作る側が注意を払う必要がありました。この Mass Assignment 脆弱性は、Rails を手本に発展してきた CakePHP アプリケーションでも同様の問題が発生する可能性があります。知っている人には常識なのですが、まだ知らない人もいるかと思うので、CakePHPにおける対策方法を書いてみます。下記コードはCakePHP2系を想定していますが、考え方はCakePHP1系でも同じです。 Mass Assignment 脆弱性 CakePHP に

ockeghem 2012/04/12

『Mass Assignment 脆弱性は、Rails を手本に発展してきた CakePHP アプリケーションでも同様の問題が発生する可能性があります』<わかりやすい解説をありがとうございます

php
security

リンク

PHPのescapeshellcmdを巡る冒険

以前、ブログ記事﹁PHPのescapeshellcmdの危険性﹂にて、escapeshellcmd関数の﹁余計なお世話﹂によって危険性が生まれていることを指摘しましたが、その後大垣さんによって修正案が提示され、結局﹁それはマニュアルの間違い﹂ということで決着が着いたようです。ところが、この議論とは別のところで、escapeshellcmdはPHP5.4.0で挙動が少し変わっていることが分かりました。経緯 2011/1/1 徳丸が﹁PHPのescapeshellcmdの危険性﹂を書いて、クォート文字がペアになっている場合にエスケープしないという仕様が余計なお世話であり、危険性が生じていることを指摘 2011/1/7 大垣さんがブログエントリ﹁phpのescapeshellcmdの余計なお世話を無くすパッチ﹂にて修正案を提示 2011/10/23 廣川さんが、大垣さんのパッチ案を少し修正して

ockeghem 2012/04/11

【注意】escapeshellcmdの仕様がPHP5.4.0で変わっています>結局バグということです

リンク

はてなブックマーク

タグ

関連タグで絞り込む (148)

phpに関するockeghemのブックマーク (412)

お知らせ

今週のはてなブックマーク数ランキング（2024年7月第3週）

今週のはてなブックマーク数ランキング（2024年7月第2週）

はてなブックマーク透明性レポート（2024年 2月-2024年4月）

公式Twitter

キーボードショートカット一覧

はてなブックマーク

公式Twitter

はてなのサービス