PHP 5.3 でネイティブ関数の引数型エラー時の返り値が変更になったけど大丈夫? - co3k.org
PHP 5.5.0 リリースおめでとうございます。 タイミング的に PHP 5.5 の話だと読み間違えた方 (もしくは「こいつ間違って PHP 5.3 って書いてやがるプギャー」と思った方) におかれましては、このテキーラはサービスだから、まず飲んで落ち着いてほしい。 はい。ということで、驚くべきことに、いまから、真顔で、 PHP 5.3 の変更点の話をします。でも PHP 5.5 が出るにあたってコードを見直す方もいるでしょうし、なんというかついでに気に掛けていただければと。 何の話か PHP 5.3 の「下位互換性のない変更点」として、マニュアルに以下のように示されている件についての話です。 引数を解釈する内部API が、PHP 5.3.x に同梱されている全ての拡張機能に 適用されるようになりました。つまり、互換性のないパラメーターが渡された場合、 この引数を解釈するAPIは NUL
Symfony のセキュリティリリースハンドリングがチョベリグになった話 (Symfony Advent Calender 2012 JP - 23日目) - co3k.org
Symfony Advent Calendar 2012 JP の 23 日目です。なんか 17 日目で川原君から Note: Security Fix 周りの問題については、後日 @co3k が取り扱うようです。 —Symfony Advent Calendar JP 2012 - Day 17 — Symfony Advent Calendar 2012 - Day 17 v1.0 documentation と突然の CM (AA 略) をいただいていましたが、問題というか、 Symfony のセキュリティリリースハンドリング周りがちょこっと改善いたしましたのよ的な話をしていこうかと思います。 どう改善されたのサ 2012/12/18 に Symfony の公式ブログにて、 Security Issue Management Improvements というエントリが公開され、次のよ
Mozilla CTF 2012 に参戦しました - co3k.org
2012/01/25 (日本時間では 17 時からの 24 時間) に開催された Mozilla CTF に参加してきました。 このエントリが 2 週間後の投稿になってしまったのは、モンハン 3G で忙しかったからです。モンハン楽しいですね! 初モンハンでしたが村クエ全部クリアしてやっと初心者脱出かなというところです。 いま HR 44 です! 今度誰か一緒に狩りに行きませんか! そんな話はどうでもいいですね! さて、 CTF とはなんぞやという方は「 プレイ・ザ・ゲーム! CTFが問いかけるハックの意味 - @IT 」をご覧いただくといいと思います。 CTF はこれがはじめてだったんですが、腕試しくらいの軽い気持ちで思い切って単身で参戦しました。 別作業しながらの参戦だし、開催中も普通に 8 時間ほどガッツリ睡眠取ってたのですが、スコアボードを見てみると 33 位 (1700 Point
不適切な脆弱性情報ハンドリングが生んだ WordPress プラグイン cforms II のゼロデイ脆弱性 - co3k.org
2012/02/15、 JVN から JVN#35256978: cforms II におけるクロスサイトスクリプティングの脆弱性 が公開されました。これはクレジットされているとおり、海老原と、同僚の渡辺優也君が勤務中に発見した脆弱性です。 脆弱性自体はどこにでもあるような普通の XSS ですが、実はこの脆弱性、 2010 年 10 月に exploit コードが公開され、それから 1 年 4 ヶ月後の 2012 年 2 月まで修正版が提供されていなかったものです。 このような危険な状態が長期間続いていたのには、様々な理由があります。ここでは、その説明と、どうすれば事態が防げたかということについて検討したいと思います。 脆弱性の概要 本題に入る前に、主に cforms II のユーザ向けに脆弱性自体の概要についてざっくり説明します。前述のとおり、未修正の状態で exploit コードが公開
au の F001 に存在した EZ 番号詐称の脆弱性について - co3k.org
このエントリでは、海老原が 11/11 に発見した、「F001 の PC サイトビューアを利用して EZ 番号の作業がおこなえる」という脆弱性について説明します。 この脆弱性を利用されると、たとえば、「かんたんログイン」などの機能を提供する勝手サイトにおいて、 au 端末を利用したユーザになりすまされてしまうといった被害が発生しえます。 本問題の解決に向けてご協力いただいた 徳丸さんのブログエントリ にも詳しく触れられていますのでそちらもご一読ください。 おさらい 徳丸浩さんの以下のエントリで説明されているとおり、 au の 2011 年秋冬モデルの端末でおこなわれる(と宣言されている)変更が、「かんたんログイン」等の用途で使われている EZ 番号の詐称を許す可能性があるのではないかと多くの方々の間で懸念されていました。 IPアドレスについてはKDDI au: 技術情報 > IPアドレス帯
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
