PHP5.3.7のcrypt関数のバグはこうして生まれた
昨日のブログエントリ「PHP5.3.7のcrypt関数に致命的な脆弱性(Bug #55439)」にて、crypt関数の重大な脆弱性について報告しました。脆弱性の出方が近年まれに見るほどのものだったので、twitterやブクマなどを見ても、「どうしてこうなった」という疑問を多数目にしました。 そこで、このエントリでは、この脆弱性がどのように混入したのかを追ってみたいと思います。 PHPのレポジトリのログや公開されているソースの状況から、PHP5.3.7RC4までこのバグはなく、PHP5.3.7RC5でこのバグが混入した模様です。RC5はPHP5.3.7最後のRelease Candidateですから、まさに正式リリースの直前でバグが入ったことになります。 バグの入る直前のソースは、ここの関数php_md5_crypt_rから参照することができます。以下に、おおまかな流れを図示します。まずはバ
PHP5.3.7のcrypt関数に致命的な脆弱性(Bug #55439)
PHP5.3.7のcrypt関数には致命的な脆弱性があります。最悪のケースでは、任意のパスワードでログインできてしまうという事態が発生します。該当する利用者は、至急、後述する回避策を実施することを推奨します。 概要 PHPのcrypt関数は、ソルト付きハッシュ値を簡単に求めることができます(公式リファレンス)。crypt関数のハッシュアルゴリズムとしてMD5を指定した場合、ソルトのみが出力され、ハッシュ値が空になります。これは、crypt関数の結果がソルトのみに依存し、パスワードには影響されないことを意味し、crypt関数を認証に用いている場合、任意のパスワードでログインに成功する可能性があります。 影響を受けるアプリケーション crypt関数を用い、ハッシュアルゴリズムとしてMD5を指定しているアプリケーション。 環境にも依存しますが、デフォルトがMD5の場合もあります。筆者のテスト環境
TwitterやFacebookへのログイン機能をこれ1個で実装できるPHPライブラリ「HybridAuth」:phpspot開発日誌
TwitterやFacebookへのログイン機能をこれ1個で実装できるPHPライブラリ「HybridAuth」 2011年08月22日- HybridAuth, Open Source Social-Signle-Sign-On Solution for authentication through Facebook, Twitter, Google, Yahoo, MySpace, LinkedIn, AOL, Vimeo, FourSquare, OpenID and other Identity providers TwitterやFacebookへのログイン機能をこれ1個で実装できるPHPライブラリ「HybridAuth」 Facebook, Twitter, Google, Yahoo, Windows Live, MySpace, LinkedIn, FourSquare, O
Openpear
Openpear is a PEAR Repository Channel and Subversion Hosting Service. since November 2008 以前からお使いですか? 以前の Openpear をお使いだった方は、以下のコマンドを実行する必要があります pear channel-update openpear.org チャンネルを登録する pear channel-discover openpear.org 利用可能なパッケージをリストする pear remote-list -c openpear パッケージをインストールする pear install openpear/package_name バージョンや安定性を指定してパッケージをインストールする pear install openpear/package_name-1.0.0 pear insta
PHP Conference Japan 2011
PHPカンファレンス2011 今年のPHPカンファレンスは、技術者のための楽しい祭典という立場に立ち戻り、 様々なテーマをちりばめた「ごった煮のお祭り」を目指します! 楽しいお祭りという事で、公募中心のプログラムとなっています。 みなさまのお越しを心からお待ちしております! 開催概要 主催: 日本PHPユーザ会 会場: 東京都大田区産業プラザPiO 日時: 9月10日(土) ※今年は1日のみの開催となります 備考: 懇親会あり(事前申し込み時にチェックされ方のみ) 公式Twitterアカウント: @phpcon / 公式ハッシュタグ: #phpcon2011 公式Facebookページ: phpcon.japan 住所・会場 東京都大田区南蒲田1-20-20 大田区産業プラザ(右図) » Google Mapsで表示 アクセス ・京浜急行線 京急蒲田駅東口より徒歩3分 ・JR京浜東北線、東
色々なPHPフレームワークのパフォーマンスを比較 - cakephperの日記(CakePHP, Laravel, PHP)
PHPフレームワークの速度比較では、HelloWorldを表示するのみの単純なアプリを用いた計測を元に比較表が作られることが多いです。特に後発のフレームワークは分かりやすい特徴付けとして速度をアピールする傾向にあるため、その比較表を元に N倍速いというアピールをしています。 PHPフレームワークを使うということは、DBまで絡めたWebアプリを作ることがほとんどなため、HelloWorldアプリの比較よりは、DBからレコード取得して表示するまでの処理速度を比較したほうがより現実に近い指標になると思います。特にCakePHP1系ではDBのデータ取得も独自ドライバになっていますし、モデルの処理も重いのでそこまで含めて他と比較したほうが良いと思ってます。 今回はDBから1レコード取得して表示するという簡単なアプリで各フレームワークの速度を評価しました。フレームワークに備わっているViewキャッシュ
[PHP,urlencode] 文字コードを指定して urlencode するにはどうしたらよろしいでしょうか。
[PHP,urlencode] 文字コードを指定して urlencode するにはどうしたらよろしいでしょうか。
cloudControlで.htpasswdの設定とphpMyAdminのインストール - ボットになりきれない何か
無料で使えるらしいPHPのPaas、cloudControlのアカウントを作ってみました。 参考:PHPのPaaSを提供する「cloudControl」と「PHP Fog」 − Publickey Tutorialに従ってあれこれ設定すればとりあえずデプロイまではいけます。Bazaarとか初めて使うよ。 MySQLのaddonの追加の仕方まで載ってるので親切。データベース苦手なヘタレなのでとりあえずphpMyAdminを入れてみようと思いました。 まずphpMyAdminでごにょごにょしたり、phpinfoを表示するためのディレクトリを掘って、.htaccessと.htpasswdを置いてパスワード制限を掛けようと考えてやり方をググってみました。 .htaccess: AuthUserFile /data/local//current/<作業ディレクトリ>/.htpasswd AuthGr
cloudControl を使う
はい。なんでも導入だけはやる。PHP向けPaaS。最近の開発はサーバ用意しなくていいのがトレンドですね。 最近なのかどうなのか。どうなの。 1. cctrl を入れるcloudControl の名を冠したコマンドラインツールを入れる。うちは Windows なので Windows用セットアップページ から。 前提条件として、Bazaar か Git が必要らしい。Bazaar ってなに。git はよく分からないまま入れてあるので、これで続行する。 2. 初期設定まずユーザを作成する。スタートメニューから cmd と入れて コマンドプロンプト起動。ちなみにランチャー等から起動すると、ツールインストール時に追加された環境変数(この場合はPATH)は反映されてないので注意。 > cctrluser create Username: segu Email : *****@segu.jp Passw
今風のUI。Ajaxを使ったPHPベースのMySQL管理システム·MyWebSql MOONGIFT
MyWebSqlはAjaxを多用した今風のUIを使ったMySQL管理ツール。 MyWebSqlはPHP製のオープンソース・ソフトウェア。PHPと言えばMySQL、その二つの組み合わせから生み出されたphpMyAdmin。LAMPスタックなんて言葉が生み出されたのにphpMyAdminの優秀さがあったことは否定できない。それくらい誰しもが使っているソフトウェアだ。 データ一覧 だが長い年月のうちにUIは古いものになり、ちょっと時代が変わってきているかという気がしなくもない。そこで今のWebに合わせたMySQL管理ツールを紹介しよう。それがMyWebSqlだ。 MyWebSqlはWebアプリケーション風のインタフェースに加えて、UIのデザインもポップで明るい配色になっていて使い勝手が良い。左側にデータベースの一覧、右側でデータの編集を行うスタイルはphpMyAdminと同じだ。さらに下にはSQ
Google+ 非公式 API で情報を取得するPHPライブラリを使ってみた
まだ登場していない Google+ の API ですが、非公式な API を利用して情報を取得するライブラリがあったので使ってみました。 Google+のストリーム で教えて頂いた php-googleplusapi というライブラリで github で公開されています。 はじめは README に従って、MySQL の設定などしたのですが、Google+ から情報を取得するだけなら、DB の設定は不要です。 付属のサンプルソースだと色々な処理が入っているので、直近10件の投稿を取得する単純なサンプルを書いてみました。 実行すると以下のように投稿を取得できます。 $ php gplus_fetch_posts.php 他にはプロフィール情報が取得できました。(そもそも、↑のサンプルソースはプロフィール情報に含まれている投稿を出力しています。)全部は見ていないので興味ある人は他に何が取れるか
「PHPあるある」のまとめ
KOYAMA Tetsuji (こいほげ) @koyhoge PEAR のバグを発見しパッチをレポートしようとしたら、とっくの昔に同じバグレポートが上がっており、しかも2年間放置されていた。 #PHPあるある 2011-07-26 22:29:20
5分でわかる最近のPHP - 2011夏
ここ最近のPHP界隈では、興味深いニュースが続いています。最近PHPを追っかけていない人へ少しづつご紹介。 近頃、PHP界隈でホットなニュースを5つ、つまみぐいして見てみましょう。 1. PHP5.4.0-alphaリリース! PHPの次期バージョン、5.4.0-alphaがリリースされました。 まだ alpha1 ですが、すでに Traits や Array dereferencing support など様々な機能追加が行われています。 特に Traits は面白い機能で、いずれはこれを利用したフレームワークの登場が考えられます。ぜひ使ってみたい機能ですね。 今後、正式リリースに向けてさらなる新機能が追加されていくようなので、目が離せません。 PHP 5.4 alpha1 released 現状のPHP環境はそのままで、PHP 5.4 を試す PHP5.4 alpha1リリース! PH
GoogleのアカウントにOpenIDでログインする実装チュートリアル:phpspot開発日誌
Login with Google Account GoogleのアカウントにOpenIDでログインする実装チュートリアルが公開されています 実装コードはPHPで、参考にしてGoogleにログインして名前とメールアドレスを表示させるようなものになっているみたいです。 本番等にそのまま使うのはよくないと思いますが、たたき台として参考にできるかもしれません PHP+MySQL+PHP-Sessionを利用して実装されているみたいです。 関連エントリ ログイン/ユーザ登録といったフォーム実装用のフレームワーク「jFormer」 色々なサービスへ一発でログインできるオープンソース「Clipperz Community Edition」
PHPを使っているすべての人が知るべき無料のPaaSサービス | Act as Professional
先日発売されたsymfony本の執筆に携わらせて頂いたので、今回はPHPのPaaSホスティングサービスである cloudControl で、無料で symfony1.4 を稼働させます。きっと、cakePHPやCodeigniterも稼働させることができるのではないでしょうか。 cloudControlって? 1時間あたり1BoxというcloudControlで定義している独自の単位は無料で使えます。簡単に言うと、少ないアクセスのサイトだったら無料で使えます。それ以上のアクセスを提供するためにはunlockの手続き(有料)が別途必要です。 また、無料で提供しているアドオンが利用できます。その中にはMySQLがあるので、PHPとMySQLで稼働するフレームワークは大抵稼働するのではないでしょうか。 cloudControl で symfony1.4 を稼働させるところまで、解説することにしま
PHPのPaaS「cloudControl」を試してみる
先日「cloudControl」という、PHP の PaaS を見つけました。 http://cloudcontrol.com/ Haorku の PHP 版・みたいな感じのサービスです。 一応 PHPer の端くれ(だと思う)ので、早速登録! 一通り使ってみたので忘れないように覚え書き。 最近物忘れが激しい〜 では、早速。 1, 登録してみる トップページにある『Sign-up now』からユーザー登録を行います。 ↓こんな感じ 【Sign up】ボタンをクリックすると、入力したメールアドレス宛にメールが届きます。 記載されたアドレスにアクセスするとフォームが表示されるので、同じく記載されたアクティブコードを入力して送信します。 これでユーザー登録は完了です。 (完了メールは来ないよ) 2, Bazaar を入れてみる 環境:MacOS X Snow Leopard(10.6) clou
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
【セキュリティ ニュース】「phpMyAdmin」に複数の脆弱性 - 組み合わせで任意のコード実行が可能に(1ページ目 / 全1ページ):Security NEXT
Av-jyo.com
PHPでセキュリティを真面目に考える
第1回関西PHP勉強会
