[続報]ロリポップ!への大規模攻撃、原因に「運営会社の設定不備」
paperboy&co.は2013年8月30日、同社への大規模攻撃(関連記事:ロリポップ!レンタルサーバーに大規模攻撃、WordPress利用中のサイト8438件が改ざん)の原因に「当社のパーミッション(アクセス権限)の設定不備」があったと明らかにした。侵入者はその不備を悪用してwp-config.phpからデータベース接続に必要な情報(パスワードなど)を抜き出して情報を書き換えたと考えられるという。 同社によれば、WordPressのプラグインやテーマの脆弱性を悪用して不正アクセスした侵入者が、同社のパーミッションの設定不備を悪用して他のユーザーのサイトに改ざんを拡大したという。他のユーザーのWordPressの設定ファイルwp-config.phpが閲覧できる状態にあったためと見られる。 同社では設定の不備を謝罪するとともに、サーバー上にある全てのWordPressで使用しているデータ
![[続報]ロリポップ!への大規模攻撃、原因に「運営会社の設定不備」](https://cdn-ak-scissors.b.st-hatena.com/image/square/bed39b5962a5d552c95b6d796db8f55e72d32943/height=288;version=1;width=512/https%3A%2F%2Fxtech.nikkei.com%2Fimages%2Fn%2Fxtech%2F2020%2Fogp_nikkeixtech_hexagon.jpg%3F20220512)
DIコンテナ【Dependency Injection Container】
DIコンテナは,「DI(Dependency Injection:依存性の注入)」と呼ぶデザインパターンに基づいて作られたコンポーネント群を集中管理するためのソフトウエアです。 DIは,コンポーネント(クラス)間の依存関係をソースコードから取り除くことで,プログラムの実行時までコンポーネント同士が依存関係を持たないようにするデザインパターンです。 例えば,あるクラスAの中で別のクラスBのインスタンスを生成して利用しているとき,AはBに強く依存してしまっています。つまり,Bを別のクラスに差し替えたときなどにはAも変更しなければなりません。このような依存関係は,AとBを別の人が作っている場合などに特に困ります。 こうした依存性をクラスから取り除くのがDIパターンです。Bへの依存性をAから排除するには,まずBの機能を抽象化したインタフェースIを定義し,Iを実装したクラスとしてBを作ります。 Bの
第1回 オブジェクト指向プログラミング
最近、新聞やテレビで注目を集めているプログラミング言語に、米MITメディアラボが開発した子供用ビジュアルプログラミング環境「Scratch」がある。 Scratchの登録ユーザー数は90万人(ダウンロードだけなら登録不要なので実際はもっと多い)、アップロードされた作品数は208万本に達している(2011年10月現在)。TIOBEの人気プログラミング言語ランキングでは35位と、トップ50にランクインしている(2011年10月)。ちなみに1位、2位、3位は、Java、C、C++の順である。Scratchと同じく最近注目を集めているScala(関連記事)は50位だ。Scratchが子供用のプログラミング言語であることを考えると、並み居る大人用言語の中で健闘していると言えるだろう。 子供用プログラミング言語だけど侮れない 現代の子供たちは学校や塾などの習い事で結構忙しいうえ、身の回りにはゲームやア
第11回 プログラマが知らない,デザイナーの苦労
今回は,デザイナーとして,世間やプログラマに対して言いたい放題書かせてもらう。どうか怒らずに最後まで読んでもらいたい。デザイナーの皆さんには,大いに賛同していただける内容になっているはずだ。 デザイナーだって,タイヘンなんだ! まず,デザイナーという仕事は,非常に誤解されやすい。例えば次のような誤解をうけて,暗い気持ちで日々の作業をこなしているデザイナーも少なからずいるはずだ。 1) デザイナーという職種に対する,先入観がある 世間(顧客やエンドユーザー)には,「すべてのデザイナー」=「技術に無知」だという先入観がある。「デザイナー」とは「Webページの配色とレイアウトをする人」だから技術を知らなくて当然,むしろ知らなくてよいとする傾向すらある。開発ツールが完全分業に向けて進化しているのだから,デザイナーはビジュアル・デザインのことだけ考えていればいいという意見を持っている人もいるだろう。
長期出張から戻るとドメインにログオンできない
こちらの記事で記述した内容が古くなっていて、現状の説明として適切ではないため削除させていただきました。ご迷惑をおかけいたしますが、ご了承ください。
32. PEAR::Cache_Liteで簡単キャッシュ
キャッシュというとページ単位のキャッシュを考える人も多いかもしれませんが、もっと手軽なPEAR::Cache_Liteを使用した関数単位でのキャッシュを紹介します。キャッシュはパフォーマンスをかなり向上させることができます。パフォーマンスの低下に悩んでいる方はぜひ試してみてください。 キャッシュを使用する場合、まずはキャッシュのヒット率を考える必要がありま す。例えば、アクセスしているユーザーごとに異なる結果を返す場合は、10回の アクセスがあっても、それが10人のユーザーからのアクセスであれば、キャッ シュを作るだけになってしまいます。 逆に、毎回同じ結果を返す場合は10回のアクセスがあると、はじめのアクセスで キャッシュを作成し、残りの9回のアクセスでは、キャッシュが使用されること になり、結果を作成するための処理を省略することができます。 では、以下のような関数にキャッシュ機能を追加
3. session_destroy関数はファイルを消すだけで、スクリプト内ではセッション変数が使えてしまう
3. session_destroy関数はファイルを消すだけで、スクリプト内ではセッション変数が使えてしまう アプリケーション作成に不可欠なセッション変数ですが、セッションを 正しく消さなければ不具合の原因のみならず、脆弱なアプリケーション となってしまいます。 正しくセッションを消す方法を知っておきましょう。 PHPアプリケーションを作成する時に、セッション変数の利用は不可欠と言っ ても過言ではないでしょう。 しかしセッションには攻撃所が多く、脆弱なアプリケーションを多数見かけ ます。 session_regenerate_id( true ) としてセッションIDを変えるのは非常に 有効な手段ですが、逆に不要なセッションは必ず破棄しなければ後々、脆弱 性や不具合の原因となります。 例えばログアウトメカニズムのような実装をする場合、session_destroy()を 利用していませんで
すぐに使えるインターネット・サーバー構築術(第1回)OSをセキュアに設定しよう
Windows Server 2003をセキュアな状態に保つには,マイクロソフトが提供しているセキュリティ情報が欠かせない。これは,マイクロソフト・プロダクト・セキュリティ警告サービスの購読を申し込むことにより,電子メールで自動的に受信できる。申し込みはマイクロソフトのWebサイトから可能だ(図1)。サイトには操作手順が記述されているので,簡単に登録できるだろう。登録するにはMicrosoft Passportアカウントが必要である。 実際に登録サイトにアクセスすると分かるが,5種類の情報が提供されている(図2)。このうち,「マイクロソフトセキュリティニュースレター」と「Microsoftプロダクトセキュリティ警告サービス」の2つは必ず選択してほしい。そのほかについては,必要に応じて選択しよう。 この購読を申し込むことで,定期的にセキュリティ情報が入手できる。セキュリティに対する意識を高く
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
