karupaneruraのブックマーク / 2013年7月17日

karupanerura id:karupanerura

2013年7月17日のブックマーク (7件)

[PHP] preg_replace における //e があぶない話 - tokuhirom's blog
Malware Hidden Inside JPG EXIF Headers という話題がでていたので見てみたところ、単に preg_replace がセキュリティ上問題があるインターフェイスだという話であって、EXIF 云々は直接的に関係がなく、釣りエントリであることが判明した。 preg_replace は第一引数に正規表現を渡すが、その際に外部からの入力をそのままわたすと危険という話。なぜならば preg_replace は '/.*/e' のように、eval flag をわたすことができるからだ。以下のコードをみよ。 <?php preg_replace('/.*/e', 'eval("echo 5960+3;")', ''); つまり、preg_replace($_POST['foo'], $_POST['bar'], '') のようなコードがあった場合、任意のコードが実行
karupanerura 2013/07/17
やはりphpこわい案件

security

php
リンク
技術モヒカンに中指を立てる — hirokiky's blog
技術モヒカンに中指を立てるモヒカンとは、技術的に優れている風を装い、勉強会などの会合で新参者に技術的に正論と思われる論理を武器にして制裁を与える人種である。と、まぁここではそうしよう。よくあるべんきょーかい、いべんとではマサカリを投げる、椅子を、斧を投げると言われる、なんとも恐ろしい人たちである。ここでは、その人と、その界隈について。まず、マサカリには中指を立てろ。自分の意見を否定されたからといって、自分の意見を蔑ろにしてはいけない。正しく自分の意見を伝え、またモヒカンの伝えたい真意を聞こう。学ぶものがあるなら学び、そうでなければ無視するがいい。大衆に価値はないモヒカンをもてはやしている人間の大半は、そのモヒカンの真意にどれほどの価値があるのか理解してない。大衆たるモヒカン信者はあなたの意見を封殺しようとするだろう。だけど、大半はモヒカンの真意を理解してないので、論破
karupanerura 2013/07/17
communication
リンク
Perl and Riak - 分散データストア Riak を Perl から "爆速" で使うために - - YAPC::Asia Tokyo 2013
「スケールして、良い感じに速度が安定して出る分散データストア」皆さん欲しいですよね。 Cassandra や Mongo DB が有名ドコロですが、Riakも最近知名度を上げてきているプロダクトです。 Riak は単に使うだけならとても簡単ですが、より性能を求めると多くの課題が出てきます。本セッションでは Riak を Perl から利用するにあたって克服した課題や運用について、実際のサービスで適用した事例を元にお話いたします。
karupanerura 2013/07/17
ききたい！

yapc

riak
リンク
Release Your Software
AI & MLLearn about artificial intelligence and machine learning across the GitHub ecosystem and the wider industry. Generative AILearn how to build with generative AI. GitHub CopilotChange how you work with GitHub Copilot. LLMsEverything developers need to know about LLMs. Machine learningMachine learning tips, tricks, and best practices. How AI code generation worksExplore the capabilities and be
karupanerura 2013/07/17
++

github
リンク
トム・ヨーク、「これでは新人アーティストが食っていけない」とスポティファイから音源を引き上げる－rockinon.com｜https://rockinon.com/news/detail/85329
トム・ヨークは自身のソロ作品とアトムス・フォー・ピースとしての作品をすべてスポティファイのストリーミング・サーヴィスから引き上げ、その理由として「このビジネス・モデルでは新人アーティストはロクな報酬を貰えない」ことを挙げている。トムとアトムス・フォー・ピースのバンド・メンバーでレディオヘッドのプロデューサーとしても有名なナイジェル・ゴドリッチはツイッターでスポティファイ批判を繰り返していて、ナイジェルは現時点ではスポティファイにとっても採算がきちんと取れる体制にはなっていないが、いずれ資産価値が出るモデルを今作り上げることだけがスポティファイには重要なことであって、「その間、弱小レーベルや新人アーティストは経営も活動もままならない状況を強いられるわけで、これはどう考えても間違っているよ」とツイッターで指摘している。さらにナイジェルは次のように続けている。「ストリーミング・サーヴィスはカ
karupanerura 2013/07/17
business

music
リンク
JPEG画像のEXIFヘッダにマルウェアを隠して実行させる新しい手口が登場
JPEG画像のEXIFヘッダに隠された仕掛けられたマルウェアを、Sucuri Research Labの調査チームが発見しました。このマルウェアはPHPの機能を用いてEXIFヘッダを読み込ませ、自らを実行させるようになっていました。 Malware Hidden Inside JPG EXIF Headers | Sucuri Blog http://blog.sucuri.net/2013/07/malware-hidden-inside-jpg-exif-headers.html Sucuri Research Labのチームは攻撃サイト認定されたサイトでこのマルウェアを発見しました。通常、バックドアはBASE64変換やgzip圧縮で身を隠しますが、このマルウェアはJPEG画像のEXIFヘッダに隠されていて、PHPの機能を用いて実行されるようになっています。まず、サイト内で見つかった
karupanerura 2013/07/17
preg_replaceがpatternの中に修飾子入れられるのも問題だし、汚染されたデータをそのままpatternにもreplacementにも使ってるのも問題だし、どっちかというとPHPこわい案件な気がする。

security
リンク
[perl] Object::Generator の yield が面白い - tokuhirom's blog
http://blogs.perl.org/users/joel_berger/2013/07/a-generator-object-for-perl-5.html Coro をつかってイテレータを簡単に実装できるようにしているのがオツですな。 use strict; use warnings; use Generator::Object; my $gen = generator { my $x = 0; while (1) { $x += 2; $_->yield($x); } }; print $gen->next; # 2 print $gen->next; # 4
karupanerura 2013/07/17
perl
リンク
- 2013年7月18日
- 2013年7月17日
- 2013年7月16日