Canonicalで重複URLを統一
(Last Updated On: 2009年2月27日)http://googlewebmastercentral.blogspot.com/2009/02/canonical-link-element-presentation.html では、サーチエンジンに登録されるURLをまとめる為に <link rel=”canonical” href=”http://example.com/page.html”/> というタグをheadに埋め込むとあります。この仕様は http://journal.mycom.co.jp/news/2009/02/26/018/index.html によると、Google、Yahoo!、Microsoftの三社で合意されたそうです。 このブログも http://blog.ohgaki.net/ http://blog.ohgaki.net/index.php
進まないFlash Playerのバージョンアップ
(Last Updated On: 2008年6月15日)Flash Playerのバージョンアップがなかなか進まないようです。 先月末にあったSymantec社の0Day攻撃の誤報のおかげでかなりバージョンアップが進んだのですが、残念ながらまだまだのようです。例えば、先週1週間のこのブログへのアクセス集計では既知の脆弱性が無い9.0.124を利用していたのはたったの40%です。 バージョンアップが進まない原因にはAdobeのサポート方針にも大きな原因があると言えます。 Flash Playerには更新を自動的にチェックする機能が付いています。しかし、このバージョンチェック機能はデフォルト値は適切とは言い難く、さらにWindowsでしか利用できません。 自動通知を使用できるのは、すべての Windows プラットフォーム上で、Internet Explorer、AOL、Mozilla、Ne
mod rewriteを使用した簡易WAF
(Last Updated On: 2018年8月8日)http://www.0x000000.com/?i=567 にmod rewriteを利用した簡易WAF(Web Application Firewall)の定義例が掲載されています。同じようなアイデアをお持ちの方、既に似たような設定を使われている方も多いとは思います。 簡単なWAFですが、実用性も高いです。例えば、ヌル文字やHTML特殊文字のインジェクションは様々な攻撃で利用されます。アプリケーションで対処が忘れられがちなCOOOKIEやREFER、USER_AGENT等に特殊文字が入っていた場合にアクセスを拒否する部分だけもで導入する価値は十分にあると思います。 元ネタのサイトは英語ですが、解説付きです。 これを入れると問題となる場合もあるので、内容を理解してから利用しなければなりません。 RewriteEngine On Op
正しいメールアドレスのチェック方法
(Last Updated On: 2018年8月13日)正しいメールアドレスのチェック方法がちょっとした話題になっているようです。Web屋のネタ帳でも取り上げられていますが、メールアドレスのチェック方法自体は解説していません。ついでなので書いておきます。 「本当に正しいメールアドレスかチェック」するには実際にメールを送信して、送信されたユーザしか知り得ない情報をユーザが知っている事により確認しなければなりません。これはWeb屋のネタ帳で解説されている通りです。 安全でより確実なメールアドレスのチェック方法 きちんと正規表現でメールアドレスをチェックするのは面倒です。しかも、RFCを守らない大手企業もあり、正規表現でチェックするのは諦めるのが妥当でしょう。 記入されたメールアドレスが正しいかチェックする手順 @でスプリット(分割)する 配列要素数が2つかチェック。NGはエラー 1つ目の要素
SquirrelMailのコードが改竄される
(Last Updated On: 2007年12月16日)追記: 攻撃が目的の改竄だった模様です。 http://blog.ohgaki.net/index.php/yohgaki/2007/12/16/squirrelmail-1 —- http://squirrelmail.org/index.php によると、12/8にSquirrelMail 1.4.12のコードが改竄されていたようです。 While we believe the changes made should have little impact, we strongly recommend everybody that has downloaded the 1.4.12 package after the 8th December, to redownload the package. The code modifi
SET NAMESは禁止
(Last Updated On: 2018年8月13日)MySQLには文字エンコーディングを変更する「SET NAMES」SQL文が用意されています。(PostgreSQLも同様のSQL文、SET CLIENT_ENCODINGがあります)この機能はSQLコンソールからは使ってよい機能ですが、アプリケーションからは使ってはならない機能です。SQLインジェクションに脆弱になる場合があります。 Ruby on Railsの本を読んでいて、ActiveRecordを説明している部分にMySQLの文字エンコーディングを変更する場合の例としてSET NAMESが利用されていました。アプリケーションからはSET NAMESは使ってはならない事を周知させるのは結構時間が必要かなと思いました。 PHPも5.2の途中からMySQLモジュールにlibmysqlの文字エンコーディング設定APIのラッパー関数が
yohgaki\'s blog - iptables:間違ったDoS対策
エレクトロニック・サービス・イニシアチブのWebシステムのコンサルタントのブログです。Webシステムを対象としたセキュアコーディング/セキュアプログラミング、SAMM、ソースコード検査、Webシステム開発、パフォーマンスチューニングの技術支援、コンサルティング、セミナー開催、書籍などの執筆、PROVE for PHPの開発、PHP4.x/5.xレガシーPHPセキュリティパッチサービスなどを行っています。 ブログのサブタイトルを「書かない日記」としているのは、ブログを始めた時にあまり書かないつもりで始めたのでこのサブタイトルになっています。 氏名:大垣 靖男 私が記述したブログ中のコードは記載が無い場合はMITライセンスです。その他のコードは参考リンクなどのライセンス情報を参照ください。 ご依頼・ご相談は info@es-i.jp まで。
JavaScript文字列のエスケープ
(Last Updated On: 2013年12月4日) 追記:新しくより安全なバージョンはこちらです。 hoshikuzuさんのページに書いてあるJavaScript文字列のエスケープ方法です。(元ネタのメールアーカイブは文字が欠落) http://d.hatena.ne.jp/hoshikuzu/20071011#p1 1. 「¥」を「¥¥」に置換する 2. 「”」を「¥”」に置換する 3. 「’」を「¥’」に置換する 4. 「/」を「¥/」に置換する 5. 「<」を「x3c」に置換する 6. 「>」を「x3e」に置換する 7. 「0x0D(CR)」を「¥r」に置換する 8. 「0x0A(LF)」を「¥n」に置換する SmartyのJavaScirpt文字列のエスケープ方法です。 CVS版:2007/10/12 case ‘javascript’: // escape quotes
簡単なベンチマーク
(Last Updated On: 2018年8月13日)最近のPostgreSQL, MySQL, SQLiteのパフォーマンスはどうかな?と言うことで非常に簡単なベンチマークをしてみました。 デフォルト状態のデータベースに郵便番号データ(12万件とちょっと)をINSERTしてみました。フラグを除く全てのフィールドをテキスト型として定義し、全てのフィールドを挿入しました。旧番号と現行番号にインデックスを付けています。スクリプトはPHPで記述し、DBが動作しているPC上からPHP 5.2.4で実行しました。1レコードが分割されている場合などは無視して挿入しているので12万2000レコードになりました。 PC CPU: PentiumD 2.8GHz Memory: 3GB HDD: PATA DBMS MySQL: 5.0.45 PostgreSQL: 8.2.4 SQLite: 3.4.
日本語ドメインは覚えやすい、分かりやすい、そしてだましやすい
(Last Updated On: 2007年6月23日)いくら個人ブログで「信頼するに足る会社は日本語ドメインを利用すべきはない」 http://blog.ohgaki.net/index.php/yohgaki/2007/04/03/xxxa_a_ia_ca_sa_aac http://blog.ohgaki.net/index.php/yohgaki/2005/02/12/a_fe_a_a_a_ia_ca_sa_a_ra_a_pa_a_ma_sa_de と書いても、そのうち日本語ドメインが氾濫するのでしょう… お名前.comから送信されたメールに次のように書いてあります。 ┏━━━━━━━━━━━━━━━━━━━━┓ ┃日本語ドメインは覚えやすい! ┃ ┗━━━━━━━━━━━━━━━━━━━━┛ 長い名称やキャッチコピーをドメイン名にする際に、ローマ字ドメインに比べて日本
CAPTCHAをお金で…
エレクトロニック・サービス・イニシアチブのWebシステムのコンサルタントのブログです。Webシステムを対象としたセキュアコーディング/セキュアプログラミング、SAMM、ソースコード検査、Webシステム開発、パフォーマンスチューニングの技術支援、コンサルティング、セミナー開催、書籍などの執筆、PROVE for PHPの開発、PHP4.x/5.xレガシーPHPセキュリティパッチサービスなどを行っています。 ブログのサブタイトルを「書かない日記」としているのは、ブログを始めた時にあまり書かないつもりで始めたのでこのサブタイトルになっています。 氏名:大垣 靖男 私が記述したブログ中のコードは記載が無い場合はMITライセンスです。その他のコードは参考リンクなどのライセンス情報を参照ください。 ご依頼・ご相談は info@es-i.jp まで。
VMWare上のUbuntu 7.0、CentOS5
(Last Updated On: 2018年8月14日)VMWare上にUbuntu 7.0をインストール(正確には6.xから7.04にアップグレード)してみました。6.xのときからvmwareのマウスドライバがインストールされないため、ホスト・ゲストOS上でマウスカーソールが移動できませんでした。 あまり気にしていなかったのですがCentOS5をゲストOSとしてインストールしても同じようにマウスポインタが移動できません。さすがに2つのゲストOSでマウスポインタが思ったように動作しないのは面倒なので調べてみることにしました。 CentOS5の/etc/X11/xorg.confをvmwareのマウスドライバを使用するようにすると動作するようになりました。 Section "InputDevice" Identifier "Mouse0" Driver "vmmouse" Option "
トラックバックスパムの防止方法
(Last Updated On: 2007年3月10日)ボットによるコメントスパム防止はCAPTCHAによって行えますが、同じ事をトラックバックスパムにも利用できます。 通常のトラックバックURLは固定アドレスになっていますが、トラックバック送信の鍵をクエリパラメータに含めます。当然鍵は使い捨てでブルートフォース攻撃ができない、URL取得ページ・鍵にします。鍵付きのトラックバックURLを取得するにはCAPTCHA画像の値を送信ないとURLを取得できないようにすればOKです。 # もちろん使った鍵を削除し、鍵には十分に短い有効期限を設定する それでもSPAMを受け続けるなら鍵付きトラックバックURLをメールアドレスに送信するようにすると良いです。 同じような仕組みのスパム対策はどこかにあるでしょうか?
SQLインジェクションカンニングシート
(Last Updated On: 2019年2月8日)XSSに比べSQLインジェクションは非常に簡単に防げる脆弱性ですが、まだまだなくなりません。 SQL Injection Cheat Sheetが公開されています。 http://ferruh.mavituna.com/makale/sql-injection-cheatsheet/ 追記:上記ページはもう無いようです。以下のURLをご覧ください。 http://ferruh.mavituna.com/sql-injection-cheatsheet-oku/ XSS Cheat Sheatと同じような形式になっています。PostgreSQL、MySQL、MS SQL Server、Oracle、その他と攻撃可能なDBMSもわかるようになっています。 OWASPの資料: https://www.owasp.org/index.php/
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
