PHP5.3.7のcrypt関数に致命的な脆弱性(Bug #55439)
PHP5.3.7のcrypt関数には致命的な脆弱性があります。最悪のケースでは、任意のパスワードでログインできてしまうという事態が発生します。該当する利用者は、至急、後述する回避策を実施することを推奨します。 概要 PHPのcrypt関数は、ソルト付きハッシュ値を簡単に求めることができます(公式リファレンス)。crypt関数のハッシュアルゴリズムとしてMD5を指定した場合、ソルトのみが出力され、ハッシュ値が空になります。これは、crypt関数の結果がソルトのみに依存し、パスワードには影響されないことを意味し、crypt関数を認証に用いている場合、任意のパスワードでログインに成功する可能性があります。 影響を受けるアプリケーション crypt関数を用い、ハッシュアルゴリズムとしてMD5を指定しているアプリケーション。 環境にも依存しますが、デフォルトがMD5の場合もあります。筆者のテスト環境
asahi.com(朝日新聞社):泥だらけのサーバー、住民データ使えた! 岩手知事選へ - 政治
印刷 ほとんどの家屋が津波で流された高田小学校付近の地区にも、知事選、県議選、市議選のポスター掲示場が設置された=20日、岩手県陸前高田市、上田潤撮影 東日本大震災で延期された岩手県知事選が25日告示される。総務省の全面支援もあり、宮城、福島より早く全県選挙の実施にこぎ着けた。 震災直後の一つの発見が、選挙を可能にした。 役所が被災した陸前高田市と大槌町は住民基本台帳データが失われ、当初「選挙は無理」とみられた。 しかし、発生から2週間後、県市町村課の佐々木琢磨主任らががれきが積まれた大槌町役場で、泥の付いた住民データのサーバー7台を探し出した。陸前高田市もバックアップのデータがあるのを確認。その結果、有権者のデータが復活し、6月には選挙人名簿の登録にこぎ着けた。 「データが復旧しなかったら、選挙どころか他の行政事務も出来なかった」と県担当者は振り返る。 次に、被災者が避難所
カクカク速報:中国オタク「日本の自宅警備員はスゴすぎる……!」
2011年08月21日 中国オタク「日本の自宅警備員はスゴすぎる……!」 2011年08月21日 11:04│コメント(1)│ニュース 1:名無しさん@涙目です。(チベット自治区):2011/08/20(土) 21:59:10.95 ID:w9WbwfQ90 中国ではコミケのコスプレの写真がニュースサイトにまとめて掲載されたりして話題になったりするのですが、今年はこの「自宅警備員コスプレ(?)」な方が話題になっているそうです。それでは以下、中国のソッチ系の掲示板での反応を、例によって私のイイカゲンな訳で紹介させていただきます。 日本はやはり「宅」の先進国だ。 ヤツラの最新の活動の一端がコミケにおいてついに明らかにされた。 見ろ!日本の「宅」の「自宅警備隊」の姿を! 「自宅警備隊」か……なんかスゲェいい感じの名前だな。 よし、俺もこれからは自宅警備隊を名乗ることにしよう! これが……
liblar-本を友達と共有、すばらしい本に出会うためのサービス
P.83 「成功するには、成功するまで決して諦めないこと」───これは、アメリカで鉄鋼会社を創業し、成功を収めたアンドリュー・カーネギー氏の残した言葉です。本田宗一郎も「最後まで諦めなかった人間が成功しているのである」と社員によく語っていたといいます。どちらも、諦めずに継続して行動し続けることは、成功のための重要な要素であることを示唆していますが、彼らのように大きな成功を手にした著名人でなくても、みなさんの周囲の成果を上げている人には、この「成功するまでやり続ける」という行動特性があるのではないでしょうか? 評価 : (5.0点) ラモーンズの熱烈なファンであり、ジョニー・ラモーンの友人であった著者の臨場感ありまくりの描写がすばらしい!! そして、いつのまにか著者の目になって読みすすんでいると、まるでジョニーが自分に語りかけてくるような……これってなんてバンドマンゲーム。 ページを繰りなが
手を描こう その一
さあ、鉛筆持って手を描こう。どうですか? 結構てこずるでしょ。でもだいじょうぶだよ。今までと同じように色々なモノに置き換えて自分の中に法則をつくってクリアしていこうね。
モジラ、「WebAPI」プロジェクトを発表--ウェブアプリの競争力強化へ
携帯電話のブラウザを起動したとき、携帯電話のホーム画面と同じように基本アプリケーションのリストがブラウザに表示されるというのはどうだろうか。また、1つのウェブアプリケーションを構築するだけで、「iPhone」やAndroid携帯、Windows携帯すべてに対応するというのはどうだろう。 これは、「Firefox」ウェブブラウザの開発元であるMozillaが、「WebAPI」と呼ばれるプロジェクトを通して実現したいと考えているビジョンだ。WebAPIの目的は、ネイティブアプリケーションに対するウェブベースアプリケーションの競争力を高めることである。米CNETが得た情報によると、Mozillaは2012年2月までに必要な基盤を構築する計画の一環として、既にプログラマーの雇用に着手しているという。 年月を経るにしたがって、ウェブアプリケーションの成熟度と洗練度は着実に向上しているが、まだコンピュ
現地リポ:「中国のドバイ」はゴーストタウン:日経ビジネスオンライン
米誌『タイム』は2010年4月5日号に掲載した「中国の爆走建築ブームの中で」という記事の中で、内モンゴル自治区オルドス市の行政地区“康巴什(カンバシ)新区”を「最も殺風景なゴーストタウン」と報じた。記事は、「オルドス市のショーウィンドーとして100万都市を目指して建設されたカンバシ新区には、高層ビル、行政ビル、博物館、劇場、スポーツセンターなどが建てられ、中産階級用の住宅群が次々と建設されているが、大通りに人影はまばらで、時たま出会う通行人は大災害映画の辛うじて生き残った生存者のようだ」と述べて、13.4億人の人口大国「中国」におけるカンバシ新区の特異性を強調した。 この記事によってオルドス市およびカンバシ新区は世界に知れ渡り、世界のメディアの注目を浴び、それが中国メディアの関心を呼び、中国国内でも知られることになったのである。内モンゴル自治区のゴビ砂漠に蜃気楼にように出現した都市「カンバ
FacebookやTwitter上の友人と本の情報を共有できる「liblar」
ビープラウドは8月22日、FacebookやTwitter上の友人と本の情報や感想を共有するサービス「liblar」の提供を開始した。利用は無料だが、FacebookもしくはTwitterのアカウントが必要となる。当初は既存ユーザーからの招待制のみでサービスを提供する。 liblarは、ユーザーが持っている本や読みたい本を登録し、管理できるサービス。書籍名やISBNをもとに書籍を検索し、タグやメモ(コメント)をつけてユーザーのライブラリ、もしくはウィッシュリストに登録できる。また、同時にソーシャルメディアへの投稿も可能だ。 登録した本の情報は、liblar上のタイムラインに表示されるため、友人間で共有できる。また、それぞれの本ごとに、その本を登録したユーザーがつけたコメントを閲覧することもできる。また、自分が登録した本を時系列やタグ単位で分類し、表示することもできる。 liblarの特徴的
オープンソースカンファレンス2011 Nagoyaで「App Inventor入門」という講演をしました。 - がぶちゃんの日記
オープンソースカンファレンス2011 Nagoya - オープンソースの文化祭! で「App Inventor入門」という講演をしました。 講演の概要 2011-08-20 (土) 13時00分 プログラミングレスAndroidアプリ作成ツール「App Inventor」入門 講師:塚田翔也(gabu) 担当:Android 名古屋 つくる部 対象者:Androidアプリを作ってみたい人 レベル:初級者向け App InventorとはGoogleが無償で提供しているプログラミング経験がない人でも簡単にAndroidアプリを 作成することができるツールです。 海外では学生やプログラマ以外の職業の人でも簡単にAndroidアプリを作成できたという事例もあります。 このセッションでは、App Inventorの紹介と簡単なAndroidアプリを作りながら使い方を解説します。 スライド OSCN
もし『よくわかるPHPの教科書』の著者が徳丸浩の『安全なWebアプリケーションの作り方』を読んだら - ockeghem's blog
たにぐちまことさんの書かれた『よくわかるPHPの教科書(以下、「よくわかる」)』を購入してパラパラと見ていたら、セキュリティ上の問題がかなりあることに気がつきました。そこで、拙著「体系的に学ぶ 安全なWebアプリケーションの作り方(以下、徳丸本)」の章・節毎に照らし合わせて、「よくわかる」の脆弱性について報告します。主に、徳丸本の4章と5章を参照します。 4.2 入力処理とセキュリティ 「よくわかる」のサンプルや解説では、入力値検証はほとんどしていません。しかし、入力値検証をしていないからといって即脆弱かというとそうではありません。徳丸本でも強調しているように、入力値検証はアプリケーション要件(仕様)に沿っていることを確認するもので、セキュリティ対策が目的ではないからです。 「よくわかる」の中で、私が見た範囲で唯一の入力値検証は、郵便番号のチェックをするものです。以下に引用します(「よくわ
Google運営の100万ブログがブロックされる@アルゼンチン:Geekなぺーじ
スラド本家にアルゼンチンでのブロッキング事例が紹介されていました。 アルゼンチンの裁判所が「leakymails.com」と「leakymails.blogspot.com」をブロックすることをISPに命じたところ、ISPがDNSでのブロッキングを行わずに「216.239.32.2」というIPv4アドレスでのブロッキングを実施しました。 「leakymails.blogspot.com」は、Googleが提供するBloggerを利用したものでしたが、今回ブロックされた「216.239.32.2」というIPv4アドレスでは、100万個以上のブログが運用されていたようです。 Argentina Censors Over a Million Blogs このオーバーブロッキングの事例は中々強烈ですね。 とはいえ、ISPの運用者だったらIPv4アドレスでブロックすればこういった状態になることは予見
@IT:Windows TIPS -- Tips:Outlookで開けない添付ファイルに遭遇したら
(Microsoft Officeに含まれる)Outlookは、メーラとしての利用のほかにもスケジュールの管理やToDoリストの管理、さらには主だったPDAとOutlookとのシンクロナイズ機能を提供している。Exchange Serverとの連携機能などもあるため、企業ユーザーにはOutlook利用者が少なくない。このためコンピュータ・ウイルスのターゲットとして狙われることも多い。 そこでマイクロソフトは、Outlookのセキュリティ・レベル向上に向けたさまざまな努力を行っている。その1つがウイルスを含む可能性のあるメール添付ファイルへの対応だ。特定の拡張子を持つ添付ファイルについては、「次の添付ファイルは問題を起こす可能性があるため、利用できなくなりました: ~~.exe」といったメッセージが表示されるのみで、その添付ファイルを開くことも、ディスクへ保存することもできない仕組みになって
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Togetter - 「フジテレビ抗議デモに取材に行った方のtweetまとめ」
MODx 日本公式サイト|トップページ
hitokaku (人を描くのって楽しいね)