MySQLアカウントのログインパスワードを、開発／運用する人のPCごとに管理している時に、退職や異動などによってパスワードの変更がどうしても必要になってしまった場合に、パスワードの変更周知と変更したパスワードの配布に困ったことはありませんか。 今回は、そんな時に少し便利なmysql_config_editorについて紹介していきます。 mysql_config_editorを使ってみる mysql_config_editorはMySQL5.6からバンドルされるようになったコマンドで、パスワードやアカウント、接続情報などを難読化して、LinuxやMacではホームディレクトリの.mylogin.cnfに、WindowsではAppDataフォルダ内に.mylogin.cnfというファイルにして置くことができます。 ドキュメントでは暗号化と表記されています。しかし、複号に使う鍵と暗号化されたデータ

2016年11月3日にPHPカンファレンス2016が開催されました。本稿では、ゲストスピーカーである徳丸浩さんのセッション「安全なPHPアプリケーションの作り方2016」についてレポートします。 最近のPHP関連の脆弱性 徳丸さんはセッションを通して、PHP関連の脆弱性の話を取り上げていきました。 Joomla!の事例 Joomla!の権限昇格脆弱性についての話がありました。次の2つの問題を含んでいました。 ユーザ登録時に管理者権限を設定されてしまうという問題 ユーザ登録を許可していない設定にしてもユーザ登録が行えてしまうという問題 徳丸さんはこれらのデモを行い、攻撃の流れを見せました。 原因としては登録のメソッドが2つ存在し、そのうちの一方がユーザ登録許可の設定を確認していないことが問題となっていることを指摘しました。対策としては、開発側は該当メソッドの削除、利用者側はバージョンアップを

Linux Daily Topics 2016年5月30日ログアウトのたびにユーザプロセスをすべてkillなんて ―毎度お騒がせのsystemd、新バージョンでまた炎上 誕生以来、Linuxユーザの間で好き嫌いが大きく分かれるプログラムの代表にsystemdがある。現在、メジャーなLinuxディストリビューションのほとんどはデフォルトの起動プロセスとしてsystemdを採用しているが、その変更を決めるときはたいてい、どのコミュニティでもひと悶着がつきまとう。たとえば2年前にDebianがsystemdへの移行を決定したときも、開発者の間で意見が二分された状態になり、最後はチェアマンの裁定でsystemdに落ち着いている。また昨年、UbuntuがUpstartからsystemdに移行した際も、多くのユーザや開発者が混乱に陥ったことは記憶に新しい。 そしてそのsystemdがそのアップデートに

めっきり寒い毎日ですが、皆さんいかがお過ごしでしょうか。1月はあっという間に終わってしまい、2月に突入しました。2月は逃げる、3月は去ると言いますが、時間が過ぎる速度が年々増しているような気がする今日このごろです。春は早く来てほしいのですが、時間が過ぎ去ってしまうのは寂しいものです。 きみ、それPHP 4やで すっかり感傷にふけったところで、診断のお時間です。今回のコードは2004年に書かれたものです。2004年といえばPHP 4真っ盛りの時代ですね。年代もののコードを扱うことが多い本連載ですが、このコードは今も現役で（PHP 4環境で！）稼働しているというのがこれまでと違う点です。えー、わかります、言いたいことはわかります。PHP 4は、もはやメンテナンスが行われていないので、もしセキュリティホールがあったとしても、どうしようもありません。攻撃され放題です。早急にPHP 5へのアップグレ

こんにちは。新原です。PHPプログラミング診断室はじまりました。巷に溢れる病めるPHPコードを診断していきたいと思います。 PHPのコードと聞くとどういったイメージを想像されるでしょう？ 昔からPHPを知っている方であれば、まずイメージするのが、HTMLとPHPが混在するコードではないでしょうか。HTMLの中にPHPが書けるのは大きなメリットでもあります。ただ、すべての処理がHTMLの中に混在すると、これはなかなか理解しづらいコードになっていきます。もしかすると、そんなコードを見て、PHPに良くないイメージを持った人がいるかもしれません。 初めての診断は、まさにHTMLとPHPが混在するコードです。では、お入りください。 関数定義がなく、流れるようなコードの妙技 今回のPHPコードは、2002年ごろに書かれたものです。とあるWebサイトで稼働していました。内容は、よくあるメールマガジンの申

今回はネイティブアプリケーション[1]⁠ 内のXSS（Cross-Site Scripting、クロスサイトスクリプティング）脆弱性の傾向と対策について解説します。 ネイティブアプリの現状 内部にHTMLやJavaScriptを使って構築されるスマートフォン向け、デスクトップ向けのアプリケーションが増えています。その結果、今までWebサイト上で起きていたような問題が、ネイティブアプリケーション内でも起こるようになっています。アプリケーション内におけるJavaScriptコードのインジェクションは、クロス「サイト」ではないのでXSSと呼ぶのは適切ではありませんが、脆弱性の原因と対策方法はまさにWebサイトにおけるXSS脆弱性と同じです。 今回は、個人的に問題を発見・報告したことのある事例を挙げながら、「⁠脆弱性をどのように発見するか」「⁠どう修正すればよいのか」「⁠どうすれば未然に防げるのか

JavaやJavaScript，PHPなど，現在人気のプログラミング言語のほとんどは「オブジェクト指向言語」という種類の言語です。ですがこのオブジェクト指向，日本人には理解しにくいと言われています。その原因は様々ですが，一番の悪者は，日本のIT教育ではないでしょうか。 変数は「箱」じゃない！ 皆さんは，プログラミングの授業で「変数」について，どのように教わりましたか？ おそらく，「⁠変数とはデータを代入する“⁠箱⁠”のようなものです」といった説明を受けたと思います。実はこの説明，まったくの大嘘なのです。 この「変数」や「代入」という用語ですが，数学用語からそのまま転用されています。なぜなら，プログラミングでも数学でも，同じ記号を使って数式を書くからです。例えば次の数式は，「⁠xという変数に1を代入する式」または「xという名前のついた箱に1を入れる式」だと教わります。 x    =    1

海外の記事が発端で「日本のWebデザインが2003年で止まっていると話題に」と2chまとめ記事でも話題になっていましたが、これを読んで思い出したポッドキャストインタビューがありました。 エンジェル投資家Dave McClure氏が「チームのメンバーに求める特徴は？」という質問に答えたもので、デザイナに関して彼はこう語っています。 一緒に働くのがつらいデザイナもいた。自分は何でも知っている、みたいなデザイナと一緒に働くことは本当に苦労した。デザイナと口論したいのではなく、見たいのは数字とお客さんの利用例。そして何がうまくいっているのか突き止めたい。あんたがありえないほどキレイだ！ とか思ってても、何の役に立つ？ eBayではデザインがダサいほうが実際のコンバージョン率が良いっていうケースが多くあったのはすごくはっきりしてたと思う。eBayの世界のお客さんは節約のためにあのサイトを使ってて、見

「入力バリデーションはセキュリティ対策である」は世界の常識です。少なくとも大多数の世界のセキュリティ専門家は「入力バリデーションはセキュリティ対策」は常識だと考えています。 もちろん入力バリデーション対策がすべてであるわけではなく、ほかのセキュリティ対策も重要ですが、入力バリデーションが最も重要な対策の1つである、と考えている人は沢山います。 入力のバリデーションはすべてのプログラムに必須の保護機能です。一部に「入力バリデーションはセキュリティ対策ではない」とする声もあるようですが、入力バリデーションは間違いなくセキュリティ対策です。入力バリデーションはセキュリティ対策ではない、とする考え方は、混乱を招くだけです。 入力バリデーションをセキュリティ対策としているのは筆者のみではありません。世界的に利用されているセキュリティ標準でも、入力バリデーションを非常に有効なセキュリティ対策としてとら

セキュリティ対策は言語やアプリケーションを問わず非常に重要です。しかし、取るべきセキュリティ対策が確実に実施されないケースが広く見受けられます。 最近の例では次のような物があります。 WordPress Meenews 5.1 Cross Site Scripting WordPress Enable-Latex Remote File Inclusion Dolibarr 3.1.0 RC Cross Site Scripting / SQL Injection 上のURLの脆弱性も対策が簡単なものが多いですが、対策が簡単なSQLインジェクションの脆弱性も数多く見つかっています。 CMS Balitbang 3.x SQL Injection AdaptCMS 2.x SQL Injection Icomex CMS SQL Injection なぜ簡単な対策で防げる脆弱性でもセキュリテ

エンジニア向けWebマガジン「エンジニアtype」の記事です。この業界はATNDなどのイベント支援ツールの後押しもあり、勉強会の開催が盛んです。しかし多くの勉強会は女性参加者が少なく「どうすれば女性が参加してくれるのか」とあれこれ思案している運営者もいることでしょう。この記事は「女子会運営サミット」で挙がった女性技術者の意見をもとに参加に抵抗を感じる要因について次の7項目にまとめています。 参加枠がすぐに埋まってしまう 「女子がいる...」的な雰囲気になるのがイヤ 休憩時間が短い スイーツタイムがない 内輪の盛り上がりが正直しんどい 技術レベルの敷居がやたらと高そう 質問に対する説明がわかりにくい 残念ながらこの記事内容をそのまま受け取り「なんてワガママなんだ」「⁠勉強する気がないなら来なくていい」などといった反発的な印象を持った人が多いようです。これらの項目をそのまま受け止める前に、背景

PostgrSQL 9.0から追加されたエスケープ関数から、SQLインジェクション対策を再度解説してみたいと思います。 SQLインジェクション対策の4原則 基本的にはSQLインジェクション対策として以下の原則を守っていれば、SQLインジェクションに脆弱なアプリケーションを作ることはありません。 すべてのパラメータを文字列としてエスケープする すべてのパラメータをプリペアードクエリのパラメータとして処理する 文字エンコーディングの設定をAPIで行う パラメータとして処理できない文字列はバリデーションを行う 原則1と原則2は重複して適用する必要はありません。どちらかを行います。文字エンコーディングの設定やプリペアードクエリのエミュレーション・抽象化ライブラリのバグ等でSQLインジェクションが可能になる場合もありますが、通常であればこの原則を守っている限りSQLインジェクション脆弱性を作ることは

Linux Daily Topics 2011年5月17日CentOS 6.0は本当にリリースされるのか？─メイン開発者の離脱が意味するメッセージ Red Hat Enterprise LinuxのクローンOSとして、ホスティング事業者やクラウドサービス事業者の間で高い人気を誇るCentOSだが、どうも最近、様子がおかしい。昨年11月にRed HatがリリースしたRHEL 6.0を受け、本来ならとっくにCentOS 6.0がリリースされていなければならないのに、一向にその気配がない。そんな中、CentOSの主力開発者であるDag Wieers氏がプロジェクトからの離脱を表明した。いったいCentOSはどうなってしまうのだろうか。 Dag Wieers氏は5月5日付の自身のブログで、「⁠コアチームのメンバーたちは、提題として上がっている問題（CentOS 6.0のことか?）を無視し、巧妙なご

PHP 5.3.4のリリースは2010年12月にリリースされました。このリリースにはセキュリティ上重要な変更が追加されています。 Paths with NULL in them (foo\0bar.txt) are now considered as invalid. (Rasmus) パスに“⁠foo\0bar.txt⁠”などのようにNULLが含まれる場合は無効として処理される、とPHP 5.3.4のリリースノートには記載されています。PHP開発者の間でもあまり大きなニュースとして取り上げられていないので、この仕様変更をご存知でない方も多いと思います。2011年4月現在でもこの仕様変更はマニュアルには記載されていません。しかし、この修正はセキュリティ上非常に重要な意味を持っているので解説します。 仕様変更の必要性 PHP本体はC言語で記述されているため、ファイルを開く場合、最終的にはC言

第32回　PHPセキュリティ月間（Month of PHP Sercurity）で「PHPセキュリティ月間」（⁠MOPS - Month of PHP Security）について簡単に紹介しました。 前回もArthur Gerkis氏が投稿したPHPにおけるコード実行を解説した文書を紹介しました。今回はその続きです。 MOPS Submission 07: Our Dynamic PHP - Obvious and not so obvious PHP code injection and evaluation http://www.php-security.org/2010/05/20/mops-submission-07-our-dynamic-php/index.html 動的コード 動的コードでのコード実行には「任意コードの実行」のみでなく「不正なコード実行パス」も含めて議論してい

第32回　PHPセキュリティ月間（Month of PHP Sercurity）で「PHPセキュリティ月間」（⁠MOPS - Month of PHP Security）について簡単に紹介しました。 今回もMOPS関連の話題です。MOPSではPHP関連のセキュリティ製品やセキュリティ知識の論文を募集し、11の論文が公開されました。今回はArthur Gerkis氏が投稿したPHPにおけるコード実行を解説した文書を紹介します。 MOPS Submission 07: Our Dynamic PHP - Obvious and not so obvious PHP code injection and evaluation http://www.php-security.org/2010/05/20/mops-submission-07-our-dynamic-php/index.html な

いわゆるガンブラーと呼ばれる攻撃はFTPアカウントなどを乗っ取って不正なファイルを配置する攻撃です。PHPのセキュリティ対策とは関係ありませんが、様々なベンダーからガンブラー対策としてサービスや製品が提供され、被害も多く報告されている状態です。 ガンブラーとは？ Wikipediaでは Gumblar（ガンブラー）とは、「⁠Webサイト改ざん」と「Web感染型ウイルス（Webサイトを閲覧するだけで感染するウイルス⁠）⁠」を組み合わせて、多数のパソコンをウイルスに感染させようとする攻撃手法（手口）のことである[1][2]。 同攻撃に関連するマルウェアを指す意味でも多用されるが、どの範囲のマルウェアを指すのかはメディアによって様々である。 http://ja.wikipedia.org/wiki/Gumblar と定義されています。 ウイルスの名称というより、IDとパスワードを盗み不正なファイ

セキュリティは古くて新しい問題です。SQLインジェクションも古くからある問題ですが現在の問題です。対策は比較的簡単なのですが今でもなくなりません。と言うよりも今でも現役のセキュリティ上の問題で十分注意が必要です。この連載でも何度かSQLインジェクション対策について簡単に取り上げています。 第5回　まだまだ残っているSQLインジェクション 第14回　減らないSQLインジェクション脆弱性 第15回　減らないSQLインジェクション脆弱性（解答編） 第24回　無くならないSQLインジェクション脆弱性 今回はSQLインジェクションを復習してみたいと思います。 SQLインジェクションとは SQLインジェクションはプログラマが意図しないSQL文を実行させる攻撃で、2種類の攻撃方法に分類できます。 直接SQLインジェクション 間接SQLインジェクション 直接SQLインジェクション 直接SQLインジェクショ

何事も基本が一番大切です。システム開発／コンピュータプログラミングも同じく基本が大切です。基本を守らないシステム設計やコーディングは問題発生の原因となる可能性が高いことは経験上理解できると思います。 セキュリティ対策の基本も非常に大切ですが、何故か基本はあまり語られていません。今回は安全性確保の基本中の基本を紹介したいと思います。 あまり語られない核心 正しいセキュリティ対策を行うには、セキュリティ問題の原因を理解する必要があります。 セキュリティ対策の記事などでは個々のセキュリティ問題に対する具体的な原因と対策が紹介されていることが多いです。私のブログも含め個人ブログなどでは「こういう場合はこうする」といった簡単な対処例が紹介されることが多いです。例えば、「⁠SQLインジェクション対策にはプリペアードクエリだけを使えば大丈夫」などです。 読者の方もセキュリティ対策はどうすればよいのか、具

はじめに 真理値と論理演算の重要性 プログラマやSEのみなさんは、真理値（真偽値）というものをご存じのことと思います。ほとんどの言語が持っている基本的なデータ型で、数学者George Booleの名前にちなんで「BOOL型」とか「BOOLEAN型」とも呼ばれています。コンピュータを利用していると、BOOLEAN型が持つtrue（真）とfalse（偽）の2つの値と、NOT、AND、ORという3つの演算子だけから成るシンプルな演算（論理演算）を行うことが多くあります。これはプログラミング言語だけでなく、コンピュータの回路の基礎にもなっている演算です。 SQLにおける真理値と論理演算 SQLにも、真理値と論理演算が存在します。存在するどころか、WHERE句やHAVING句は、それ全体が論理演算のカタマリです。だから真理値はSQLの根幹をなす重要な要素と言っていいのですが、それにもかかわらず、SQ