文字コードに起因する脆弱性を防ぐ「やや安全な」php.ini設定
補足 この記事は旧徳丸浩の日記からの転載です(元URL、アーカイブ、はてなブックマーク1、はてなブックマーク2)。 備忘のため転載いたしますが、この記事は2010年9月27日に公開されたもので、当時の徳丸の考えを示すものを、基本的に内容を変更せずにそのまま転載するものです。 補足終わり PHPカンファレンス2010にて「文字コードに起因する脆弱性とその対策」というタイトルで喋らせていただきました。プレゼンテーション資料をPDF形式とslideshare.netで公開しています。 文字コードのセキュリティというと、ややこしいイメージが強くて、スピーカーの前夜祭でも「聴衆の半分は置いてきぼりになるかもね」みたいな話をしていたのですが、意外にも「分かりやすかった」等の好意的な反応をtwitter等でいただき、驚くと共に喜んでいます。土曜にPHPカンファレンスに来られるような方は意識が高いというの
PHP等で実装できる動画でCAPTCHAできるより強固な「NuCaptcha」:phpspot開発日誌
NuCaptcha -- Better Security, Easier to Use PHP等で実装できる動画でCAPTCHAできるより強固な「NuCaptcha」。 音声CAPTCHAというのは存在しましたが、今度は動画CAPTCHAがでました。 現在、PHPと.NETによるサンプルプログラムが配布されており、比較的容易に実装が可能。WordPressプラグイン、Joomlaプラグイン形式でも配布されています。 どんなサイトにも、APIを使ってこの機能を実装することができるようです。 動画も色々カスタマイズが可能です。 イタチごっこかもしれませんが、これを破るのは骨が折れそうです。 関連エントリ GoogleライクなCAPTCHAをPHPで作成するサンプル jQueryで実装するシンプルなグラフィックCAPTCHA「jQuery SimpleCaptcha」 これは新しい妹CAPTCH
何故かあたり前にならない文字エンコーディングバリデーション
(Last Updated On: 2018年8月8日)私が4年前(2005年)に「Webアプリセキュリティ対策入門」を執筆していた時には、既に壊れた文字エンコーディングなどの不正な文字エンコーディングを利用したJavaScriptインジェクションやSQLインジェクション攻撃は比較的広く知られていました。この問題は当時のスラッシュドットジャパンでも取り上げられていました。/.で取り上げられたので、そこら中のWebサイトとユーザが被害に合うのでは?とヒヤヒヤしたので良く覚えています。 不正な文字エンコーディングを利用した攻撃は、文字エンコーディングを厳格に取り扱い、文字エンコーディングをバリデーションすれば無くなります。これを怠ると、システムのどこで問題が発生するか予想できなくなります。つまり、いい加減に文字エンコーディングを取り扱うと安全なシステムは作れないのです。 参考:エンジニア向けに
PhpSecInfo - Privacy Australia
What is it? PhpSecInfo provides an equivalent to the phpinfo() function that reports security information about the PHP environment, and offers suggestions for improvement. It is not a replacement for secure development techniques, and does not do any kind of code or app auditing, but can be a useful tool in a multilayered security approach. License PhpSecInfo is released under the “New BSD” licen
DNSキャッシュポイズニングの脆弱性に関する注意喚起:IPA 独立行政法人 情報処理推進機構
-放置すれば情報漏えい~信用失墜に至る可能性も。 ウェブサイト運営者は早急にDNSサーバのパッチ適用や設定変更を!- 最終更新日 2009年2月6日 掲載日 2008年9月18日 >> ENGLISH 独立行政法人情報処理推進機構(略称:IPA、理事長:西垣 浩司)は、「DNSサーバに対するDNSキャッシュポイズニングの脆弱性」の届出が激増していることから、ウェブサイト運営者へ注意を喚起するとともに、DNSサーバのパッチ適用や設定変更を呼びかけます。 DNS(Domain Name System)(*1) キャッシュポイズニング(汚染)の脆弱性に関して、2008年7月に複数のDNS サーバ製品の開発ベンダーから対策情報が公開されています(*2)。また、この脆弱性を悪用した攻撃コードが既に公開されていたため、2008年 7月24日、IPAはウェブサイト運営者へ向けて緊急対策情報を発行しました
ke-tai.org > Blog Archive > 各キャリアの画像保存・転送制限の設定方法をまとめてみました
各キャリアの画像保存・転送制限の設定方法をまとめてみました Tweet 2008/6/30 月曜日 matsui Posted in PHP, 全キャリア対応 | 4 Comments » 今回は各キャリア・各フォーマット毎に、転送制限画像の作り方をまとめてみました。 ケータイでは、待ち受け画像などで使うために、ダウンロードした画像を再配布させないための、保存制限や転送制限を行うことができます。 転送制限をかけた画像は、メールへの添付や、SDカードへの保存が行えなくなります。 保存制限をかけた場合は、保存すらできません。 Windows用のフリーウェアなどには、転送制限を行わせないための情報を埋め込むソフトがあったりするのですが、CMSの管理画面からのアップロードや、メール添付による画像アップロードなど、サーバ上で動的に画像を生成しなければならないケースも多いと思いますので、PHPを使った
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
