「PHP x 携帯サイト デベロッパーズバイブル」の脆弱性に関して
「PHP x 携帯サイト デベロッパーズバイブル」に書かれている内容について、 セキュリティの点について徳丸浩様のサイトでご指摘を頂きました。 ■徳丸浩の日記 - 書籍「PHP×携帯サイト デベロッパーズバイブル」の脆弱性 http://www.tokumaru.org/d/20081014.html ご指摘の通り「PHP x 携帯サイト デベロッパーズバイブル」の7章のかんたんログインの部分で、携帯電話ではセッションIDを用いる方法と、個体識別番号を使った方法を記載しておりますが、セキュリティに関する記述に不備がありました。 7章にかいてある「かんたんログイン」に関する方法は、リクエストヘッダーなどを書き換えることにより、第三者がなりすましてログインされてしまう可能性があります。 そのため「かんたんログイン」を実装する際は、携帯キャリアゲートウェイのIPアドレスから来るアクセスのみに限定
SBクリエイティブ:正誤情報
お問い合わせ トップページ > 正誤情報 > 該当件数 1665件 : 1 2 3 4 5 6 7 8 9 10 次の10件 2018年12月21日 【正誤情報】DNSがよくわかる教科書 2018年12月 4日 【正誤情報】『本気ではじめるiPhoneアプリ作り Xcode 10.x対応』 2018年11月 2日 【正誤情報】本当によくわかるHTML&CSSの教科書 2018年10月29日 【正誤情報】『[ビジュアル版] 私たちが知らなかった 天皇と皇室』お詫びと訂正 2018年10月29日 【新装版第1刷 正誤情報】サイエンス・アイ新書『地形図を読む技術 新装版』 2018年10月 1日 【正誤情報】進学塾プロ講師が教える高校入試 数学 瞬解60 2018年9月26日 正誤情報『英語の瞬発力をつける9マス英作文トレーニング』 2018年9月18日 正誤情報「機械学習のエッセンス」 201
徳丸浩の日記 - 書籍「PHP×携帯サイト デベロッパーズバイブル」の脆弱性
_書籍「PHP×携帯サイト デベロッパーズバイブル」の脆弱性 「PHP×携帯サイト デベロッパーズバイブル」という携帯サイト開発のノウハウを解説した書籍が今月初頭に発売され、話題になっている。Amazonの「インターネット・Web開発」カテゴリで1位ということで、たいしたものだ。私も発売前から予約して購入した。 私がこの書籍を購入した動機は大きく二つある。一つは、携帯サイトの最新の開発ノウハウをまとめた書籍に対する期待をしていたということ。もう一つは、セキュリティに対する記述がどの程度あるのかを見てみたいというものだった。 このうち、前者については、期待は叶えられた。非常に盛りだくさんのテーマが手際よくまとめられていて、かつ読みやすい。あまり原理・理屈のことは書いていないが、開発現場では、コピペの情報源として重宝されることだろう。 しかし、問題はセキュリティについての記述である。 本社のサ
MOONGIFT: » CakePHPを使ってCMS「Wildflower」:オープンソースを毎日紹介
CMS(コンテンツ・マネジメント・システム)と呼ばれる類のソフトウェアは数多く存在している。プラグインに対応したCMSはそれ自体がフレームワークであり、プラグインを開発するなどしてWebサービスを構築しているケースもある。 ユーザページ しかしプラグインの機能を増やしすぎると余計なセキュリティホールを生んだり、フレームワークの学習コストがついて回ってしまう。そこで、もっと一般的なフレームワークをベースにして構築すれば、プラグインではなくとも拡張が容易いシステムができあがるかも知れない。 今回紹介するオープンソース・ソフトウェアはWildflower、CakePHPを使ったCMSだ。 CakePHPであれば、その習得コストは新しいCMSを覚えるのに比べると低く済みそうだ。そしてプラグイン機能ではなく直にカスタマイズしてしまえば、セキュリティの問題も回避できる可能性がある。 管理画面 元々、カ
Excelファイル作成(PEAR::Spreadsheet_Excel_Writer) - PEAR入門
ここではPEAR::Spreadsheet_Excel_Writerの使い方について確認していきます。PEAR::Spreadsheet_Excel_WriterはPHPからExcelファイルを作成する機能を提供するものです。 Spreadsheet_Excel_Writerパッケージの導入 必要モジュールの読み込み ワークブックの作成と保存 ワークブックをクライアントへ出力 ワークシートの追加(addWorksheet) セルにデータを書き込む(write) セルに数値と文字列のデータを書き込む(writeNumber, writeString) セルにコメントを書き込む(writeNote) セルに書式設定の為の空のセルを書き込む(writeBlank) セルに数式を書き込む(writeFormula) セルにリンクを書き込む(writeUrl)
ke-tai.org > Blog Archive > ブックレビュー: PHP×携帯サイト デベロッパーズバイブル
ブックレビュー: PHP×携帯サイト デベロッパーズバイブル Tweet 2008/9/29 月曜日 matsui Posted in ブックレビュー | 1 Comment » なんと著者のmemokamiさん本人からご献本いただきました。 びっくりです。ありがとうございます。 これはレビューを書かずにはいられない、ということで早速斜め読みながらも読破しましたので、感想をかかせていただきたいと思います。 → Amazon PHP×携帯サイト デベロッパーズバイブル [amazon.co.jp] 結論からいうと、ケータイサイト開発に関わっている方であれば、この本は間違いなく「買い」です。 過去に出たケータイ技術解説本の中で、最も詳しくマニアックな作りになっていると言っていいでしょう。 逆に言うと、これから初めてケータイサイトを作るといった全くの初心者にはちょっと難しい内容になっているかもし
テキストエディタからPHPEclipseへ移行した決め手 - EC studio 技術ブログ
PHPの開発環境について書いた前回の記事での予告通り、 今回はPHPEclipseについてご紹介したいと思います。 PHPEclipseはEclipseというIDE(統合開発環境)のPHP開発用プラグインです。 Eclipseとは、Java言語の開発ではデファクトスタンダードと 言ってもよいほど普及しているIDEです。 元々はIBMが開発していたIDEのソースコードを、 オープンソースコミュニティに寄贈したのがきっかけで 開発が始まりました。 オープンソースといっても、IBMやSunなどの大企業が 専門に開発者を割り当てて開発を支援するなど、 強力に機能強化や改善が進められています。 PHPEclipseはそのEclipseのプラグインとして開発され、こちらも オープンソースのプロジェクトとして開発が進められています。 Eclipseのプラグインとして動作するので、Eclipseがもともと
#00 VMWare×CentOS5 Windowsでカンタン開発環境
自分が自宅で開発してる環境をさらしておきます。 前までは、Windowsのいつも使ってるPCに直接AMP環境入れてたんですが、それがすごく嫌なので、最近はVM使って開発してます。 理由は 家のパソコンは遊びにも使う 常にApacheだのMySQLだのサービス起動してるのはヤダし かといっていちいち起動したり起動しなかったりを分けるのが面倒 Linuxを使いたい Linuxの勉強にもなる 何度でもやりなおせる。 インストールと設定だけで何度やったことか。。 実際のサーバのシミュレーションができる 公開用サーバにWindows使ってる人のことなんて知りません。 レンタルサーバだとできることも限られる 自宅サーバ立てると電気代・音・気温など、面倒が多い 不要になったときはvmdkごと削除すればいいだけ Windowsだと、「Apache削除してPHP削除して・・」とか面倒 バックアップも楽 OS
【XAMPP+Eclipse PDT】 WindowsでPHP開発環境を作成する
2007-06-06 カテゴリ: Server Side タグ: PHP Windows XAMPP Eclipse PDT Tips 環境構築 以前書いた「XAMPP + PDT + ZendDebuggerでリモートデバッグ」というエントリーが比較的好評なようなので、もう少し丁寧に書いてみようかと思う。 目標は、XAMPPとEclipse PDTとZendDebuggerを使って、Windows上にPHP開発環境を簡単に作ること。ではスタート。 1. XAMPPをインストール apache friendsからXAMPP for Windowsを入手。 現時点の最新版は1.6.2。普通にインストーラー版を持ってくれば大丈夫でしょう。 インストールはインストーラー通りにやっていけば問題なし。ただし、途中システムオプションを聞かれたときに、「Apacheをサービスとしてインストール」のチェッ
PHPでAmazon Web Servicesを利用する
本稿では、Amazon Web ServicesをPHPで操作する方法を説明します。AWSを利用する方法には大きく分けてRESTとSOAPがあります。本稿ではまず、簡単なため多くの開発者に利用されているRESTを紹介し(SOAPは本稿では扱いません)、より抽象度の高い方法であるPEAR Services_Amazonを使った利用方法を紹介します。 はじめに 一般に、「ショッピングサイトを利用する」と言えば、人間がウェブブラウザでアクセスして利用することを意味します。しかし、本稿で扱うアクセスの主体はPHPのプログラムです。これは、「PHPに人間がアクセスしているふりをさせる」ということではありません。そうしなければならないようなウェブサイトもありますが、Amazonは、プログラムのためのインターフェイス(API)をAmazon Web Services(AWS)として公開しているため、簡単
ke-tai.org < Blog Archive > ケータイの端末ID・ユーザIDの取得についてまとめてみました
ケータイの端末ID・ユーザIDの取得についてまとめてみました Tweet 2008/9/8 月曜日 matsui Posted in au, DoCoMo, PHP, SoftBank | 12 Comments » ケータイサイトでは、端末ID・ユーザIDを取得する、という処理をよく行うことがあります。 ログインの度に、ユーザ名とパスワードを入力するというのは、ケータイの操作性の面からも現実的ではないためです。 今回はそんな各種IDの取得方法について、PHPを使った場合を例にとりまとめてみました。 ※ここでは端末IDを「ケータイに振られた個体識別情報(製造番号など)」、ユーザIDを「契約に紐付くID」として解説しています。 ドコモ端末での取得方法 1. utnを使う ドコモ端末ではutn属性を使うことによって、フォームやリンクから個体識別情報を取得することができます。 対応機種は、iモー
PHPマニュアルのサンプルコードの脆弱性 | 水無月ばけらのえび日記
PHP:session_set_save_handlerリファレンスマニュアルのサンプルにパス・トラバーサル脆弱性 (www.tokumaru.org)[php]session_set_save_handlerのパストラバーサルで任意コマンドの実行が可能 (www.tokumaru.org)マニュアルに書かれているサンプルコードが脆弱で、そのまま実装するとリモートから任意のPHPコマンドが実行されかねないというお話。「プログラミング解説書籍の脆弱性をどうするか (takagi-hiromitsu.jp)」などというお話もありましたが、リファレンスマニュアルが……というのは、残念ながらPHPらしい話ではあると思います。 なお、この問題を一応脆弱性情報としてIPAに届出ましたが、独立したソフトウェア製品ではないという理由で不受理となりましたので、ここに公開し、PHPの開発者に注意を喚起するもの
ウノウラボ Unoh Labs: PHPで携帯位置情報を扱うライブラリ「Geomobilejp_Converter」を作りました
中村です。 PHPで携帯の位置情報を簡単に取り扱うことができるライブラリ「Geomobilejp_Converter」を作りました。もう半年近く前に作ったものですが、コードを少し整えたので公開することにしました。 GPSに対応した携帯では、各キャリアで指定されている特定のHTMLを記述することで、携帯サイトに位置情報(緯度経度や測地系)を送信することができます。この位置情報を利用すると、「位置情報付きで掲示板に書き込む」などの機能を実装することができます。 キャリアによっては位置情報のなかに土地名を含むものもありますが、通常は緯度経度だけでは土地名がわかりません。そこでGeomobilejp_Converterでは、docomoの提供するオープンiエリアのiエリアデータファイルを利用して土地名を関連付ける機能を実装しています。iエリアデータを利用することで、各キャリアで共通したiエリアコー
PHP 意図を伝えるコーディング
PHPに限らずですが、読む人に意図が伝わるようなコードを書きたいという話です。 なお以下は私の感覚での話しですので、それ違う!という突っ込みがあればお願いします:-D 業務にしろオープンソースにしろ人のソースを見て気になるのがif文です。 if文で真偽値を判定する メソッド・関数の戻り値が真偽値の場合、true/falseを判定するなら等号(不等号)は無くても良いのではないでしょうか。 つまり(hoge()はtrue/falseを返す関数) [1] if (hoge() === true) { } if (hoge() !== true) { } と書くのではなく [2] <?php if (hoge()) { } if (!hoge()) { } [/php] <p>と書けば良いのでは、という事です。</p> <p>特にPHPでは厳密にtrue/falseを判別するなら[
PHP/脆弱性リスト/メモ - yohgaki's wiki
なんだかやけに長い説明ばかり検索に引っかかったので書きました。 Linuxのローカル環境でDockerコンテナ内のXアプリ(GUIアプリ)を利用するには $ xhost localhost + を実行した後に $ docker run --rm --net host -e "DISPLAY" container_image_name x_app_binary_path とすれば良いです。 もっと読む SSHなどよく知られたサービスポートで何も対策せずにいると数えきらないくらいの攻撃リクエストが来ます。不必要なログを増やしてリソースを無駄にし、もし不用意なユーザーやシステムがあると攻撃に成功する場合もあります。 SshguardはC作られており、flex/bisonのパーサールールを足せば拡張できますがカスタム版をメンテナンスするのも面倒です。必要なルールを足してプルリクエストを送ってもマー
ke-tai.org > Blog Archive > ケータイで「mod_rewrite セッション」を使う際の注意点
ケータイで「mod_rewrite + セッション」を使う際の注意点 Tweet 2008/6/6 金曜日 matsui Posted in DoCoMo, サーバ | 4 Comments » ここ最近は大きなニュースが多く、ニュース記事の紹介ばかりでしたので、ひさしぶりに技術メモ的なものを書きたいと思います。 先日mod_rewriteを使っていて、セッション絡みで少しつまづいた件をご紹介します。 実はPHPで動いているページを、「*.html」として静的コンテンツに見せる、というものを作ろうとしていました。 .htaccessの内容としては次の通りです。 <IfModule mod_rewrite.c> RewriteEngine On RewriteRule ^([0-9A-Za-z~_\-\.]+)\.html$ /viewer.php?p=$1 [L] </IfModule>
「@」でエラー抑制すると PHP が遅くなるという噂について : a My RSS 管理人ブログ
PHP では @ を付けることでエラーを回避できるという便利な記述方法があり、ものぐさな私などは if (@$var["foo"]) $result = $var["foo"]; みたいなコードを書いてしまいます。 で、この処理が「遅い」という噂やツッコミを度々受けるので調べてみました。 「ほら、そんな気にするほどでも無いよ」という結果を期待していたのですが、、、なんじゃこりゃ。。。 劇遅じゃないですか、これ。 いやはや・・・ ちょっと列挙しますね。以下のようなコードを単純 for 文で 100万回実行したときの結果です。 error_reporting(0) で PHP4 if (@$a["hoge"]) $b = $a["hoge"]; ⇒ 約 2.4 秒 if ($a["hoge"]) $b = $a["hoge"]; ⇒ 約 1.3 秒 if (isset($a["hoge"]))
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
IDEA * IDEA
not found
De-Lab.com is for sale | HugeDomains
