セキュリティースレッド

セキュリティースレッド (262ﾚｽ)
上下前次 1-新

147: 2005/11/05(土)09:40 ID:??? AAS
>>146
$_SERVER['PHP_SELF'] はサニタイズ必要

148: 2005/11/05(土)11:44 ID:??? AAS
>>145
$_SERVER使うなら$_COOKIEの方がいいんじゃない

149: 2005/11/05(土)11:46 ID:??? AAS
$HTTP_COOKIE_VARS 使うなら $HTTP_SERVER_VARS 使え、と

150: 2005/11/05(土)17:49 ID:??? AAS
htmlspecialcharsよりむしろコントロールコードのほうがヤバイんだけど・・・
改行、ヌル、タブが送られてきてもそのスクリプトは大丈夫かい？
HTTPヘッダが丸見えになったり、ブラウザが真っ白になったり、データファイルが破壊されたりしないかい？

151(1): 2005/11/07(月)12:46 ID:X4GSH3T+(1) AAS
俺はある共有レンタル鯖を借りてるんだが、

外部ﾘﾝｸ:itpro.nikkeibp.co.jp
上のソース付きで
PHPのセキュリティホールが見つかったのでバージョンを上げてくれって
メールを４日ほど前に送ったんだが、未だに返事が無い・・・
うかつにバージョン上げたら、既に動いているスクリプトに影響があるので
対応が難しいのは判るんだが、セキュリティホールに対して対応するのは鯖屋の
義務じゃないのだろうか？
サーバがダウンするようなスクリプト組めば、鯖屋も対応してくれるかな？

152: 2005/11/07(月)13:38 ID:??? AAS
WADAXは問答無用でバージョンアップの連絡が来た。
ＥＣとかで不具合起こした会社とかってあるのかな。
こういうことがあると商用の共有サーバはリスキーだね。

153: 2005/11/07(月)15:18 ID:ST4RY6Ao(1) AAS
つい最近まで、悪質なJavaスクリプトを作成して、個人を笑いものにしていたサイト
外部ﾘﾝｸ:members.jcom.home.ne.jp
外部ﾘﾝｸ[htm]:j-bridge.da.tvdo.net

154: 151 2005/11/09(水)13:23 ID:??? AAS
PHPのメーリングリストに、本日付で大垣氏よりPHP4.4.0以下のセキュリティホールに
ついてのまとめが投稿されたようです。

外部ﾘﾝｸ[html]:ns1.php.gr.jp

思ったよりたいした事無いのかな？
register_globals = offなら、問題ないということで。

155: ["'>aaa] 2006/01/04(水)23:40 ID:??? AAS
なんて過疎スレなんだ。

ＰＨＰがいかにセキュリティ的にダメダメかを物語っているな。'

156: 2006/01/05(木)16:37 ID:pttN5xUJ(1) AAS
cookieを自動で[deleted]とかって書き換えるようなソフトってある？
漏れが発行したcookieが結構な確率でdeletedってなってるみたいなんだけど・・・

157(1): 2006/01/09(月)02:15 ID:??? AAS
過疎スレだとセキュリティ的にダメな言語？？

158: 2006/01/22(日)15:58 ID:WlGV7h6d(1) AAS
>>157

1　PHP
2　Perl
3　C

159(1): 2006/02/14(火)03:26 ID:??? AAS
色々読み漁ってみたり、人に話し聞いてみたりしたけど、
イマイチ自信が持てないセキュリティー

これを押さえとけってのがあるといいんだがなぁ

160: 2006/03/03(金)23:25 ID:R8+Du6gi(1) AAS
>>159
外部ﾘﾝｸ[html]:takagi-hiromitsu.jp

161(2): 2006/03/28(火)20:10 ID:fZ61wIgX(1) AAS
はてなAPIを調べていて、気になった事が。
認証時に送るデータのひとつに、PasswordDigest というものがあって、
「Nonce, Created, パスワード(はてなアカウントのパスワード)を文字列連結し
SHA1アルゴリズムでダイジェスト化して生成された文字列を、
Base64エンコードした文字列」という説明があります。
自分のパスワードに色々文字列をくっつけた、ハッシュ (ダイジェスト) 値って事ですよね。

という事は、正しいかチェックするには生パスワードが必要になるわけですよね。
つまり、はてなのサーバ側ではパスワードの管理を、ハッシュ値ではなくて、
元の文字列そのままデータベースに保存している、と。

話にならないセキュリティですね。
省1

162: 2006/03/28(火)23:09 ID:??? AAS
コピペを得意に語るなよ

163: 2006/04/09(日)04:27 ID:??? AAS
WEB2.0 = アジャイル = 寝言ポエム

164(1): 2006/05/05(金)04:48 ID:0pIEn1FP(1) AAS
上げるわよ

165: 2006/05/05(金)21:35 ID:DVXSQw0s(1) AAS
>>164
お前なんでこんな面白スレ、今まで隠してたんだよ。
>>161には大笑いさせてもらった。さすがwebprog板、香ばしさが一味違う。

166(1): 2006/05/21(日)06:36 ID:??? AAS
>>161の件について回ってみたら、パスワードを使い回してる香具師は馬鹿だから何の問題もないとか、
費用対策効果を考えると順当だとか、問題視することかなぁ、とか書いてあるが、
問題なく出来ることをしないのは訳が分からない。
アホか？とか思うんだけど、俺がアホなんでしょうか。

上下前次 1-新書関写板覧索設栞歴

あと 96 ﾚｽあります
ｽﾚ情報赤ﾚｽ抽出画像ﾚｽ抽出歴の未読ｽﾚ AAｻﾑﾈｲﾙ

ぬこの手ぬこTOP 0.019s