セキュリティースレッド (262レス)
セキュリティースレッド http://medaka.5ch.io/test/read.cgi/php/995032597/
上
下
前
次
1-
新
通常表示
512バイト分割
レス栞
102: nobodyさん [] 02/07/23 03:38 ID:n0NOCmVf >>101 半分以上化け化けで読めないのでなんとかしていただけませんか? http://medaka.5ch.io/test/read.cgi/php/995032597/102
103: nobodyさん [sage] 02/07/23 07:49 ID:??? >>101 おまえ読めるのか。 化け化けで全然わかんねーよ。 http://medaka.5ch.io/test/read.cgi/php/995032597/103
104: nobodyさん [sage] 02/07/23 10:12 ID:??? 禿げ同 http://medaka.5ch.io/test/read.cgi/php/995032597/104
105: nobodyさん [age] 02/07/23 10:45 ID:??? PHP4.2.0,4.2.1にセキュ穴見つかったらしいから オマエラとっとと4.2.2にあげませう. http://medaka.5ch.io/test/read.cgi/php/995032597/105
106: nobodyさん [sage] 02/07/23 15:06 ID:??? >>103 ああーバカには読めないみたいだね http://medaka.5ch.io/test/read.cgi/php/995032597/106
107: nobodyさん [] 02/08/07 16:19 ID:npc3aggE あげ http://medaka.5ch.io/test/read.cgi/php/995032597/107
108: nobodyさん [] 02/08/07 16:32 ID:j7/wvgk/ ちうか、レッツPHP,半角カタカナ使ってる時点でおわってないか? http://medaka.5ch.io/test/read.cgi/php/995032597/108
109: 名無しさん@Meadow [sage] 02/08/07 22:52 ID:??? 適切なcharsetを指定すれば、半カナを使ってもなんら問題ありません。 http://medaka.5ch.io/test/read.cgi/php/995032597/109
110: nobodyさん [age] 02/08/07 23:09 ID:??? CGI program security advisories http://ch2.s2.xrea.com/source/035.txt http://medaka.5ch.io/test/read.cgi/php/995032597/110
111: nobodyさん [sage] 02/08/20 14:44 ID:??? ---- http://medaka.5ch.io/test/read.cgi/php/995032597/111
112: 山崎渉 [(^^)sage] 03/01/15 13:51 ID:??? (^^) http://medaka.5ch.io/test/read.cgi/php/995032597/112
113: nobodyさん [age] 03/01/29 18:20 ID:??? >>108 なんでやねん? 別におかしくないと思うが? 半角カタカナコードをちゃんと持っているキャラクタエンコードで ドキュメント書いてあるじゃん。 今時Shift_jisに対応できないブラウザも皆無だしね。 だから>>108はもちっと勉強してきなさい。 http://medaka.5ch.io/test/read.cgi/php/995032597/113
114: nobodyさん [sage] 03/01/29 18:23 ID:??? PHPのポートスキャナを自鯖に来た客人に使えるように してあるのだが、まずいか? http://medaka.5ch.io/test/read.cgi/php/995032597/114
115: nobodyさん [sage] 03/01/29 21:37 ID:??? メール送信プログラムを誰でも誰宛にも使えるように してあるのだが、まずいか? http://medaka.5ch.io/test/read.cgi/php/995032597/115
116: nobodyさん [sage] 03/01/29 22:58 ID:??? PHP版探検君を誰でも使えるように してあるのだが、まずいか? http://medaka.5ch.io/test/read.cgi/php/995032597/116
117: nobodyさん [sage] 03/02/25 20:10 ID:??? この板にJAPUたんもういないのかな。 http://medaka.5ch.io/test/read.cgi/php/995032597/117
118: 山崎渉 [(^^)] 03/03/13 17:23 ID:??? (^^) http://medaka.5ch.io/test/read.cgi/php/995032597/118
119: 山崎渉 [(^^)] 03/04/17 12:22 ID:??? (^^) http://medaka.5ch.io/test/read.cgi/php/995032597/119
120: 山崎渉 [(^^)sage] 03/04/20 06:12 ID:??? ∧_∧ ( ^^ )< ぬるぽ(^^) http://medaka.5ch.io/test/read.cgi/php/995032597/120
121: 山崎渉 [(^^)] 03/05/22 02:14 ID:??? ━―━―━―━―━―━―━―━―━[JR山崎駅(^^)]━―━―━―━―━―━―━―━―━― http://medaka.5ch.io/test/read.cgi/php/995032597/121
122: 山崎渉 [(^^)] 03/05/28 17:14 ID:??? ∧_∧ ピュ.ー ( ^^ ) <これからも僕を応援して下さいね(^^)。 =〔~∪ ̄ ̄〕 = ◎――◎ 山崎渉 http://medaka.5ch.io/test/read.cgi/php/995032597/122
123: 100 ◆at3WtOaT8I [sage] 03/06/25 18:32 ID:??? >>116 禿同 話変わるけど、携帯ゲーム機"プレイステーションポータブル(PSP) このPSPは、新規格UMD(ユニバーサルメディアディスク)というディスクを利用しており、そのサイズは直径6cmととても小さい(CDの半分程度)。 容量は1.8GBとなっている。 画面は4.5インチのTFT液晶で、480px x 272px(16:9)。MPEG4の再生やポリゴンも表示可能。外部端子として、USB2.0とメモリースティックコネクタが用意されているという。 この際、スク・エニもGBAからPSPに乗り換えたらどうでしょう。スク・エニの場合、PSPの方が実力を出しやすいような気がするんですが。 任天堂が携帯ゲーム機で圧倒的なシェアをもってるなら、スク・エニがそれを崩してみるのもおもしろいですし。かつて、PS人気の引き金となったFF7のように。 突然こんな事言い出してごめんなさい・・・ http://medaka.5ch.io/test/read.cgi/php/995032597/123
124: 山崎 渉 [(^^)] 03/07/15 11:20 ID:??? __∧_∧_ |( ^^ )| <寝るぽ(^^) |\⌒⌒⌒\ \ |⌒⌒⌒~| 山崎渉 ~ ̄ ̄ ̄ ̄ http://medaka.5ch.io/test/read.cgi/php/995032597/124
125: 山崎 渉 [(^^)sage] 03/08/02 02:32 ID:??? ∧_∧ ( ^^ )< ぬるぽ(^^) http://medaka.5ch.io/test/read.cgi/php/995032597/125
126: ぼるじょあ ◆ySd1dMH5Gk [(^^)] 03/08/02 05:09 ID:??? ∧_∧ ∧_∧ ピュ.ー ( ・3・) ( ^^ ) <これからも僕たちを応援して下さいね(^^)。 =〔~∪ ̄ ̄ ̄∪ ̄ ̄〕 = ◎――――――◎ 山崎渉&ぼるじょあ http://medaka.5ch.io/test/read.cgi/php/995032597/126
127: nobodyさん [] 03/08/12 13:00 ID:qodMea/v あああ http://medaka.5ch.io/test/read.cgi/php/995032597/127
128: nobodyさん [] 03/08/12 13:13 ID:4SueGnu3 ☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆ ★☆ 夏休みは GETDVDで 満喫・満喫! ☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆ ☆★ 送料激安!! 送料激安!! 送料激安!! ★☆ http://www.get-dvd.com ☆★ 激安アダルトDVDショップ ★☆ お買い得!! 1枚500円〜 急げ! ☆★ インターネット初!「きたぐに割引」 ★☆ 北海道・東北の皆様は送料も激安! ☆★ http://www.get-dvd.com ★☆ スピード発送! ☆★ http://www.get-dvd.com ★☆ 商品が豊富! ☆★ http://www.get-dvd.com ★☆ ☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆ http://medaka.5ch.io/test/read.cgi/php/995032597/128
129: nobodyさん [0] 03/08/12 13:28 ID:??? ああああああ http://medaka.5ch.io/test/read.cgi/php/995032597/129
130: nobodyさん [] 03/08/14 21:46 ID:1oiwHjhP あ http://medaka.5ch.io/test/read.cgi/php/995032597/130
131: nobodyさん [] 03/08/14 21:46 ID:1oiwHjhP あえ http://medaka.5ch.io/test/read.cgi/php/995032597/131
132: nobodyさん [] 03/08/14 21:46 ID:1oiwHjhP あえr http://medaka.5ch.io/test/read.cgi/php/995032597/132
133: nobodyさん [] 03/08/14 21:46 ID:1oiwHjhP あえrg http://medaka.5ch.io/test/read.cgi/php/995032597/133
134: nobodyさん [] 03/08/14 21:46 ID:1oiwHjhP あえrgs http://medaka.5ch.io/test/read.cgi/php/995032597/134
135: nobodyさん [] 03/08/14 21:47 ID:1oiwHjhP あえrgsx http://medaka.5ch.io/test/read.cgi/php/995032597/135
136: 山崎 渉 [(^^)] 03/08/15 22:31 ID:??? (⌒V⌒) │ ^ ^ │<これからも僕を応援して下さいね(^^)。 ⊂| |つ (_)(_) 山崎パン http://medaka.5ch.io/test/read.cgi/php/995032597/136
137: nobodyさん [] 04/03/23 22:44 ID:QuSZZVdw 自サイトのページに以下のように外部サイトのスクリプトを読み込んでアクセスログを取ってます。 <img src="http://www.hoge.com/fuga.php"> しかし、ブラウザのステータスバーの地球マークの左横に 赤い「セキュリティレポート」のマークが出てしまいます。 外部スクリプトの何が原因でこれが出るのでしょうか? 出さない方法を知りたいです。 外部スクリプトで行っているのは、閲覧者のIPアドレス、ユーザーエージェントを取得して、 DBに保存しているだけです。Cookieの取得はやっていません。 http://medaka.5ch.io/test/read.cgi/php/995032597/137
138: nobodyさん [] 2005/08/09(火) 19:39:08 ID:7ru0P+Yn おい、おまいら。 今なら、はてなダイアリーにて、ウザいキーワードをこっそり削除できますよ? ---- naoya 『キーワード登録の際のPOSTの中身に、cnameとoldcnameというのがあって、 これらが異なっていればカテゴリ移動と判断されて「change category to」扱いになります。 つまり、もともと削除予定キーワードであっても、oldcmaneをウェブとかにして、 cnameを削除予定にすれば、 change category to 削除予定キーワードが連続で 記録されることになります。』 (2005-08-08 13:15:43) naoya 『ということは逆に、削除予定にしたいけど編集者に通知メールを送りたくない、 という場合には、oldcname,cnameをともに削除予定にしてしまえば (change category扱いにならないので)よいわけです。』 (2005-08-08 13:17:36) ---- http://medaka.5ch.io/test/read.cgi/php/995032597/138
139: nobodyさん [sage] 2005/08/10(水) 03:44:35 ID:??? >138 http://i.hatena.ne.jp/idea/4775 http://medaka.5ch.io/test/read.cgi/php/995032597/139
140: nobodyさん [sage] 2005/10/29(土) 01:57:47 ID:??? 初歩的なことで申し訳ないですが isapiフィルタを使って、もしくは何かしらのフィルタをかけて querystringの特定文字列をreplaceする方法ってどうやりますか? サニタイジングを一括で出来ればいいなと思ってまして。 またpostの場合も同様の処理は出来ますか? http://medaka.5ch.io/test/read.cgi/php/995032597/140
141: nobodyさん [] 2005/11/03(木) 00:32:17 ID:TOE31wc5 PHPに深刻な脆弱性がある事が発表されました。今まで見つかったPHPの脆弱性の中でも「最悪」の脆弱性です。全てのPHPユーザは今すぐ対処を行う必要があります。 http://medaka.5ch.io/test/read.cgi/php/995032597/141
142: nobodyさん [] 2005/11/04(金) 13:35:35 ID:Q76NS+42 PHPに“最悪”のセキュリティ・ホール,全ユーザーは今すぐ対処を http://itpro.nikkeibp.co.jp/article/NEWS/20051102/223939/ Fedora core3の場合はどうすればいいんだろう。 RPMがどこかで公開されているのだろうか、それとも自分でmakeとやらを しなければいけないのだろうか。 自鯖ってこういう時に困る。 http://medaka.5ch.io/test/read.cgi/php/995032597/142
143: nobodyさん [] 2005/11/04(金) 13:39:36 ID:8vYWqcZu User-Agentをサニタイズしてないスクリプトが多すぎ http://medaka.5ch.io/test/read.cgi/php/995032597/143
144: nobodyさん [sage] 2005/11/04(金) 19:48:30 ID:??? Cookieもね。 http://medaka.5ch.io/test/read.cgi/php/995032597/144
145: nobodyさん [sage] 2005/11/05(土) 08:44:47 ID:??? $HTTP_COOKIE_VARS = array_map('htmlspecialchars', $HTTP_COOKIE_VARS); $_SERVER = array_map('htmlspecialchars', $_SERVER); これでおk? http://medaka.5ch.io/test/read.cgi/php/995032597/145
146: nobodyさん [sage] 2005/11/05(土) 08:52:14 ID:??? ありゃ、2行目でエラー出た。 User-Agentだけでも大丈夫かなあ。 http://medaka.5ch.io/test/read.cgi/php/995032597/146
147: nobodyさん [sage] 2005/11/05(土) 09:40:45 ID:??? >>146 $_SERVER['PHP_SELF'] はサニタイズ必要 http://medaka.5ch.io/test/read.cgi/php/995032597/147
148: nobodyさん [sage] 2005/11/05(土) 11:44:15 ID:??? >>145 $_SERVER使うなら$_COOKIEの方がいいんじゃない http://medaka.5ch.io/test/read.cgi/php/995032597/148
149: nobodyさん [sage] 2005/11/05(土) 11:46:22 ID:??? $HTTP_COOKIE_VARS 使うなら $HTTP_SERVER_VARS 使え、と http://medaka.5ch.io/test/read.cgi/php/995032597/149
150: nobodyさん [sage] 2005/11/05(土) 17:49:34 ID:??? htmlspecialcharsよりむしろコントロールコードのほうがヤバイんだけど・・・ 改行、ヌル、タブが送られてきてもそのスクリプトは大丈夫かい? HTTPヘッダが丸見えになったり、ブラウザが真っ白になったり、データファイルが破壊されたりしないかい? http://medaka.5ch.io/test/read.cgi/php/995032597/150
151: nobodyさん [] 2005/11/07(月) 12:46:07 ID:X4GSH3T+ 俺はある共有レンタル鯖を借りてるんだが、 ttp://itpro.nikkeibp.co.jp/article/NEWS/20051102/223939/ 上のソース付きで PHPのセキュリティホールが見つかったのでバージョンを上げてくれって メールを4日ほど前に送ったんだが、未だに返事が無い・・・ うかつにバージョン上げたら、既に動いているスクリプトに影響があるので 対応が難しいのは判るんだが、セキュリティホールに対して対応するのは鯖屋の 義務じゃないのだろうか? サーバがダウンするようなスクリプト組めば、鯖屋も対応してくれるかな? http://medaka.5ch.io/test/read.cgi/php/995032597/151
152: nobodyさん [sage] 2005/11/07(月) 13:38:08 ID:??? WADAXは問答無用でバージョンアップの連絡が来た。 ECとかで不具合起こした会社とかってあるのかな。 こういうことがあると商用の共有サーバはリスキーだね。 http://medaka.5ch.io/test/read.cgi/php/995032597/152
153: nobodyさん [] 2005/11/07(月) 15:18:16 ID:ST4RY6Ao つい最近まで、悪質なJavaスクリプトを作成して、個人を笑いものにしていたサイト http://members.jcom.home.ne.jp/j-bridge/ http://j-bridge.da.tvdo.net/cam.htm http://medaka.5ch.io/test/read.cgi/php/995032597/153
154: 151 [sage] 2005/11/09(水) 13:23:07 ID:??? PHPのメーリングリストに、本日付で大垣氏よりPHP4.4.0以下のセキュリティホールに ついてのまとめが投稿されたようです。 ttp://ns1.php.gr.jp/pipermail/php-users/2005-November/027936.html 思ったよりたいした事無いのかな? register_globals = offなら、問題ないということで。 http://medaka.5ch.io/test/read.cgi/php/995032597/154
155: nobodyさん ["'>aaa] 2006/01/04(水) 23:40:24 ID:??? なんて過疎スレなんだ。 PHPがいかにセキュリティ的にダメダメかを物語っているな。' http://medaka.5ch.io/test/read.cgi/php/995032597/155
156: nobodyさん [] 2006/01/05(木) 16:37:59 ID:pttN5xUJ cookieを自動で[deleted]とかって書き換えるようなソフトってある? 漏れが発行したcookieが結構な確率でdeletedってなってるみたいなんだけど・・・ http://medaka.5ch.io/test/read.cgi/php/995032597/156
157: nobodyさん [sage] 2006/01/09(月) 02:15:18 ID:??? 過疎スレだとセキュリティ的にダメな言語?? http://medaka.5ch.io/test/read.cgi/php/995032597/157
158: nobodyさん [] 2006/01/22(日) 15:58:21 ID:WlGV7h6d >>157 1 PHP 2 Perl 3 C http://medaka.5ch.io/test/read.cgi/php/995032597/158
159: nobodyさん [sage] 2006/02/14(火) 03:26:25 ID:??? 色々読み漁ってみたり、人に話し聞いてみたりしたけど、 イマイチ自信が持てないセキュリティー これを押さえとけってのがあるといいんだがなぁ http://medaka.5ch.io/test/read.cgi/php/995032597/159
160: nobodyさん [] 2006/03/03(金) 23:25:40 ID:R8+Du6gi >>159 http://takagi-hiromitsu.jp/diary/20060129.html#p01 http://medaka.5ch.io/test/read.cgi/php/995032597/160
161: nobodyさん [] 2006/03/28(火) 20:10:52 ID:fZ61wIgX はてなAPIを調べていて、気になった事が。 認証時に送るデータのひとつに、PasswordDigest というものがあって、 「Nonce, Created, パスワード(はてなアカウントのパスワード)を文字列連結し SHA1アルゴリズムでダイジェスト化して生成された文字列を、 Base64エンコードした文字列」という説明があります。 自分のパスワードに色々文字列をくっつけた、ハッシュ (ダイジェスト) 値って事ですよね。 という事は、正しいかチェックするには生パスワードが必要になるわけですよね。 つまり、はてなのサーバ側ではパスワードの管理を、ハッシュ値ではなくて、 元の文字列そのままデータベースに保存している、と。 話にならないセキュリティですね。 WEB2.0だアジャイルだと寝言ポエム唱える前に、基礎的な技術を習得すべきですよ。 http://medaka.5ch.io/test/read.cgi/php/995032597/161
162: nobodyさん [sage] 2006/03/28(火) 23:09:15 ID:??? コピペを得意に語るなよ http://medaka.5ch.io/test/read.cgi/php/995032597/162
163: nobodyさん [sage] 2006/04/09(日) 04:27:52 ID:??? WEB2.0 = アジャイル = 寝言ポエム http://medaka.5ch.io/test/read.cgi/php/995032597/163
164: nobodyさん [] 2006/05/05(金) 04:48:24 ID:0pIEn1FP 上げるわよ http://medaka.5ch.io/test/read.cgi/php/995032597/164
165: nobodyさん [] 2006/05/05(金) 21:35:35 ID:DVXSQw0s >>164 お前なんでこんな面白スレ、今まで隠してたんだよ。 >>161には大笑いさせてもらった。さすがwebprog板、香ばしさが一味違う。 http://medaka.5ch.io/test/read.cgi/php/995032597/165
166: nobodyさん [sage] 2006/05/21(日) 06:36:50 ID:??? >>161の件について回ってみたら、パスワードを使い回してる香具師は馬鹿だから何の問題もないとか、 費用対策効果を考えると順当だとか、問題視することかなぁ、とか書いてあるが、 問題なく出来ることをしないのは訳が分からない。 アホか?とか思うんだけど、俺がアホなんでしょうか。 http://medaka.5ch.io/test/read.cgi/php/995032597/166
167: nobodyさん [sage] 2006/05/21(日) 09:25:22 ID:??? >>166 大丈夫、俺もアホさ。 http://medaka.5ch.io/test/read.cgi/php/995032597/167
168: nobodyさん [age] 2006/05/23(火) 22:37:52 ID:??? Fujitsu MyWeb Products SQL Injection Vulnerabilit ttp://secunia.com/advisories/20178/ CRITICAL: Moderately critical SOLUTION: Contact the vendor for updated versions. ttp://www.myweb-jp.com/resq/ http://medaka.5ch.io/test/read.cgi/php/995032597/168
169: nobodyさん [sage] 2006/05/30(火) 08:23:54 ID:??? hana=mogera http://medaka.5ch.io/test/read.cgi/php/995032597/169
170: nobodyさん [] 2006/08/03(木) 06:41:53 ID:HjJyuduF メール送信プログラムのセキュリティについて。 昨夜、うちのメールフォームから10通連続で変な送信がありました。 遅れないはずの BCC やら CC に宛先を加えているのです。 ヤフってみたら同じようなのが数件出てきました。 CC:buletmann@aol.com BCC:buletmann@aol.com ttp://search.yahoo.co.jp/search?p=buletmann@aol.com これは、スパムの中継にしようとしてるのでしょうか? http://medaka.5ch.io/test/read.cgi/php/995032597/170
171: 170 [] 2006/08/03(木) 16:16:35 ID:R1Mf9tar 誰か教えて下さい。これは危険なんですか? CGIのセキュリティホールを突かれてる? http://medaka.5ch.io/test/read.cgi/php/995032597/171
172: nobodyさん [sage] 2006/08/03(木) 22:31:38 ID:??? >>170 まずメールフォームに使ってるCGIとそのバージョンを書け。 世の中にメールフォームがどれだけあると思ってるんだ。 http://medaka.5ch.io/test/read.cgi/php/995032597/172
173: nobodyさん [sage] 2006/08/04(金) 15:33:16 ID:??? そもそもそれは本当にメールフォームからなのか http://medaka.5ch.io/test/read.cgi/php/995032597/173
174: nobodyさん [] 2006/08/07(月) 16:33:42 ID:yYQHYFxU サーバ上に置いたデータファイルを不特定の第三者に 閲覧されないようにするためにすべき常套手段ってどんなの? 「オレはこうやってる」というのでも良いので披露して下さい。 1.htaccessでCGI等からしかアクセスできないよう制限をかける。 2.拡張子をcgiにする(必要に応じてパーミッション変更)。 3.上記併用。 4.その他。 ちなみに、1と2だとどっちの方が強固? http://medaka.5ch.io/test/read.cgi/php/995032597/174
175: nobodyさん [sage] 2006/08/07(月) 18:19:46 ID:??? ドキュメントルートの上の階層に置く http://medaka.5ch.io/test/read.cgi/php/995032597/175
176: nobodyさん [sage] 2006/08/07(月) 19:31:48 ID:??? ディレクトリのパーミッションを700にするのもあり。 拡張子をcgiにするのは格好悪いからやめたほうがいいんじゃないかな。 多くのHTTPDでは.で始まるファイルはインデックスに表示されないし 標準的なApacheなら.htで始まるファイルは Deny from all なので .htmydataみたいなファイル名にするのが俺的おすすめ。 でも他人の管理が前提なら必ず.で始まるファイルが作れないと言ってくるので やめたほうがいいと思うけど。 http://medaka.5ch.io/test/read.cgi/php/995032597/176
177: nobodyさん [sage] 2006/08/07(月) 20:35:39 ID:??? >>175か、別サーバのDBMSに突っ込む 拡張子を.cgiにするのはクズ http://medaka.5ch.io/test/read.cgi/php/995032597/177
178: 174 [] 2006/08/08(火) 15:52:09 ID:x4/Y+pQ1 レスありがとうございます! 自分の知識の低さを露呈してしまって恥ずかしい限りです。 >>175 うぅむ、確かにそれが一番手っ取り早くて安全かも。 >>176 詳しいアドバイスどうもです! レン鯖なんかだと無作法な覗き屋さんが居たりすることもあるっぽいので 拡張子をcgiにしとけばcsvやdatなんかよりは多少なりともカモフラージュになるかな、 という理由もあって、おまじないのような感じでcgiにしてる。 でも、やっぱカコ悪いよね・・・。 >.htmydataみたいなファイル名にするのが俺的おすすめ。 こんな発想微塵もなかった!すごい! Windows環境で直接データファイルを扱うときのことや レン鯖のことを考えると汎用性は若干落ちるけど、 現状では問題ないので、さっそくマネさせてもらいます。 でも、 >ディレクトリのパーミッションを700にするのもあり。 これが一番簡単な気がする・・・。けど磐石ではない? >>177 >別サーバのDBMSに突っ込む これだと、第三者はパスもほぼ推測不能だし最強だなぁ。 でも、セキュリティと手間とを天秤に掛けると個人的には気後れしちまう。 いわゆる一流企業の個人情報管理とかだとこんなの当たり前だったり? http://medaka.5ch.io/test/read.cgi/php/995032597/178
179: nobodyさん [sage] 2006/08/08(火) 23:18:27 ID:??? >>178 >いわゆる一流企業の個人情報管理とかだとこんなの当たり前だったり? それ以上。暗号化して格納してたりする。鯖ごと持ってかれても解読不能。 http://medaka.5ch.io/test/read.cgi/php/995032597/179
180: nobodyさん [sage] 2006/08/09(水) 00:11:30 ID:??? 拡張子cgiは格好悪くとも実用的で実際に効果がある方法だろ。 保険という意味でも悪くないと思うがな。 phpだと大規模なフレームワークやオープンソースプロジェクトも同じ対策取ってるし。 http://medaka.5ch.io/test/read.cgi/php/995032597/180
181: nobodyさん [sage] 2006/08/09(水) 17:12:26 ID:??? そもそも拡張子cgiがなぜ格好悪いのか理解できないオレガイル。 既存のシステムだけでこと足りて、その利点をうまく流用した評価すべき例だと思うんだが。 無知なクライアントに対してはとりあえず使っとけ、みたいな感じはするけど、 そんなとこから「格好悪い」というイメージが出たのかな。 http://medaka.5ch.io/test/read.cgi/php/995032597/181
182: nobodyさん [sage] 2006/08/09(水) 22:11:43 ID:??? セキュリティを考えた場合は、拡張子がなんであれ、 サーバのドキュメントルートの配下に、 不特定の第三者に、見られて困るような情報を、置くべきではないです。 http://medaka.5ch.io/test/read.cgi/php/995032597/182
183: nobodyさん [sage] 2006/08/09(水) 22:20:21 ID:??? そうは言っても無料スペースはpublic_htmlだけだからなぁ。 上の例は極端ですが、前提条件を明確にせずに言い合いしても 意味ないですよ。セキュリティーは青天井ですから。 http://medaka.5ch.io/test/read.cgi/php/995032597/183
184: nobodyさん [sage] 2006/08/09(水) 22:46:28 ID:??? 仕様外の動作が偶々動いているだけだから。 cgiという拡張子で実行ビットが立っていないものは、そのまま 送信するという動作に、突然変えられたらどうする気だ? http://medaka.5ch.io/test/read.cgi/php/995032597/184
185: nobodyさん [sage] 2006/08/11(金) 22:16:49 ID:??? 正攻法とか裏技とか原則とかそういう観念的なことは別にして、 実際のところドキュメントルート下に置いてある拡張子cgiのファイルを 悪意の第三者が見ることは可能なの? http://medaka.5ch.io/test/read.cgi/php/995032597/185
186: nobodyさん [sage] 2006/08/11(金) 23:10:30 ID:??? >>185 >正攻法とか裏技とか原則とかそういう観念的なことは別にして そこを別にされるとなんとも答えようが無いが、何も対策してなければ 覗き見自体はいくらでも可能。 http://medaka.5ch.io/test/read.cgi/php/995032597/186
187: nobodyさん [sage] 2006/08/12(土) 00:37:16 ID:??? 条件設定していない設問は無意味。 http://medaka.5ch.io/test/read.cgi/php/995032597/187
188: nobodyさん [sage] 2006/08/12(土) 01:30:13 ID:??? あと、安全性の議論で言うところのリスクとハザードみたいな考え方も大事だな。 http://medaka.5ch.io/test/read.cgi/php/995032597/188
189: nobodyさん [sage] 2006/08/13(日) 01:45:24 ID:??? 議論のための議論になってるな。 http://medaka.5ch.io/test/read.cgi/php/995032597/189
190: nobodyさん [sage] 2006/08/13(日) 16:33:52 ID:??? 素人の見解であることをあらかじめ断っておきます。 間違いがあれば容赦なく訂正してください。 >>185 187の言う通り条件による。拡張子をcgiにする方法は、httpdが 1. cgiの拡張子がついたファイルを常にcgiとして実行しようとすること 2. 1で実行属性のない場合や実行するファイルとして不正な内容だった場合にエラーを返すこと 3. 2のエラー表示にファイルの内容が含まれないこと という動作をする場合に限り有効。ファイルの存在そのものを隠すためには 4. 2のエラーは404を返す こと。 http://medaka.5ch.io/test/read.cgi/php/995032597/190
191: nobodyさん [sage] 2006/08/13(日) 16:42:20 ID:??? 取りあえず404は違うだろ。 http://medaka.5ch.io/test/read.cgi/php/995032597/191
192: nobodyさん [sage] 2006/08/13(日) 16:49:50 ID:??? >>190 4はないな。 http://medaka.5ch.io/test/read.cgi/php/995032597/192
193: nobodyさん [sage] 2006/08/14(月) 09:07:30 ID:??? >>190 > 不正な内容だった場合にエラーを返すこと 不正な内容であることを確認するためには実行する必要があるが、 その結果エラーになることをhttpdは担保できない。 http://medaka.5ch.io/test/read.cgi/php/995032597/193
194: nobodyさん [sage] 2007/03/23(金) 17:16:32 ID:??? PHPの投稿フォームで<a>タグ <img>タグと ダブルクオートを許可したのですが、 セキュリティは、どんなところに気をつければいいでしょうか? http://medaka.5ch.io/test/read.cgi/php/995032597/194
195: nobodyさん [sage] 2007/03/29(木) 19:31:14 ID:??? 全部NGにして wiki風の言語を作る http://medaka.5ch.io/test/read.cgi/php/995032597/195
196: nobodyさん [] 2007/04/25(水) 23:19:16 ID:B1ZZgxV3 imgタグで画像ファイルでないものを画像ファイルの拡張子で指定した場合、 IE6馬鹿ブラウザは、HTMLファイルとしてレンダリングしてしまうので、 XSSなどの脆弱性が生じる。 つまり、投稿フォームを閲覧しただけで、何らかのスクリプトが発動可能になる。 <img>タグは、許可しない方がいい。 ダブルクォートは、実体化した方がいい。 http://medaka.5ch.io/test/read.cgi/php/995032597/196
197: nobodyさん [] 2007/04/28(土) 01:19:52 ID:2O4EKOL8 *[日記]id:Hamachiya2さんのこと WEB+DBプレスを見た。 はまちちゃんがデブサキモヲタでショック。 あのサスペンダーはありえないでしょう。 そりゃ「中学出たての未成年女子」だとは 思ってなかったけどさ。これはひどい。 いまどき吊りズボンかよっ。 http://medaka.5ch.io/test/read.cgi/php/995032597/197
198: nobodyさん [] 2007/05/18(金) 17:52:29 ID:GL1hkE7j すいません、何か最近サイトのindex.phpが勝手に書き換え られるんですけど、これ何なのでしょう? ページの最後に 見覚えのないJavaScriptのタグが埋め込まれています・・・。 <script language="JavaScript">e = '0x00' + '54';str1 = "%EF%B・・・ といった感じのやつです。 一つではなく、複数のサイトで被害にあっているんですが、これ ってウイルス仕込まれているんでしょうか? http://medaka.5ch.io/test/read.cgi/php/995032597/198
199: nobodyさん [sage] 2007/05/18(金) 18:24:00 ID:??? そのコードをそのまんまヤフー検索したら、index.php開いて最後にあるやつ消せとか書いてるページがあった ttp://www.rockettheme.com/forum/index.php?topic=11361.msg56175 http://medaka.5ch.io/test/read.cgi/php/995032597/199
200: nobodyさん [] 2007/05/18(金) 18:33:03 ID:GL1hkE7j スクリプト部分を抜き出してjs(WSH)化し、出力しようとしている文字列を抽出したら ttp://givecnt.info/ld/ment/ というurlを隠しフレームで表示するコードでした・・・。 http://medaka.5ch.io/test/read.cgi/php/995032597/200
201: nobodyさん [] 2007/07/09(月) 07:25:08 ID:L9K9FUBd セッション管理不備のネットショップが多すぎます>< http://medaka.5ch.io/test/read.cgi/php/995032597/201
メモ帳
(0/65535文字)
上
下
前
次
1-
新
書
関
写
板
覧
索
設
栞
歴
あと 61 レスあります
スレ情報
赤レス抽出
画像レス抽出
歴の未読スレ
AAサムネイル
Google検索
Wikipedia
ぬこの手
ぬこTOP
0.528s*