1月 2006のアーカイブ
osCommerce 日本語版 (register_globals = Off 対応版)と Xrea.comサーバ
Xrea.comさんのサーバ環境では、最新サーバ s18* であっても php.ini 設定は register_globals On に変更されています。
エントリー「php_flag register_globals Off and Movable Type 3.11, 3.12」
» http://www.osbsd.net/2004/12/php_flag_regist.html
よって、すべてのスクリプトが EGPCS (Environment, GET, POST, Cookie, Server) 変数からセキュリティ上安全なスーパーグローバル変数に変更されている
osCommerce 2.2 MS1 日本語版 (register_globals = Off 対応版)
» http://sourceforge.jp/projects/tep-j/
最新版 oscommerce-2.2ms1j-R5-rgoff.tar.gz 1.0 MB (2004-05-25 16:53)
を Xrea.comさんのサーバにインストールするとき、ディレクトリ内 .htaccess は必ず、
php_flag register_globals Off
php_flag output_buffering Off
php_flag track_vars On
php_flag magic_quotes_gpc Off
として、ローカル(ホームディレクトリー)内で php設定を変更します。
最終セキュリティ報告
「osCommerce 2.2 MS1のセキュリティ問題 (2004-05-28)」
» http://www.bitscope.co.jp/tep/news.html
に対して、上記の register_globals = Off 最新版は対応しています。
しかし、たとえば、
* catalog/includes/functions/general.php
» http://cvs.sourceforge.jp/cgi-bin/viewcvs.cgi/tep-j/oscommerce-2.2ms1j/catalog/includes/functions/general.php
の中で、Revision 1.15 以降のファイルは、register_globals = On 版のみ提供されていますので、上書きインストール前にファイルを編集する必要があります。
参照ページ:
PHPバージョンによるphp.iniのデフォルト値は http://jp2.php.net/manual/ja/ini.php をご覧下さい。
■ register_globals
» http://jp.php.net/manual/ja/ini.core.php#ini.register-globals
Xrea.comさんのMaster Value: On
■ output_buffering
» http://jp2.php.net/ref.outcontrol
Xrea.comさんのMaster Value: output_buffering=4096
■ track_vars
» http://jp.php.net/manual/ja/ini.core.php#ini.track-vars
Xrea.comさんのMaster Value: On
■ magic_quotes_gpc
» http://jp2.php.net/manual/ja/ref.info.php#ini.magic-quotes-gpc
Xrea.comさんのMaster Value: Off
TypePad ドメインマッピングとトラックバック・PINGサービスなど
TypePadサイトをドメインマッピング ( DNS設定 cname)で運用すると、独自ドメインのIPアドレス「***.***.***.***」と送信元 URLのIPアドレス「***.***.****.***」は常に不一致となりますので、たとえば、送信先ブログ Movable Type 3.2 -デフォルト設定であれば、「迷惑トラックバック」 「迷惑コメント」と判定されます。また、一部のPING サービス ( http://ping.blo.gs/, http://blog.goo.ne.jp/XMLRPC など)では、更新 Pingは受理されません。つまり、デフォルトでは、トラックバック スパム"TrackBack spam"として扱われますので、ご注意下さい。
サイニタイズ、エスケープ、オーバーフロー
So-netブログ "blog.so-net"のエントリー (同一投稿者)
「タグ、特殊文字 <!–pre–>PREタグなど」
» http://blog.so-net.ne.jp/novel/2004-12-14
を当ブログにコピーし、ブログツール「Typepad」の対応を調査します。
エントリー転載: (注 MyBlogListは、現在「ドリコムRSS」と改称されています。)
[追記 2006/1/25] タグや特殊文字のサイニタイズ、エスケープは、各ブログツール・ブログサービスで対応が異なるので、新規登録・インストール時に確認した方がよいようです。この記事の投稿者は、本エントリーを他ブログにコピーし、「サイニタイズ、エスケープ、オーバーフロー」などの対応や Pingサーバの表示内容を調査します。
【So-netブログにおけるタグ、特殊文字】
(1) コメント欄のpostでは、タグが使えなかった。
(2) タイトル中に preタグを特殊文字 「&キーワード;」 「&#番号;」で書き込み、TB (TrackBack) ping すると、リンクリスト MyBlogList の表示が小さくなった( 正規のpreタグとして誤作動したようである ⇒ 追記【2004/12/16】 MyBlogさんに連絡しました。エスケープ出力となり、不具合解決 感謝のメールが届きました)。
(3) 本来のPRE タグではない。StyleSheet (CSS) のとおり表示されるが、ブラウザの横サイズを無視できないので、途切れてしまう。しかし、ソースを見ると、たしかに45文字「テスト」あります。
(4) 長い文章を引用するとき(コメント、出典元のコピー) 、BLOCKQUOTE タグを使い、適当なところで<br ⁄>の手動挿入を行うしかないようです。
PREタグ
テスト テスト ・・45文字繰り返し・・ テスト テスト [画面サイズを越えたとき途切れます]
BLOCKQUOTEで同じ文章を表示
テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト
使い方のマニュアルでは、本文の編集に際して "a address b blockquote br caption dd dir div dl dt em font h hr i img li menu ol p pre span strike strong table tbody td th tr u ul " のタグが使用できるようです。 テスト用コメント内では、危険なタグはエスケープされています。
& < > ' "
&amp; &lt; &gt; &#039; &#034;
<pre>
by エスケープ文字 (テスト入力)
以下に「TypePad」の調査結果を記載します。・・・
So-netブログとは異なり、エントリーのタイトルにタグ達が使用されると、エスケープされないようですので、早々に調べるつもりです。スタイルシート "overflow"規定値 visible (表示する)で比較します。
メール転送時の Return-Path: 等とメールフィルター
ウイルスメールや迷惑 (spam)メールとしてフィルター設定できないものがあります。
» Return-Path: <hpc@proc01.hi-ho.ne.jp>
たとえば、ウイルスメール着信拒否条件「Return-Pathに"hpc"を含む」メールとすると、パナソニックのプロバイダー hi-ho からの転送メールはすべて着信しないことになります。この条件下の着信拒否はできないため、もし、パナソニックのプロバイダーで「メールウイルスチェック」のオプション設定がなく転送先のプロバイダーも同様 (メール受信時にウイルスチェック・サービスを有するサーバを全く経由しない) であれば、メールアドレス「hpc@proc01.hi-ho.ne.jp」を詐称したウイルスメールはパソコンに着信することになります。 Panasonic Network Services Inc.提供のメール転送サービス「そのままメール転送」 「選んでメール転送」を使用中のクライアントはご注意下さい。因みに、
» http://home.hi-ho.ne.jp/support/faq/option/vcheck/001024.html
Q: メールを自動転送していますが、「メールウイルスチェック」を利用できますか?
A: はい、ご利用いただけます。
受信時に、hi-hoのメールサーバでウイルスを検出・駆除したあとメールを転送しますので、転送先で安心してご利用いただけます。
[追記 2006/1/26]
たとえば、下記のようなウイルスチェックサービス結果がメール着信したとき、hpc @proc01.hi-ho.ne.jp は、ウイルスやワームによって偽装されたメールアカウントではなく、メール転送時に hi-ho.ne.jp さんのサーバが使用するアカウントです。
–ウイルスの検出情報と感染ファイルの処理結果–
【ウイルス検出情報】
ウイルス検出日時 :2006/**/** 20:12:53
感染していたファイルの名前 :****
検出されたウイルスの名前 :W32.Netsky.P@mm!enc
ウイルス送信元メールアドレス :hpc @proc01.hi-ho.ne.jp
ウイルス感染ファイルの処理結果:ウイルスを駆除しました
phpMyAdmin / phpPgAdmin (その2)
データベース管理ツールとウェブ・ログイン認証についての更新情報です。
» http://www.osbsd.net/2005/06/phppgadmin_phpm.html
» http://www.osbsd.net/2006/01/httphtaccess_ip_a0fa.html
もご覧下さい。
Xrea.com さんのサーバでは、複数データーベース(最大 10) PostgreSQL, MySQL の管理はウェブ上から行うことができます。DB管理ツールはそれぞれ、phpMyAdmin, phpPgAdmin です。これらがインストールされるディレクトリーは、ログ閲覧ページの中で認証パスワード(ユーザー名:***(数字・文字数 3以上,パスワード:数字・文字数 限定 4 ****)となっています。
ユーザー名は公開状態(独自ドメインを除く)であり、常に非SSL経由でアクセスできて、パスワード4文字限定ですので、暗号強度は明らかに「低い」といえます。また、パスワードを含めて定期的にデフォルトとなります(自動設定)。
暗号強度をより改善する方法として、ディレクトリ"log"の直下にカスタマイズしたhtaccess, htpasswd ファイルを置いて、cronジョブで定時的にドットファイルを上書きする方法があります。
cron tab用ファイル例:
#!/bin/sh
cd /virtual/ユーザーID/public_html/log/カスタマイズしたht**用フォルダー名
chmod 604 client-customized.ht*
cp -r client-customized.htaccess ./../
cp -r client-customized.htpasswd ./../
cd ..
mv client-customized.htaccess .htaccess
mv client-customized.htpasswd .htpasswd
echo s***_log_htaccess_and_htpasswd_overwritten
exit
