先日の日記『「10日でおぼえるPHP入門教室 第4版」はセキュリティ面で高評価』では、同書のアップロード機能のセキュリティ面を評価しつつ、「もうひと踏ん張り確認して欲しい内容がある」として、画像XSSの可能性について指摘しました。では、これを直せば完璧かというと、実はそうとも言えないという微妙な問題があります。それは、アップロード先の場所とファイル名の問題です。 ファイルをアップロードするディレクトリ: ドキュメントルート下の /php10/doc/ ファイル名: ブラウザから送信されたファイル名そのまま これらのうちファイル名の拡張子については、gif/jpg/jpeg/pngのみを許すという、いわゆるホワイトリスト検査がされていて、またgetimagesize()関数により、画像ファイルであることの簡易的なチェックをしています。しかし、この状態では、環境によってはアップロードしたファイ
Summary mod_sed is an in-process content filter. The mod_sed filter implements the sed editing commands implemented by the Solaris 10 sed program as described in the manual page. However, unlike sed, mod_sed doesn't take data from standard input. Instead, the filter acts on the entity data sent between client and server. mod_sed can be used as an input or output filter. mod_sed is a content filter
Perl › Mojolicious 今回は静的ファイルを利用したWebアプリケーションを作成してみましょう。静的ファイルはスクリプトのあるディレクトリのpublicというディレクトリに配置します。cssというディテクトリを作成して、その中にcommon.cssというファイルを配置します。 # ディレクトリ構成 app.cgi public/css/common.css 以下がCSSを読み込んだスクリプトです。見出しの部分が赤くなっているのが確認できると思います。 stylesheet関数を利用して、CSSを読み込んでいます。 #!/usr/bin/perl # Mojoliciousを読み込むためのライブラリのパスの設定 use FindBin; use lib "$FindBin::Bin/lib"; # Mojolicious::Liteの利用 use Mojolicious::Li
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
バグトラッキングソフトをホスティングしているサーバが攻撃を受け、JIRA、Bugzilla、Confluenceのユーザーのパスワードが流出した恐れがあるという。 Apache Software Foundationは4月13日、バグトラッキングソフト「JIRA」をホスティングしているサーバが攻撃を受けたとブログで発表した。この攻撃により、ApacheでホスティングしているJIRA、Bugzilla、Confluenceのユーザーのハッシュ化されたパスワードが流出した恐れがあると警告した。 Apacheによれば、攻撃には短縮URLサービスのTinyURLを使ってクロスサイトスクリプティング(XSS)攻撃コードを仕込んだURLへリダイレクトする手口が使われたという。Apacheの管理者数人がこのリンクをクリックしてしまい、JIRA管理権限を含むセッションに侵入された。 さらにXSS攻撃と並行
Windows用のApache2系をインストールし、CGIの設定をした後、とりあえず、デフォルトで入っているcgi-binのprintenv.plを実行しますが、すると『ファイルのダウンロード』が出て上手く行かない場合があります。 これは、単に表示が上手く行かないだけで、CGIは正常に動いています。 こんな、紛らわしいprintenv.plなど捨てましょう! ご自分でPerlでテスト用のCGIを作ってテストしましょう! ちなみに、printenv.plの『print "Content-type: text/plain; charset=iso-8859-1\n\n";』のiso-8859-1が悪さをしている感じです。もしかしたらIEの方が悪いのかも…
Ideas - O'Reilly Media modperlite PHPのようにファイルを置くだけで実行されてCGIより速くてmod_perlより簡単なapache moduleだそうです。去年からのCGI frameworkブームを補完する上でも試してみるっきゃないということで まずはソースの取得 svn co http://code.sixapart.com/svn/mod_perlite/trunk modperlite cd modperliteちなみにもうすぐgithubに移行されるようです。 コンパイルとインストールはapxsにパスを通して ./Build.PL ./Build ./Build installhttpd.confとかconf.d/modperlite.confとかに LoadModule perlite_module modules/mod_perlite.s
Overview "HTTP Mutual Access Authentication Protocol" is a proposed new protocol for preventing Phishing attacks against Web systems. This protocol provides true mutual authentication between HTTP clients and servers using simple password-based authentication. Unlike Basic and Digest HTTP access authentication protocol, the protocol ensures that the server knows the user's entity (encrypted passwo
Marka linux.pl jest częścią NetArt Group, który działa globalnie w prawie 100 krajach na całym świecie. Oferta linux.pl, która adresowana jest do firm, instytucji i osób fizycznych, obejmuje szereg rozwiązań IT, wśród których największą popularnością cieszą się hosting i rejestracja domen internetowych.
紹介されているエラーページのデザインはおもしろい。でも、設定のしかたがよくないと思う。このやりかたは多くのサイトで採用されているようだけれど、はっきりいって迷惑。 404エラーをデザインする為のインスピレーション*ホームページを作る人のネタ帳 http://e0166.blog89.fc2.com/blog-entry-262.html ErrorDocument 403 http://e0166.com/403error.html ErrorDocument 404 http://e0166.com/404error.html ErrorDocument 500 http://e0166.com/500error.html 赤い字で書かれた部分はもちろん皆様のドメイン名に変更してください これじゃ 「リダイレクトされちゃうからダメ」 だよ。 こういうふうに設定されていた場合、たとえば、
■ 「暇つぶし系」のspamには無力 いろいろと対策をとっているおかげで、最近はこの日記に対してツッコミspamやTrackBack spamを喰らうことはほとんどなくなった。 ……んだけど、今朝方10件ほどツッコミspamを喰らってしまってがっくり。調べてみると、SoftBankのケータイから。内容から見て、目的も知性もあるように思えないので、おそらく夏休みに入って暇で暇でしょうがない貧乏な*1高校生が、独り言をつぶやいているだけだろう。こういうのは対策のしようがないから、まずたいていのspamフィルタは無力だよなー。ケータイ相手だと、IPアドレスやUAで締め出すわけにもいかないし。 とりあえず、名前だけは固定のようなので、やっつけのフィルタを書いた: module TDiary::Filter class SpamtempFilter < Filter def comment_filt
この家に残したい香り。kako OSAJIでつくる、我が家だけのルームスプレー 先日、kako 家香で自分だけの家の香りを調香する体験をしてきました。 トップノートからベースノートまで、香りをひとつずつ確かめながら、自分の“好き”を丁寧に重ねていく時間。 香りって目に見えないけれど、記憶や気持ちと深くつながっている不思議な存在。今回の体…
[質問]wwwが付いたものと付いていないURLがサイト内に混在しています。統一するべきですか?「wwwあり・なし」問題は昔から頻繁に取上げられるSEOの話題だ。たとえば筆者が勤めるアイレップのウェブサイトは“http://www.irep.co.jp/”またはwwwを省略した“http://irep.co.jp/”どちらでもアクセス可能でブラウザにも全く同じウェブサイトが表示がされる。しかし検索エンジン相手となると少々事情が異なる。 検索エンジンはページに張られたリンクの数や質などを総合的に判断して点数を付けるわけだが、wwwありとwwwなしのURLを「別のページ」として取り扱う。つまり、先の例でいえば、検索エンジンにとって“www.irep.co.jp”と“irep.co.jp”は別のサイトと認識するのだ。このため、URLが統一されていないと「外部リンクの分散」が生じてSEOの効果が低下
Summary The mod_rewrite module uses a rule-based rewriting engine, based on a PCRE regular-expression parser, to rewrite requested URLs on the fly. By default, mod_rewrite maps a URL to a filesystem path. However, it can also be used to redirect one URL to another URL, or to invoke an internal proxy fetch. mod_rewrite provides a flexible and powerful way to manipulate URLs using an unlimited numbe
lighttpd + fastcgi + suExecでtracを動かすを見て,普通のCGIでもいけるんじゃないの?と思ったのでやってみた.環境はCentOS-4.3. まず,suEXECはlighttpdについてこないので,独自にビルドするかRPMで入れてやる必要がある.ところがRPMで提供されているsuEXECはAP_DOC_ROOT="/var/www"となっていて,ユーザー別のCGIを/var/www以下で動かすという,なんとも使いにくい設定になってしまっている.よって/home以下でsuEXECが使えるようにビルドし直すのが良いと思う. suEXECのビルド Apacheのビルド時にsuEXEC関連のオプションを指定する.自分が使ったsuEXEC関連のオプションだけ以下に. $ ./configure \ --enable-suexec \ --with-suexec \ --w
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
