スポンサーサイト

2023.04.20 Thursday
0

    一定期間更新がないため広告を表示しています

    category:- | by:スポンサードリンク | - | - | -

    PHPのSmartyでサイニタイズする方法

    2015.11.30 Monday 21:09
    0
      PHPのSmartyでサイニタイズ(サニタイジング)する方法

      Smartyには、エスケープ処理の機能がありHTMLタグを適切にエスケープ可能

      例)Smartyテンプレート

      {$value|escape:"html"} ←★これ htmlの箇所 で何をエスケープするかを指定


      コロンの後に何をエスケープするか指定(デフォルトはhtml)
      指定する場合は、以下のオプションを指定する
      それぞれどの文字をエスケープするかは下記のような対応
      --------------------
      html & " ' < >
      htmlall 全ての html エンティティをエスケープ
      quotes ¥'sample¥'
      mail @→[AT] .→[DOT]
      url URLエンコード
      hex hex エンコード
      --------------------
      category:smarty | by:ittoocomments(0)trackbacks(0) | -

      httpd: Could not reliably determine the server's fully qualified domain name, using 127.0.0.1 for ServerName

      2015.11.30 Monday 01:36
      0
        apachectl -k start
        apachectl -k stop
        をすると以下のエラーが発生

        ---------------------------------------------------------------
        httpd: apr_sockaddr_info_get() failed for サーバ名
        httpd: Could not reliably determine the server's fully qualified domain name, using 127.0.0.1 for ServerName
        ---------------------------------------------------------------

        対応は、httpd.confに以下を追加
        ServerName サーバー名:80
        category:Apache | by:ittoocomments(0)trackbacks(0) | -

        ノートPCバッテリー  V85 N17908 バッテリー V85

        2015.11.21 Saturday 21:22
        0
          ノートPCの電源の調子がよくないので購入

          うごくかな?
          ASUSTek 純正 Asus Eee PC 1001 1005 1101 1205 19V 2.1A 40W ACアダプター
          category:パソコン | by:ittoocomments(0)trackbacks(0) | -

          中国バイドゥ悪質すぎるだろ。baiduの「Moplus」はやばいらしい

          2015.11.09 Monday 17:19
          0
            中国バイドゥ悪質すぎるだろこれは。
            それなりに名の通った会社のすることじゃないわ
            個人情報流出どころのさわぎじゃないって。

            以前の、日本語かな漢字変換ソフト「simeji」以上のインパクトだな。

            ------------------------------------------------------------------

            中国バイドゥがAndroidにバラまいた猛毒
            東洋経済オンライン 2015/11/9 07:50 本田 雅一

            中国バイドゥがAndroidにバラまいた猛毒

             中国のバイドゥ(百度)が提供するAndroid用アプリに重大なセキュリティ上の問題が発覚。その影響範囲の広さから衝撃が走っている。この問題への対処は可能だが、感染経路などを考えると、今後の影響は広範囲に及ぶ可能性がある。

             問題が見つかったのはバイドゥが提供しているAndroidアプリ開発キット(アプリ開発を容易にする部品集)の「Moplus」だ。Moplusは、特に中国で開発されているAndroid用アプリに多数採用されている。影響範囲が広い理由の一つは、開発キット自身がセキュリティ問題を抱えているため、それを使って作成されたアプリにも同様の問題が存在している可能性を否定できないためだ。


            ■ バイドゥには前科
             バイドゥがセキュリティ問題を引き起こしたのは今回が初めてではない。日本語かな漢字変換ソフト「simeji」に、入力した文字列をバイドゥのサーバーにアップロードする機能が備わっていることが発覚。自治体などが業務に使用していた例もあって大きな問題となった。

             しかし今回の衝撃はもっと大きい。Moplusには”バックドア”と呼ばれる、侵入口を勝手に開いてしまう機能が備わっていたのだ。Moplusを使ったアプリを使うと、使用している端末にバックドアが仕掛けられてしまう。さらに、仕掛けたバックドアを使って簡単に端末を遠隔操作する機能まで有している。

             そのような機能を備えた開発キットを、中国を代表するネット企業と言えるバイドゥが作り大々的に配布。数多くのアプリ開発業者が利用していたからこそ”衝撃”が走ったのだ。

             Moplusに深刻な脆弱性があると指摘されたのは、10月21日のこと。Moplusを使ったアプリケーションを動かすと、Android端末に”ワームホール”と呼ばれる外部コンピュータから容易に侵入できる穴(一種のバックドア)を作るというものだった。

            ところが、11月6日のトレンドマイクロによる報告によると、事情がどうやら違うことがわかってきた。特定機能を実現する上での設計ミスなどに起因した脆弱性ではなく、Moplus自身の機能としてワームホールを作る機能が提供されていたようである。つまり、意図的なものだった可能性が高まっている。 トレンドマイクロがMoplusを使ったふたつのAndroidアプリで確認したところ、いずれのアプリも起動後に自動的にWebサーバーを起動する。このWebサーバーはネットからのアクセスを検出し、外部コンピュータから不正な処理を実行可能にしてしまうのだという。

             一度、起動されるとシステムに登録されるため、次回からは端末を起動するだけでワームホールが出現し、いつでも端末に侵入可能な状態になる。

            ■ 1万4112本のAndroidアプリが使用

             悪意を持った者は、このワームホールを使って実に多彩な操作を行うことができる。トレンドマイクロでは、「フィッシングサイトへの誘導」「任意の連絡先の追加」「偽のショート・メッセージ・サービス(SMS)送信」「リモートサーバへのローカルファイルのアップロード」「任意アプリのAndroid端末へのインストール」の5つの例を挙げている。

             なお、トレンドマイクロによると1万4112本のアプリがMoplusを用いて開発されており、それらのアプリを実行すると、上記のワームホールが出現する可能性がある。

             もうひとつこの問題を深刻なものにしているのは、出口が見えないことだ。

             バイドゥは問題の指摘を受け、10月30日の段階でMoplusを更新。新しいMoplusを使って開発されたアプリは、前述のWebサーバが自動起動することはない。しかし、「Moplusを使ったアプリが新しいMoplusを使った新版に更新され、端末上のアプリも更新される」まで、ユーザーの端末上に問題のアプリが残る。

             このことと、1万4112本のアプリに疑いがかかっていることを考え合わせると、最新版Moplusを修正しただけでは充分な速度で浄化が進まない事態も想定される。

            さらに旧版Moplusを用い、悪意をもって開発された「定期的に見たこともないアプリを何種類も勝手にインストールする」アプリの活動も確認されているというから、さまざまな亜種のワームが次々に降ってくる可能性もある。

             中国系デベロッパーが開発するAndroidに手を出さない……と思っても、エンドユーザーが区別することは容易ではない。まして、「Moplusのどのバージョンが・・・」と言われても大多数のユーザーは理解できない。手元の端末を確認したいのであれば、まずはAndroid対応のウィルススキャナーで端末を調査するほかない。グーグルが積極的にアプリストアから、問題のあるMoplusを利用したアプリを削除しなければ、完全な終息までにかなりの時間を要するだろう。

            ■ グーグルのエコシステム戦略にも影響

             今回の問題は、あるいはグーグル自身の戦略にも影響するかもしれない。

             グーグルはアプリ流通のエコシステムを健全化させるために、バージョンや端末スペックの細分化問題や、アプリストアの検索性や”おすすめ”機能を中心とした、必要なアプリとの出会いをきちんと作り込む開発に取り組んできた。

             一方でAndroid本来が持つ自由なカルチャーが、スマートフォンを用いて自由にアイディアを実現したい開発者にとって魅力的という側面もあり、自由さとのバランスを取りながらAndroidアプリのエコシステム改善が進んできたといえる。

             しかし、今回の件はAndroidアプリのエコシステムに小さくない影響を及ぼすだろう。アプリ流通への統制が強いiOSでは、同様の問題はまず起きないと考えられるからだ。もちろん、問題の開発キットを開発したのはバイドゥだが、それを用いた1万4112本のバックドアを作るアプリを流通に載せてしまっているのは、プラットフォーマーであるグーグルなのである。

             プラットフォーム・ホルダーとして、どのような対策を講じるのか。グーグルによるプラットフォーム運営の真価が問われる時が来ている。

            ------------------------------------------------------------------
            ■参考サイトURL
            中国バイドゥがAndroidにバラまいた猛毒


            ------------------------------------------------------------------
            Baidu IME を使っています。 なんか個人情報流出?みたいなのがあったらしいですね。 Twitterでみてびっくりしたのですが 絵文字がかわいいのでBaidu IMEという入力ソフトをインストールしていたのですが、 どうしたらいいのでしょうか?これから使っても危ないんでしょうか?

            ------------------------------------------------------------------
            ■参考サイトURL
            Baidu IME を使っています。 なんか個人情報流出?みたいなのがあったらしいですね。
            category:中国 | by:ittoocomments(0)trackbacks(0) | -

            FuelPHPの商用リリースセットアップにおける設定。httpd.confにSetEnv FUEL_ENV productionを書く

            2015.11.09 Monday 06:59
            0
              FuelPHPの商用リリースセットアップにおける設定
              複数環境切り替えは以下で行う

              Apacheで環境変数を設定する

              Apacheの設定で環境変数を指定。開発環境と本番環境のソースを同じにできるので、こっちの方がおすすめ。
              httpd.confのvirtualhost例

              apache で http.conf に以下の「SetEnv FUEL_ENV production」を記す。
              -----------------------------------------------

              DocumentRoot /var/www/html/fuel/public
              ServerName example.com
              SetEnv FUEL_ENV production

              -----------------------------------------------
              *上だと、bootstrap.phpの ソース書き換えがいらないのでこれを採用しよう
              category:fuelphp | by:ittoocomments(0)trackbacks(0) | -

              ad
              Calender
              1234567
              891011121314
              15161718192021
              22232425262728
              2930     
              << November 2015 >>
              Selected entry
              PR
              Category
              Archives
              Recommend
              Link
              Profile
              Search
              Others
              Mobile
              qrcode
              Powered
              無料ブログ作成サービス JUGEM