Jeans & Development:2010年 04月の記事

async_socketクラス [プログラミング]

2010年4月27日

少し思うところあって、非同期のソケットクラスをPHPで書いてみた。

たぶん、こういった用途のライブラリは色々とあるのだろうけど、スクラッチから書くのが好きなので…。

Apache、侵入を許す [コンピューター・その他]

2010年4月15日

マイコミジャーナルより
Apacheふたたび侵入を許す、その手口
Apacheサーバが6日から9日までの間、何者かによる侵入を受けパスワードなどの情報が盗まれた。どのような手口で侵入され、何がおこなわれたかを Apache Infrastructure TeamのPhilip Gollucci氏がapache.org incident report for 04/09/2010 : Apache Infrastructure Teamにおいて報告している。どういった手口で侵入が謀られたのかが詳しく説明されており参考になる。

この情報は、XSSを利用した攻撃が実際にはどのように行われるのかを考察する上で興味深い。

PDFの「危険な仕様」 [コンピューター・その他]

2010年4月8日

PDFには設計上、コードを実行できる機能が組み込まれているらしい。これは仕様なのであって脆弱性ではないということなのだが、ユーザーにとっては脆弱性か仕様かはどうでもよいのであって、危険であることには変わりない。別の言い方をすれば、仕様が脆弱であるということになろう。

これについて、Foxit Readerでは回避するためのバージョンが、Adobe Readerでは回避するための方法が、それぞれ出ている。

窓の杜: PDF内のプログラムを無断実行される脆弱性を修正した「Foxit Reader」v3.2.1.0401
ITpro: PDFの「危険な仕様」、Adobe Readerは設定変更で回避

なお、Adobe Readerの場合、ほとんど使わないJavaScriptの機能もオフにしておいたほうがよさそうだ。以前、この機能のバッファーオーバーフローを利用した攻撃が存在していたことがあった。