Semantic Web – WordPress

Archive for 12月 2004

2つのエスケープ文字 特殊文字 と ASCIIコード

with 2 comments

クロスサイト スクリプティング」とよばれる悪質なクラッキング法を予防するためには、 

&   <   >   '   "

などの一部の特殊文字 がホームページの入力フォームなどに書き込まれたとき、それぞれ、

&amp;   &lt;   &gt;   '   "

に強制的に自動変換後、出力されなければなりません (エスケープ出力)。
これらの特殊文字を「エスケープ文字」といいます。出力された文字列は、タグやスクリプトの機能を失っています 。
なお、ANSI(米国規格協会)によって定められた「ASCII文字コード」00011011 (1/11) のエスケープ文字 のことではありません。

広告

Written by support

2004/12/16 at 21:15

MySQL 5つ PostgreSQL 5つ 合計最大10 のDB使用可

leave a comment »

Xrea.comさんのサーバでは(有料広告免除サービス利用時)、複数のデータベースに対応しました。
開始日時: 2004年12月10日
データベース(MySQL/PostgreSQL)の使用については、
http://sb.xrea.com/showthread.php?t=8756
をご覧下さい。

Written by support

2004/12/10 at 15:53

カテゴリー: ブログ blog

hosts ファイル 銀行 個人情報 URL 正引き nslookup フィッシング 詐欺

with one comment

URL の確認方法 -よく利用する銀行、インターネット・バンクなどの URL が正しいか?
-フィッシング詐欺などにより偽のウェブサイトに強制的にリダイレクトされていないか?
ウェブ偽装詐欺「フィッシング」は、internet piracy (インターネット上の海賊行為) の1つで、"phishing"と名づけられ、"fishing"と同じ発音です。
インターネット上では、ホスト名(ドメイン名) と グローバルIP アドレスは対応しています。1台のサーバ機( 同じグローバルIPアドレス)に、複数の独自ドメインを登録することはできます (バーチャルドメイン)が、詐欺サイトと銀行等のウエブサイトが同じサーバ機や同じローカルネットワーク上に存在することはあり得ませんので、パソコンに正式なグローバルIP アドレスを強制的に設定し、URLの真偽を確認します。
(1) 親展郵便などで届いた正式な契約書に記載された インターネット・バンク、銀行、クレジット会社のウエブサイトURLのIPアドレスを調べます(「正引き」といいます)。
たとえば、
   http://www.websitepulse.com/tools.php3
などにアクセスします。
複数のサービス (検索サイトにて、キーワード “nslookup” と入力すると、「正引き」サービス提供サイトがいくつもヒットします) を利用し、IP アドレスを調査し、メモします。
(例) websitepulse.com のツールでは、HostName Test のフォーム内に、
ホスト名(例) http://www.example.com ないし ドメイン名(例) example.com
などを入力すると、IPアドレスが表示されます。
(例)
   Name: http://www.example.com
   Known IP Addresses:
   - ***.***.***.** (*** は、すべて半角数字です)
(2) パソコンのシステムフォルダ内の ファイル hosts を編集します。
hosts の [PATH] はOSやバージョンによって異なります。
OS: Windows
   C:¥WinNT¥System32¥drivers¥etc¥hosts
ただし、Win 98, Win Meでは
   C:¥WINDOWS¥hosts.sam を編集し、別名 hosts で保存します。
OS:Linux, Unixなど
   /etc/hosts
ファイルの最下段に調査したIPアドレスとドメイン名(ホスト名) を追記します
     127.0.0.1     localhost
     ***.***.**.**     www.example.com # この行を追記します。 IPアドレスを入力しTabキーを押して、ドメイン名(ないしホスト名) を入力します。もし、複数の銀行についてチェックするとき、必ず改行します。追記したデータは、このまま残しておいても問題はありません (親展文書にて銀行URLやサーバ変更通知があれば、削除して下さい)。
(注): ファイル編集のために OS: Windows のメモ帳 Notepad を使用したとき、別名 hosts. で保存して下さい (必ず、ドットを最後に1つ付けます)。
「テキスト文書」「すべてのファイル (*.*)」の選択では、後者「すべてのファイル」です。もし、ファイル名が hosts であったり、テキスト文書形式で保存すると、hosts.txt  hosts..txtとして保存され、hosts ファイルの機能はありません。
(3) 次いで、ブラウザにキャッシュされたすべてのファイルを削除します。ブラウザの設定から、クッキー Cookie(s) も同時に削除します。
(4) 銀行等のURLを入力してアクセスできれば、ブラウザで表示されたホームページは公式ページであると判定できます。もし、アクセスできないときは、操作・設定のミス、または不正(にせ)サイトです。
(注): 本操作による確認前に、ブラウザにキャッシュされたデータは必ず削除して下さい。なお、銀行、インターネット・バンクのホームページへのログオン中ないしログオフ直後、他サイトには絶対にアクセスせず、他URLのホームページにアクセスするときは、一旦、ブラウザを終了させて、再起動後に行うべきです。
[追加情報 2004/12/8]
· 「フィッシング詐欺:メール開封だけで偽サイトに誘導」
  http://hotwired.goo.ne.jp/news/technology/story/20041116302.html
· ウィンドウズ・スクリプティング・ホスト Windows Script Host(WSH)
を無効にする方法
  http://www.geocities.co.jp/SiliconValley-SanJose/3220/secom2.htm#15
[追記 2005/12/17]
独立行政法人 情報処理推進機「ボット対策について」
  » http://www.ipa.go.jp/security/antivirus/bot.html
特定のウェブサイト、たとえば、Microsoft社や各ウイルス対策ベンダーのホームページに接続できない場合、すでにBOTに感染し「ゾンビPC」化したクライアント・パソコンの「HOSTS ファイル」が書き換えられていることがあります。

Written by support

2004/12/07 at 15:10

カテゴリー: S/MIME メール

ブログ blog の掲示板 BBS 化

新提案:ウェブログ著者(ユーザー)以外のクライアントに対して新規エントリーを制限付き許可するシステムを導入すると、掲示板として利用できるので、ご検討のほどよろしくお願いいたします。

試作ページ:
1) 送信フォームにて新規エントリー受付。メールアドレス取得、登録許可を管理側で決定。Kentさんの ASKA BBS をお借りしました。

     受付サイトで新規エントリーの送信 ⇒ http://www.osbsd.net/blog_bbs/index.xcg

2) ウェブログ著者(管理側) が採否決定、コメント。

     ブログサンプル ⇒ http://blog.so-net.ne.jp/novel/

現在、エントリーは自動ではありません。

ブログはメールによるエントリー投稿可能な新ブログツールを利用しました。以下は「So-net blog」の特徴と問題点です。なお、現在もベータ版?です。
ソニーコミュニケーションネットワークは独自のブログサービス「So-net blog」を開始しました (2004年11月24日)。
     http://arena.nikkeibp.co.jp/news/20041125/110154/
     http://blog.so-net.ne.jp/

携帯メールであれば、設定したメールアドレス(アカウントの変更自由)へ送信すると、新規エントリーとなります。
この機能を利用して、So-net blog を 掲示板 BBS 化することも可能です。
ただし、ベータ版では下記のように自動登録・設定されますので、ブログ管理者側でいくつかの編集が必要です。編集作業はパソコンのみ可能です。

自動登録内容
    Δ  カテゴリーの選択はできない(トップ登録したカテゴリとなる)
    Δ  共通テーマ moblog に自動登録され、タイトル、新規エントリーが公開される。
    Δ  トラックバック、コメントが許可される。

注意:「So-net blog」のスパマー対策は、残念ながら? Movable Type のような Type Key認証やIP Banning など一切ない。コメント、TrackBackを許可するクライアントは、無制限、So-net blog ユーザー内部、非許可の中からの選択となる。
よって、掲示板 BBS 化などに伴うアクセス制限はスパマー対策としても利用できると考える。

なお、So-netのユーザーIDを取得すると、So-net blog を無料で利用できます。ただし、無料で So-netのユーザーID を取得するためには、「こんてんつコース」への入会が必須で、この場合、ご本人名義のクレジットカードでの身元確認が行われます。

Written by support

2004/12/05 at 15:20

カテゴリー: ブログ blog

日記のようなホームページを簡単に作るために

with one comment

一部の大手インターネットサービスプロバイダー( ISP )提供のホームページ(無料オプション)上では、ブログツール ( Movable Type など) は通常、作動しないサーバ設定・環境となっています。
“記事を自由に書き込んで、日記のようなホームページを簡単に作りたい、公開したい” インターネットの初心者の方は、
Blog サービス
参照ページ(例): http://bulkfeeds.net/app/faq.html
がとても便利です。
    So-net blog ⇒http://www.osbsd.net/archives/000057.php
さらに、ブログツール Movable Type などをインストールしたい方は、まず、レンタルサーバの試用をおすすめいたします。その理由は、以下のとおりです。
==
Movable Type 新規インストールのためには、下記の動作環境が必要とされています。
http://www.movabletype.jp/product_overview.shtml
· CGIスクリプトを実行できる
· Perlのバージョン5.004.5以上
· アップロードするためのFTPなどのプログラム
· JavaScriptとCookieが利用可能 (Windows、MacOS、UNIX/Linux)
· 4つのデータベース・システムの少なくとも1つが利用可能: Berkeley DB、MySQL、PostgreSQL、SQLite
大手 ISP 3社のWWWサーバ (契約時に無料で利用可能となるものに限る) について MTインストールの可否を調査した。確認のために、MTの mt-check.cgi をサーバ内にアップロードした。
plala さん
· wwwサーバ cgi不可
· cgi専用サーバ OS: linux Perl: 5.00503 DB_File: version 1.65
(但し、cgi専用サーバの容量上限は無料 5MBである)
hi-ho さん
· www,cgiサーバ兼用 OS: solaris Perl : 5.00601
so-net さん
· wwwサーバ cgi不可
結 果: 大手 ISP 3社との基本契約の範囲内では、Data Storage モジュールの1つ DB_File がインストールされているplalaさんの cgi専用サーバであれば、Berkeley DB を利用すると、MTは作動するかもしれないが、容量上限は無料 5MBであるので、有料オプションにて容量増設しないとインストール不能である (MT 3.11日本語版本体だけで バイナリーファイル展開後 5.28MB あり)。
結 論: Movable Type を使いたいとき、ISP のオプションサービス, アプリケーション・サービス・プロバイダー (ASP), レンタルサーバ会社との契約、自宅サーバ構築などの方法で、Movable Type を利用することになる。
レンタルサーバーについては Milano::Monolog さんのページにとても有益な情報があります。
  http://rebecca.ac/milano/install/
なお、Movable Type 3.11-ja 以降では、予約投稿のために cron ジョブ を使用できるサーバ環境( たとえば、 Xrea.com さんのサーバなど ) も必要となります。

Written by support

2004/12/03 at 17:00

カテゴリー: ブログ blog

php_flag register_globals Off and Movable Type 3.11, 3.12

leave a comment »

Xrea.com さんのサーバーでは、PHP設定( php.ini ) register_globals On となっています。
Movable Type 3.11-ja では、スーパーグローバル変数 のみ使用しています。
.htaccess 内に下記の1行を追記し、セキュリティ上ハイリスクであるグローバル変数の使用を無効とします。
      php_flag register_globals Off
以下は簡単な解説です。
現在でも、EGPCS (Environment, GET, POST, Cookie, Server) 変数をグローバル変数として指定しないと作動しないサーバアプリケーションソフト (旧バージョンなど) がありますので、Xrea.com さんのサーバーなどでは、PHP設定ファイル php.ini にて、
      register_globals On
と、デフォルト Off (PHP 4.2.0以降) から On へ変更されています。これらの旧プログラムソフトをデフォルトの設定 register_globals Off のサーバ上で使用すると、ブラウザでアクセスしたとき、
   FATAL ERROR: register_globals is disabled in php.ini, please enable it!
などと表示されます。
しかし、本設定を有効 On にすると、セキュリティ上のリスクが多いので、
   http://www.sound-uz.jp/php/tips/security.html#01
PHP4.1.0 以降、セキュリティ上、安全な スーパーグローバル変数 ($_ENV、$_GET、$_POST、$_COOKIE、$_SERVER) の使用が可能となりました。
Movable Type 3.11-ja 以降、ダイナミック・パブリッシングによるPHPページ生成, PHP化が可能となりましたが、MTでは、グローバル変数ではなくスーパーグローバル変数の一部($_GET、$_SERVER など)が使用されています
よって、register_globals Off であっても作動しますので、Xrea.com さんなどのレンタルサーバでは、.htaccess を活用し、従来のグローバル変数使用を無効化することをおすすめいたします。
      php_flag register_globals Off
      php_flag track_vars On
の2行を .htaccess ファイルに追記し、WWWサーバ上のホームディレクトリ内などにアップロードします。
2行目の track_vars は、PHP 4.0.3以降の php.ini ではデフォルト onとなっているので、省略可能のようです。従来のEGPCS 変数は、グローバル連想配列 $HTTP_ENV_VARS, $HTTP_GET_VARS, $HTTP_POST_VARS, $HTTP_COOKIE_VARS, $HTTP_SERVER_VARS でそれぞれ参照するようになるとのことです(安全対策上)。

Written by support

2004/12/01 at 11:03

カテゴリー: ブログ blog