Semantic Web – WordPress

Archive for 1月 2006

osCommerce 日本語版 (register_globals = Off 対応版)と Xrea.comサーバ

leave a comment »

Xrea.comさんのサーバ環境では、最新サーバ s18* であっても php.ini 設定は register_globals On に変更されています。
   エントリー「php_flag register_globals Off and Movable Type 3.11, 3.12」
   » http://www.osbsd.net/2004/12/php_flag_regist.html

よって、すべてのスクリプトが EGPCS (Environment, GET, POST, Cookie, Server) 変数からセキュリティ上安全なスーパーグローバル変数に変更されている
   osCommerce 2.2 MS1 日本語版 (register_globals = Off 対応版)
   » http://sourceforge.jp/projects/tep-j/
最新版 oscommerce-2.2ms1j-R5-rgoff.tar.gz 1.0 MB (2004-05-25 16:53)
を Xrea.comさんのサーバにインストールするとき、ディレクトリ内 .htaccess は必ず、

php_flag register_globals Off
php_flag output_buffering Off
php_flag track_vars On
php_flag magic_quotes_gpc Off

として、ローカル(ホームディレクトリー)内で php設定を変更します。
最終セキュリティ報告
「osCommerce 2.2 MS1のセキュリティ問題 (2004-05-28)」
   » http://www.bitscope.co.jp/tep/news.html
に対して、上記の register_globals = Off 最新版は対応しています。
しかし、たとえば、
* catalog/includes/functions/general.php
   » http://cvs.sourceforge.jp/cgi-bin/viewcvs.cgi/tep-j/oscommerce-2.2ms1j/catalog/includes/functions/general.php
の中で、Revision 1.15 以降のファイルは、register_globals = On 版のみ提供されていますので、上書きインストール前にファイルを編集する必要があります。

参照ページ:
PHPバージョンによるphp.iniのデフォルト値は http://jp2.php.net/manual/ja/ini.php をご覧下さい。
■ register_globals
   » http://jp.php.net/manual/ja/ini.core.php#ini.register-globals
Xrea.comさんのMaster Value: On

■ output_buffering
   » http://jp2.php.net/ref.outcontrol
Xrea.comさんのMaster Value: output_buffering=4096

■ track_vars
   » http://jp.php.net/manual/ja/ini.core.php#ini.track-vars
Xrea.comさんのMaster Value: On

■ magic_quotes_gpc
   » http://jp2.php.net/manual/ja/ref.info.php#ini.magic-quotes-gpc
Xrea.comさんのMaster Value: Off

広告

Written by support

2006/01/29 at 12:25

カテゴリー: Server

TypePad ドメインマッピングとトラックバック・PINGサービスなど

leave a comment »

TypePadサイトをドメインマッピング ( DNS設定 cname)で運用すると、独自ドメインのIPアドレス「***.***.***.***」と送信元 URLのIPアドレス「***.***.****.***」は常に不一致となりますので、たとえば、送信先ブログ Movable Type 3.2 -デフォルト設定であれば、「迷惑トラックバック」 「迷惑コメント」と判定されます。また、一部のPING サービス ( http://ping.blo.gs/, http://blog.goo.ne.jp/XMLRPC など)では、更新 Pingは受理されません。つまり、デフォルトでは、トラックバック スパム"TrackBack spam"として扱われますので、ご注意下さい。

Written by support

2006/01/25 at 14:53

カテゴリー: TypePad

サイニタイズ、エスケープ、オーバーフロー

leave a comment »

So-netブログ "blog.so-net"のエントリー (同一投稿者)
  「タグ、特殊文字 <!–pre–>PREタグなど」
» http://blog.so-net.ne.jp/novel/2004-12-14
を当ブログにコピーし、ブログツール「Typepad」の対応を調査します。
エントリー転載: (注 MyBlogListは、現在「ドリコムRSS」と改称されています。)
[追記 2006/1/25] タグや特殊文字のサイニタイズ、エスケープは、各ブログツール・ブログサービスで対応が異なるので、新規登録・インストール時に確認した方がよいようです。この記事の投稿者は、本エントリーを他ブログにコピーし、「サイニタイズ、エスケープ、オーバーフロー」などの対応や Pingサーバの表示内容を調査します。
So-netブログにおけるタグ、特殊文字
(1) コメント欄のpostでは、タグが使えなかった。
(2) タイトル中に preタグを特殊文字 「&キーワード;」 「&#番号;」で書き込み、TB (TrackBack) ping すると、リンクリスト MyBlogList の表示が小さくなった( 正規のpreタグとして誤作動したようである ⇒ 追記【2004/12/16】 MyBlogさんに連絡しました。エスケープ出力となり、不具合解決 感謝のメールが届きました)。
(3) 本来のPRE タグではない。StyleSheet (CSS) のとおり表示されるが、ブラウザの横サイズを無視できないので、途切れてしまう。しかし、ソースを見ると、たしかに45文字「テスト」あります。
(4) 長い文章を引用するとき(コメント、出典元のコピー) 、BLOCKQUOTE タグを使い、適当なところで<br ⁄>の手動挿入を行うしかないようです。
PREタグ

テスト テスト ・・45文字繰り返し・・ テスト テスト  [画面サイズを越えたとき途切れます]

BLOCKQUOTEで同じ文章を表示

テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト テスト

使い方のマニュアルでは、本文の編集に際して "a address b blockquote br caption dd dir div dl dt em font h hr i img li menu ol p pre span strike strong table tbody td th tr u ul " のタグが使用できるようです。 テスト用コメント内では、危険なタグはエスケープされています。

&amp; &lt; &gt; ' "
&amp;amp; &amp;lt; &amp;gt; &amp;#039; &amp;#034;
&lt;pre&gt;
by エスケープ文字 (テスト入力)

以下に「TypePad」の調査結果を記載します。・・・
So-netブログとは異なり、エントリーのタイトルにタグ達が使用されると、エスケープされないようですので、早々に調べるつもりです。スタイルシート "overflow"規定値 visible (表示する)で比較します。

Written by support

2006/01/25 at 10:57

カテゴリー: ブログ blog

メール転送時の Return-Path: 等とメールフィルター

leave a comment »

ウイルスメールや迷惑 (spam)メールとしてフィルター設定できないものがあります。
   » Return-Path: <hpc@proc01.hi-ho.ne.jp>
たとえば、ウイルスメール着信拒否条件「Return-Pathに"hpc"を含む」メールとすると、パナソニックのプロバイダー hi-ho からの転送メールはすべて着信しないことになります。この条件下の着信拒否はできないため、もし、パナソニックのプロバイダーで「メールウイルスチェック」のオプション設定がなく転送先のプロバイダーも同様 (メール受信時にウイルスチェック・サービスを有するサーバを全く経由しない) であれば、メールアドレス「hpc@proc01.hi-ho.ne.jp」を詐称したウイルスメールはパソコンに着信することになります。 Panasonic Network Services Inc.提供のメール転送サービス「そのままメール転送」 「選んでメール転送」を使用中のクライアントはご注意下さい。因みに、
   » http://home.hi-ho.ne.jp/support/faq/option/vcheck/001024.html

Q: メールを自動転送していますが、「メールウイルスチェック」を利用できますか?
A: はい、ご利用いただけます。
受信時に、hi-hoのメールサーバでウイルスを検出・駆除したあとメールを転送しますので、転送先で安心してご利用いただけます。

[追記 2006/1/26]
たとえば、下記のようなウイルスチェックサービス結果がメール着信したとき、hpc @proc01.hi-ho.ne.jp は、ウイルスやワームによって偽装されたメールアカウントではなく、メール転送時に hi-ho.ne.jp さんのサーバが使用するアカウントです。

–ウイルスの検出情報と感染ファイルの処理結果–
【ウイルス検出情報】
ウイルス検出日時       :2006/**/** 20:12:53
感染していたファイルの名前  :****
検出されたウイルスの名前   :W32.Netsky.P@mm!enc
ウイルス送信元メールアドレス :hpc @proc01.hi-ho.ne.jp
ウイルス感染ファイルの処理結果:ウイルスを駆除しました

Written by support

2006/01/25 at 09:16

phpMyAdmin / phpPgAdmin (その2)

leave a comment »

データベース管理ツールとウェブ・ログイン認証についての更新情報です。
   » http://www.osbsd.net/2005/06/phppgadmin_phpm.html
   » http://www.osbsd.net/2006/01/httphtaccess_ip_a0fa.html
もご覧下さい。
Xrea.com さんのサーバでは、複数データーベース(最大 10) PostgreSQL, MySQL の管理はウェブ上から行うことができます。DB管理ツールはそれぞれ、phpMyAdmin, phpPgAdmin です。これらがインストールされるディレクトリーは、ログ閲覧ページの中で認証パスワード(ユーザー名:***(数字・文字数 3以上,パスワード:数字・文字数 限定 4 ****)となっています。
ユーザー名は公開状態(独自ドメインを除く)であり、常に非SSL経由でアクセスできて、パスワード4文字限定ですので、暗号強度は明らかに「低い」といえます。また、パスワードを含めて定期的にデフォルトとなります(自動設定)。
暗号強度をより改善する方法として、ディレクトリ"log"の直下にカスタマイズしたhtaccess, htpasswd ファイルを置いて、cronジョブで定時的にドットファイルを上書きする方法があります。
cron tab用ファイル例:

#!/bin/sh
cd /virtual/ユーザーID/public_html/log/カスタマイズしたht**用フォルダー名
chmod 604 client-customized.ht*
cp -r client-customized.htaccess ./../
cp -r client-customized.htpasswd ./../
cd ..
mv client-customized.htaccess .htaccess
mv client-customized.htpasswd .htpasswd
echo s***_log_htaccess_and_htpasswd_overwritten
exit

Written by support

2006/01/22 at 11:57

カテゴリー: Server

X-Cleaner Deluxe オンスクリーン キーボード と OS Windows Me

with one comment

個人ユーザ向けのアンチスパイウェア製品「X-Cleaner デラックス版
   » http://www.shareedge.com/spywareguide/index.php
は、とても優れた商品です。しかし、その機能の1つである「オンスクリーン キーボード」は、OS マイクロソフト社 Windows Me上では、デフォルトで下記のファイルがない(または、インストールされない)ために、起動・実行できません (他アプリケーションプログラムなどがインストールされたクライアントPCでは、これらファイルが存在し起動することがあります)。
2006/1/16 現在、本製品「X-Cleaner Deluxe」の利用可能なOSは   Windows/2003/XP/2000/NT/Me/98/95
   » http://www.shareedge.com/modules/shareware/view_shareware.php?lid=20040914-001
と表示されていますが、「オンスクリーン キーボード」については、今後 (Windows 98, ME など16ビット環境のOSに関して) メーカーサポート対象外となる可能性があります。
しかし、実際には、 C:\WINDOWS\SYSTEM 内に3つのファイルをコピーすると、ほぼ正常に作動するようです(個人的には検証済み)。

MSSWCHX.EXE 16KB
MSSWCH.DLL 32KB
OSK.EXE 269KB

Written by support

2006/01/16 at 11:49

httpプロトコルを制限する.htaccess 設定(許可IPの変更)

leave a comment »

Xrea.com さんのサーバでは、これまで、httpsプロトコル https:⁄⁄ のみアクセス可能とするためには、.htaccess 内に

Order deny,allow
Deny from all
Allow from 192.168.1 219.101.229

と追記すればよかったのですが、サーバ増設に伴いXrea.com さんのネットワーク環境が変更されたのでしょうか?いくつかのサーバ機では、上記のローカルIPなどは無効となっており、新しいグローバルIPの設定が必要です
参照ページ「Perl・PHP・JavaでHTTP環境変数を取得する方法
  » http://iwamode.net/etc/cgi_env_param.html
(無断転載引用厳禁のページですので固定リンクのみといたします)
などのスクリプトを利用し、URL

https:⁄⁄ss1.xrea.com⁄ユーザーID.sサーバ名.xrea.com⁄
https:⁄⁄ss2.xrea.com⁄ユーザーID.sサーバ名.xrea.com⁄
http:⁄⁄ユーザーID.sサーバ名.xrea.com⁄

でアクセスを行い、許可すべき「REMOTE_ADDR」をご確認下さい。
当方では、サーバ s1** で検証しましたので、

エントリー「htaccess ファイルによるアクセス制限」
  » http://www.osbsd.net/2004/11/htaccess__33ae.html
の他、
エントリー「phpPgAdmin / phpMyAdmin」
  » http://www.osbsd.net/2005/06/phppgadmin_phpm.html
エントリー「SSLで暗号化すべきウエブページが http でアクセスできる」
  » http://www.osbsd.net/2005/06/ssl_http__841a.html
の記事の一部を上記のとおり変更します。

Written by support

2006/01/14 at 21:58

カテゴリー: Server