cles::blog

画像ファイルにコードを埋め込むことによってウェブアプリを攻撃する方法についてMoPBの日本語訳をしていた大垣さんのブログで盛り上がっているようです。

画像ファイルにPHPコードを埋め込む攻撃は既知の問題

国内外のメディアで「画像ファイルに攻撃用のPHPコードが含まれていた」と比較的大きく取り上げられています。しかし、この攻撃手法は古くから知られていた方法です。条件は多少厳しくなりますがPerl, Ruby, Pythonでも同様の攻撃は考えられます。PHPの場合は言語仕様的に他の言語に比べ攻撃が容易です。

こういう攻撃ができること自体は認識していましたが、ここまで根が深い問題であるという認識はありませんでした。画像系のアップロード処理の全てにこれらのサニタイズ処理をかませなければならないとするならばさすがにこれは頭が痛い問題になりそう。

普段JavaScriptのデバッグにかなり重宝しているFirebugなのですが、今日改めてサイトを見てみるとトップページに「日本語版はこちら」という文言があることに気づきました。

Firebug - Web Development Evolved

Firebug は、Web ページを閲覧中にクリック 1 回で使える豊富な開発ツールを Firefox に統合します。あなたはあらゆる Web ページの CSS、HTML、および JavaScript をリアルタイムに編集、デバッグ、またはモニタすることができます。

いつの間にか日本語バージョンができていたんですね。まぁ、デバッガとしてはそんなに難しい機能は持っていないので英語のままでもそんなに困ることはなかったのですが、これでエンジニア以外の人にも勧めやすくなります。

笑えないニュースを見つけたのでメモ。

asahi.com：静岡新聞「不適切な引用」でおわび　ウィキペディアから - 社会

静岡新聞は、朝刊１面のコラムで出典を示さずにインターネットの百科事典サイト「ウィキペディア」から記述を引用したとして、５日付紙面に「お詫（わ）び」を掲載した。「不適切な行為で、読者と関係者の皆さまにおわび申し上げる」としている。

先日担当している講義でレポートを出したときに、問題の１つとして「○○について調べよ」というものを入れておいたら、半分くらいがWikipediaのパクリだった（しかも、ほとんどが出典の明記がない。）のでちょっとうんざりしたのだけど、まさか文章を書くのが本業の新聞社にまでそういう風潮があるのかと思うとさすがに笑えません。

「○○というエントリに違う内容が表示されているのですが」という問い合わせをもらって気づいたのですが、NP_Cacheにどこかバグがあり違うページの内容でキャッシュがおこなわれてしまうことがあるようです。

だからといって負荷の問題でNP_Cacheは外せないので少しロジックを検証してみたいと思います。

べつやくメソッドで使われている円グラフが簡単に作れるサービスを見つけました。

HeartRails Graph | キュートな円グラフ簡単作成サービス

「HeartRails Graph」 は、下みたいなグラフを簡単に作成するサービスです。各項目の文章と比率を入力すると、いわゆる 「べつやくメソッド」 的なグラフが適当に生成されます。レビュー記事やアンケート結果等にいかがでしょうか？

一発ネタAPIですけど面白いです。
とりあえず、友人のデイリーポータル大好き人間のいわを君にフォワードしておきたいと思います。

自分の電話番号を覚えていないので、何かの申込フォームで電話番号の記入欄があったりするといちいちケータイを取り出してごそごそ検索していることも多いんですが、どうやらそれは自分だけではないみたいです。

Yahoo!ニュース - RBB TODAY - 8割が「電話番号が覚えられない」、5人に1人が「自分の携帯番号を覚えていない」―NTT-BJ調べ

自分の携帯番号（持っていない場合は自宅の番号）を覚えていますかとの問いには、19.3%が「いいえ」と答え、とりわけ女性で「いいえ」と答えたのは26.0%に上った。覚えている電話番号の相手については、恋人と答えた未婚女性は7.4%と10人に1人にも満たない一方、既婚女性の50.0%が配偶者の電話番号を覚えていると回答した。電話番号を何件覚えているかの問いに対する女性平均は5件以上にもかかわらず、恋人の電話番号を覚えない傾向が目立った。同様に未婚男性は15.1%、既婚男性は29.5%と低く、パートナーの電話番号を覚えている人は意外と少ない結果となった。

この調査、恋人の話と結びついてるのが面白いですね。
まぁ、それだけよくかけると発着信履歴に入っているんでしょうから番号を回すっていうこともないんでしょうね。

Bulkfeedsの調子が悪いので、keywordタグ自動生成機能をYahoo!API経由で行うようにしてみました。例によってYahooのアプリケーションIDが必要ですので下記の説明を読んで試してみてください。この変更に伴ってプラグインオプションが変更されたので、一度アンインストール後、再度インストールする必要があります。

※使い方についてはplugins:metatags[Nucleus CMS Japan Wiki]を参照してください。

動作確認はNucleus 3.3（UTF-8）、PHP 4.4.7環境で行っています。動作確認報告、バグ報告はこのエントリへ、コメント・トラックバックをお願いします。

NP_MetaTagsではmetaタグのkeywordsを記事の本文から特徴後を抽出して自動的に生成する機能があり、これはBulkfeedsの特徴語抽出APIを使わせてもらっていました。ところが、このところBulkfeedsが落ちたままなので別の方法で特徴語抽出ができる方法がないか探してみました。

[を] 形態素解析と検索APIとTF-IDFでキーワード抽出

目的：キーワード抽出対象テキストから、そのテキストを代表する キーワードを抽出します。TF-IDF という指標を用います。（この値が大きいほどその単語が代表キーワードっぽいということでよろしく。）

たつをさんの上記のページを見る限りでは精度はともかく簡単なものであればすぐにできそうです。当時はYahooに形態素解析APIがなかったので、ローカルで茶筅なり、MeCabを使う必要がありましたが、今は全てYahoo!APIだけで全て完結できますね。

GNU GPLのバージョン3が正式にFSFからリリースされたようです。

FSFがGPLバージョン3を正式リリース：ITpro

Free Software Foundation（FSF)は6月29日（現地時間），GNU General Public License（GPL）のバージョン3を正式公開した。バージョン3ではソフトウエア特許対策やデジタル著作権管理への対応，国際化などの点で拡張が行われている。2006年1月に草案の第1版を公開して以来，多くの論議を呼んできたGPLの改定がようやく完了した。

GPLはフリーソフトのライセンスとしては厳しい部類ですし、そのためにいろいろと扱いが難しいところがありますから、しっかりとキャッチアップしておきたいと思います。

一括削除機能を実装したNP_TrackBack v2.0.3jp10をリリースします。その他たくさんの細かいバージョンアップを行っています。本バージョンより導入できるNucleusのバージョンが3.3以降になっていますので注意してください。

※使い方についてはplugins:trackback [Nucleus CMS Japan Wiki]を参照してください。

動作確認はNucleus 3.3（UTF-8）、PHP 4.4.7環境で行っています。
動作確認報告、バグ報告はこのエントリへ、コメント・トラックバックをお願いします。