Mozilla短信 #13 - Mozilla Flux
と言う記事をヒトから教えてもらった。
JSON のネイティブ対応というのはセキュリティ的にいいですね。
まだ JSON はあまり使う機会がないけど、eval に内在する問題点はかねてから聞いていたので。
と言う記事をヒトから教えてもらった。
JSON のネイティブ対応というのはセキュリティ的にいいですね。
まだ JSON はあまり使う機会がないけど、eval に内在する問題点はかねてから聞いていたので。
WordPressをちょっと試してみようと思って、WordPress 日本語ローカルサイトよりダウンロードしてきて適当なディレクトリに展開し、ブラウザでアクセスする。
まず、こんな画面が出てくる。
指示通りに、「wp-config.php ファイルを作成する」をクリックすると、403 エラーが出てしまう。
403 エラーなので、サーバ(apache)が出力してるわけだから、サーバのログを確認する。
確かに拒否してる。
サーバの設定では特に拒否するようにはしていない。ローカルの IP からのみアクセス許可にしているだけ。
試しに allow from all にしてみたが同じだった。
よく分からないので、
cp setup-config.php test.php
として、対象のスクリプトのコピーを作って、それにアクセスすると表示された。 なんだこれ。
パーミッションと所有者は次の通り、同じ。
なのに、片方は表示できて、もう片方はダメ。
本家から英語版の同じバージョンをダウンロードしてきて試したけど変化なし。 そもそも、denied by server configuration なんだから、変わるはずもない。
.htaccess が勝手にどこかにないかとも思ったが、Override は許してないし。
で、httpd.conf を調べてて次のディレクティブを見つけて、これをコメントアウトしてみたら動いた。
Directory ディレクティブのマッチ演算子って、ファイル名にまで影響するの?
ディレクティブ クイックリファレンスのDirectoryディレクティブのところを見るが、別にそんなことは書いてないように見える。
よく分からないが、上記を allow from <local-net> にして、次に進んだ。
まず、こんな画面が出てくる。
指示通りに、「wp-config.php ファイルを作成する」をクリックすると、403 エラーが出てしまう。
403 エラーなので、サーバ(apache)が出力してるわけだから、サーバのログを確認する。
| [Sun Mar 22 11:18:15 2009] [error] [client 10.0.0.10] client denied by server configuration: /path/to/wordpress/wp-admin/setup-config.php, referer: http://host/path/to/wordpress/ |
確かに拒否してる。
サーバの設定では特に拒否するようにはしていない。ローカルの IP からのみアクセス許可にしているだけ。
試しに allow from all にしてみたが同じだった。
よく分からないので、
cp setup-config.php test.php
として、対象のスクリプトのコピーを作って、それにアクセスすると表示された。 なんだこれ。
パーミッションと所有者は次の通り、同じ。
| % ls -l setup-config.php test.php -rw-r--r-- 1 www www 7635 2 13 00:47 setup-config.php -rw-r--r-- 1 www www 7635 3 22 11:29 test.php |
なのに、片方は表示できて、もう片方はダメ。
本家から英語版の同じバージョンをダウンロードしてきて試したけど変化なし。 そもそも、denied by server configuration なんだから、変わるはずもない。
.htaccess が勝手にどこかにないかとも思ったが、Override は許してないし。
で、httpd.conf を調べてて次のディレクティブを見つけて、これをコメントアウトしてみたら動いた。
| <Directory ~ "config"> Order allow,deny Deny from all Satisfy All </Directory> |
Directory ディレクティブのマッチ演算子って、ファイル名にまで影響するの?
ディレクティブ クイックリファレンスのDirectoryディレクティブのところを見るが、別にそんなことは書いてないように見える。
よく分からないが、上記を allow from <local-net> にして、次に進んだ。
昨日、Ajax でクロスドメインアクセスで書いたことについて。
よく考えてみたら、自サーバ上にプロキシしてくれるスクリプトを置いてしまえばいいじゃないかと言うことに気付いた。 やっぱり深夜は気付かないうちに集中力が落ちてるのか。 簡単なことを見落とす。
Ajaxスクリプト → 自ドメイン上のプロキシスクリプトに必要な情報を渡す
→ プロキシスクリプトが代わりに情報を外部に取りに行って、結果をXML形式で返す
と言うだけのことだ。
やってみたら、すぐ出来た。
つーことで、続き作ろう
よく考えてみたら、自サーバ上にプロキシしてくれるスクリプトを置いてしまえばいいじゃないかと言うことに気付いた。 やっぱり深夜は気付かないうちに集中力が落ちてるのか。 簡単なことを見落とす。
Ajaxスクリプト → 自ドメイン上のプロキシスクリプトに必要な情報を渡す
→ プロキシスクリプトが代わりに情報を外部に取りに行って、結果をXML形式で返す
と言うだけのことだ。
やってみたら、すぐ出来た。
つーことで、続き作ろう
●情報処理推進機構:情報セキュリティ:共通脆弱性評価システムCVSS v2概説
と言うのがある。
実は見つけたのも最近で、v1 があることも知らなかった。
脆弱性監査ツールにはこの評価基準を取り入れたものもあるようだ。
こういう基準はあるといいね。
関連製品と記事。
- クリストンPrecision Vulnerability Management の新機能を発表 - Criston IT & Security Management Solutions
- ネットワークセキュリティ 脆弱性検査ツール eEye Digital Security - SCS 住商情報システム株式会社
- 脆弱性管理ソリューション『SecureScout(セキュアスカウト)』CVSS v2.0に対応 (IT ランダム プレス)
- 脆弱性対策情報データベース「JVN iPedia」をバージョンアップしました - ホットセキュリティ
と言うのがある。
実は見つけたのも最近で、v1 があることも知らなかった。
脆弱性監査ツールにはこの評価基準を取り入れたものもあるようだ。
こういう基準はあるといいね。
関連製品と記事。
- クリストンPrecision Vulnerability Management の新機能を発表 - Criston IT & Security Management Solutions
- ネットワークセキュリティ 脆弱性検査ツール eEye Digital Security - SCS 住商情報システム株式会社
- 脆弱性管理ソリューション『SecureScout(セキュアスカウト)』CVSS v2.0に対応 (IT ランダム プレス)
- 脆弱性対策情報データベース「JVN iPedia」をバージョンアップしました - ホットセキュリティ
うー
入力されたキーに従って、Ajax で情報を拾ってきて表示させようと思ったんだけど、クロスドメインになると 制限かかるのか…
だめやん。
マイクロソフト様のページによると、
となってて、やっぱりダメみたい。 ajax 以前の問題か。
さらにどうにかならないかと調べる。
●クロスドメインなのにAjax出来てしまう仕組み「ACD」:phpspot開発日誌
と言う記事にある、サンプルを試してみる。確かに書いてある通りの動作になる。
原理は同じで、分かりやすく説明されているのが次のページ
●ウノウラボ Unoh Labs: Dojoで簡単にクロスドメインAjaxを実現
JavaScriptのインクルードは、同一ドメインでなくても読み込めるという性質を利用しています
と言うことだそうだ。
なるほどなあ… みんな賢いよなあ…
んで、これはこれで危険性を持っているので、その理屈と注意点、対策についてはこちら。
●ここが危ない!Web2.0のセキュリティ:第3回 JSONPでのクロスドメインアクセス|gihyo.jp … 技術評論社
奥が深い…
入力されたキーに従って、Ajax で情報を拾ってきて表示させようと思ったんだけど、クロスドメインになると 制限かかるのか…
だめやん。
マイクロソフト様のページによると、
| Security Behaviors are subject to the About Cross-Frame Scripting and Security rules of Internet Explorer. In other words, a Web page that refers to a behavior located on another server in another domain results in an "access denied" error in the page's onerror event handler. In the same way, a Web page that refers to a behavior of a different security protocol than the referring page will result in the same error. For example, a Web page on http://server1/page.htm might not refer to a behavior on https://server1/hilite.htc. |
となってて、やっぱりダメみたい。 ajax 以前の問題か。
さらにどうにかならないかと調べる。
●クロスドメインなのにAjax出来てしまう仕組み「ACD」:phpspot開発日誌
と言う記事にある、サンプルを試してみる。確かに書いてある通りの動作になる。
原理は同じで、分かりやすく説明されているのが次のページ
●ウノウラボ Unoh Labs: Dojoで簡単にクロスドメインAjaxを実現
JavaScriptのインクルードは、同一ドメインでなくても読み込めるという性質を利用しています
と言うことだそうだ。
なるほどなあ… みんな賢いよなあ…
んで、これはこれで危険性を持っているので、その理屈と注意点、対策についてはこちら。
●ここが危ない!Web2.0のセキュリティ:第3回 JSONPでのクロスドメインアクセス|gihyo.jp … 技術評論社
奥が深い…
jQuery も Ajax も、そもそも JavaScript についても見事に初心者です。わし。
でも、ちょっとツールを作っている時に使ってみたいと思い、やってみてるけど、困るのは、Firefox で動作を確認して、IE でやってみると動かなかったりするケースが多いこと。
動かないのは仕方ないにしても、IE が表示するエラーメッセージはこれまた意味が分からない。
どうにかならないかと思って、ちょっと探したら、こんなページを見つけた。
IEでのJavaScriptのデバッグ方法 - Microsoft Script Editor編 - - Yet Another Hackadelic
ところが、IE7 ではそもそもスクリプトデバッガを起動するタイミングが来ない。 オプションの詳細設定で、デバッガを有効にしていても関係ない。
さらに調べると、マイクロソフト謹製のASP.NET AJAX 1.0をダウンロード&インストールすると良いらしいことを発見。
で、インストールしたけど、かわらんぞ… どうすりゃいいのかな
でも、ちょっとツールを作っている時に使ってみたいと思い、やってみてるけど、困るのは、Firefox で動作を確認して、IE でやってみると動かなかったりするケースが多いこと。
動かないのは仕方ないにしても、IE が表示するエラーメッセージはこれまた意味が分からない。
どうにかならないかと思って、ちょっと探したら、こんなページを見つけた。
IEでのJavaScriptのデバッグ方法 - Microsoft Script Editor編 - - Yet Another Hackadelic
ところが、IE7 ではそもそもスクリプトデバッガを起動するタイミングが来ない。 オプションの詳細設定で、デバッガを有効にしていても関係ない。
さらに調べると、マイクロソフト謹製のASP.NET AJAX 1.0をダウンロード&インストールすると良いらしいことを発見。
で、インストールしたけど、かわらんぞ… どうすりゃいいのかな
昨日の夜は山岳会の役員会があり、そのあとでちょっと夕飯を食べに近くの店を探した。
役員会の会場だったコンパルホールの近くには家鴨長屋があるが、あいにく満席で、どうしようかと大手町の方へ歩いていくと、なにやら道の向こうにぴかぴかと光るお店を発見。
行ってみた。
お店はここ。
○MEXICAN FOOD & DRINK ~テキラッチョ~
店内はこんな感じ
タコスはもちろんいろいろなメキシコ料理があって、どれもおいしい。
みんなおなかいっぱいになるまで飲み食いをしたのに、思いのほか安かった。
ブログもあった。
○テキラッチョ
役員会の会場だったコンパルホールの近くには家鴨長屋があるが、あいにく満席で、どうしようかと大手町の方へ歩いていくと、なにやら道の向こうにぴかぴかと光るお店を発見。
行ってみた。
お店はここ。
○MEXICAN FOOD & DRINK ~テキラッチョ~
店内はこんな感じ
タコスはもちろんいろいろなメキシコ料理があって、どれもおいしい。
みんなおなかいっぱいになるまで飲み食いをしたのに、思いのほか安かった。
ブログもあった。
○テキラッチョ
