Home Contact Sitemap

XOOPSTheme2ndC

リンク - xoops peak

FREE XOOPS THEME

XOOPSTheme2ndCへようこそ!当サイトは、商用・非商用問わず無料で利用できるXOOPSテーマの作成配布を行っています。テーマの作成方法として、2次著作権の付与が可能なCSSデザインを元にXOOPSCubeで利用できるよう仕立て直す方法を(主に)採用しています。XOOPSサイト作成時にテーマ選択の一つに加えていただけたら幸いです。

MAIN MENU

NEW DOWNLOADS

NEW COMMENT

Bookmark

XOOPSTheme2ndC RSS

 My Yahoo!に追加
 Add to Google
 rss2

W3C Validator

Valid XHTML 1.0 Transitional Valid CSS!

LINK



xoops peak xoops peak
xoopsモジュールの開発と配布を行われているサイトです。
当サイトでは「sitemap」「protector」モジュールを利用させていただいております。感謝!

lastupdate : 2007-12-30 0:01
hits : (166)

RSS feed   rss  最終更新日 2008-12-5 21:22

ProtectorにLFIだそうです(笑) (2008-11-29 4:45) xoops.org (Mamba) がこんなニュースを出しました。 Security : Protector Security Fix for XOOPS 2.0.x and 2.2.x users 先に結論から言うと、無意味なレポートなので、無視して構いません。 XOOPS_TRUST_PATH内のファイルにアクセスされたらLFIだ、なんてトンデモなレポートですから この世の中には、DocumentRootの外に置く部分と中に置く部分が別れているアプリケーションはごまんとあります。 むしろそういうアプリケーションの方が正しい設計であり、全部をDocumentRoot内に置く古いXOOPSの構造こそある意味おかしいと言えます。 もし、前者のようなアプリケーションについて、DocumentRoot外に置かれるべきコードをDocumentRoot内に置いて、そこに直接アクセスされたとしたら、そりゃあゴロゴロと「脆弱性」が出てくるように見えるでしょう。 少なくとも、PathDisclosureくらいはいくらでもあります。 でも、誰もそんな馬鹿げたレポートはしません。 なぜなら、DocumentRootの内か外か、というのは非常に重要な違いであると言うことを誰もが知っているからです。 XOOPS_TRUST_PATH はDocumentRootの外に置く これは大原則です。 こんなニュー ...

serialize()とvar_export()の比較 (2) (2008-11-12 4:08) serialize()/unserialize() var_export()/eval() A)安全性 この2つのペアを一見して判るのが、後者でeval()を使う怖さです。当たり前ですが、var_export()の出力であることが保証されているテキストで ...

serialize()とvar_export()の比較 (1) (2008-11-11 18:28) PHPで配列やオブジェクトをシリアライズする際、一般に利用されているのはserialize()です。 しかし、serialize()されたテキスト形式が、結構やっかいです。 具体的には日本語などのマルチバイト処理と ...

XOOPSにおけるSnoopy脆弱性の影響 (2008-10-30 16:04) Snoopyにコマンド実行脆弱性が見つかっています。 http://jvn.jp/jp/JVN20502807/ 現実には、XOOPS各フォークのコアで、任意のURIをSnoopyに渡す、ということはありませんし、各モジュールについても ...

XOOPSにおけるPHPエラーハンドリング問題 (2008-10-15 16:28) XOOPS2.0.4から導入されて「しまった」XoopsErrorHandler。 私自身、ことある毎にこれについて批判してきましたが、その理由は明確です。 (1) phpの設定によらず、PHPエラーがHTTPボディとしてechoされ ...

CGIを使った強力なWebアプリケーションインストーラ (2008-10-9 17:45) ●アプリケーションインストーラの原理等 前の記事でも書いたのですが、rsync+sshやsshログインが出来ない環境で、大量のファイルを展開するWebアプリケーションのセットアップは、かなり辛いものがあり ...

bashでWebアプリケーションを書く (2008-10-8 15:32) 私自身もともとPrimitiveな環境での実験が好きなのですが、今回、Webアプリケーション(というかちょっとしたCGI)をbashで書くことをいろいろと試してみました。(もちろん、Webサーバはapache) 結論 ...

「Ajaxセキュリティ」を監訳しました (2008-9-12 17:23) 最近、こんな書籍を監訳しました。 HP SoftwareのBilly HoffmanとBryan Sullivan両氏による"Ajax Security" (Addison-Wesley) が原著です。 基本的には、渡邉さんの手による和訳文を読ん ...

D3モジュール用のイベント通知ハンドラ (2008-9-6 6:02) D3モジュールの問題点として、イベント通知処理が面倒、というのがあります。 X2のNotificationHandlerは、triggerEvent()する時に、 ROOT/modules/(dirname)/language/(lang)/mail_template/(mail_templ ...

XUGJダウン中 (2008-8-30 18:39) 8月29日深夜より、XUGJがアクセス過多でSWAPしまくり状態になり、ほぼダウンした状態になりました。 私が連絡を受けた時点ですでにSSHログイン効かない状態になっていて、かろうじて生きていたserver-st ...


投稿された内容の著作権はコメントの投稿者に帰属します。