GINPRO / SQLの窓と銀プログラマ

さくらから、緊急のメールが来まして。

過去に自身でPHPを設置されたお客様、または弊社 /usr/local/bin や
/usr/local/php 等からPHPをコピーされたお客様は、以下の脆弱性が修復
されていないPHPを外部から実行される可能性がございます。

    http://www.php.net/archive/2012.php#id2012-05-03-1
    http://www.php.net/archive/2012.php#id2012-05-06-1

この脆弱性は外部から任意のコマンドが実行可能という大変危険な問題と
なっております。


なんですが、自分の当時のレポートを取り出してみました。( maglog なくなったのでまだ復旧してませんでした )

ここから
-------------------------------------------------------------
さくらのOSがバージョンアップされたのを機に、前から気になっていた事を確かめました。結論から言うと、タイトルを実現するのに、/usr/local/bin/php-cgi をコピーして来る必要はありません。もともと、このファイルは php のラッパーで、その中から呼ばれている実際の php が書き換わらないから今回OSが変更された時にエラーになったような気がします。

Unix の開発をした事はありますが、Apache は専門外なので理屈は良くわかりませんが、以下の方法で二つのさくらサーバーで確認しました。

1) /abc/r.php を作成( 中身は空、abc は URL 内ならどこでも良い )
2) htm のあるディレクトリの .htaccess に以下を記述

AddHandler keyword_01 htm
Action keyword_01 /abc/r.php

keyword_01 はなんでも良い、htm にピリオドはあっても無くても複数必要ならば、スペースで区切って並べる
以下は、std.htm の中身
<?
print_r($_SERVER);
?>
<?
phpinfo(1);
?>
以下はstd.htm と std.php 実行結果の違い。 
std.htm
    [REDIRECT_URL] => /html/std.htm
    [REMOTE_PORT] => 1292
    [SCRIPT_FILENAME] => /home/winofsql/www/html/std.htm
    [REQUEST_URI] => /html/std.htm
    [SCRIPT_NAME] => /html/std.htm
    [ORIG_SCRIPT_FILENAME] => /home/winofsql/www/abc/r.php
    [ORIG_PATH_INFO] => /html/std.htm
    [ORIG_PATH_TRANSLATED] => /home/winofsql/www/html/std.htm
    [ORIG_SCRIPT_NAME] => /abc/r.php
    [PHP_SELF] => /html/std.htm

std.php
    [REMOTE_PORT] => 1297
    [SCRIPT_FILENAME] => /home/winofsql/www/html/std.php
    [REQUEST_URI] => /html/std.php
    [SCRIPT_NAME] => /html/std.php
    [PHP_SELF] => /html/std.php

そして、r.php を置いた所に php.ini を置くとそれが読み込まれます。非常に都合の良い簡単な理屈ですね。よく解りませんが。

そして、r.cgi も試したのですが、こいつは r.cgi が実行されたわけです。つまり、マニュアルに書かれている表現と合致する結果です。

PHP では、まったくメモリ上で素通りしているような感じですね。サーブレットのフォワード、ASP にもそんなのありましたが、とにかく、php-cgi をコピーしたテストも行っていますが、見た目の結果は全く同じ。可能性として、こちらだと OS がまた変わっても問題なさそうです。

あとは、CPU の占有具合ですが・・・さすがに、それは調べる方法が解りません。

実運用したわけでは無いので本当の性能差は解りませんが、そもそも実装が簡単なので、あまり深く考えなくてもいいような気がします。
( さくらは、上位レンタルでないかぎり、cgi ですし )
-------------------------------------------------------------
ここまで

( ※ 実際は AddHandler myphp-script .htm とか書いてます )

と言う事で、もとより対処する必要が無かったのでした。ちなみに今でもこのページはたくさんありますが、機嫌良く動いているのです。( さくらさん凄い )


よくよく読むと、5.3.x と 5.4.x の脆弱性だったみたいですが・・・さくらの前バージョンが 5.3.10 のようなのでその為の対応のようで、5.2.17 使ってる人は関係無いみたいですね。なにもさくら側で更新されたふしは無いようなので( とは言うもののちょっと不安ですが、バージョン上げてくれというアナウンスは無いし、上げたくても MySQL が 4.0 なので上げれないのです )

成り行きで一度だけ全く知らない人の「絵」チャットに参加した記録です。
とても懐かしいです。もう遠い遠い、ある日の出来事です。

----------------------------------------------------------
めちゃめちゃたくさん絵を描きました。
使い方をやっと覚えたので描きまくりでした。

全部キャプチャできなかった(忘れた)んですが、3枚現存するので・・・

ここに貼っておきます



デビルマンをテキト−に描き始めて、うまくいったので横にシレーヌを
描き足したという。デビルマンは描きなれてるのでサンプリング無しですが、
シレーヌは描いた事無かったので、Google でフィギュアを見つけて参考に。




これ描く前に試し描きとして、ドラゴン描いてたのでそのイメージをそのまま持って来て
おっさんモンスターに。ドラゴンは大辞典持ってるので(笑)


 


絵チャットで、全身描くには小さめに書かないといけないので雑ですが、
最初に水彩で骨格描いてあと、肉付け。
結局ガイバーっぽくなってしまいました???


女性型ロボットなんですけどね。

手書きブログ専用・カスタムパレットツール 

カスタムパレットツールは現在4種類のソフトウェアで成り立っています。



Windows でパレットを登録できるようにする
このソフトでレジストリにパレットを作成して登録できるようにします。
と、同時に IE 拡張メニューにアプリケーションを登録して手書きブログのパレットに
自分で作成したパレットを転送できるようにします。

もともと IE 拡張メニューはレジストリに登録して使うというMicrosoft IE独自の仕様で、
それを利用する事によって、IE で開いたページで右クリックして表示される
ポップアップメニューから、そのページのコンテンツにアクセスする事ができます
ですから、IE 拡張メニューが登録されるレジストリ位置についでにパレット
情報を登録して利用しています

以下の画像をご覧下さい ( 「たぐをえらぶ」を右クリックしてメニューから選択します )
 

選択したパレットを手ブロ側へ転送します
 


パレットを作成して登録する
基本ソフトが手ブロに転送するパレットを作成します。
以下のような画面で、自由にパレットを16色を1セットとして16パレットまで作成して保存できます。
グラデーションは自動的に作成できるようになっており、最新バージョンの「スポイト追加バージョン」
を使用すると、デスクトップ上の好きな場所から色を取り出す事もできます

 


Firefoxで手ブロのパレットに作成したパレットをセットする
Windows 上にパレットが作成されているので、Firefox のアドオンを使って
その情報を読み出して、Firefox から手ブロのパレットに作成済みのパレットを転送します

現在、Firefox のバージョンアップに伴い、ページ内の右クリックで表示される
メニューから実行できるようになっています

 

 



その場で色を作成して手ブロで使用(パレットを全て転送して利用)

最新 : パレットプラグイン ( 使用方法 )

IE 拡張メニューやFirefoxのアドオンは、表示されている手ブロの外部からアクセス
するようなものなので、Windows に保存されたデータを取り出す事ができます。

しかし、ブックマークレットはそのページの一部として追加でユーザが埋め込む
ものなので、そこから外部の保存データにはアクセスできません。

ところが、IE 拡張メニューやFirefox のプラグインからすれば、もともとの
手ブロのページも、追加で埋め込まれたコンテンツも同等なので、カスタムパレットツール
経由で外部のパレットデータを一括で転送するようにしています。

一度転送してしまえば、16パレットはその場でボタン一つで転送できますし、
カラーをその場で作って利用する事もできます。
( IE 拡張メニューからも、Firefox アドオンからも転送可能です )

Flash Player の 64 ビット版オペレーティングシステム対応状況

こういうページがあって、ダラダラ書いてあるのですが、要するに

「Flash はまだ64ビット対応して無いから、32ビットのブラウザで使って下さい」

という事ですね。

最近、DELL Inspiron M5030 (NI15T-QL) と言う安〜いノートを買ったのですが
当初より64ビットである事は解っていて、通常のたいていの３２ビットのソフト
が動くであろう事はだいたい解ってましたが、こういうシチュエーションは少し
想定外でした。まあ、でも実害があったわけでは無く後から気付いただけなので
すが、試してみたら、確かに６４ビットと３２ビットの IE のプログラムメニュ
ーがあって、バージョンには64ビットの場合その表示があります。

で、それで Flash 表示しようとすると何も表示されないし、adobe のサイトへ
行くと「あなたの PCは・・・・」とか言われてしまいます。


関連する記事

DELL Inspiron M5030 (NI15T-QL) を買いました。/ 54,800円 にポイント13%




64ビット対応関しては、現在プレビュー版がダウンロードできますが、まだ時間かかる
んでしょう。詳しい事情は解りませんが、時代の変わり目に来ているのかなぁ・・・
なんて思いつつも、

「トラブルとか無いんだろうか?」

と、安〜い PC を買った一般の人々を心配する今日この頃です。

【ColorConsole 1.77】
コマンドプロンプト機能を拡張するタブウインドウを使ったWindows アプリケーション

個人的には、結果の内容の文字列を検索できたり、GO ボタンでリセットできたり、Shell の Folder メニューに登録できたり、普段の自分の運用に対して微妙にかゆいところに手が届くところがいいです。昨日、自分用WEBサービス : PHP版 : Seesaa の設定の「更新」をテストしていて、ローカルの PHP をコマンドラインから実行してテストしてたのですが、とても楽に感じました。デバッグ時に WEB 上のテキストを画面に出力するのですが、折り返さないのでとても見やすいです( 表示はチラツキますが )

また、以下の記事で書いたように、プロンプトを短くしているので、それともフィットしており、まだまだ既知のテクニックとコラボできそうです。


コマンドプロンプト(cmd.exe)起動時の長いプロンプトを短くする
 : 起動時に最初に実行するコマンドの登録

また開発者泣かせ

コントロールパネルから「システム」=>「リモートの設定」でラジオボタンで選択肢
が3つあるのですが、一番上だと「使えない」真ん中だと「使える」という設定なので
すが、最初 GUI で変更しようとしたら、Firewall が動いてないから、変更できません
・・・・というような事でした。

仕方ないので手動で Firewall を起動して、RegDiff を使ってレジストリの場所
をつきとめました。


Windows7 : コマンドプロンプトよりリモートデスクトップ


どうせならコマンドプロンプトから

mstsc で接続しました。このコマンドは、Windows7 のヘルプで検索できますが、何故か
「コマンドプロンプト」では無く、「プロンプト」で検索してください。また、同時にリ
モートでは、外部IP を持った XP モードを起動して、両方ともリモート接続してみまし
た。XP モードはデフォルトで接続可能でした。このほうがいいのに・・・

あと、リンク先に貼った Microsoft のリンクは、この話を調べた時に見かけたネタの
大元で、外出先からリモートデスクトップで接続する際の都合で、ポートを変更する場合
の情報で、レジストリは同じ場所の別の階層なのですが、レジストリのエントリが他に
ありすぎです。何に使ってるんでしょうね。


最後に、3つ目のラジオボタンですが、今回必要なかったので特に調べていません。ラジオ
ボタンを一番上にすると、関係サービスがすべて実行されないのですが、ラジオボタンを
真ん中に変えたとたん。起動されました。

しょっちゅう使わないのなら、確かにメモリは無駄ですが、最近はメモリも豊富ですし、
便利さ優先ならば真ん中でいいと思うのです。なんか不都合あったんでしょうか。良く
解りません。おかげで結構時間を使ってしまいました。

Windows7 + CreateCD でコマンドラインからDVD に書き込み

ハードディスクも大容量になり、仮想 PC の 差分ディスクなんかは、DVD でもサイズが追いつかないので、ポータブル HDD が必要になってきますが、とにかく媒体は安いし、ソースコードやソフトウェアの保存ならば十分ですし、手軽に使いましょう。一枚30円もしないとおもいますし。

エクスプローラから書きこむのもいいですが、開発で定常的に使うのならば、いちいちバックアップ元を指定してられないので、バッチファイルで一発で書きこみたいと思うはずです。XP の時代だと、フレームワークは必要だし、パッチも必要で面倒でしたが、Windows7 だとダウンロードしてきたらすぐ使えます。

そういう意味では、XP モードの XP には Framework と パッチが必要なのですけれど。

Windows Media Player API を使った簡易動画(画像)ギャラリーを作成する

■ 使用方法

1) エクスプローラで必要なファイルを選択する

2) 「送る」から「簡易ギャラリー作成」を実行

3)「処理が終了しました」というメッセージボックスが表示されたら、
  そのメッセージボックスを閉じて下さい

4) ファイルがあるディレクトリに play_nnn.htm というファイルが作成されて
  インターネットエクスプローラで開きます
  ( .HTM に対してデフォルトのブラウザが IE である必要があります )

5) 最初は、play_001.htm ですが、同じファイルがあると play_002.htm という
  ふうにカウントアップされます

6) play_001.htm が選択されたファイルのビュアーになります

7) 左下の「Play」ボタンをクリックすると再生が始まります

8) SHIFT キーを押しながら「Next」「Previous」をクリックすると、10先の
  ファイルが再生されます

9) 最後まで行くと、ループ再生なので最初へ戻ります

※ 再生中は、Full Screen ボタンが機能します

IE7 で、この設定を行うと、WMP コントロールの実行毎に情報バーで許可する必要がなくなる
のですが、何故か swf をアドレスバーで直接表示できなくなりますので、注意が必要です。
というか、とんでも無い危険だらけです・・・・

Flex 側のコードを書いて、保存されるのは確認したのですが、まだいろいろ整理しきれていません。

WEB 上のコードを参考に気を付けてコーディングしたつもりでも、やっぱり騙された感があります > Flex



守らないといけない事が少しあるみたいで、マニュアルなぞったのですがきっちり抜けてましたし・・・

サーバー側に Flex のソースコードは無く、fla なんてさっぱり解りません・・・
サーブレットも下手に触らないほうがいいでしょう、クライアント側だけでもこれだけ迷子になる
ような資料しかありませんので、まずは保存できてから考えて行けば良いと思います。

にしても、よくもまあこんなもの作ったもんですね。パケット解析したとかなんとか
す どこかに書いてあったようです。

古い IE でのお話です。

--------------------------------------------------------------------------------
WEB の開発やってると、しょっちゅうキャッシュを削除する場面に遭遇しますがけっこう面倒なので・・・。実は、これを IE の右クリックメニューに実装したくて作ったのです。

IEのキャッシュを1クリックで削除 : 【VC++】