アカウント名:
パスワード:
短時日で素早くサイトを立ち上げることのみに着目するのであれば、PHPは悪い処理系ではない。しかし、これまで多くの脆弱性を生んできた経緯があり、改善が進んでいるとはいえまだ十分堅固とは言えない。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy
バカ丸出し (スコア:0, フレームのもと)
セキュリティもサーバーの設定もひどいな。HTTP のレスポンスを見ると、ダメなのは
PHP/5.2.6。まず PHP を採用する事自体、アウトだろ。例えば、PHPを避ける [ipa.go.jp] と IPA にあるが、案の定、脆弱性のあるバージョンを対策する能力も無い事を曝け出している。
JVN#50327700 PHP におけるクロスサイトスクリプティングの脆弱性 [jvn.jp]で問題となっているのは、「PHP 5.2.7 およびそれ以前」とある。まったく、JVNぐらい見ようね。
Charset だが、どうやら Apache の設定で utf-8 に決め打ちしているようだ。これは、本当にコンテンツを UTF-8 で全部統一するのでなければ
# AddDefaultCharset UTF-8
とすべきだろう。それにしても
リニューアルサイトに関する対応について
のソースを見ると、
お使いのブラウザでは
当サイトをご覧いただくことができません。
最新版のFlashプレーヤーをダウンロードしていただき
JavaScriptを有効にしていただく必要があります。
→Flashプレーヤーのダウンロード [adobe.com]
っていうのが凄いな。恥の上塗りもいい所。とにかく、さっさと業者を替えるべき。
h1~h6 のタグを文字の大きさを変えるのに使っているのも初心者並みの間違いだし。
Re:バカ丸出し (スコア:3, すばらしい洞察)
相手の粗を探して罵倒するような書き込みは、自分の墓穴を掘ることが多いからやめたほうがいいよ。なんとかwindowsの教訓もあるだろうに(って意味分かんないこと書いてみる)。
Re:バカ丸出し (スコア:2, すばらしい洞察)
display_errors = Off
とするだけで簡単に回避できるものです。
PHP的には、 display_errors = On で本番サーバを運用するというのはほとんどあり得ないことなので、これをもって SFC のサイトに該当の脆弱性があるとは言えないでしょう。
ほんとにそう思う? (Re:バカ丸出し) (スコア:1, すばらしい洞察)
>
> * OpenSSL/0.9.8c
> * PHP/5.2.6
> * Charset: utf-8
どうしてバージョン番号からセキュリティホールがあると断定できるの?
ヘッダを見ると Server: Apache/2.0.52 (Red Hat) となってるんだけど。
RedHat はバージョン番号を変えないままセキュリティパッチだけバックポートしていくベンダーだよね?
Re: (スコア:0)
Re: (スコア:0)