2010/11/13 に出たらしい http://bakery.cakephp.org/articles/markstory/2010/11/13/cakephp_1_3_6_and_1_2_9_released を読んでびっくりしたんですが、 Twitter を軽く検索した限りだと CakePHP ユーザでない僕が気づいているのに (日本の) CakePHP ユーザさんたちがどうも気づいていないっぽいのでわかりやすくまとめてみることにしました! CakePHP には任意の PHP コードが実行できる致命的な脆弱性があります! 影響のあるサイト結構ありそうですが悪用厳禁です! ※通常リリースの告知のなかにこんな致命的な脆弱性に関する情報を思いっきりわかりにくく書いちゃうのはひどいなあと思うので、ユーザの方は CakePHP に文句を言うといいと思います。僕は CakePHP ユーザじゃない
タグ
- すべて
- MySQL (3)
- book (1)
- あとで読む (9)
- ネタ (2)
- *あとで (8)
- *あとで読む (36)
- .vimrc (1)
- 1981s (1)
- 2ch (3)
- 3D (1)
- AIR (4)
- AKB48 (1)
- API (5)
- AV女優 (3)
- AWS (7)
- ActionScript (2)
- Amazon (13)
- Amazon EC2 (6)
- AmazonEC2 (2)
- AmazonRDS (2)
- AmazonS3 (1)
- AmazonSQS (2)
- AmazonWS (1)
- Ameba (3)
- Android (10)
- Apple (4)
- CEDEC (4)
- CKEditer (1)
- CSRF (2)
- Cacti (1)
- CentOS (1)
- DECOLOG (2)
- DMM (1)
- DNS (5)
- DQL (1)
- DateTime (1)
- DeNA (14)
- Docomo (5)
- EC2 (2)
- EMA (2)
- EMR (1)
- FDT (1)
- FF (1)
- FFFTP (1)
- FREE (1)
- Flare (3)
- Flash (12)
- Flash Lite (2)
- Flex (2)
- Flex4 (1)
- GAE (1)
- GDC (5)
- GIGAZINE (1)
- GPL (1)
- Gearmand (2)
- GeoHash (2)
- Github (2)
- Gmail (2)
- Go (1)
- Google Analytics (3)
- GoogleAnalytics (2)
- GoogleAppEngine (1)
- GoogleMaps (1)
- GooglePublicDNS (1)
- GoogleSpreadsheet (1)
- HDMI (1)
- HTML5 (15)
- Hadoop (2)
- IMAKADO (1)
- IPv4アドレス枯渇 (1)
- IS03 (1)
- IT (2)
- Instagram (1)
- JASRAC (1)
- JSON (1)
- Java (3)
- JavaVM (1)
- KDDI (3)
- KLab (2)
- KVS (14)
- KyotoTycoon (1)
- Linux (3)
- MobaSiF (1)
- OAuth (3)
- OAuth2.0 (1)
- ORM (1)
- OWS (1)
- Objective C (1)
- OpenCV (1)
- OpenPNE (2)
- PARTITION (1)
- PHP 5.3 (3)
- PHP5.3 (1)
- PHPカンファレンス (4)
- Pager.js (1)
- PowerPoint (1)
- RDBMS (1)
- RDS (4)
- RPG (2)
- Redmine (11)
- SAN (16)
- SNS (7)
- SOD (2)
- SONY (1)
- SVG (9)
- Softbank (1)
- Software (1)
- SourceForge (1)
- Symfony2 (1)
- TENGA (5)
- TokyoCabinet (2)
- TopCoder (1)
- Twig (7)
- UBASIC (1)
- UGC (1)
- UI (4)
- Unity (1)
- VAIO (1)
- VPS (7)
- WAF (1)
- WiiU (1)
- Wikipedia (1)
- Wordpress (1)
- W杯 (1)
- XHTML (2)
- YAPC (2)
- admin generator (1)
- adobe (1)
- algorithm (3)
- amazon rds (1)
- amazon s3 (1)
- animation (2)
- apache (14)
- apc (4)
- ark (4)
- as3 (1)
- atodekau (1)
- au (4)
- awk (1)
- bicycle (1)
- blackhole (1)
- book (2)
- bookmarklet (1)
- boost.php (1)
- business (4)
- cache (5)
- cakephp (1)
- canvas (2)
- capistrano (1)
- catalyst (1)
- cheatsheet (1)
- cloud (1)
- cloudforecast (4)
- cloudfront (1)
- cms (2)
- coffeescript (1)
- color (1)
- compass (1)
- css3 (1)
- cyberagent (1)
- daemontools (1)
- data (1)
- database (3)
- db (4)
- debug (1)
- deploy (1)
- diff (1)
- dino (1)
- doctrine (17)
- document (1)
- domain (1)
- eclipse (3)
- emacs (1)
- evernote (1)
- extension (4)
- extention (1)
- facebook (16)
- facebookアプリ (1)
- felica (1)
- ffmpeg (1)
- firefox (1)
- flashlite (12)
- fluentd (2)
- fork (1)
- fps (1)
- fusion-io (1)
- game (2)
- gearman (3)
- geo (2)
- geocoding (1)
- geohex (1)
- git (14)
- git-svn (1)
- google (12)
- google chrome (1)
- googleapps (1)
- gps (2)
- gree (43)
- grep (1)
- gumi (1)
- handlersocket (5)
- html (3)
- htmlメール (1)
- http (1)
- hudson (2)
- i18m (1)
- i18n (3)
- iPad (3)
- iPhoneアプリ (2)
- icon (2)
- im.kayac (1)
- imagemagick (3)
- innodb (6)
- install (1)
- interview (1)
- ios (2)
- iphone (19)
- iprof (1)
- isucon (5)
- jQuery (4)
- jQueryMobile (2)
- jasmine (2)
- javascript (22)
- jobqueue (1)
- jpmobile (1)
- jsdeferred (1)
- jsmine (1)
- jvm (1)
- kamaitachi (1)
- kayac (6)
- key-value (2)
- kinect (1)
- kyoto cabinet (3)
- less (1)
- libevent (1)
- life (1)
- lifehack (2)
- lighttpd (1)
- livedoor (1)
- log (2)
- lsync (1)
- ltsv (1)
- mac (9)
- macbookair (4)
- macports (2)
- mail (1)
- mbga (1)
- membase (3)
- memcached (19)
- mencoder (1)
- messaging (1)
- mixi (8)
- mixiアプリ (1)
- mobile (40)
- mod_pagespeed (2)
- mojolicious (1)
- mongodb (1)
- munin (2)
- mycached (1)
- mysql (54)
- namespace (1)
- nanofs (1)
- network (1)
- ngCore (2)
- nginx (6)
- node.js (12)
- nodejs (1)
- nohup (1)
- nosql (6)
- object (1)
- ogp (1)
- opensocial (4)
- os (1)
- pathogen (1)
- pdf (2)
- pecl (1)
- performance (1)
- perl (20)
- php (105)
- phpmatsuri (1)
- pixiv (2)
- plugin (5)
- prgmr.com (1)
- programmer (1)
- propel (5)
- proxy (4)
- puppet (1)
- python (2)
- q4m (11)
- queue (10)
- redis (4)
- regexp (1)
- repcached (1)
- rfc (1)
- routing (2)
- rtmp (1)
- ruby (1)
- ruby on rails (1)
- run (1)
- sass (1)
- screen (8)
- screenrc (1)
- security (2)
- seo (3)
- server (4)
- sex (2)
- sfForm (1)
- sharding (2)
- shell (4)
- skype (2)
- spec (2)
- ssd (1)
- stress (1)
- subversion (1)
- svn (1)
- swf (12)
- swf_bin (3)
- symfony (65)
- symfony plugin (2)
- template (2)
- teng (2)
- terminal (1)
- textile (1)
- tips (12)
- tmux (1)
- tokyotyrant (5)
- tool (1)
- tuning (1)
- tutorial (2)
- twitter (9)
- twitter bootstrap (1)
- typester (1)
- ubuntu (1)
- uml (1)
- unicode (1)
- unoh (1)
- unserialize (1)
- uupaa (3)
- uupaa.js (2)
- varnish (1)
- vim (22)
- vimscript (1)
- web (10)
- webサービス (19)
- webデザイン (3)
- web制作 (4)
- wonderfl (2)
- xdebug (2)
- yapcasia2010 (3)
- yokohama.pm (2)
- zsh (3)
- zynga (2)
- あとでみる (2)
- あとで試す (3)
- あとで読む (134)
- うんこ (3)
- おっぱい (12)
- おもしろ (23)
- おもしろい (4)
- お役立ち (4)
- これはすごい (33)
- これはひどい (8)
- さくら (4)
- さくらインターネット (3)
- はてな (4)
- まとめ (28)
- アイコン (3)
- アクセス解析 (2)
- アフィリエイト (4)
- アプリ (3)
- アルゴリズム (6)
- イラスト (2)
- インタビュー (9)
- インフラ (13)
- ウェア (2)
- エロ (3)
- エンジニア (16)
- オブジェクト指向 (2)
- オープンソース (2)
- カヤック (3)
- キャッシュ (3)
- ギャル (3)
- クラウド (6)
- ケータイ (12)
- ゲーム (34)
- ゲームデザイン (7)
- コマンドライン (3)
- コロプラ (3)
- コーディング規約 (4)
- サッカー (5)
- サバゲー (3)
- サーバー (2)
- サーバ管理 (3)
- サービス (6)
- スケーラビリティ (3)
- ストレージ (3)
- スマートフォン (18)
- セキュリティ (24)
- ソーシャル (3)
- ソーシャルアプリ (19)
- ソーシャルゲーム (48)
- ソーシャルメディア (11)
- チューニング (14)
- テスト (4)
- テレビ (3)
- ディズニー (2)
- デザイン (9)
- デザインパターン (2)
- データベース (7)
- データマイニング (6)
- トレーニング (2)
- ドット絵 (2)
- ドラクエ (4)
- ネタ (13)
- バイナリ (2)
- パフォーマンス (13)
- ビジネス (16)
- ビジネスモデル (4)
- ファッション (3)
- フリー素材 (4)
- プログラマ (6)
- プログラミング (6)
- プログラム (4)
- ベンチャー (3)
- マネタイズ (3)
- マーケティング (11)
- メンテナンス (2)
- モチベーション (2)
- モバイル (23)
- モバゲー (6)
- モバゲータウン (6)
- ユーザビリティ (4)
- ライセンス (2)
- ランキング (3)
- レプリケーション (4)
- 二郎 (2)
- 人生 (3)
- 仕事 (3)
- 任天堂 (3)
- 位置情報 (2)
- 原発 (2)
- 命名規則 (2)
- 地図 (2)
- 岩田聡 (2)
- 広告 (2)
- 戦略 (2)
- 技術 (7)
- 携帯 (14)
- 携帯サイト (8)
- 政治 (2)
- 教育 (4)
- 文字コード (2)
- 日本 (4)
- 日本語 (4)
- 映画 (2)
- 最適化 (2)
- 東北地方太平洋沖地震 (3)
- 欲しい (3)
- 画像 (5)
- 監視 (2)
- 睡眠 (4)
- 筋肉 (2)
- 素材 (3)
- 経済 (2)
- 絵文字 (3)
- 考え方 (10)
- 自転車 (36)
- 著作権 (2)
- 言葉 (2)
- 設計 (7)
- 読み物 (3)
- 課金 (3)
- 調査 (2)
- 負荷テスト (2)
- 負荷分散 (6)
- 軽量化 (2)
- 運用 (6)
- 配色 (2)
- 開発 (11)
- 開発環境 (3)
- 障害 (2)
- 雑学 (2)
- あとで読む (134)
- php (105)
- symfony (65)
- mysql (54)
- ソーシャルゲーム (48)
- gree (43)
- mobile (40)
- *あとで読む (36)
- 自転車 (36)
- ゲーム (34)
securityに関するken39argのブックマーク (2)
-
ken39arg 2010/11/17
- cakephp
- security
リンク -
Kazuho@Cybozu Labs: Shibuya.pm でセキュアコーディングの話をしてきた件
昨日は、Shibuya Perl Mongersテクニカルトーク#14 に参加してきました。 パネラーとしてウェブサイトのセキュリティに関するディスカッションに加えていただいて、いろいろ上から目線で大局的な話をしたり。一方、ライトニングトークでは具体的な事例として、既にブログに書いた Twitter の XSS に絡んで構造化テキストの処理手法について話をさせていただきました (参照: 構造化テキストの正しいエスケープ手法について, String::Filter っていうモジュール書いた)。 とはいえ、既にブログに書いたことを繰り返すのも芸がないので、正しい設計が何か、という切り口ではなく、どういう設計をすれば「安全」か、という話になっています。スライドは以下にありますので、興味のある方はご覧ください。
-
1
公式Twitter
- @HatenaBookmark
リリース、障害情報などのサービスのお知らせ
- @hatebu
最新の人気エントリーの配信
処理を実行中です
キーボードショートカット一覧
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
設定を変更しましたx