- 1 名前:nobodyさん [2006/12/09(土) 15:29:12 ID:eSahH2Nq]
- sCommerce系で商売繁盛。
osCommerce系 Part2
pc8.2ch.net/test/read.cgi/php/1108362994/
関連 >>2-5あたり
∧∧ ∧∧ ∧,,∧
/⌒ヽ)/⌒ヽ) ウレネ .ミ⌒ヾミ .客
(___ ( __) ミ __ミ コネーヨ..
- 251 名前:nobodyさん mailto:sage [2006/12/16(土) 13:12:03 ID:???]
- 子供の喧嘩だなこのスレ
ガキの煽りなんか構うなよ
- 252 名前:nobodyさん mailto:sage [2006/12/16(土) 13:21:24 ID:???]
- 結局脆弱性の具体的な場所は言えなかったね。テラワロスwww
- 253 名前:nobodyさん mailto:sage [2006/12/16(土) 13:22:59 ID:???]
- なんだかなぁ。。。
本当にガキだな
- 254 名前:nobodyさん mailto:sage [2006/12/16(土) 13:28:30 ID:???]
- もっと建設的な話しよーぜ!!!
鉄筋コンクリートってどう思うよ?
と書き込んでる俺が脆弱性厨ばかりのこのスレでは
まだまだまともな部類の件
- 255 名前:nobodyさん mailto:sage [2006/12/16(土) 13:33:56 ID:???]
- まいったなぁー
客からこのスレで脆弱性があるってんで、修正の依頼が来たよ。
なんだよ。
何処だってんだよ。具体的に言えよ。 デマかよ。
バグのないソフトは無いだろうが、扇動すんじゃねーよ。
- 256 名前:nobodyさん mailto:sage [2006/12/16(土) 13:38:04 ID:???]
- 早ッ!
- 257 名前:255 mailto:sage [2006/12/16(土) 13:40:56 ID:???]
- osCommerce系で商売してるトコが多い。
穴を発見して箇所をMLで教えるなり、修正方法を募るなりすれば良いが
>>34他のような扇動をしてドーする。
ニュー速板あたりにスレが立ったら、冗談で済まないぞ。
- 258 名前:nobodyさん mailto:sage [2006/12/16(土) 13:43:03 ID:???]
- わずか2時間で客のチェックが入るって。。。
しかも昼休み中くらいの時間に。。。
しかも客はこのスレをみて依頼をしているのに、同じスレに>>255みたいな書き込みするか?普通。。。
常識的に考えて。。。
- 259 名前:nobodyさん mailto:sage [2006/12/16(土) 13:52:11 ID:???]
- ((((((((o_△_)o サァーシラン
MLで流れたらパニック増大だろな。 シャレで済まないだろ
脆弱性と騒ぎ立てて、
具体的になーんも指摘しねぇ〜奴がどーなるかだけ。
穴を示せば神、示せないなら地獄だろうな。
- 260 名前:nobodyさん mailto:sage [2006/12/16(土) 14:05:56 ID:???]
- >>258
ワラタ!
ある意味勇気があるwwww
- 261 名前:nobodyさん mailto:sage [2006/12/16(土) 14:14:13 ID:???]
- すげーカキコがあると思ったらお前らというやつは
- 262 名前:nobodyさん mailto:sage [2006/12/16(土) 14:14:38 ID:???]
- 脆弱性発見、OSC狩り が事実であれば、
tep-j_MLで警告だけでも流すべきではないでしょうかね.
- 263 名前:nobodyさん mailto:sage [2006/12/16(土) 14:20:40 ID:???]
- 地獄に落ちる方に10万モリタポ。神はないな..
- 264 名前:nobodyさん mailto:sage [2006/12/16(土) 14:22:38 ID:???]
- 超初心者の俺はMLに加入しただけで脆弱性が最低一つはあることを知った
んだけど 怖くてこんなところで発言できないよ
- 265 名前:nobodyさん mailto:sage [2006/12/16(土) 14:24:57 ID:???]
- >>264
sourceforge.jp/projects/tep-j/forums/
- 266 名前:nobodyさん mailto:sage [2006/12/16(土) 14:27:34 ID:???]
- どうみてもキチガイ一人vsその他大勢のお祭りです
- 267 名前:nobodyさん mailto:sage [2006/12/16(土) 14:33:26 ID:???]
- >>264
具体的にどのメールで知った?
lists.sourceforge.jp/mailman/archives/tep-j-general/
- 268 名前:nobodyさん mailto:sage [2006/12/16(土) 14:38:01 ID:???]
- ↑こいつリアル基地外でしょ
- 269 名前:nobodyさん mailto:sage [2006/12/16(土) 14:38:08 ID:???]
- >>264
>>267
親切にセキュリティに詳しい人が 開発者が良く参加するMLに投稿して
開発者の方も対応を検討するとおっしゃってた
マジでえらいことにあったら困るのでそれ以上は絶対言えない ごめん
- 270 名前:267 mailto:sage [2006/12/16(土) 14:48:46 ID:???]
- >開発者が良く参加するML
レス、ありがとう
本家のMLかな。
そんな内容のモノがあったかどうか記憶にはないなぁー。
私の見落としかもしれないです
良かったらいつ頃の話か教えて頂戴。
- 271 名前:nobodyさん mailto:sage [2006/12/16(土) 14:54:00 ID:???]
- どうせデマだろ
- 272 名前:nobodyさん [2006/12/16(土) 15:44:56 ID:2tv1/5Z7]
- 俺もイラクに大量破壊兵器ないの知ってたけど・・・
マジでえらいことにあったら困るのでそれ以上は絶対言えない ごめん
- 273 名前:nobodyさん mailto:sage [2006/12/16(土) 16:02:59 ID:???]
- ↑こいつリアル基地外
- 274 名前:nobodyさん [2006/12/16(土) 16:13:48 ID:2tv1/5Z7]
- >>273
基地外ならセキュリティ関連話題からワサワサ沸いてるじゃないかwwwwwwwwwwwwww
>>273お前も基地外なんだぜ?wwwwwwwww
- 275 名前:nobodyさん mailto:age [2006/12/16(土) 17:08:45 ID:???]
- えっと、>>99は、自社サーバーにオンラインショップ機能を カ ン タ ン に追加!
全世界で1300サイト以上が採用しているオープンソースのECサイト構築ツール
「osCommerce」は・・・などと、書籍を販売するなど、
入門者的な人も多数このソフトを利用する事を知りながら、
かかる入門者を「ド素人がネトで質問しつつ導入しているような店」と表現し、
また、「これは容易に修正できるが、」などと、自己のスキルでは容易に解決できる事を知りながら
>>99が公開する手法で攻撃されてしまっても構わないと思って
公然の場に侵入方法のみを公開したと言うことでFA?
この99氏の行動は問題じゃないですか?
- 276 名前:nobodyさん mailto:sage [2006/12/16(土) 17:20:11 ID:???]
- 真面目に考えて、このソフトは商用で使っている人が多いだけに、
犯罪行為を扇動するような事をしていたら
「冗談でした。」「住人に対する煽りでした。」じゃ済まなくなる気がするわけで。
下手をすれば偽計業務妨害あたりの刑事事件になったり
民事で損害賠償を請求されるなど刑事・民事の両面から
徹底的にきたりして・・・自営業者が多いだろうし。(((( ;゜Д゜)))ガクブル
- 277 名前:nobodyさん mailto:sage [2006/12/16(土) 18:18:57 ID:???]
- >>275
> 公然の場に侵入方法のみを公開したと言うことでFA?
残念。侵入方法は公開されていない。
あるよといったが具体的な場所は示されておらず、
嘘の可能性が高い。
- 278 名前:nobodyさん mailto:sage [2006/12/16(土) 18:20:33 ID:???]
- 「ゼロから全て書き直さないと安全にならない」という話とか>>63
日本語環境がダメって話とかはどうなった?>>98
いわゆるピッキングの手口を公言したようなものなんだから、
もし本当ならちゃんと指摘&修正してくれないと怖いね。(*´・ω・)(・ω・`*)ネー
つか>>98がやっているような手口だけを公開するのは、いわば犯罪の教唆と同じだよ。同質。
osCの書籍の販売元である秀和システムに凸電して教えてあげた方がいいかもな。
万一、本を買った人が次々と犠牲になるような自体にでもなったらosCのイメージダウンじゃね。
ふと思ったのだが、まさかと思うが>>34でosC狩りを煽っている人と手口を公開した人って同一人物?
スレから犯罪者がでても嫌なので、そんな事はないと祈るけど。
もしosCの「きじゃくせい(←なぜか変換できない)」が本当なら、悪い事はいわん。
事が起きる前に、きちんと指摘&修正版出して誠意を見せておいた方がいいと思うぞ。(`・ω・´)シャレにならん。
>>277 >>98みてみれ。
- 279 名前:nobodyさん mailto:sage [2006/12/16(土) 18:21:33 ID:???]
- 取りあえず、各自、下記の本を検索して読むこと
PHPサイバーテロの技法―攻撃と防御の実際
修正情報(正誤表)
ttp://www.peak.ne.jp/support/phpcyber/
- 280 名前:nobodyさん mailto:sage [2006/12/16(土) 18:49:54 ID:???]
- 不正アクセス行為の禁止等に関する法律(一部抜粋)
第三条 (不正アクセス行為の禁止)
1 何人も、不正アクセス行為をしてはならない。
2 前項に規定する不正アクセス行為とは、次の各号の一に該当する行為をいう。
二
アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能による
特定利用の制限を免れることができる情報(識別符号であるものを除く。)又は指令を入力して
当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為
(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者の承諾を得てする
ものを除く。次号において同じ。)
第四条 (不正アクセス行為を助長する行為の禁止)
何人も、アクセス制御機能に係る他人の識別符号を、その識別符号がどの特定電子計算機の特定利用に
係るものであるかを明らかにして、又はこれを知っている者の求めに応じて、当該アクセス制御機能に係る
アクセス管理者及び当該識別符号に係る利用権者以外の者に提供してはならない。ただし、当該アクセス
管理者がする場合又は当該アクセス管理者若しくは当該利用権者の承諾を得てする場合は、この限りでない。
第八条 (罰則) 次の各号の一に該当する者は、一年以下の懲役又は五十万円以下の罰金に処する。
一 第三条第一項の規定に違反した者
第九条 (罰則) 第四条の規定に違反した者は、三十万円以下の罰金に処する。
---
4条の助長行為は適用されなさそう?かな。じゃあスレ>>98を読んだ第三者が実行行為を行った場合の98は?
>>98-99が同一人物だとすると、初心者が攻撃される事を予め意図して書いているようにも見える。
すると問題があると言われても仕方が無いような悪寒。書いてある内容が本当ならの話しだが。
- 281 名前:nobodyさん mailto:sage [2006/12/16(土) 19:09:23 ID:???]
- >>279が紹介しているセキュリティの本のように、
侵入の手口だけでなく具体的な回避策も書けばよかったのにね。
書かなきゃ単なる犯罪マニュアルだもんな。
- 282 名前:nobodyさん [2006/12/16(土) 20:18:46 ID:qU5F6hFh]
- 質問です。
osCommerce alter1で、
発信するメールの日付が将来(18時間後)になってしまいます。
たぶんサーバーのロケールの問題と思いますが、setlocaleが利かないので困っています。
どうやったら治せるでしょうか。
改正すべきファイルと箇所を教えてください。
サーバーはwindowsです。
- 283 名前:nobodyさん mailto:sage [2006/12/16(土) 20:38:44 ID:???]
- >>278
脆弱性を『きじゃくせい』って読んじゃダメ。
今までどれだけのクライアントが『きじゃくせいって・・・www』って思ったことか。
- 284 名前:nobodyさん mailto:sage [2006/12/16(土) 21:14:17 ID:???]
- 恥ずかしい奴だな。
まずは「(←なぜか変換できない)」でぐぐってから書けよ。
- 285 名前:nobodyさん mailto:sage [2006/12/16(土) 21:15:37 ID:???]
- >>278
「きじゃくせい」って…w
あなたの脆弱性がひとつ見つかりましたっとw
- 286 名前:nobodyさん mailto:sage [2006/12/16(土) 23:01:06 ID:???]
- >>98とかの「きじゃくせい」情報が嘘だとすると、
osCのカスタマイズで商売をしているような人から
業務妨害で訴えられるってこともありえるかもしれんなw
>>98の大人気にちょっと嫉妬w
- 287 名前:nobodyさん mailto:sage [2006/12/16(土) 23:08:05 ID:???]
- このスレの住人のレベルが見えてきた
- 288 名前:nobodyさん mailto:sage [2006/12/16(土) 23:35:13 ID:???]
- >>287
今頃かよw
人生0歳からやり直せお前はwwwwww
自分で作れる奴がこんなスレ来ないし
自分で改変できる奴ばっかりならこんな事話題にも上らんわwwwww
- 289 名前:nobodyさん mailto:sage [2006/12/16(土) 23:43:40 ID:???]
- 287と288の話題がものすごくかみ合ってない。ワロス。
噛み付くなら、3年ロムってからにしてね♪
- 290 名前:nobodyさん mailto:sage [2006/12/16(土) 23:54:36 ID:???]
- >>289
なんでお前がかみ合ってないことがわかるのかなぁ〜
かみ合ってるかもしれんやんwwwwwwwwwwww
かみ合ってるかかみ合ってないかがわかるのは
抽象的な元ネタ書いた>>287だけだよ?
他人のふりしてバカじゃねーの
もし他人なら知ったか乙
- 291 名前:nobodyさん [2006/12/17(日) 00:59:45 ID:DemO8jy4]
- きじゃくせい、ワッショイ
- 292 名前:nobodyさん mailto:sage [2006/12/17(日) 01:25:00 ID:???]
- 一人しょーもない池沼がいるな。
Ocs安全神話でもあんのか?
- 293 名前:nobodyさん mailto:sage [2006/12/17(日) 01:33:08 ID:???]
- 前スレのGPL基地まだいたのかよ
違反スレまで立てて必死だな
- 294 名前:nobodyさん mailto:sage [2006/12/17(日) 01:59:42 ID:???]
- osCを安全だと思って使ってる奴がいたのか!?
オワッタナ
- 295 名前:nobodyさん mailto:sage [2006/12/17(日) 02:21:21 ID:???]
- そもそもどんなシステムであっても安全ではないし、
当然誰もoscが安全だとは思っていないと思うが?
ただ一ついえることは、上で脆弱性が有ると騒いでいた奴がいるが、
具体的なソースコードの行番号を言えず、
それはデマの可能性が高という結論になっただけの話だ。
- 296 名前:nobodyさん mailto:sage [2006/12/17(日) 02:42:45 ID:???]
- そんなことわかっても2ちゃんで曝すようなことはするべきではない。
お前そんなことして訴えられても知らんぞ
- 297 名前:nobodyさん mailto:sage [2006/12/17(日) 03:23:06 ID:???]
- そもそも詳細がいえない場所で、脆弱性があるとか言うべきではない。
本当は脆弱性が無い、ただのFUD攻撃(不安にさせるだけ)と
普通の人は思うだろう。結局なんでもなかったんだと。
- 298 名前:nobodyさん mailto:sage [2006/12/17(日) 03:28:59 ID:???]
- こいつ一日中ここにいるな(ワラ
- 299 名前:nobodyさん mailto:sage [2006/12/17(日) 03:34:43 ID:???]
- じゃぁ、一体ボクはなにをしたらいいんだよ〜。
- 300 名前:nobodyさん mailto:sage [2006/12/17(日) 04:22:50 ID:???]
- >>298
誰か知りませんが、こんな時間にレスしているあなたも同類ですよ?
- 301 名前:nobodyさん mailto:sage [2006/12/17(日) 04:41:07 ID:???]
- GPL厨ってほんとに一日中ネットやってるんだな!
マジで驚いたww
絶対安全セキュリティ鉄壁OSCの調子はどうだい?www
- 302 名前:nobodyさん mailto:sage [2006/12/17(日) 04:59:39 ID:???]
- すまんがGPL厨=OSCにセキュリティ問題ないと主張=重複スレ立てた本人でいいのか?
AA貼ってる奴がGPL厨だよな?
- 303 名前:nobodyさん [2006/12/17(日) 06:41:33 ID:B5VcbLQM]
- >302
必死だな。
そんなんドーでもイイからアンタの言う 穴ってどこよ。
- 304 名前:nobodyさん mailto:sage [2006/12/17(日) 06:43:49 ID:???]
- >>302
YES
ただ、GPL厨だと違う意味に取れてしまうのでGPL基地外と呼称するのがいいだろう。
- 305 名前:nobodyさん mailto:sage [2006/12/17(日) 07:11:31 ID:???]
- >>301がFUD攻撃君に 100万モリタポ!!
具体的なソースコードの行番号を言えば済む事だよ。
- 306 名前:nobodyさん mailto:sage [2006/12/17(日) 07:11:48 ID:???]
- >>303
コイツはいつ寝てるの?
仕事してないの?
- 307 名前:nobodyさん mailto:sage [2006/12/17(日) 07:15:51 ID:???]
- 俺も >>301が扇動キチガイだと思うよ。おそらく>>302,>>306も同一。
- 308 名前:nobodyさん mailto:sage [2006/12/17(日) 07:30:19 ID:???]
- なんか同一人物認定受けちゃうし・・・
疑心暗鬼に陥ってるぞ
- 309 名前:nobodyさん mailto:sage [2006/12/17(日) 07:40:32 ID:???]
- いきなりこのスレに来て困惑してしまったみなさんへ:
このスレッドではマトモな話し合いはとてもできません。しかし、楽しいウォッチはできます。
以下に現在までの流れを記します。
○前哨戦
前スレにおいて通称GPL基地外が登場。オープンソースコミュニティのプログラマはユーザーに対して
パッチの提供やサポート義務があると豪語し大いにスレを盛り上げる。ちなみにGPLにそのような義務
の記述はない。
○現在
OSCやZencartに対してセキュリティ面での懸念を表明する人が数人登場。ここまでは至極普通の流れ
だったが、GPL基地外の登場により一変。曰く、OSCは全てのセキュリティホールが埋められているので
まったく問題ないとのこと。これに対して多くのプログラマより反論が寄せられる。
火病を起こしたGPL基地外は突然2ちゃんねるガイドライン違反の重複スレを立ててこれに応戦。しかし
誰もそちらに書き込まず、現時点でさえ2ゲットすらない有様。違反スレを立てたことに対する反省はみ
られず。
異常な粘着でAAや人格攻撃などを繰り返し、スレ荒らしを行う。
突然Webprog板が「プロが集う板」と表明。このスレに集まるのはプロしかいないと断言。根拠は不明。
ひと通り言い終えたのか、やや沈静化。しかし粘着は相変わらずで、自分以外は全て自作自演である
かのような妄想にとらわれる。
自演認定がエスカレート ←いまここ
- 310 名前:nobodyさん mailto:sage [2006/12/17(日) 07:50:00 ID:???]
- ↑ 暇だね。。
- 311 名前:nobodyさん mailto:sage [2006/12/17(日) 07:50:51 ID:???]
- >>98の基地外さんのシングルクォートの件
●SQL文の処理が、下記のようになっていれば大丈夫。
tep_db_query("select・・・・ where *** = '" . tep_db_input($***) . "'");
tep_db_inputでシングルクォートなどの危険な特殊文字をエスケープ(無効化)してます。
もし、SQL文の処理で tep_db_inputを付けていない $*** があったらそこは危ないです。 標準仕様は先ず、処理されてます
ただ、自分で追加した Contributions は注意。
発見したら、プログラム名と行番号を連絡です。
●osCommerce MS1 日本語版 R6a以降 であること
最新 2005-11-26 R7
悪質なテンプレート屋は、R5、R4〜をバグFixせずに販売してます。
購入の際は、最新の 2005-11-26 R7 であるかなど、要確認
- 312 名前:nobodyさん mailto:sage [2006/12/17(日) 08:01:11 ID:???]
- >>309
わかりやすい
乙!
- 313 名前:nobodyさん mailto:sage [2006/12/17(日) 08:06:58 ID:???]
- もう、終わりにしましょう。うざいだけですよ
---------------------------------------------
>>282
>osCommerce alter1で、
>発信するメールの日付が将来(18時間後)
メールの日付だけですか?
商品の登録日時などはどうなってます?
- 314 名前:nobodyさん mailto:age [2006/12/17(日) 08:22:41 ID:???]
- ◎いきなりこのスレに来て困惑してしまったみなさんへ:
このスレッドではマトモな話し合いはとてもできません。しかし、楽しいウォッチはできます。
以下に現在までの流れを記します。
○前哨戦
前スレにおいて通称GPL基地外が登場。”金” ”カネ” と豪語し、基本的に世界の共有資産として
成り立つosC利用者を唖然とさせるなど大いにスレを盛り上げる。
○現在
OSCやZencartに対してセキュリティ面での懸念を表明する人が数人登場し
osC狩りを扇動するもの、侵入手口のみを書いてみるもの、
指摘してもらえるんだからありがたいと思えなどと勘違いした発言を繰り返すもの、”
”金”を払って買えと豪語するもの、 ← 前哨戦を彷彿させる。
さらに、初心者が攻撃されても仕方がないと言っているように思える記述まで飛び出した事から一転。
それらの不明確な事実の提示は、商業利用をするソフトの性格上
本当であるなら、犯罪行為の扇動、風説の流布など、嘘なら、製作者に対する名誉毀損などなど数々の犯罪行為を
構成し、民事上の損害賠償の可能性までも指摘されたことから火病を起す。
以後、意味不明な言動及び自作自演を繰り返し、未だに具体的な明確な回答が得られない状態。 ←いまココ
- 315 名前:nobodyさん mailto:sage [2006/12/17(日) 08:32:18 ID:???]
- >以後、意味不明な言動及び自作自演を繰り返し、
>未だに具体的な明確な回答が得られない状態。
そうそう、具体的な明確な回答をすれば済む事なのにね。
何もないのは悪質
- 316 名前:nobodyさん mailto:sage [2006/12/17(日) 08:33:14 ID:???]
- >>311
98氏は、日本語開発段階でのミスと言っていますが、
具体的には何処が問題だと>>98氏は仰っているのでしょうか?
嘘であるなら、日本語版の製作者(ソフトに署名が入っている人)に対する名誉毀損
偽計業務妨害を目的としたものということですか?
本当であるなら、>>98-99が同一人物であるとして
手口のみを公開していることから、利用者に対する攻撃の意図があって書かれたということですか?
>>93などの発言も、もし同一人物とするなら、攻撃する意図をもって書き込むに至った動機としても
考えられますが。
98氏には、具体的でかつ明確な回答をいただきたいものですね。
- 317 名前:nobodyさん mailto:sage [2006/12/17(日) 08:44:11 ID:???]
- >>309
ワラタ
- 318 名前:nobodyさん mailto:sage [2006/12/17(日) 09:39:24 ID:???]
- GPL基地外か。新しいキャラの誕生だな。
- 319 名前:nobodyさん mailto:sage [2006/12/17(日) 11:24:17 ID:???]
- >>311
> tep_db_inputでシングルクォートなどの危険な特殊文字をエスケープ(無効化)してます。
> もし、SQL文の処理で tep_db_inputを付けていない $*** があったらそこは危ないです。 標準仕様は先ず、処理されてます
残念ながらそうとはいえない。
$*** の中にはシングルクォートが入らないと保証されているのなら、
tep_db_inputをつけていなくとも問題ない。
たとえば、$***が数字であった場合にのみ走る処理の中の
SQL文とか、そのSQL文より前のコードでサニタイズされているとかね。
世の中そう単純なものではない。
- 320 名前:nobodyさん mailto:sage [2006/12/17(日) 11:25:04 ID:???]
- GPL基地外は結局、ソースコードの穴があるという具体的な
行数いえなかったね。
キチガイは所詮キチガイか。
- 321 名前:nobodyさん mailto:sage [2006/12/17(日) 11:28:22 ID:???]
- このスレッドではマトモな話し合いはとてもできません。しかし、楽しいウォッチはできます。
以下に現在までの流れを記します。
○前哨戦
前スレにおいて通称GPL基地外が登場。オープンソースコミュニティのプログラマはユーザーに対して
パッチの提供やサポート義務があると豪語し大いにスレを盛り上げる。ちなみにGPLにそのような義務
の記述はない。
○現在
OSCやZencartに対してセキュリティ面での懸念を表明する人が数人登場。
ソースコードに穴があるというGPL基地外が現れる。
だが、どこに穴があるのかという具体的な指摘をしろと言う発言に一変。
穴が言えず、基地外の本性が現れ、荒らし始める。
- 322 名前:nobodyさん mailto:sage [2006/12/17(日) 11:46:25 ID:???]
- >>319
>シングルクォートが入らないと保証されているのなら、
>tep_db_inputをつけていなくとも問題ない。
(゜Д゜) ハア??
保証されてないから tep_db_inputつけてんだろ。
tep_db_query("select・・・・ where *** = '" . $_GET['***']. "'");
なんてのが、どっかにあったのか!?
具体的に言えよ。キチガイよ
オマイ、そもそも、日本語が変。
- 323 名前:nobodyさん mailto:sage [2006/12/17(日) 11:54:02 ID:???]
-
>たとえば、$***が数字であった場合にのみ走る処理の中の
>SQL文とか、そのSQL文より前のコードでサニタイズされているとかね。
??(゜o゜; )ドコドコ( ;゜o゜)?? イイナサイyo 何行目?
- 324 名前:nobodyさん mailto:sage [2006/12/17(日) 11:55:02 ID:???]
- >>322
なにちゃんと理解せずに噛み付いているんだよ。
お前が言っていることは>>319と同じことだろ。
> 保証されてないから tep_db_inputつけてんだろ。
保証されてないから tep_db_inputつけてる。
逆に保証されている場所は、tep_db_inputつけてない。
> オマイ、そもそも、日本語が変。
お前が理解能力無いだけ。
- 325 名前:nobodyさん mailto:sage [2006/12/17(日) 11:56:01 ID:???]
-
>逆に保証されている場所は、tep_db_inputつけてない
??(゜o゜; )ドコドコ( ;゜o゜)?? イイナサイyo 何行目?
- 326 名前:nobodyさん mailto:sage [2006/12/17(日) 11:57:26 ID:???]
- >>323
> ??(゜o゜; )ドコドコ( ;゜o゜)?? イイナサイyo 何行目?
これは、そもそも、「もしあったら」の話じゃないの?
> もし、SQL文の処理で tep_db_inputを付けていない $*** があったらそこは危ないです。
- 327 名前:nobodyさん mailto:sage [2006/12/17(日) 11:58:03 ID:???]
- まだ、基地外さん、来てたんだ。
結局、不安を煽るばかりで
ソースコードの穴があるという具体的なトコなんも言わないな。
キチガイは所詮キチガイか。
- 328 名前:322 mailto:sage [2006/12/17(日) 12:00:11 ID:???]
- キチガイさんよ。
オマイの妄想なんてドーでもいい。
答えろよ。
tep_db_query("select・・・・ where *** = '" . $_GET['***']. "'");
なんてのが、どっかにあったのか!?
- 329 名前:nobodyさん mailto:sage [2006/12/17(日) 12:01:40 ID:???]
- GPL基地外って奴か?話が通じないな。
これは、もしそういうところがあったら危ないっていう話題。
(これは実際にOSCにそういうコードがあるという話しではない。
当然、そういうコードがある場所は具体的に示されていない)
それにたいして、そういうコードがあっても、
必ずしも危ないわけではではないいうことだろ。
コード理解できない初心者が、ソース見て、
ぜんぜん危なくないところを、単純にtep_db_input無いだけで危ないって
勘違いしたらどうすんのよ?
- 330 名前:nobodyさん mailto:sage [2006/12/17(日) 12:02:34 ID:???]
- ワタシノにもコタエテヨ!
>逆に保証されている場所は、tep_db_inputつけてない
??(゜o゜; )ドコドコ( ;゜o゜)?? イイナサイyo 何行目?
- 331 名前:nobodyさん mailto:sage [2006/12/17(日) 12:02:36 ID:???]
- >>328
> tep_db_query("select・・・・ where *** = '" . $_GET['***']. "'");
> なんてのが、どっかにあったのか!?
そんな危険なコードOSCには無いんじゃない?w
具体的な行数いえないのがその証拠。
- 332 名前:nobodyさん mailto:sage [2006/12/17(日) 12:04:32 ID:???]
- tep_db_inputつけてないと穴になるじゃん。
OSCにtep_db_inputつけてないところなんてあるはずが無い。
だからOSCにセキュリティホールは無いよ。
反論するならtep_db_inputつけてない具体的なソースファイルとその行番号言わないとダメ。
- 333 名前:nobodyさん mailto:sage [2006/12/17(日) 12:08:02 ID:???]
- 今必死に穴検索中w
- 334 名前:nobodyさん mailto:sage [2006/12/17(日) 12:12:47 ID:???]
-
相変わらず、
危険 危ない セキュリティホール! 脆弱性
って人は、具体的な箇所を示さずか....
- 335 名前:nobodyさん mailto:sage [2006/12/17(日) 12:16:29 ID:???]
- もしかして上で、ちょっと見ただけで穴発見した!っていっている人は
SQL文組み立てているところにtep_db_inputがついていないだけで
判断しちゃってたのかもね。
あとでよく見たら、問題なかったから具体的な場所を言えなくなったと。
- 336 名前:V2 mailto:sage [2006/12/17(日) 13:03:01 ID:???]
- >>98の基地外さんのシングルクォートの件
●PUT,GETでユーザーから渡されるデータに関して
SQL文の処理が、下記のようになっていれば大丈夫。
tep_db_query("select・・・・ where *** = '" . tep_db_input($***) . "'");
tep_db_inputでシングルクォートなどの危険な特殊文字をエスケープ(無効化)してます。
もし、SQL文の処理で tep_db_inputを付けていない
PUT,GETでユーザーから渡されるデータ $*** があったらそこは危ないです。
標準仕様は先ず、処理されてます。
ただ、自分で追加した Contributions は注意。
不安な場合、プログラム名と行番号を連絡です。
●osCommerce MS1 日本語版 R6a以降 であること
最新 2005-11-26 R7
悪質なテンプレート屋は、R5、R4〜をバグFixせずに販売してます。
購入の際は、最新の 2005-11-26 R7 であるかなど、要確認
- 337 名前:nobodyさん mailto:sage [2006/12/17(日) 14:08:46 ID:???]
- ◎いきなりこのスレに来て困惑してしまったみなさんへ:
このスレッドではマトモな話し合いはとてもできません。しかし、楽しいウォッチはできます。
以下に現在までの流れを記します。
○前哨戦
前スレにおいて通称GPL基地外が登場。”金” ”カネ” と豪語し、基本的に世界の共有資産として
成り立つosC利用者を唖然とさせるなど大いにスレを盛り上げる。
○現在
OSCやZencartに対してセキュリティ面での懸念を表明する人が数人登場し
osC狩りを扇動するもの、侵入手口のみを書いてみるもの、
指摘してもらえるんだからありがたいと思えなどと勘違いした発言を繰り返すもの、”
”金”を払って買えと豪語するもの、 ← 前哨戦を彷彿させる。
さらに、初心者が攻撃されても仕方がないと言っているように思える記述まで飛び出した事から一転。
それらの不明確な事実の提示は、商業利用をするソフトの性格上
本当であるなら、犯罪行為の扇動、風説の流布など、嘘なら、製作者に対する名誉毀損などなど数々の犯罪行為を
構成し、民事上の損害賠償の可能性までも指摘されたことから火病を起す。
以後、意味不明な言動及び自作自演を繰り返し、未だに具体的な明確な回答が得られない状態。 ←いまココ
- 338 名前:V3 mailto:sage [2006/12/17(日) 14:12:00 ID:???]
- >>98の基地外さんのシングルクォートの件
●PUT,GETでユーザーから渡されるデータに関して
SQL文の処理が、下記のようになっていれば大丈夫。
tep_db_query("select・・・・ where *** = '" . tep_db_input($***) . "'");
tep_db_inputでシングルクォートなどの危険な特殊文字をエスケープ(無効化)してます。
もし、SQL文の処理で tep_db_inputを付けていないPUT,GETでユーザーから渡されるデータ
$*** があったらそこは危険な可能性が高いです。
【※注意】 tep_db_inputを付けていなくても該当場所より前のコードで、安全だと確認されていたり、
安全になるよう処理している場合がありますので、付けていないからといって必ずしも危険だとは限りません。
標準仕様は先ず、処理されてます。
ただ、自分で追加した Contributions は注意。
不安な場合、プログラム名と行番号を連絡です。情報無しに危険だと言っている人は
ショッピングカートのシェアウェア作家や、ASP業者です。
騒ぎにすることで、osCommerceを不当に評価を下げようとするFUD攻撃ですので
相手をしないように。
●osCommerce MS1 日本語版 R6a以降 であること
最新 2005-11-26 R7
悪質なテンプレート屋は、R5、R4〜をバグFixせずに販売してます。
購入の際は、最新の 2005-11-26 R7 であるかなど、要確認
- 339 名前:nobodyさん mailto:sage [2006/12/17(日) 14:19:27 ID:???]
- >>383
> これはおそらく日本語版開発段階でのミスだろうな。 >>98
+ +
∧_∧ + ワクワク 可能性ではなく、はっきりとミスと言い切っているようですが。
(0゚・∀・) + テカテカ で、日本語環境の具体的に何処が問題なのでしょう。
(0∪ ∪ + もしかして、偽計業務妨害・名誉毀損・風説の流布ですか?
と__)__) + 通報していいっすか。
お金儲けの為に悪意のある者を煽って、
「ド素人がネトで質問しつつ導入しているような店」>>99を攻撃させようとしたのですが。
GPL基地外は、金の為に犯罪まで犯そうということですかね。
これは重大な問題ですので認識をハッキリさせた方がいいっすよ。
- 340 名前:nobodyさん mailto:sage [2006/12/17(日) 14:28:21 ID:???]
- 事と次第によっては到底看過することができない重大な問題ですので。
一応、
つ --- テンプレ ---
通報は↓等へ
都道府県警察本部ハイテク犯罪相談窓口等一覧
ttp://www.npa.go.jp/cyber/soudan.htm
警察総合相談電話番号
→ ttp://www.npa.go.jp/safetylife/soudan/madoguchi.htm
※携帯電話・PHSからは全国共通 #9110
※緊急性を要するものは 110
警視庁匿名通報フォーム
ttp://www.keishicho.metro.tokyo.jp/anket/other.htm
--- テンプレ ---
犯罪予告、報告、通報スレッド★18
qb5.2ch.net/test/read.cgi/sec2chd/1162742975/
- 341 名前:nobodyさん mailto:sage [2006/12/17(日) 14:51:02 ID:???]
- A) GPLでお金儲け → 客 ('A`)コネー →セキュリティに問題があるとでも煽るか → (・∀・)ニヤニヤ 客が来るかも。
B) GPLでお金儲けするぞ → 客 ('A`)コネー → 「ド素人がネトで質問しつつ導入しているような店」が邪魔なんだよな
→ ちょくっくら攻撃方法でも書くやるか → ハーカー気取りの厨房が片っ端から攻撃するだろ → (・∀・)ニヤニヤ
セキュリテイに不安を覚えた香具師が金もって来るかも。ヽ(゚∀゚)ノ
ところが・・・・・ A)といかB)って、どっちにしろ犯罪じゃないの?
↓
火病を起して、自作自演w ← 今ココ
という流れなんですよね? まちっがってます?
- 342 名前:nobodyさん mailto:sage [2006/12/17(日) 14:56:27 ID:???]
- だから素直にzencart使えってば。
- 343 名前:nobodyさん mailto:sage [2006/12/17(日) 15:22:49 ID:???]
- まーたガキの喧嘩している奴がいる
- 344 名前:nobodyさん mailto:age [2006/12/17(日) 15:39:07 ID:???]
- だから最新版のMS2(Update 060817)を日本語化して使えって。
MS1 → MS2(世界標準) → OSC3 (世界標準:開発中)
↑日本の公式はなぜかここで止まっている。
∴世界標準の4000種類にのぼる追加機能は標準では利用できない。
自分で改造できない人はGPLでお金儲けをする人に金払ってMS1に追加してもらうしかない。
世界標準の最新版のMS2は、セキュリテイに関しても海外のセキュリテイサイトの指摘を踏まえて
修正済しているよう>>100 最新 【2006年8月17日更新】
↓ 【これ重要】 でもMS2は日本語が入っていないのでそのままでは使えない。で、
【非公式】だが、MS2の日本語化方法 前スレ osCommerce系 Part2
pc8.2ch.net/test/read.cgi/php/1108362994/803 以降を参照 を行うと、 ヽ(゚∀゚)ノ
日本語環境で世界標準のMS2を使って色々と自由にできる\(^∇^)/
例えば、Simple Template System (STS)を使えばソースを弄らなくても
Movable Typeのようなテンプレートを使ったデザインもできるとか。
MS1にMS2用の追加機能を入れるなら、同じ労力を使って、
世界標準の最新版MS2を日本語化した方が良いと思うわけだが。ただ、
emailのタイトル部分を日本語で表示しようとすると文字化けするという話もあるが。
解決しているという話もある。kwsk 情報 plz
- 345 名前:nobodyさん mailto:sage [2006/12/17(日) 15:46:55 ID:???]
- 日本語の公式サイトってないんじゃないの?
- 346 名前:nobodyさん mailto:sage [2006/12/17(日) 15:51:41 ID:???]
- > emailのタイトル部分を日本語で表示しようとすると文字化けするという話もあるが。
> 解決しているという話もある。kwsk 情報 plz
つまり、お前は使っていないってことだな。
- 347 名前:nobodyさん mailto:sage [2006/12/17(日) 15:58:16 ID:???]
- osCommerceには穴があるよ。(最新版でも)
確認済み。
でも公にすると多くのネットショップが混乱するから
具体的な場所は教えられない。
今ならキャンペーン中ってことで
10万で修正してあげるけどどう?
- 348 名前:nobodyさん mailto:sage [2006/12/17(日) 15:59:53 ID:???]
- osCommerce日本語化プロジェクト ttp://sourceforge.jp/projects/tep-j/
osCommerceサポート・ドキュメント ttp://www.bitscope.co.jp/tep/
メーリングリスト ttp://sourceforge.jp/projects/tep-j/lists/
公式
ttp://www.oscommerce.com/
Downloads ダウンロード
ttp://www.oscommerce.com/solutions/downloads
Contributions 貢献:要するに”追加機能”
ttp://www.oscommerce.com/community/contributions
Bug Reports バグ情報
ttp://www.oscommerce.com/community/bugs
Forums 掲示板
ttp://forums.oscommerce.com/
- 349 名前:nobodyさん mailto:sage [2006/12/17(日) 16:04:27 ID:???]
- >>346 これで解決するよう。
945 名前:nobodyさん 投稿日:2006/12/03(日) 05:32:16 ID:???
catalog admin両方にある emal.phpを弄ることで解決しました。
catalog/includes/classes/email.php
catalog/admin/includes/classes/email.php
PHPのバグ対策というよりは、単にMS2だったので
ISO-2022-JPに変換したり半角を全角にコンバートするとかを一切
していないのが原因のようでした。
MS1日本語版を参考にして該当箇所を書き換えたら動きました。
- 350 名前:nobodyさん mailto:sage [2006/12/17(日) 16:09:05 ID:???]
- >>347
それって、まるでリフォーム詐欺www
- 351 名前:nobodyさん mailto:sage [2006/12/17(日) 16:51:46 ID:???]
- osCの日本の公式って何処なんだろね。業者が売っているものは別として。
何年もMS1で止まったままじゃん。
|
 |
