Webシステムのツボ: システムニュースアーカイブ

Zend PHP 5.3 Certification 資格取得のポイント

最近はスマートフォン開発なども盛んですが、まだまだPHPを使うことも多いのでしっかりした知識を身につけようと「Zend PHP 5.3 Certification」を受験してきました。

詳細はZend PHP Certification 受験体験記に詳しくのってますが、5.3にバージョンが上がってるので、それを中心に資格取得のポイントをまとめます。
※試験は2011年9月に受けました。現在、内容が変わっているかもしれませんがご了承ください。

試験について

・問題は英語
このバージョンでは日本語版がまだ無いため、テストの説明から問題、解答にいたるまですべて英語です。

ここが一番の"問題"だったりします。

・90分70問
「3〜5択問題」「5文から2つ選択問題」（5問ぐらい）「記述問題」（5問ぐらい）の70問です。

出題範囲

・マルチバイト文字列はでない
たまたまかもしれませんが、英語圏向けテストなのでマルチバイト文字列系（mb_xxxx）はでませんでした。

・PHP 5.3 の新機能
でてました。バージョンを改訂したのは伊達じゃないようです。

・間違いやすい系
参照渡し、前置・後置インクリメント、変数のスコープ、スーパーグローバルなど数問でてました。

・DB
mysql_xxxxとかpg_xxxxはなかったですが、PDOが数問でてました

・XML
数問でてました

・クラス定義
数問でてました

・ファイル変数
$_FILE関連。数問でてました

参考書

以下の参考書で勉強しました

・ZEND PHP 5 Certification STUDY GUIDE
体験記でもオススメの参考書です。英語に慣れるために読みました。ただし、PHP 5.3の新機能はカバーして無いので、これだけでは足りません

・プログラミングPHP 第2版
試験対策だけでなくPHPを使うなら一度は読んでおいた方が良い本です

ちなみに結果は合格でした！

(teruhisa)

Androidの指リストの強度を調べてみた

日本でもAndroidがiPhoneのシェアを抜いたらしいですが、確かに最近、Androidのスマートフォンをもってる人が増えてきましたね。
僕もケータイをAndroidに変更したのですが、「指リスト」というフリックで入力するタイプのパスワード方式が気になったので、すこし調べてみました。

左がよくある従来の暗証番号方式で「ロックNo」といいます。右がフリックで入力する「指リスト」です。
◎の部分のポイントをつなげてできる一筆書きのような軌跡パターンがパスワードになります。

「お、かっこいい」と思って、使っているのですが、よく考えるとちょっと気になる点がでてきました。

まず、重複したポイントが選べません。
最初に選べる選択肢は９種ですが、次に選べる選択肢は８種、その次は７種というふうにどんどん減ります。

さらに、場所によっては次に選択できないポイントがあります。
例えば中心ポイントから始めた場合は、次に全ポイントを選ぶことができますが、左上ポイントから始めた場合は、次に右上・左下・右下のポイントは途中のポイントが邪魔になり選べません。
※途中のポイントがすでに選択されている場合は選べます。

「これって結構、選択肢がすくないんじゃないの？」と思って調べてみました。
とり合えず、書き出すとこんな感じです。（２手目まで）

予想以上に数があったので、自力計算は断念してあとはプログラムに任せようと思います。
プログラムはPHPで書いてみました。→ パスワード数をカウントするプログラム

うまく動けば、389,112 という数字が表示されると思います。
これが指リストで使えるパスワードの総数です（４桁未満のものはパスワードとして使えないため省いています）。

これをグラフにしたものが下です。
比較のために従来の暗証番号方式を並べてみました。
※横軸はパスワードの桁数、縦軸は対数になっています

グラフから指リスト５桁と番号方式４桁はほぼ同じレベル、ここからどんどん差が広がって、指リスト９桁にしても番号方式６桁より弱いことが分かります。
パスワードの強度を気にするのなら暗証番号方式が安心です。

（teruhisa）

続きを読む: Androidの指リストの強度を調べてみた

【フィッシングサイト】ドメイン利用料金の架空請求にご注意ください

弊社ではサイト制作をワンストップでおこなっており、その業務のひとつとしてお客様のドメイン管理をしているのですが、先日、ドメイン管理者に以下のようなメールが届きました。

件名：○○○○○○○○.com Registration
送信者：Registration Expiring <reginastauffer@domainregistservices.com>
（本文は以下の画像）

※「ぼかし」の箇所には弊社で利用しているドメイン名が入っています

一見、「ドメイン利用期限切れのお知らせ」メールのようですが・・・
メールの送信者はうちで利用している事業者ではなく"domainregistservices.com"というところでした。
（※メール送信者は簡単に偽装できるので当てになりません）

メールの本文には「支払いサイトへのリンク」があり、"domainregistrat.com"という知らないサイトへリンクが貼られていました。
実際、リンク先にいってみると（※メール中のリンクをむやみにクリックしないでください）、以下のようなページで下部はクレジットカード番号を入力するフォームになっていました。

もちろん、弊社で利用している事業者ではないのでカード番号は入力しませんでしたが、事情に詳しくない担当者だったら間違って入れてしまうかもしれません。

※画像はイメージです

ドメインの登録情報はWhoisなどを利用すると簡単に取得できるので、架空請求メールは誰でも簡単に作ることができます。
ドメインの期間更新をおこなうときは"本当に自分が利用している事業者かどうか"しっかり確認するようにしましょう。

（teruhisa）

新たなガンブラー型攻撃によるウイルス感染ルート

ITニュースを発信しているLAC（ラック）より
ガンブラー型攻撃によるウイルス感染の注意喚起の公表がありました。

[http://www.lac.co.jp/info/alert/alert20101029.html　より転載]

ITニュースを発信しているLAC（ラック）より
ガンブラー型攻撃によるウイルス感染の注意喚起の公表がありました。

【注意喚起】大手有名サイトの閲覧で発生したコンピュータウイルス感染について
http://www.lac.co.jp/info/alert/alert20101029.html

JREの脆弱性を悪用した攻撃で、
対策は、JREのホームページから最新版を更新する事防げます。

Java.com｜無料 Java ソフトウェアをダウンロード
http://www.java.com/ja/download/

パッと見、ちょっとわかりづらかったので、
自分なりの解釈ですが、感染の手口を簡単に説明しますとこんな感じです。

Googleが提供しているGoogle Analyticsを例に挙げてみましょう。

【1】悪意あるユーザーがウイルス配布サイトを設置。

【2】悪意あるユーザーがホームページアクセス解析サイト、「Google Analytics」のスクリプトを改ざんする。

【3】ユーザーがGoogle Analyticsを利用しているウェブサイトにアクセスする。

【4】ウェブサイトはGoogle Analyticsにユーザーがアクセスした情報を送信。

【5】スクリプトの改ざんがされたGoogle Analyticsは、ユーザーをウイルス配布サイトへ転送する。

【6】転送先のウイルスサイトを閲覧してしまったユーザーは、ウイルスに感染する。

【7】ウイルスに感染したユーザーは、悪意あるユーザーにIDとパスワードを盗まれてしまう。

というような流れになってしまいます。

自社サイトのみセキュリティを強化しても、
外部サイトと連携をする場合は、
その先にセキュリティホールがあるかもしれないと頭に入れておいた方がよさそうですね。

（hirohito）

モバイル3D

ARといえば、iPhoneアプリのセカイカメラやエプソンの「3D年賀状」が有名ですね。

2009年に一大ブームを巻き起こした「Twitter」。
このTwitterのブレイクに続くものとして最も熱いといわれてるのがAR（拡張現実）です。

このARを用いたサービスで面白いものがありましたので紹介します。
それが「モバイル3D」です。

セカイカメラはiPhone、3D年賀状はウェブカメラがないとARを体験できませんが、
この「モバイル3D」は、カメラの付いた携帯電話に専用のアプリケーションをダウンロード
するだけで、3D映像によるAR体験が出来ます。

日本国内では、まだまだiPhoneなどのスマートフォン以外の携帯電話ユーザーが大多数を占めていますが、
このモバイル3Dは、携帯電話のキャリアに関係なくサービスを受けることが出来るので、とても魅力的です。（※注）

動画：モバイル3D：携帯3キャリア対応

※注
iモード（NTTdocomo）、Yahoo!ケータイ（Softbankmobile）、ezweb（au by KDDI）
の携帯電話向けインターネットサービスに対応。iPhoneやスマートフォンには対応しない。

＜参考サイト＞
モバイル3D
http://www.design100.co.jp/mobile/ar/

（tsubasa）

無料携帯サイト解析ツール第１弾【myRT mobile】

最近、ＰＣだけではなくモバイルでのアクセス解析を気にされるお客様が増えてきています。
モバイル版のアクセス解析はあまり市場で出回っているものではないようで手軽にできるものを
探していたときに見つけた【myRT mobile】をご紹介します。

■myRT mobileとは
myRT mobile とは、オーリック・システムズ社が提供する、タグ埋め込み型の無料アクセス解析ツールです。
モバイルサイトのアクセスログ解析に特化しており、キャリアや端末の判別だけでなく、待ち受け画像の幅や Flash 再生機能の有無など、ユーザーの利用情報を細かく分析することが可能です。
もちろん、時間帯別レポートやサイト参照元の情報も得ることが出来ます。
また、PHP にも対応しているので、動的に生成されたページのデータも収集出来ます。