Upgrade to Pro — share decks privately, control downloads, hide ads and more …

メールに関する小話 PHPMailer 5.2.2-rc2の騒動など / A short st...

sapi_kawahara
June 26, 2019
Business
0
1.4k

メールに関する小話 PHPMailer 5.2.2-rc2の騒動など / A short story about email.

sapi_kawahara

June 26, 2019
Tweet

More Decks by sapi_kawahara

See All by sapi_kawahara
執筆テーマの決め方
sapi_kawahara
1
280
LTの禁じ手
sapi_kawahara
1
1k
||とorの違いは登壇して解決した
sapi_kawahara
0
300
Macintosh talk / Macintoshの話
sapi_kawahara
0
140
混合接種してみた / Mixed inoculation
sapi_kawahara
0
98
安くて美味い日本酒 / Great wholesale market
sapi_kawahara
0
340
オフラインもし逢えたなら素敵だね / It would be nice to meet you offline.
sapi_kawahara
0
380
カジュアル面談本の裏側を語る / Casual Information Book Inside story
sapi_kawahara
0
390
推し技術の紹介 / Introduction of pushing technology
sapi_kawahara
0
150

Other Decks in Business

See All in Business
【新卒向け】会社説明資料|ROBOTPAYMENT
robot_payment
1
320
マネージャーとエンジニアが効果的に協力するために意識した方が良い事
kotominaga
2
220
Backlogで1on1を進化させる!メンバーの成長を促すアプローチ
kohsakusaito
PRO
2
220
【Otegami】「月経期間のパートナーとのすれ違いを軽減する」
hinalin
0
630
Theoria technologies:About Us
theoriatec2024
1
2k
【DearOne】Dear Newest Member
hrm
2
6k
AIを活用した住家被害認定支援ツールの開発
tokyo_metropolitan_gov_digital_hr
0
360
急成⻑スタートアップで働くことで得られるもの / 株式会社IVRy(社内LT会)
miyashino
0
1.2k
XENDOU会社概要
xendou
0
170
“難しい”をもっと楽に簡単に♪ 届出ダンジョンからの脱出
tokyo_metropolitan_gov_digital_hr
0
290
Cobe Associe: Who we are? /コンサル・市場調査・人材紹介のCobe Associe
nozomi
6
18k
HashPort Group Company Deck
hashport
0
10k

Featured

See All Featured
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
232
17k
Code Review Best Practice
trishagee
64
17k
Happy Clients
brianwarren
98
6.7k
Rebuilding a faster, lazier Slack
samanthasiow
79
8.7k
Producing Creativity
orderedlist
PRO
341
39k
The Art of Programming - Codeland 2020
erikaheidi
52
13k
Keith and Marios Guide to Fast Websites
keithpitt
409
22k
4 Signs Your Business is Dying
shpigford
180
21k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
126
18k
GitHub's CSS Performance
jonrohan
1030
460k
Learning to Love Humans: Emotional Interface Design
aarron
273
40k
Adopting Sorbet at Scale
ufuk
73
9.1k

Transcript

  1. メールに関する小話 PHPMailer 5.2.2-rc2の騒動など @sapi_kawahara さっぴー川原 2019年6月26日(水)第139回 PHP勉強会@東京 #PHPStudy 1

  2. 自己紹介 • さっぴー川原 @sapi_kawahara • 埼玉県川越市在中、五反田の中小企業で働いてます。 • エンジニア暦:30年目、最初はコンシューマーゲーム機 の開発、のちにLAMPでの開発にジョブチェンジ、言語に こだわらない性格、最近はPythonをメインでやってま

    す。 • マネージメントばかりやっているけど、最近は趣味で開 発とかする、Re:View執筆でWerkerしたり楽しい! 2

  3. X-Mailer: PHPMailer 5.2.2-rc2 3

  4. PHPMailerとは? • PHP用のメール送信ライブラリです、簡単にメール送信のプログラムが書け ます、これをベースにお問い合わせフォームも書けたりします。 • 最近、このライブラリーを使ったフィッシングメールが私のメールアドレス に飛んできてます。 • https://github.com/PHPMailer/PHPMailer 2019/06/26現在、最新バー

    ジョンは6.0.7です。 • あれ???? 4

  5. そのバージョンは?! • フィッシングメールがきたのはバージョン 5.2.2ってことは? • はい!脆弱性あります!OSインジェクションあります! • 徳丸先生のブログにて記載あり「PHPMailerの脆弱性CVE-2016-10033につ いて解析した」 https://blog.tokumaru.org/2016/12/PHPMailer-Vulnerability-CVE-201

    6-10033.html • PHPMailerにおける、リモートから任意のコードが実行可能な脆弱性 (CVE-2016-10033およびCVE-2016-10045)に関する調査レポート • https://www.softbanktech.co.jp/special/cve/2017/0001/ 5

  6. サーバー会社、プロバイダに問い合わせ中 • PHPMailerを置いているサーバーの会社にサーバーを止めてと問い合わせた ら、フィッシングメールを出している方を止めるのが先と言われた。 • フィッシングメールを出している方のプロバイダに問い合わせたら、サー バー会社の方が止めた方が良いと言われた・・・。 • まあ、どっちにも言ったので、そのうち対応するでしょう! •

    置き忘れWordPress脆弱性問題は有名ですが、置き忘れPHPMailerもあると は思いませんでした。 • セキュリティ対策はちゃんとやりましょう! 6

  7. おまけ GMail APIを使った小話 • GMail APIを使ってメール送信をしようとすると、400エラーが出る。 ◦ Status code: 400

    and status: Bad Request and response: { "error": { "errors": [ { "domain": "global", "reason": "invalid", "message": "Invalid value for ByteString • 問題の箇所は以下の場所でした。 ◦ $data = base64_encode($data); • 自分が過去にメール送信を自前で作ったときは、これでできたけど、なん で?と思いました。 • URLのGETでbase64_encodeを渡わたす場合は+/を変換しちゃダメみたい です、ググると以下の方法が多数見つかるので、これで解決しました。 ◦ $data = rtrim(strtr(base64_encode($data), '+/', '-_'), '='); 7

  8. メールの本を頒布します! • 技術書同人誌博覧会にてメールの本を頒布す る予定です。 • サークル名:エンジニアの登壇を応援する会 • 頒布場所:B-15 • 頒布物:スパムにされないメール設定方法

    • 頒布価格:500円(予定) https://gishohaku.dev/circles/WrqqMM9j 4tsnrGxH3PpI/ • さきほどGMail APIを実装したPHPソースも 公開しつつ本に書こうと思ってます。 8

  9. 大田区産業プラザ 小展示ホール(京急蒲田) ★ 技術書オンリーの同人誌即売会 ★ 70サークル参加 / 10,000冊頒布予定 ★ 15:00以前の来場は無料チケット予約が必要です

    ★ 詳細は公式Webサイトをチェックしてください 技術書同人誌博覧会 2019-07-27 (土) 11:00-17:00 一般来場参加受付中 https://gishohaku.dev/ 9