drupal.org を閲覧中に CA アンチウィルスが JS/Snz.A ウィルスを検知した。
jQuery などに含まれるコードが引き金となって誤検知されている場合もあるらしいということを発見したので、試しに自分のサイトを閲覧してみると、やはり JS/Snz.A ウィルスが検知された。
試しにいくつか、Drupal 5.x（Drupal 4.7.x の頃は jQuery ではなかったはず...なので。）で構築されたサイトを訪問して確認してみると、やはり同様に JS/Snz.A ウィルスが検知される。

PHP のセキュリティバグの公開が 3 月から始まったらしい。
情報公開についての賛否はいろいろだが、個人的には、知るための手段があるというのはありがたい。また、これらの内容を翻訳されているサイトもあり、さらにありがたい。
もちろん、PHP やセキュリティに関しては詳しくないので、確認したところで、何が書いてあるのかは残念ながら理解できていないのだが...

[参考]
the Month of PHP Bugs
yohgaki's blog

XREA では PHP の register_globals が On に設定してあった...
PHP 4.1 より新しいバージョンでは、デフォルトで Off になっているはずなので、てっきり Off だと思っていたけど、互換性を重視ということだろう。
ちょっとあせったが、Drupal は .htaccess ファイルで 「php_value register_globals 0 」と設定してあるので、問題ない。

そこで、ふと思ったのが、php_value と php_flag の違い。
register_globals を Off にするための方法として、私が調べた限りでは、「 php_flag register_globals 0 」を .htaccsess ファイルに記述するという方法が圧倒的に多かったので、もちろん、結果としてどちらも同じではあるけれど、何が違うのか...。