blosxom starter kit #18

Posted at 2004-08-07T00:00:00+09:00 in Blosxom

てなわけで(とフリもないのに)、遂に公開されたTrackback の脆弱性についての勧告ですが、とりあえずは08/13に攻撃コードが公開されてしまうので、writebackに対策コードを追加して、blosxom starter kitを1.0.2に更新しました。

基本的な部分は何も変わっていないので、アーカイブに含まれる/plugins/writebackを差し替えるだけでOKです。注意としては、場合によって受信にトラブル(トラブルと言うのは正確ではないけれども)が発生することがありえるということです。ここらへんはトレード・オフするしかないと割り切って欲しいところ。細かい話は長くなるのでココでは書きません。もしどうしても細かい話が知りたいという場合は、直接フィードバック・フォームでお問い合わせください。テンプレートによる返事(!)が返信されると思います。

対処自体は、TrackBackの脆弱性についての勧告での対処法と同じで、

• リファラが送信された場合には拒否
• 正規表現"^Mozilla/"にマッチするUAは拒否

というものです。同一のIPからの連続したTrackBackなどに対処していないので、部分的としておきました。なお、これらの対策はTrackBackに限ったもので、コメントには関係ありません。

あと、更新履歴にすら書いていない(良くない)ですが、/style-sytes.cssと/entries/foot.wikieditishが若干変更になっています。これはinput要素やtextareaの幅や高さに若干の調整を加えただけですので、「差し替えなくちゃ！」などと気にする必要はないです(多くの方はCSSで調整していると思われますしね)。全体的に大きくし、textareaのフォントを等幅にしてみました。本当は大幅に書き換えようかと思ったんですが、ちょっと整合性が取れそうもないのでためらっています。もしかしたら/entries/*.wikieditishだけをまとめたアーカイブを公開してテストしてもらうことになるかもしれません。ユーザーの皆さん、その折はよろしくお願いします。

バグ報告や機能改善要望、機能追加要望は、このエントリへのコメントやBBS、MLなどでお気軽にどうぞ。

この段落はテンプレ化してきました。