KYOKURON_STADIUM

Trackbackのセキュリティ問題

blog.bulknews.netにより、Trackback の脆弱性についての勧告が発表されました。
これをうけ、hail2u.netのkyoさんが、blosxom starter kit #18とblosxom starter kit #19にて、Blosxom Startkitのwritebackプラグインに対策コードを追加したものを公開されました。

で、このサイトでも導入してあるのですが、blosxom starter kit #18で追加されている「リファラが送信された場合には拒否」「正規表現"^Mozilla/"にマッチするUAは拒否」という２つの対策用コードは殺してあります。
というのも、これは、要はJavascriptsによるTrackback送信を無効にするための対策なのです。
つまり、ISWEBの環境上、bookmarklet + wikieditish が動作しないため、私はJavascriptsでTrackbackをとばしているのですが、これができなくなってしまうというのです。
とはいえ、他のサイトでこの対策がすすんでいくと、自分のサイトにはうけれても、他のサイトにはTrackbackが送れないということになります。
うーむ。どうしよう……