Aug 18, 2004

JavaScriptsによるTB受付

 結局、「リファラを送信してきたTrackBackの拒否及びMozilla/で始まるUser Agent名を送信してきたTrackBackを拒否しない」という設定に戻しました。
 私はカスタマイズ部分を組み込みなおすのが面倒なので、直接、コードをコメントアウトしましたが、現在のスタートキットで(Ver1.1)ではconfigで設定でき、また、デフォルトでOFFになっているので問題ないでしょう。
 脆弱性を承知の上で戻したのは、現在のところISWEBからのTrackBack送信ではフレーバー+Javascripts以上のものがみつからないこと、情報元サイト(blog.bulknews.net)で悪用コードの公開が中止されため、危険度が当面は低下したと判断したためです。

 Javascriptsによるトラックバック送信の全面拒否は、現在の日本の無料CGIサーバの状況からすると、やりすぎのような気がします。
 むしろ、同一Ping URIからのTBは、1エントリに1回しか受け取らないとかいう方向で対応してみてはどうだろうか。

Posted at 22:56 | WriteBacks () in blosxom | Edit
WriteBacks
TrackBack ping me at
http://gsnight.hp.infoseek.co.jp/cgi-bin/blosxom.cgi/blosxom/040818.
Link me at
http://gsnight.hp.infoseek.co.jp/?page=/blosxom/040818.htm
 ※ISWEBの仕様の関係で、この記事にリンクをはる場合は上記URLでお願いします。
Post a comment

writeback message: