Aug 18, 2004
JavaScriptsによるTB受付
結局、「リファラを送信してきたTrackBackの拒否及びMozilla/で始まるUser Agent名を送信してきたTrackBackを拒否しない」という設定に戻しました。
私はカスタマイズ部分を組み込みなおすのが面倒なので、直接、コードをコメントアウトしましたが、現在のスタートキットで(Ver1.1)ではconfigで設定でき、また、デフォルトでOFFになっているので問題ないでしょう。
脆弱性を承知の上で戻したのは、現在のところISWEBからのTrackBack送信ではフレーバー+Javascripts以上のものがみつからないこと、情報元サイト(blog.bulknews.net)で悪用コードの公開が中止されため、危険度が当面は低下したと判断したためです。
Javascriptsによるトラックバック送信の全面拒否は、現在の日本の無料CGIサーバの状況からすると、やりすぎのような気がします。
むしろ、同一Ping URIからのTBは、1エントリに1回しか受け取らないとかいう方向で対応してみてはどうだろうか。
Aug 09, 2004
コメントスパム対処
hail2u.netのkyoさんがblosxom starter kit #20で、writebackにコメントスパム対策のコードを追加されました。
まだソースのみの公開ということでしたが、追加部分を加えました。
整理すると
- 特定のURL以外のリファラを送信してきたコメントの投稿は拒否
- ASCIIのみのコメント・TrackBackは拒否
ASCIIのみ拒否は、私も独自で追加していましたが、kyoさんのコードに統一しました。
また、前エントリで殺してあるとした、JavascriptsによるTrackback送信無効対策を復活させてあります。
これでも問題のない方策を発見したためですが、やり方はあまり広められたものでもないので、秘密。
Aug 08, 2004
Trackbackのセキュリティ問題
blog.bulknews.netにより、Trackback の脆弱性についての勧告が発表されました。
これをうけ、hail2u.netのkyoさんが、blosxom starter kit #18とblosxom starter kit #19にて、Blosxom Startkitのwritebackプラグインに対策コードを追加したものを公開されました。
で、このサイトでも導入してあるのですが、blosxom starter kit #18で追加されている「リファラが送信された場合には拒否」「正規表現"^Mozilla/"にマッチするUAは拒否」という2つの対策用コードは殺してあります。
というのも、これは、要はJavascriptsによるTrackback送信を無効にするための対策なのです。
つまり、ISWEBの環境上、bookmarklet + wikieditish が動作しないため、私はJavascriptsでTrackbackをとばしているのですが、これができなくなってしまうというのです。
とはいえ、他のサイトでこの対策がすすんでいくと、自分のサイトにはうけれても、他のサイトにはTrackbackが送れないということになります。
うーむ。どうしよう……
Jul 28, 2004
BlosxomでBlog以外のことをする
C-WWWの深沢さんが、Blosxomを改造した小説投稿用スクリプトを開発されており、Beta版が公開されました。
一般にBlosxomはBlogツールとして認識されていますが、その本体は非常にシンプルなつくりで、テキストファイルをエントリ化するだけの機能です。なので、このようにBlogツール以外にも色々と応用がきく筈です。
深沢さんは他にも、Blosxomによる掲示板も開発・運用されており、Blosxomのもつ可能性を引き出してくれています。
こうした使用方法が、今度は増えていくと面白いですね。
Jun 07, 2004
ISWEBでの直接リンク
再びhail2u.netさんから、infoseekの403 Forbiddenを回避するというエントリに注目。
当サイトでは、TOPにJava Scriptsを仕込んでJumpさせているのですが、これはノートン先生なんかのセキュリティ設定によっては弾かれます(と思う)。
んで、それを回避するためには、HTTPリダイレクトを使う手があるのは知っていましたが、http://ime.nu/ くらいしか知らなかったので、これは避けていました。
ところが、Googleを使う手があったとは……
Googleがこれを塞いでくるかも、という危惧はKyoさんが指摘しているとおりですが、私のような小細工より、当然にスマートなのでした。
脱帽。
May 31, 2004
コメントスパム対策
hail2u.netさんで、コメントスパム対策のエントリが。
さすがにスマートな解決方法です。私の場合は力技でしたから。
ちなみに、私はコメントスパム対策以外にも、荒らし対策として、ドメイン/IP指定のコメント拒否機能をつけてあります。
ただ、ソースが汚いので、公開はしません(笑)
May 25, 2004
コメントスパム対策
color99さんのところで、コメントスパムに関するエントリができていた。
幸い、うちではまだそうしたことはないが、備えあれば憂いなし。早速いろいろと調査してみました。
いくつか方策があるようですが、IP指定は荒らしには有効でしょうがSPAMには効果が薄い。かといって、認証方式(限定した人にパスを渡すなど)は、管理もめんどうだし、そこまでして書き込みしてくれる人がいるとも思えない。 フォームのHTMLにキーを埋め込む手もあるようですが、元々、iswebの仕様(外部からのCGI起動が不可)からすると、これは対策する必要がなさそう。
で、ドラスティックな案を発見。
きままにポロポロさんの続々コメントスパムというエントリにあるもので、英語オンリーのコメントを弾くというものです。
私のblogに英語の真面目なコメントがつくことなど考えられないので、早速、このロジックをBlosxomに取り入れてみることに。
writebackプラグインの
# Only spring into action if POSTing to the writeback plug-in
の直下の行のif条件式の末尾に、正規表現で、param('comment')の中身に半角英数字以外 or param('comment')の中身が全くの空白であることを条件とするように書き加え。前者はもちろんですが、後者を条件にいれておかないと、trackbackが書き込めなくなるので注意。
元ネタとさせていただた、きままにポロポロのAkihiさんに習い、具体的なソースは書きませんが、簡単なものです。
これで当面はしのげるかな?
本当は、イメージパスワード(それさんのコメントスパム対策 (イメージパスワードでブロック)参照)なんてのがいいんだろうけど、私の実力ではBlosxomに組み込みできないので、とりあえずは、こんなところで(^^;)
May 17, 2004
RSSの修正
Bloglinesに、いつのまにか掲載されるようになっていた。
そこで、はたと気づいたことがある。仕様の問題で、いろいろとリンク先をいじっているにも関わらず、rssの中身に手をつけていなかったのだ。
というわけで、早速。
rssのheadのフレーバーの12行目にあるlinkタグで囲まれた中を、直接、BlogのTOPページへのリンクにかきかえる(このページだと“http://gsnight.hp.infoseek.co.jp/?page=”)。
それと、rssのstoryフレーバーの3行目のlinkタグで囲まれた中を、以前のリンク先の表示と同様のやり方で書き換え(このページだと“http://gsnight.hp.infoseek.co.jp/?page=$path/$fn.htm”)。
これで、rssでのリンクも正しいものに変更できました。
