カテゴリ | |
サマリ | 外部からのcmdやpluginを禁止したい |
バージョン | 1.4.2 |
投稿者 | 瞬 |
状態 | 不明 |
投稿日 | |
PukiWikiの使用形態からずれそうな質問で恐縮です。外部にはページの閲覧のみを許してcmdやpluginによる操作を禁止したいのです。
コードの変更はpukiwiki.phpでcmdおよびplugin実行部分でローカルIPのチェックルーチンを追加、またpukiwiki.skin.ja.phpを修正してローカルIPでのみ編集メニューを表示する等の変更を加えようと思っています。
このような変更を行ってPukiwikiの動作に支障が出ないかどうか教えてください。またセキュリティ的に、これで十分かどうかも教えてください。
- upk
全体を抑止したいというよりも、ほんの一部のプラグインが抑止できればというレベルじゃありませんかね?そうでないとすると、道具選びが間違っていますね。
- upk
何を言っているのか?ですが、例えば calendar プラグインでカレンダーが表示されていも、下界の方は、その日記を読むことができない。つまり、アクションプラグインの実行が抑止されていて、情報的には無意味なものになってしまいます。そんな情報を下界の人がみたら、まぁ、次からは見ないか、なんだこれ?ですよ。それが社員であっても同じですね。出先からは使えないページばかりじゃないか。という指摘があると思います。
- 設置するプラグインを最小限に絞った上で、それら(例えばcmd=editやcommentなど)を選択的に拒否できるようなトリックをpukiwiki.php (1.4.4ではlib/pukiwiki.php) を組み込んでおけば、編集/追記できないけど読める状態になるでしょうね。 -- henoheno
インラインコンテンツに関して、外部からのダイレクトアクセスを遮断できないものか†
- ファイル(mp3やflashなど)の外部からの直接参照を禁止したいんですけど、これも使用形態からずれそうな問題になるでしょうか? --
- mp3やflashなどはそもそもPukiWikiのパッケージに入っていないので、回答が外しているかもしれませんが、少なくとも 1.4.4 からは、Apache限定ですが、添付したファイルへの直接参照はデフォルトで禁止になる様にしています。refプラグインも、それで問題なく動作する様に修正してあります。こういった話でしょうか? -- henoheno
- ええ。Pukiwiki上にアップロードした容量のでかいファイルへ外部から直接アクセスできるのは、転送量数えている鯖だとかなり問題ですし、これでは、いくらattachディレクトリに.htaccessで弾いても意味がありません。名目上attachプラグインを介して表示させてますしね。Xreaを使っていますが、外部から試しにやってみたところ、アクセスできてしまいました。 --
- 流石にそこまで気合いを入れて荒らすやつはいないでしょうが。 --
- 添付ファイルへのいわゆる直リンについて、UPLOAD_DIRのファイルへの直接リンクはhenohenoさんご指摘のように弾けるとしても、?plugin=attach&openfile=~に張られるものは確かに無理ですね。私は、
refattachプラグインに$_SERVER['HTTP_REFERER']で外部サイトからの参照を判別、拒絶する改造をしています。これとて、REFERERを詐称されれば無力ですが。 -- ARAI
- 実際は、荒らすつもりでなく、素でやってしまう人多いですね。たとえば素材系サイトの場合、直リンク禁止と書いてあっても、直リンクしてしまう人が後を絶たないという話はよく聞きますし、荒らし以前に本当に故意が無い場合が多いし。自分の場合、サンプル掲示板をアップローダーとしてやられました。(.htaccessで弾かなかった自分も悪いですけど・・・) -- Logue
- あ、$ENV{'...'}じゃなく$_SERVER[...]で環境変数読み取るんですね。
実際問題としてリファラーを詐称されたところで、それを使うのは極一部だと思います。過去のダウンローダーにはそう言った機能がありましたけど、最近は見かけませんし、そういったリファラーを詐称するのは、ダウンロードソフトで使われる場合が多いとおもいます。自分的には多くの人が正規でない方法で見れちゃう事が問題と思っています。 -- Logue