質問箱/5450

質問箱/5450†

質問†

再現手順1

1. 閲覧制限をかけた任意のページに、画像ファイルを添付してrefプラグインで画像を表示させる。
2. 上記のページにブラウザでアクセスし、表示されている画像を右クリックして「画像のリンク（アドレス）をコピー」する。
3. プライベートモードでブラウザを起動してコピーした画像のURLにアクセスする。

期待する結果1

画像は表示されず、ログイン画面に遷移する。

実際の結果1

画像が表示されてしまう。

再現手順2

1. 閲覧制限をかけた任意のページに、画像ファイルを添付する。
2. 閲覧制限をかけていない任意のページに、refプラグインで上記の閲覧制限をかけたページの画像を表示させる。
3. プライベートモードでブラウザを起動して閲覧制限をかけていないページにアクセスする。

期待する結果2

画像は表示されない。

実際の結果2

画像が表示されてしまう。

問題点

ページ名と画像ファイル名さえ分かってしまうと、閲覧制限のかかったページのコンテンツ（の一部）に誰でもアクセスできてしまう。

調べたこと

質問箱を「ref リンク」で検索しましたが、類似の質問は見つけられませんでした。
Q＆A配下ページとFAQページを「ref」で文字列検索しましたが、有用な情報は見つけられませんでした。

refプラグインで画像を表示すると、その画像は「src="./?plugin=ref&page=URLエンコードされたページ名&src=画像ファイル名"というimgタグ」としてHTML出力されるようです。
refプラグインのマニュアルによるとコマンド型には分類されていませんが、実際はコマンド型として使用可能なようです。

一方、当該ページの「添付一覧」で表示される画像ファイルのリンク文字列は「https://.../?plugin=attach&pcmd=open&file=画像ファイル名&refer=URLエンコードされたページ名」となっており、こちらはプライベートモードのブラウザでアクセスするとログイン画面に遷移しました。

このことから、attachプラグインでは行われているであろう、閲覧制限に関するチェックがrefプラグインでは行われていないのかな、と考えて、ref.inc.phpとattach.inc.phpを見比べた所、attach.inc.phpにはcheck_readableという関数がありました。
ただ、check_readable関数をref.inc.phpに付け加えることで期待する動作にできるのか、また、どの様な引数を与えてどこに付け加えたらよいのか分かりませんでした。

聞きたいこと

1. 閲覧制限をかけたページに添付した画像ファイルへの、refプラグインのコマンド型呼び出しによるアクセス時に、ログイン画面に遷移させられないでしょうか。
2. 閲覧制限をかけたページに添付した画像ファイルを、別ページからのrefプラグインによる参照した際に、画像を非表示にできないでしょうか。

回答†

• 本当ですね。417行目に check_readable($page); を追加してください -- umorigu 2022-04-12 (火) 22:54:29
• ありがとうございます。お教えいただいた方法で、コマンド型呼び出しはログイン画面に遷移、インライン・ブロック型呼び出しは画像を非表示にできました。 -- N 2022-04-13 (水) 12:10:57

• PukiWikiについて
  • ダウンロード
  • インストール
  • セキュリティ
  • 活用事例
  • 動作実績
  • プラグイン
    • 欲しい...
    • 自作...
  • スキン
    • 自作スキン

• はじめてのPukiWiki
• FAQ
• Q＆A
• Books
• 質問箱
  • 1 2 3 4 5

• PukiWikiを使おう
• 雑談
• メーリングリスト
• 関連ツール
• リンク集
• InterWikiName

• Info in English

• このサイトについて
  • WebTrack
  • Web委員日誌

• お試し
  • PukiWiki 1.5

最新の16件