開発日記
cvs更新†
小さなことからコツコツと
- Renamed dir.txt => index.html or newly added index.html, to avoid basic web spidering, that increases server's load-average and your security risk
- cvs:/attach/index.html (v1.4:1.1,1.2, v1.3:1.2.2.1)
- cvs:/backup/index.html (v1.4:1.1, v1.3:1.1.2.1)
- cvs:/cache/index.html (v1.4:1.1, v1.3:1.1.2.1)
- cvs:/counter/index.html (v1.4:1.1, v1.3:1.1.2.1)
- cvs:/diff/index.html (v1.4:1.1, v1.3:1.1.2.1)
- cvs:/face/index.html (v1.4:1.1, v1.3:1.1.2.1)
- cvs:/image/index.html (v1.4:1.1, v1.3:1.1.2.1)
- cvs:/plugin/index.html (v1.4:1.1, v1.3:1.1.2.1)
- cvs:/skin/index.html (v1.4:1.1, v1.3:1.1.2.1)
- cvs:/trackback/index.html (v1.4:1.1)
- cvs:/wiki.en/index.html (v1.4:1.1)
- cvs:/wiki/index.html (v1.4:1.1, v1.3:1.1.2.1)
- index.html という名前のファイルを配置することにより、Webブラウザでアクセスできる場所にPukiWikiを展開しているとき、「どのようなファイルがそのディレクトリに含まれているのか(どんなデータがあるのか、脆弱なプラグインが入っているかどうか)」といった探索行為をある程度制限します。また、サーバーの負荷が高くなる要因を減らします。
- ※index.htmlという名前のファイルでディレクトリのブラウジングを止められるかどうかは、Webサーバーの設定に依存します
- ※Webサーバーの設定で、ディレクトリのブラウジングそのものを禁止することも可能です
- ※どのサブディレクトリでも、その中にあるファイルの名前を推測できる以上、直接アクセスされた場合には無力です。これを防ぐには、サブディレクトリの名前を推測できないものに変更するか、データの収められたサブディレクトリに別途(.htaccessなどで)アクセス制限をかけるか、そもそもWebブラウザからアクセスできない場所に配置する、といった対策を取って下さい。
- ※今回の作業はサブディレクトリのみを対象としています
- 関連:
- Simplify, reducing memory overheads.
- cvs:init.php (v1.4:1.89)
- 単純化: 配列 $get, $post,
$vars, $cookie は、それぞれ配列 $_GET, $_POST, $_REQUEST, $_COOKIEを参照する配列となりました。この変更により、それぞれの配列を用意するためのメモリ領域や、冗長な配列操作(コピーやarray_merge())のための実行時間が削減されました。
- $varsについては、$_REQUESTの信頼性は低いとみなされ、最終的に array_merge() に戻りました。(開発日記/2004-07-25)
- 'msg'と同じく、GETメソッドに 'pass'(※パスワードの入力に使われるキー) を使うことを禁止しました。
- GET, POSTに含まれる 'encoding_hints' の内容が空文字列かどうかを調べる様にしました
- スペースの追加、コメントの調整などを行いました
Last-modified: 2004-07-11 (日) 20:23:36
![[PukiWiki]](image/pukiwiki-dev.png "[PukiWiki]")
