- BugTrack??? file_exists() のコール回数削減
- ttp://nekyo.hp.infoseek.co.jp/cgi-bin/wiki/wiki.cgi?PyukiWiki%2fPuki%b9%e2%c2%ae%b2%bd
- cvs:lib/plugin.php (1.5)
- "確かにプラグインやエンティティは(ページ数とは違い)あって数十個程度に収まりそうですから、キャッシュの効果はありそうですね。† など(必ずFALSEになるエンティティ)に対するfile_existsの無駄コールも結構あるようですから、FALSEもキャッシュする様にしてみました"
- ※今回の話題はfile_exists()の結果を冗長にキャッシュするということではなく、file_exists()関数の呼び出しコストの低減ですよ
そのほか†
- おもてなしの空間: Hikiとpukiwiki の比較
NetSecurity: Wikiへのいたずら書きをサーバー改ざんとして警報 -- henoheno†
Webサイトが改竄されたらしい。既に大部分は復旧したらしい。被害に遭った団体名はどこで、使っていたOSはコレだから注意してくれ。でもそれぞれのサイトがWikiというものであるかどうかや、そのWikiがどういうものかは知らない。そのグループが過去にどんな活動をしていたかは知らない。どのような手段で何が行われたかも知らない。という情報について。
- NetSecurity: 11月4日のWeb改竄情報(2004.11.4)
(official:Kuro さんのページからコピーおよび移動。以下はKuroさんのコメント)
Kuroさんのコメント†
NetSecurityの記事によると、個人サイトを含む8つのWebサイトが改竄されたようです。
いずれも、PukiWikiを利用しているようですが、よく調べてみるとただ編集から文字を打ち込んだだけのようですね。
北陸先端科学技術大学院大学のお知らせをみても分かるとおり、システムレベルでの不正侵入は確認できなかったそうです。
(Kuroさんのコメント ここまで)
確認した結果: ただのいたずらだった†
これらはどれも(NetSecurityが扱いたい類の)改ざんとは言えません。
- 本学のWebページの書き込みについての見解 (北陸先端科学技術大学院大学 情報科学センタ)
- 「micro dream studio++ wiki」の当時の差分
- mizore Wiki の当時の差分 (素早く元に戻されたようなので、バックアップに残らないかもしれない)
- TKFM 80.0GHz Radio - Wiki の当時の差分
それぞれ簡単に復旧できるわけですが、NetSecurityは上記サイト一つ一つの団体名やそのOSをわざわざ明示しています。何に注意しろと言いたいのでしょう?残念ですがピントがずれているようです。書き込まれた内容やその危険度の検討もなされているとは思えません。きちんと確認が行われていたならば、北陸先端科学技術大学院大学さん等にいらぬ緊張をもたらす事もなかった事でしょう。
コメント†
- ぱんださんが以前書いておられましたが、Wikiは 改竄されるのが仕様ですって感じですね。 -- merlin
- その表現の仕方には同意できません。標準のままでも凍結などが可能ですし、非常に簡単に復旧が可能です。NetSecurityがネタにあげた全てのサイトがまさに反例です。 -- henoheno
- NetSecurityが元ネタにした http://www.zone-h.org/ でMCCAYNEというキーワードで検索すると当時のミラーを見る事ができます。いくつか見ましたが、PukiWikiに限った話ではない類の、ただのWikiに対するいたずらっ子の仕業ですね。この点でもNetSecurityの表現は誇張のようです。 -- henoheno
- 今回の一番の問題は、NetSecurityが調査不十分のリポートを突然出したということだと思います。ちょっと驚きました。 -- henoheno
- こんばんわ。記事に登場する Kuro です。dev.には初めて書き込みます。私もよく利用させていただいているセキュリティーホール memoにも掲載されていました。 -- Kuro
- はい、放置しておくのは公共の不利益になると思いましたので連絡させていただきました ;) -- henoheno
- こちらにも。日本のWEB改竄状況 http://www.fearoot.com/index.php?logno=200411 (11/3)-- henoheno
- ある意味Wikiは、Webサイト改ざんに関する情報を混乱させそうですね。もうさせていますか (^^; 私に言わせればWorld Wide Web は元々柔軟なのです。 -- henoheno
- Wikiを知っている皆さんは、いたずらを見つけたらさりげなく直してあげて下さい。 -- henoheno
- PukiWiki専門家(?)の方の目にとまってよかったです。これからはタレコミニストとしてがんばります:) -- Kuro
- 某被害にあったmicro dream studio++管理人です。想定範囲内の被害?だったので特に問題だとは感じていません。ただ、全ページ改竄されてしまうと・・・復旧が大変そうでイヤですな。 -- mayasuke
- Wikiを知らない人から見たら「改竄」という形になりますが、Wikiを知ってる人から見ると改竄と書かれると正直笑ってしまう部分があります。編集制限をかけてない部分に対して改竄(のつもり?)してやるぜ!って書き込みする人の気持ちがわかりません。こういう内容は「編集してもいいですよ」という管理者群の良心をついているようにしか見えませんね( -- 翔
- 編集できるシステムを編集しただけの行為をHACKとのたまう、このような困ったさんをどうカテゴライズすべきか考えたのですが、script kiddy にも満たないということで、HTML kiddy という称号を贈らせていただくのはどうかと思っております :P -- henoheno
- FrontPageとMenuBarを認証制にし、タイムスタンプを常時更新するようにしただけでもかなり防げますね。 -- Logue
- 完全認証制も必要では?SSLなくてもパスワードを暗号化できる仕組みも必要 -- ぱぷぅ
反応リンク†
- 北陸先端科学技術大学院大学 情報科学センター: 本学のWebページの書き込みについての見解 (更新されている)
- void GraphicWizardsLair( void ); //: NetSecurityがWiki書き換えをWeb改竄として記事を書いてしまい赤っ恥さらしている
- Suisui Weblog: それって改竄?
- http://suisui.dip.jp/~suisui/nc/item/376
- "wiki って言うのは、広くだれにでもページを非HTMLで簡単な文法で記述できる事こそが有為なのであって、運用上バックアップは必須(システムで用意されてるし)。 "
- "netsecurity には「復旧されたサイト」とあるけど、wiki の標準の機能でバックアップを戻しただけでしょう。"
- "それに、ある程度編集の必要のなくなったページは管理者以外に編集付加にする「凍結」機能もある事だし。"
- "今回 netsecurity が改竄と勘違いしているのは、むしろWebページの改竄と言うよりもコメントspamや荒しに近い事で、一般的な改竄のような「侵入」は一切ないわけです。"
- 2004-11-05 - 奥村晴彦のWiki: Wikiが改竄?
- Tech総研: 電網"Tech人"ニュースウォッチ: 改竄? いえ、それは仕様です (ただただし@「ただのにっき」さん)
- Web of Lies -Z-: 2004-11-08