開発日記/2005-01-09

お試しサイト更新 -- henoheno†

• ちょっとここに tdiary-theme-2.0.0 同梱のテーマ全部置いときますね・・・
  • http://pukiwiki.sourceforge.jp/pukiwiki1.4/wood.php?tDiary%A5%B9%A5%AD%A5%F3
  • ネットワークの負担が増えるので、個人サイトでこの(全て選択可能な)状態にすることはお勧めしません。

CVS更新 -- henoheno†

tDiaryスキン†

• cvs:skin/tdiary.skin.php (1.6): Also replace h3 and h4, without sanchor design
  • h3, h4 の † が依然として表示されていたので、tDiaryっぽく表示される様に修正。

searchプラグイン†

• cvs:plugin/search.inc.php (1.5): Cleanup. Added PLUGIN_SEARCH_DISABLE_GET_ACCESS. If disabled, show nothing about $_msg_word
  • GETメソッドの利用を許可できる様に、設定と注意書きを追加
  • GETメソッドを禁止している時は、word= の値を明確に無視する

クリンナップ†

• cvs:plugin/filelist.inc.php (1.3)
• cvs:list.inc.php (1.5)
  • Cleanup list and filelist

• cvs:plugin/attach.inc.php (1.69): Cleanup/shrink a little about $non_list etc

develモジュール (pukiwiki本体とは別のディレクトリ)†

release.sh: リリースパッケージ作成スクリプト†

• お試しサイトの更新が可能になる様に、release.shを修正。結果的に、このシェルスクリプトはテスト環境を作るためのツールとしても使える様になりました。
  • cvs:../devel/release.sh (1.12)
  • --nopkg オプションを追加。特定のタグでPukiWikiをexportした後にchmodするが、パッケージは作らない。
  • HEAD, 1.3ブランチを指定可能に。

tdiary-demogen.sh: tDiaryスキンのデモ ジェネレーター†

tDiary demonstration generator: generates many [theme].php

• cvs:../devel/tdiary-demogen.sh (1.2)
  • themeディレクトリに設置してあるtDiaryテーマをチェックして:
    • 存在しているテーマを一覧します。 (lsのように)
    • 各テーマを参照するためのInterWikiを生成します。
    • <テーマ名>.php などを生成します。いずれも必要なdefineの後に require('./index.php') します。
• 使用させていただきました。ありがとうございます。 -- hirokasa 2005-01-11 (火) 00:47:32
• コレ楽しいですね。自分のサイトも早速導入してみました。 -- okkez 2005-01-11 (火) 01:24:08

NetSecurity: ご冗談でしょう、架空の編集長さん -- henoheno†

開発日記/2004-11-04#ob0afa36 の件の続編のようです。(※以前の情報にも、反応リンクなどを追加しています。興味のある方は先にそちらをチェックして下さい)

• NetSecurity: 12月29日 編集部はご難続き　SCAN編集部騒動記（2）
  • http://www.netsecurity.ne.jp/modules/pagemanager/showone_ns.php?form_id=3&page_id=1191

Wikiに対するいたずら(の中で、Digital attackされたサイトとしてzone-h.orgなどがリストアップしたもの)は、今後も「サーバー」の「改ざん」と同列に扱うとの事です。

Webに対する架空の認識†

今回の問題は、システム(ソフトウェア)が意図している事と、ユーザー(今回はNetSecurityさん)が意図していない事とのギャップである様に思います。Webサーバーと初歩的な個人情報漏洩の関係を思い起こさせます。

以下、上記URLからの引用とそれに対するコメント。

"よりサイト管理者が反発しがちなのが、「WEBアプリケーションは正常に動作しているが、環境設定など人的要因により問題となる状況が発生」した場合である。wikiが誰でも書き込める状態になっており、管理者が本来意図しない書き込みをされる場合がある。"

• 「wikiが誰でも～」という下りは、「Webサーバーが何でも要求されたデータを送信する状態になっており、管理者が本来意図しない情報を漏洩する場合がある。」と書くのと同じぐらいピントがずれていると思います。

"「改ざん」という言葉の定義の話にもなるが、 NetSecurity ではこれも「改ざん」として扱っている。なぜなら、それは本来意図したものではないし、利用者にとっても本来意図していないものを見せられるハメになる。場合によってはクロスサイトスクリプティングなどの攻撃も可能となる危険もはらんでいる。もちろん、世の中には自由な書き込みを許しているサイトはいくらでもある。問題は、利用者が危険性を事前に察知できるかどうか、そのサイトの利用者数や属性が問題になる可能性をはらんだものなのかどうかといったことになってくる。自由な書き込みを許しているサイトは、ある意味、誰でも自由に攻略できるセキュリティホール満開のサーバと同じなのである。それが「改ざん」情報に掲載されるかどうかは、「改ざん」行為の有無とその影響度合いによる。"

• 「場合によってはクロスサイトスクリプティング～」という下りから「～ということになってくる。」までは、「Webサーバーが動作しているのであれば、場合によってはバッファーオーバーフローなどの攻撃も可能となる危険性をはらんでいる。以下略」と書くのと同じくらい無意味です。
• 続いて「自由な書き込み～」という下りは、「自由にアクセスできるサイトは、ある意味、誰でも情報を引き出せる公開名簿サービスと同じなのである。」と書くのと同じぐらい無意味です。ところで自由に書き込める掲示板の立場はどうなるのでしょう？

今回の場合、こうしたあたりを理解している側であるはずのNetSecurityさんがこうした行為を継続して行っていることが問題で、改ざん情報を公開して警報を出す意味をどう考えているのか、それが問われているのだという事を良く考えて欲しいと思います。

今後もNetSecurtyが(いつも参考にしているサイトが次に報告した)「日本におけるWiki改ざん」の記事をサーバーやソフトウェアの不具合であるかのように掲載したり、掲載しなかったり、サーバーのOSの種類を転載したり復旧したことを報告するのかどうか、少々興味深いです。

Wiki管理者へのおすすめ†

FrontPageを凍結して、commentプラグインなどを設置しない様にしておけば、FrontPageがいたずらされる余地がありませんから、そのサイト全体がいたずらされたかの様な印象を与え辛くなるでしょう。

※凍結したページにcommentプラグインなどを設置する様な利用の仕方では、負担が減りませんよ。

この件に関するコメント†

• 「もちろん、本稿の内容はすべて架空のものです。お間違えなきよう」って書いてありますが :p -- teanan 2005-01-10 (月) 08:22:50
• もちろん、架空の記事を掲載した実在するサイトに対するコメントです :) 間違いない。-- henoheno 2005-01-10 (月) 10:31:03
• 内容と関係ないけど、新聞じゃないんだから「改竄」ってちゃんと漢字で書いて欲しいなぁと思ったり。:) ＞NetSecurity -- 2005-01-11 (火) 14:19:58

• BugTrack
• 開発版
  • リポジトリ
  • 開発日記
• :CategoryDev
  • PukiWiki2
  • PukiWiki/1.5
  • PukiWiki/1.4
  • PukiWiki/1.3
  • メーリングリスト
  • 開発談義
  • 雑談
• 開発者向け情報
  • Books
  • プラグイン

最新の16件