1.4.6リリースに向けて†
- ページ: BugTrack2
- 投稿者: henoheno
- 優先順位: 重要
- 状態: 完了
- カテゴリー: その他
- 投稿日: 2005-05-30 (月) 22:07:13
- バージョン:
メッセージ†
1.4.6リリースに向けた修正項目の確認を行いましょう。
2005/07/01 rcリリースの2週間後 | 1.4.6リリース |
2005/06/15 必須項目を一通り仕上げ次第 7/3 | rcリリース |
1.4.6リリースまでの道のりは、少し険しくなっています (^^;
(開発日記/2005-05-28より移動)
いつもより定期リリースの良い点と、安全性とのバランスが難しい・・・
その他の対策事項†
PukiWiki.org ダウン対応 -- 6/17, 6/19にダウンした件
PukiWiki.org サーバー切り替え対応 -- 作業完了待ち
- PukiWiki.org ドメイン喪失 -- 待つしかないらしい
- pukiwiki.org新サーバーのメンテ -- 待ち
- [必須] rc(リリース候補) からリリースまでの流れ
- rcをリリースしてから余裕を空けてからリリースすべき
- 変更点を書く時間
[必須] AutoLink が貼り付けまくるanchor タグだけを綺麗にひっぺがす方法 => BugTrack2/65にて完了
[必須] : Movable Type 由来らしい、TrackBack関連cssの正確な由来の確認(どのバージョンの何が由来か)。 => BugTrack2/62 コードから該当の機能を削除。BugTrackにまだ書いていない(日本語では)。
少なくとも「管理者以外の添付を禁止」した設定をデフォルトにする done
次期定期リリースに向け検討/再検討すべきところ†
BugTrack2/62 Trackback機能の削除について
- BugTrack書き
パッケージ削除、再リリース
- UPGRADING.txt 書き (非互換)
実装が無いものは無いのと同じ / 立証されていない穴があるもの / チェック待ちかチェック後†
feed(BugTrack2/45) -- 検証要するため持ち越し。タブが破壊されている話題あり(特定目的のエディタの設定が他のプロダクトへ)
codeプラグイン
ライセンスについて ベースとなったという著作物との関係の確認
BugTrack/779 (時間がかかりそう) r0.5.0で対策済み
- BugTrack/789:
tDiary用CSSの多色化、最低1~2色の追加 -- 持ち越し
- 何色を追加すれば(より多くの)テーマをケアできる? それを探すのが一番大変だ
- backupの見直しとdiffとの統合 -- とりあえず flock() が先か
添付関係の機能について†
- :config/plugin/attach/mime-type に定義されている拡張子のものだけを添付できるようにしてはどうでしょうか。性質が違うものなので、別に許可リストを作成したほうがいいかもですが・・・ -- teanan
- 添付における種別判定やその許可云々ではなく、それを取り出す際の参照時における振る舞いの制御ですよねぇ。そうしないと、常に、このファイルを維持する必要が出てきますよ。取り出す際に、考慮すべきマジックナンバーは何なのか?をいかに行うかだと思っていますけどね。 -- upk
- すみません、すこし紛らわしい書き方をしました。ファイル添付時に :config/plugin/attach/mime-type を見て、そこに定義されていたら添付できるようにしたらどうか、という提案です。他の形式を許可したい場合は、管理者にmime-typeを編集してもらえばいいのかな、と。 -- teanan
- それは、(拡張子判別だとしたら)拡張子をだましてくるものに関しては防げないので意味ないです (^^; *1 -- みこ
- 画像だけを許可する場合は、getimagesizeを使うのはどうでしょうか。 -- さばぞう
diff -ur pukiwiki-1.4.5_1/ja.lng.php pukiwiki/ja.lng.php
--- pukiwiki-1.4.5_1/ja.lng.php 2005-01-15 11:51:44.000000000 +0900
+++ pukiwiki/ja.lng.php 2005-06-02 14:39:06.823809600 +0900
@@ -182,6 +182,7 @@
'err_delete' => '$1 からファイルを削除できませんでした',
'err_password' => 'パスワードが一致しません。',
'err_adminpass'=> '管理者パスワードが一致しません。',
+ 'err_notimage' => '画像ファイルではありません。',
'btn_upload' => 'アップロード',
'btn_info' => '詳細',
'btn_submit' => '実行'
diff -ur pukiwiki-1.4.5_1/plugin/attach.inc.php pukiwiki/plugin/attach.inc.php
--- pukiwiki-1.4.5_1/plugin/attach.inc.php 2005-01-30 21:02:37.000000000 +0900
+++ pukiwiki/plugin/attach.inc.php 2005-06-02 14:48:24.416208600 +0900
@@ -28,6 +28,9 @@
// アップロード/削除時にパスワードを要求する(ADMIN_ONLYが優先)
define('PLUGIN_ATTACH_PASSWORD_REQUIRE', FALSE); // FALSE or TRUE
+// 画像ファイルだけをアップロードできるようにする
+define('PLUGIN_ATTACH_UPLOAD_IMAGE_ONLY', TRUE); // FALSE or TRUE
+
// ファイルのアクセス権
define('PLUGIN_ATTACH_FILE_MODE', 0644);
//define('PLUGIN_ATTACH_FILE_MODE', 0604); // for XREA.COM
@@ -185,6 +188,13 @@
if (move_uploaded_file($file['tmp_name'], $obj->filename))
chmod($obj->filename, PLUGIN_ATTACH_FILE_MODE);
+ if (PLUGIN_ATTACH_UPLOAD_IMAGE_ONLY && getimagesize($obj->filename) === FALSE) {
+ unlink($obj->filename);
+ return array(
+ 'result'=>FALSE,
+ 'msg'=>$_attach_messages['err_notimage']);
+ }
+
if (is_page($page))
touch(get_filename($page));
- 画像のみならその方法はありだとおもいます (^^) *2 -- みこ
- 今回の脆弱性云々とは別件として導入することにして、どうせやるなら画像のサイズ制限も行うと良いかと思います(タテヨコのピクセル数について、異常な値であった場合は拒否する) -- henoheno
- 逆リンクをたどって。こちらのページを知りました上記方法を導入して、画像添付機能を復活させることができました。ありがとうございました。 -- BloodOpera@はてな/Ray
- 私はあらゆる案について、あからさまに変なモノ以外は、有効性については当分言及しません。お薦めする当面の解は「第三者に添付を許さない」です。うむせちがらい世の中だ。 -- henoheno
- Hikiでも採用しているらしい、Content-Dispositionヘッダにattachmentを指定 する対処案も検討候補に挙げたいです。 -- にぶんのに
コメント†
- BugTrack2/65(関連としてBugTrack2/67もある)は要修正だと思います。 --
- あ、忘れてました。プラグインマニュアルですが、nofollowは追加してません。commit時にfreezeとnofollowの追加よろしく。 本当は出来る所までやっておきたいのですが、devにはnofollowがなくてエラーになるので。同様の理由で見送っているヘッダフッタのnaviがページを絶対指定しているのも早く直したいんですがねぇ、、 -- にぶんのに
- code.inc.phpのBugTrack/779はr0.5.0で対策しました。 -- sky