imgプラグイン: ページに添付されたファイルを表示したい†
- ページ: BugTrack
- 投稿者: umorigu
- 優先順位: 低
- 状態: 完了
- カテゴリー: プラグイン
- 投稿日: 2018-04-17 (火) 07:55:56
- バージョン: 1.5.1
- リリース予定バージョン: 1.5.2
メッセージ†
imgプラグインはrefと異なり、Wikiページに「添付」されたファイルを表示できない。
拡張子に関わらず画像表示できるimgプラグインを使って、PukiWikiページに添付されたファイルを表示できるようにする。
- こんにちは。「第三者が添付した任意のファイル」がこのアイデアの対象になる可能性がある場合、添付された先のWebサイト(PukiWiki)のコンテンツとしてその他者のファイルが解釈される事によって、閲覧者に直接的な被害が及ぶようになるので、コンテンツ管理に注意するだけではない注意を払ってください。この話題は BugTrack/2465 にも書きました。なお、attachディレクトリに配置されているファイルの直接参照は本来すでに可能ですが、Apacheについては .htaccess のデフォルト設定によって意図的に禁止しています。その理由は同じです。 -- henoheno
- 懸念点の共有ありがとうございます。imgプラグインはもともとURL指定で画像表示を行いますので、添付ファイルを表示できるようにしても現状の仕様に比べて危険度が上がることはないと考えています。PukiWikiページに「危険なファイル」をアップロードするよりも、別サーバー(設置したPukiWikiとは無関係な場所)に「危険なファイル」をアップロードする方が容易である、という判断をしています -- umorigu
- このアイデアによってimgプラグインに関するアタックベクターが増えます。 (1) 外部のURL の他に (2) ATTACH_DIR が追加されるからです。 (昨日の私のコメントと同じ事を言っています) -- henoheno
- これ「imgプラグインに関するアタックベクターが増えます」はその通りですね。問題が起きないように気をつけたいと思います -- umorigu
- 横から失礼します。以前に別のプラグインで同じこと(ATTACH_DIRにある拡張子なしデータを呼び出す)ことを考えていた身、気になったのでもうちょっと情報いただけますか?失礼ながら、henohenoさんのコメントから脅威が読み取りづらかったので。
henohenoさんの懸念なさっているのは、ATTACH_DIR ディレクトリにある「他ページへの添付画像」を指定できる、結果「ページのアクセス権を逸脱するおそれがある」ということでしょうか。例えば「Aさんには参照・編集権限のないページZ」に添付されている画像を、「Aさんが編集できるページYにおいた imgプラグインから取り出せる」というような。他に何かもっと別の懸念があるのでしょうか? -- Tomose
- 対応しました。 commit:ebb80be5a3 -- umorigu