- 追加された行はこの色です。
- 削除された行はこの色です。
#author("2018-04-18T07:55:00+09:00","","")
#author("2018-04-18T22:49:54+09:00","","")
* imgプラグイン: ページに添付されたファイルを表示したい [#d335f9bd]
- ページ: [[BugTrack]]
- 投稿者: [[umorigu]]
- 優先順位: 低
- 状態: 提案
- カテゴリー: プラグイン
- 投稿日: 2018-04-17 (火) 07:55:56
- バージョン: 1.5.1
** メッセージ [#i7988ba4]
imgプラグインはrefと異なり、Wikiページに「添付」されたファイルを表示できない。
拡張子に関わらず画像表示できるimgプラグインを使って、PukiWikiページに添付されたファイルを表示できるようにする。
--------
- こんにちは。「第三者が添付した任意のファイル」がこのアイデアの対象になる可能性がある場合、添付された先のWebサイト(PukiWiki)のコンテンツとしてその他者のファイルが解釈される事によって、閲覧者に直接的な被害が及ぶようになるので、コンテンツ管理に注意するだけではない注意を払ってください。この話題は [[BugTrack/2465]] にも書きました。なお、attachディレクトリに配置されているファイルの直接参照は本来すでに可能ですが、Apacheについては .htaccess のデフォルト設定によって意図的に禁止しています。その理由は同じです。 -- [[henoheno]] &new{2018-04-17 (火) 22:13:58};
- 懸念点の共有ありがとうございます。imgプラグインはもともとURL指定で画像表示を行いますので、添付ファイルを表示できるようにしても現状の仕様に比べて危険度が上がることはないと考えています。PukiWikiページに「危険なファイル」をアップロードするよりも、別サーバー(設置したPukiWikiとは無関係な場所)に「危険なファイル」をアップロードする方が容易である、という判断をしています -- [[umorigu]] &new{2018-04-18 (水) 07:53:09};
- このアイデアによってimgプラグインに関するアタックベクターが増えます。 (1) 外部のURL の他に (2) ATTACH_DIR が追加されるからです。 (昨日の私のコメントと同じ事を言っています) -- [[henoheno]] &new{2018-04-18 (水) 22:49:54};
#comment
![[PukiWiki]](image/pukiwiki-dev.png "[PukiWiki]")
