BugTrack/2465
の編集
Top
/
BugTrack
/
2465
[
トップ
] [
編集
|
差分
|
履歴
|
添付
|
リロード
] [
新規
|
一覧
|
検索
|
最終更新
|
ヘルプ
|
ログイン
]
* 拡張子に関わらずimgタグで画像を表示する [#d673819c] - ページ: [[BugTrack]] - 投稿者: [[umorigu]] - 優先順位: 低 - 状態: 完了 - カテゴリー: 欲しいプラグイン - 投稿日: 2018-04-05 (木) 00:06:08 - バージョン: 1.5.1 - リリース予定バージョン: 1.5.2 ** メッセージ [#u065a33c] refプラグインの場合、画像拡張子で終わるURLでなければ画像として表示しない。 URLが画像の拡張子でなくとも、画像を表示する手段が欲しい -------- - 過去に PHP getimagesize() 関数の脆弱性があったように、また、これまでに何度も Unix file コマンドの脆弱性が報告されているように、「第三者による任意のデータ」が安全かどうかをチェックできる手段を用意することは元々困難です。 -- [[henoheno]] &new{2018-04-05 (木) 23:27:56}; - 第三者が任意のデータをアップロードできる状況にある場合、攻撃者にとっては「ファイル名から予想できること」と「ファイルの中身等によって実際に行われること」を一致させる必要などないので、「ファイル名らしきもの」の「拡張らしき物」が安全なのかどうかは、表面的な、見かけの、無いよりはましという程度の制約です。 -- [[henoheno]] &new{2018-04-05 (木) 23:28:11}; - 最近はどうだか知りませんが、IEがMIMEを無視し、contentによって勝手にMIMEを決定する挙動については割愛します。 -- [[henoheno]] &new{2018-04-05 (木) 23:30:54}; - こうした要素は、指し示したファイルの置き場所が安全である事が担保される場合にかぎっては回避可能と思われます。 -- [[henoheno]] &new{2018-04-05 (木) 23:31:53}; - refについては以前ご紹介したように、リファクタリングしたつもりのソースコードがcvsリポジトリに眠っているので、それをチェックいただくのが良いでしょう。元のrefがとても複雑なので、テストは色々と申し訳ありません。 -- [[henoheno]] &new{2018-04-05 (木) 23:32:48}; - refプラグインの動作を変えるのは影響が大きいので、まずimgプラグインを画像表示に特化させて復活させようと考えていました。実装についてはrefプラグインの過去実装を参考にします -- [[umorigu]] &new{2018-04-13 (金) 05:24:10}; - 関連: [[BugTrack/460]] -- [[umorigu]] &new{2018-04-13 (金) 06:23:00}; - 対応しました [[commit:ce74cd7aaf]] noimageオプションで画像表示しないようにもできます。画像表示可否はデフォルトで PKWK_DISABLE_INLINE_IMAGE_FROM_URI に連動させるようにしました。この値が1の場合、画像表示しません -- [[umorigu]] &new{2018-04-28 (土) 23:29:37}; #comment
タイムスタンプを変更しない
* 拡張子に関わらずimgタグで画像を表示する [#d673819c] - ページ: [[BugTrack]] - 投稿者: [[umorigu]] - 優先順位: 低 - 状態: 完了 - カテゴリー: 欲しいプラグイン - 投稿日: 2018-04-05 (木) 00:06:08 - バージョン: 1.5.1 - リリース予定バージョン: 1.5.2 ** メッセージ [#u065a33c] refプラグインの場合、画像拡張子で終わるURLでなければ画像として表示しない。 URLが画像の拡張子でなくとも、画像を表示する手段が欲しい -------- - 過去に PHP getimagesize() 関数の脆弱性があったように、また、これまでに何度も Unix file コマンドの脆弱性が報告されているように、「第三者による任意のデータ」が安全かどうかをチェックできる手段を用意することは元々困難です。 -- [[henoheno]] &new{2018-04-05 (木) 23:27:56}; - 第三者が任意のデータをアップロードできる状況にある場合、攻撃者にとっては「ファイル名から予想できること」と「ファイルの中身等によって実際に行われること」を一致させる必要などないので、「ファイル名らしきもの」の「拡張らしき物」が安全なのかどうかは、表面的な、見かけの、無いよりはましという程度の制約です。 -- [[henoheno]] &new{2018-04-05 (木) 23:28:11}; - 最近はどうだか知りませんが、IEがMIMEを無視し、contentによって勝手にMIMEを決定する挙動については割愛します。 -- [[henoheno]] &new{2018-04-05 (木) 23:30:54}; - こうした要素は、指し示したファイルの置き場所が安全である事が担保される場合にかぎっては回避可能と思われます。 -- [[henoheno]] &new{2018-04-05 (木) 23:31:53}; - refについては以前ご紹介したように、リファクタリングしたつもりのソースコードがcvsリポジトリに眠っているので、それをチェックいただくのが良いでしょう。元のrefがとても複雑なので、テストは色々と申し訳ありません。 -- [[henoheno]] &new{2018-04-05 (木) 23:32:48}; - refプラグインの動作を変えるのは影響が大きいので、まずimgプラグインを画像表示に特化させて復活させようと考えていました。実装についてはrefプラグインの過去実装を参考にします -- [[umorigu]] &new{2018-04-13 (金) 05:24:10}; - 関連: [[BugTrack/460]] -- [[umorigu]] &new{2018-04-13 (金) 06:23:00}; - 対応しました [[commit:ce74cd7aaf]] noimageオプションで画像表示しないようにもできます。画像表示可否はデフォルトで PKWK_DISABLE_INLINE_IMAGE_FROM_URI に連動させるようにしました。この値が1の場合、画像表示しません -- [[umorigu]] &new{2018-04-28 (土) 23:29:37}; #comment
テキスト整形のルールを表示する