紕日

blosxom に XSS 脆弱性 [2008 - 10 - 20 ]

にーやんのブログ :: Blosxom 2.1.1 以前にクロスサイトスクリプティングの脆弱性 で blosxom に XSS 脆弱性があることを知りました. 珍しくblosxom の文字が RSS のヘッドラインに出たかと思ったらよくないニュースでした(笑) デフォルトテンプレートに含まれるコードによって悪意あるユーザーからの干渉を受ける可能性があるようです.

アップデートしようにも 2.1系は2.0とは違う部分が多そうなので, にーやんさんと同じく SourceForge で提唱されている blosxom.cgi 内のコードの修正を行いました. HTML も RSS も flavour で出力してるからデフォルトの部分は全削除でいい気もします.

• JVN#03300113: Blosxom におけるクロスサイトスクリプティングの脆弱性
• [Blosxom-users] Blosxom 2.1.2 fixes a cross-site scripting (XSS) issue - SourceForge

Wordpress に替えるつもりなのでこれも流れのひとつかな.

Permalink: blosxom に XSS 脆弱性 / computer » blosxom / コメント(0) / 2008 - 10 - 20 / edit

---

FC2アクセス解析のコードをXHTML Validに [2006 - 12 - 14 ]

XHTML1.0 StrictでFC2アクセス解析からエラーを出さないようにした。

• &は全て実体参照の&に置き換える
• script要素のlanguage属性を削除
• a要素のtarget属性を削除
• img要素に適当なalt属性値を付ける
• 連続するリンクを適当な文字で区切る
• div要素のalignはcssで対応する

XHTMLではテキストとしての&は&と記述する。
script要素のlanguage属性はXHTML1.0 Strictで非推奨、XHTML1.1では廃止。代替としてtype属性での言語指定が必要(既に指定されているはず)。
a要素のtarget属性もXHTML1.0 Strictで非推奨、XHTML1.1では廃止。
img要素にalt属性で代替テキストを付けるのは必須。
アクセス解析ではあまり意味がないが連続するaタグを|等で区切らないとアクセシビリティの面でエラーが出るかも?

div align="right"の部分もdiv要素のalign属性がXHTML1.0 Strictで非推奨、XHTML1.1では廃止。CSSを使って代用する。

#analyzer{
        text-align:right;
}

全体のタグは後で書こうかな。
間違ってたら困るし･･笑

Permalink: FC2アクセス解析のコードをXHTML Validに / computer » blosxom / コメント(0) / 2006 - 12 - 14 / edit

---

taggingのURLを静的に [2006 - 12 - 13 ]

XHTMLで"?-tags=XXX"という書式が大量エラーになるので、Blogging is futileのtagging pluginが出力するURLを静的っぽいものに変更。こっちの方がスマートでいいですね。

プラグイン内にもmod_rewriteの記述例がありましたけど上手くいかなかったので氷山みたいなレタス :: taggingプラグイン設置の通りにしたら完璧な動作。感謝!

記述例のうち、以下は"blosxom.cgi"をURLから隠すためのものです。

RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule ^(.*)$ blosxom.cgi/$1 [L,QSA]

blosxom.cgiをトップページとみなすためには次も併記します。

DirectoryIndex blosxom.cgi

Permalink: taggingのURLを静的に / computer » blosxom / コメント(0) / 2006 - 12 - 13 / edit

---

wikieditishで投稿するとtaggingのタグが妙になることの対策 [2006 - 09 - 19 ]

このブログで使っているのはBlogging is futileのtagging pluginです。


tagging pluginでは、1行目のタイトルの次の行に"tags: xxx, yyy, zzz"のようにタグを指定し、その次の行を空白にしてからエントリー本文を書きます。

wikieditishの場合、タグの後に必ず","を付けることで上記の問題を回避することができます。なんでかはわかりません。
タグが1つでも複数でも"tags: xxx,""tags: xxx, yyy, zzz,"という風に書きます。間に入れるスペースは気にしないでいいと思われる。根本的な解決になってないですが、","入れるだけなら表示にも元のテキストにも影響ないし。
原因わからないけど、とりあえずこれでwikieditishでも投稿できるな･･

Permalink: wikieditishで投稿するとtaggingのタグが妙になることの対策 / computer » blosxom / コメント(0) / 2006 - 09 - 19 / edit

---

再びテスト(またテスト) [2006 - 09 - 03 ]

taggingがうまくいかないな・・

20061203修正。pタグは必須か

thum_imageプラグイン試用

Permalink: 再びテスト(またテスト) / computer » blosxom / コメント(2) / 2006 - 09 - 03 / edit

---

« さらに以前のエントリーへ 

Bio

PHPでの作成物など。少しずつ公開しています。突っ込みが欲しいです。
ロールキャベツ大好き。

What am I doing?

• What am I doing?

Photo