trackback の脆弱性 & コメントスパムへの対処
[/blosxom]
このサイトではwritebackplusをいじったものを使っているのですが、「Trackback の脆弱性についての勧告」という記事がblog.bulknews.netに出ていたのでこれに合わせて修正してみました。といっても、修正法にあった部分をそのまま適用して
- ヘッダのHTTP_REFERERに何か入っている
- ヘッダのHTTP_USER_AGENTが"Mozilla/"を含む
修正ついでに、コメントスパムへの対処もしておくことにしました。今のところコメントスパムの主流は英語の様なので、
- SJISに変換した物とEUCに変換した物が一致した場合拒否する
- >writebackplus_custom_04.zip (アップデートに伴い削除)
AM4:30 追記: 早速問題発生。「ぶろっぐぴんぴん」というPing/trackback送信のツールを使っているのですが、このUser-AgentがMozilla/3.0になっている模様。当然対策をするとtrackbackが打てません。しょうがないので、User-AgentがMozilla/3.0だった場合にはtrackbackを受け付けるように書き換えました。
08/09 追記: 誤解の無いよう書いておきますが、User-Agentとして"Mozilla"を名乗るのはMozillaだけに限りません。Mozilla以外にも、Netscape("Mozilla"というのはもともとNetscapeのコードネームです)/Internet Explorer/Opera(変更可能)/Safari等のUser-AgentはMozillaから始まります。というわけで、世にあるブラウザの多くはこの対策で排除できることになります。しかしながら、User-Agentはいくらでも変更できる代物ですから(アクセスの際にクライアントがサーバーに渡します。サーバー側が判定しているわけではありません)、全てのブラウザが排除できている保証はどこにもありません。
