writebackplus あれこれ
[/blosxom]
trackback の脆弱性 & コメントスパムへの対処で行った修正であれこれ弊害が出ているようなので、一時的にON/OFFを切り替えられるようにしてみました。
- $check_referer: HTTP_REFERER を含む場合のチェックをする/しない(標準はする)
- $check_ua: USER_AGENT が Mozilla を含む場合のチェックをする/しない(標準はする)
というわけで、ダウンロードはこちらから:
- writebackplus_custom_05a.zip(アップデートに伴い削除)
ちなみに、これまで私が追加した設定項目は
- $notitle: タイトルが入力されなかった場合の代替 (標準は "no title")
- $anonymous: 名前が入力されなかった場合の代替 (標準は "anonymous")
- $charcode: サイトで用いている文字コード (標準は "euc")
ただ、前回のwritebackplusのXSS脆弱性への対処で書いている修正はかなり緊急を要する話なので、0.4以前のバージョンを使っている人は早急に入れ替えてください。ちなみに、入力/出力チェックをやってない項目があったというもので、悪意を持つ者が任意のJavascript等設置できてしまうという深刻なものです。
あと、writebackplus (v0.5以前)で保存したファイルですが、改行コードを変換するFTPクライアントを使って*.wbをダウンロードして再度アップロードすると、うまく表示されないことがあります。*.wb に含まれる \r も \n も全て一緒くたに改行に変換されてしまうケースがあるようで、そのファイルはwritebackではうまく扱えなくなってしまうのです。この場合はexcerptやcommentに含まれる改行を全て削除してやれば問題は解消されます。
08/23 追記: comment/excerptの中の改行コードを全て <br/> に書き換えるように修正しました。*.wb自体は読みにくくなってしまいましたが、改行コードを気にする必要が無くなった分、PCでの修正が容易になったはず…。
