Nest of Snowy Owls

trackback の脆弱性 & コメントスパムへの対処

［/blosxom］

このサイトではwritebackplusをいじったものを使っているのですが、「Trackback の脆弱性についての勧告」という記事がblog.bulknews.netに出ていたのでこれに合わせて修正してみました。といっても、修正法にあった部分をそのまま適用して

• ヘッダのHTTP_REFERERに何か入っている
• ヘッダのHTTP_USER_AGENTが"Mozilla/"を含む

場合にそのtrackbackが拒否されるようになっています。要するに、ブラウザから来たtrackbackが対象です。

修正ついでに、コメントスパムへの対処もしておくことにしました。今のところコメントスパムの主流は英語の様なので、

• SJISに変換した物とEUCに変換した物が一致した場合拒否する

という方法にしました。日本語でやられたらどうしようもないですがね…(いずれ来そうな気がします)。というわけで、この対処はあくまで一時しのぎです。設置してテストしましたが、今のところうまく動いているようです。

• >writebackplus_custom_04.zip (アップデートに伴い削除)

設置法そのものは以前の物と全く変わっておりません。何か問題がありましたらお教え願えると幸いです。

AM4:30 追記: 早速問題発生。「ぶろっぐぴんぴん」というPing/trackback送信のツールを使っているのですが、このUser-AgentがMozilla/3.0になっている模様。当然対策をするとtrackbackが打てません。しょうがないので、User-AgentがMozilla/3.0だった場合にはtrackbackを受け付けるように書き換えました。

08/09 追記: 誤解の無いよう書いておきますが、User-Agentとして"Mozilla"を名乗るのはMozillaだけに限りません。Mozilla以外にも、Netscape("Mozilla"というのはもともとNetscapeのコードネームです)/Internet Explorer/Opera(変更可能)/Safari等のUser-AgentはMozillaから始まります。というわけで、世にあるブラウザの多くはこの対策で排除できることになります。しかしながら、User-Agentはいくらでも変更できる代物ですから(アクセスの際にクライアントがサーバーに渡します。サーバー側が判定しているわけではありません)、全てのブラウザが排除できている保証はどこにもありません。

Posted at 03:20 / Permanent Link / Comments(3) / Edit