Category
Entry ID
Title
Body	meta-creation_date: 08/07/2004 03:20:00 このサイトでは<a href="http://fletcher.freeshell.org/computers/web/blosxom/writebackplus/writebackplus.html" target="_blank">writebackplus</a>をいじったものを使っているのですが、<a href="http://blog.bulknews.net/mt/archives/001165.html" target="_blank">「Trackback の脆弱性についての勧告」</a>という記事が<a href="http://blog.bulknews.net/" target="_blank">blog.bulknews.net</a>に出ていたのでこれに合わせて修正してみました。といっても、修正法にあった部分をそのまま適用して <ul> <li>ヘッダのHTTP_REFERERに何か入っている <li>ヘッダのHTTP_USER_AGENTが"Mozilla/"を含む </ul> 場合にそのtrackbackが拒否されるようになっています。要するに、ブラウザから来たtrackbackが対象です。修正ついでに、コメントスパムへの対処もしておくことにしました。今のところコメントスパムの主流は英語の様なので、 <ul> <li>SJISに変換した物とEUCに変換した物が一致した場合拒否する </ul> という方法にしました。日本語でやられたらどうしようもないですがね…(いずれ来そうな気がします)。というわけで、この対処はあくまで一時しのぎです。設置してテストしましたが、今のところうまく動いているようです。 <ul> <li>><span class="strikeout">writebackplus_custom_04.zip</span> (アップデートに伴い削除)</li> </ul> 設置法そのものは以前の物と全く変わっておりません。何か問題がありましたらお教え願えると幸いです。 AM4:30 追記: 早速問題発生。「ぶろっぐぴんぴん」というPing/trackback送信のツールを使っているのですが、このUser-AgentがMozilla/3.0になっている模様。当然対策をするとtrackbackが打てません。しょうがないので、User-AgentがMozilla/3.0だった場合にはtrackbackを受け付けるように書き換えました。 08/09 追記: 誤解の無いよう書いておきますが、User-Agentとして"Mozilla"を名乗るのはMozillaだけに限りません。Mozilla以外にも、Netscape("Mozilla"というのはもともとNetscapeのコードネームです)/Internet Explorer/Opera(変更可能)/Safari等のUser-AgentはMozillaから始まります。というわけで、世にあるブラウザの多くはこの対策で排除できることになります。しかしながら、User-Agentはいくらでも変更できる代物ですから(アクセスの際にクライアントがサーバーに渡します。サーバー側が判定しているわけではありません)、全てのブラウザが排除できている保証はどこにもありません。
File
Password	preserve_lastmodified