Category
Entry ID
Title
Body	meta-creation_date: 08/22/2004 00:00:00 <a href="http://www.snowyowls.net/index.cgi/blosxom/writeback_04.html" target="_blank">trackback の脆弱性 & コメントスパムへの対処</a>で行った修正であれこれ弊害が出ているようなので、一時的にON/OFFを切り替えられるようにしてみました。 <ul> <li>$check_referer: HTTP_REFERER を含む場合のチェックをする/しない(標準はする)</li> <li>$check_ua: USER_AGENT が Mozilla を含む場合のチェックをする/しない(標準はする)</li> </ul> で設定できます。チェックは投稿時だけで、表示するときには保存されているメッセージをそのまま(チェックを既に通過したとみなして)出力しています。まあこのバージョンに関しては、問題が発生した場合に切り替えられるようにしただけなので、あんまり気にしなくても構いません。というわけで、ダウンロードはこちらから: <ul> <li><span class="strikeout">writebackplus_custom_05a.zip</span>(アップデートに伴い削除)</li> </ul> ちなみに、これまで私が追加した設定項目は <ul> <li>$notitle: タイトルが入力されなかった場合の代替 (標準は "no title")</li> <li>$anonymous: 名前が入力されなかった場合の代替 (標準は "anonymous")</li> <li>$charcode: サイトで用いている文字コード (標準は "euc")</li> </ul> です。設置に際してはプラグインの文字コードと $charcode は必ず一致させる必要があります。また、サイトで用いている文字コードと $charcode が異なる場合はまともに writeback/trackback は表示できません。なお、Jcode.pmを内部で使っています。ただ、前回の<a href="http://www.snowyowls.net/index.cgi/blosxom/writeback_05.html" target="_blank">writebackplusのXSS脆弱性への対処</a>で書いている修正はかなり緊急を要する話なので、0.4以前のバージョンを使っている人は早急に入れ替えてください。ちなみに、入力/出力チェックをやってない項目があったというもので、悪意を持つ者が任意のJavascript等設置できてしまうという深刻なものです。あと、writebackplus (v0.5以前)で保存したファイルですが、改行コードを変換するFTPクライアントを使って.wbをダウンロードして再度アップロードすると、うまく表示されないことがあります。.wb に含まれる \r も \n も全て一緒くたに改行に変換されてしまうケースがあるようで、そのファイルはwritebackではうまく扱えなくなってしまうのです。この場合はexcerptやcommentに含まれる改行を全て削除してやれば問題は解消されます。 08/23 追記: comment/excerptの中の改行コードを全て <br/> に書き換えるように修正しました。*.wb自体は読みにくくなってしまいましたが、改行コードを気にする必要が無くなった分、PCでの修正が容易になったはず…。
File
Password	preserve_lastmodified