2007年5月09日の投稿

WordPress プラグインにひそむ脆弱性
WordPress はテーマやプラグインが豊富に存在し、かつ、自作プラグインが作りやすことが魅力です。しかし、その「作りやすい」ことが災いして、脆弱性を含んだプラグインがけっこうあるようです。
プラグインをいろいろ試すのはいいことですが、できれば、ソースを見てみて、危険性がないことを確認した方がいいでしょう。もし簡単に脆弱性が見つかるようなら、絶対にそのプラグインは使ってはいけません。
XSS を見つけるには、$_GET や $_POST の内容をそのまま echo していないかどうかのチェックしてみます。echo $_GET['lat'];
なんてしていたら、それはモロ XSS があります。
SQL インジェクションはもっと簡単で、$wpdb->get_row
とか $wpdb->query
の引数にある SQL 文に、そのまま $_GET や $_POST を使ってないか調べます。例えば、以下のようなコードは危険です。
$wpdb->get_row("SELECT comment_content FROM $wpdb->comments WHERE comment_ID = ".$_GET['edit_this'])
もちろん、こんな簡単なチェックではすべての脆弱性を見つけることは無理ですが、現状では、この程度の点検でもやばいコードが見つかってしまいます……。
なお、プラグインに脆弱性を見つけたなら、それをいきなり公表してもいけません。まず作者に報告し、修正されるのを待つべきです。もはやメンテナンスされていないなら、(たぶん GPL なので) 自分で改善して配布するという手もあるでしょうか。
J2 新潟は6月9-10日に決定
夏の J2 新潟の開催が6月9-10日に決定しました!! 多摩川や淀川の川原で行うジンギスカンとは全く違った楽しさがありますので、興味ある方は早めに ML 購読して打ち合わせに参加してください。
去年8月に開催した様子をレポートしていますので、どんな感じか気になる人は見てみてくらはい。
DokuWiki オモロそう
去年はMediaWiki にハマったのですが、今度は DokuWiki というのを見つけまして、こちらもオモロそうです。MediaWiki は玖伊屋辞書には向いていると思うのですが、J2 関東 Wiki ではあまり使い勝手がよくありません。しかし、DokuWiki ならば、これで J2 関東ウェブサイト自体を構築してもよさそうです。
DokuWiki のメリットは何といっても、XHTML + CSS に準拠していて、かつ、おしゃれな見栄えを作ることができる点です。MediaWiki もソコソコ見た目はいいですが「Wikipedia に似ている」のが弱点です。MozillaWiki のようにがんばってスキンを作れば全く違う外見にもできますが、ちょっと大変です。
次に、強力なアクセス管理機能があります。第xx回の J2 関東に参加した人だけに見せたいページ、というのを作りたいですが、それが可能なように思えます(現在調査中)。ユーザー登録をしてもらい、第xx回というグループを作ってそこにユーザーを入れ、そのグループにのみ閲覧可と設定すればいいのかな? そうすれば、参加者に限って写真を配る、などといったことが可能です。
何より、URL を美しくできるのがすごいところです。MediaWiki の場合、どうしても「http://example.jp/項目名」とするのがかなり困難で、「http://example.jp/wiki/項目名」で妥協せざるを得ません。また、フロントページが「http://example.jp/wiki/メインページ」になってしまいます。しかし、DokuWiki の場合は容易に「http://example.jp/項目名」が可能で、フロントページも「http://example.jp/」とできます。逆に言うと、DokuWiki を純粋な CMS として使うことができるわけです。これはいいですね。
日本語情報もソコソコ存在するようです。以下にリンクしておきましょう。
欠点は、データーベースを使わず、テキストファイルでページ内容を保存することです。人によっては、これがメリットと思うでしょうが、アクセス競合やデーターの壊れにくさを考えるとデーターベースの方がいいと思います。今後のバージョンで MySQL などに対応してくれることを期待しましょう。