2007年5月09日の投稿

2007-05-09
晴れ

WordPress プラグインにひそむ脆弱性

ゆりこ による 11:02:25 の投稿
カテゴリー: WordPressハック
タグ: ,

WordPress はテーマやプラグインが豊富に存在し、かつ、自作プラグインが作りやすことが魅力です。しかし、その「作りやすい」ことが災いして、脆弱性を含んだプラグインがけっこうあるようです。

プラグインをいろいろ試すのはいいことですが、できれば、ソースを見てみて、危険性がないことを確認した方がいいでしょう。もし簡単に脆弱性が見つかるようなら、絶対にそのプラグインは使ってはいけません。

XSS を見つけるには、$_GET や $_POST の内容をそのまま echo していないかどうかのチェックしてみます。echo $_GET['lat']; なんてしていたら、それはモロ XSS があります。

SQL インジェクションはもっと簡単で、$wpdb->get_row とか $wpdb->query の引数にある SQL 文に、そのまま $_GET や $_POST を使ってないか調べます。例えば、以下のようなコードは危険です。

$wpdb->get_row("SELECT comment_content FROM $wpdb->comments WHERE comment_ID = ".$_GET['edit_this'])

もちろん、こんな簡単なチェックではすべての脆弱性を見つけることは無理ですが、現状では、この程度の点検でもやばいコードが見つかってしまいます……。

なお、プラグインに脆弱性を見つけたなら、それをいきなり公表してもいけません。まず作者に報告し、修正されるのを待つべきです。もはやメンテナンスされていないなら、(たぶん GPL なので) 自分で改善して配布するという手もあるでしょうか。

拡声器を使うような平和行進はくたばってしまえ

ゆりこ による 12:21:20 の投稿
カテゴリー: 社会問題
タグ:

宣伝カー

おととしも騒音で迷惑した国民平和大行進が今年も通過していきました。選挙カーの連呼と同様、拡声器を使った運動は逆効果だと思うのですが、またやってくれました……。今回は、おととしと違って、区役所での休憩時、近所に対するお断りがないことはきっちり確認しました。また、直接苦情を言っても「ごめんなさい」の一言も、「ご理解願います」の説得もありません。運動してメガホンで隊員への事務連絡をして当然だという傲慢な返答です。

これでもう、平和行進は、「近所迷惑してでも自分たちの運動を押し付ける行動」であることがはっきりしました。これでは、平和運動全般が嫌いになります。極端な話、「憲法24条を改正するために憲法9条を失ってもいい」とまで思ってしまいます;-) (注: 憲法24条は、結婚が男女間のものであることを規定する条文です) それぐらい、「平和行進」の主催者は傲慢なのです。こんな連中は早くくたばってほしいものです。

[追記] 掲示板に苦情を書いたら削除されてしまいました。

[さらに追記 2007-05-11 00:55] 初出の記事では端折っていて誤解されそうですが、うるさくて腹立たしいのはデモ自体よりも「ここで休憩とします」などの事務連絡を街宣車で行なったことです。事務連絡をメガホンでするのが近所迷惑だということです。この傍若無人さと、それに対する苦情を受け付けない傲慢さが、腹立たしいのです。その意図が直接抗議した相手に伝わっていないのかもしれませんね……。ウェブフォームでは「事務連絡がうるさい」とは明記していないので、これは誤解されそうです。

J2 新潟は6月9-10日に決定

ゆりこ による 12:48:27 の投稿
カテゴリー: イベント

夏の J2 新潟の開催が6月9-10日に決定しました!! 多摩川や淀川の川原で行うジンギスカンとは全く違った楽しさがありますので、興味ある方は早めに ML 購読して打ち合わせに参加してください。

去年8月に開催した様子をレポートしていますので、どんな感じか気になる人は見てみてくらはい。

DokuWiki オモロそう

ゆりこ による 22:33:02 の投稿
カテゴリー: ソフトウェア

去年はMediaWiki にハマったのですが、今度は DokuWiki というのを見つけまして、こちらもオモロそうです。MediaWiki は玖伊屋辞書には向いていると思うのですが、J2 関東 Wiki ではあまり使い勝手がよくありません。しかし、DokuWiki ならば、これで J2 関東ウェブサイト自体を構築してもよさそうです。

DokuWiki のメリットは何といっても、XHTML + CSS に準拠していて、かつ、おしゃれな見栄えを作ることができる点です。MediaWiki もソコソコ見た目はいいですが「Wikipedia に似ている」のが弱点です。MozillaWiki のようにがんばってスキンを作れば全く違う外見にもできますが、ちょっと大変です。

次に、強力なアクセス管理機能があります。第xx回の J2 関東に参加した人だけに見せたいページ、というのを作りたいですが、それが可能なように思えます(現在調査中)。ユーザー登録をしてもらい、第xx回というグループを作ってそこにユーザーを入れ、そのグループにのみ閲覧可と設定すればいいのかな? そうすれば、参加者に限って写真を配る、などといったことが可能です。

何より、URL を美しくできるのがすごいところです。MediaWiki の場合、どうしても「http://example.jp/項目名」とするのがかなり困難で、「http://example.jp/wiki/項目名」で妥協せざるを得ません。また、フロントページが「http://example.jp/wiki/メインページ」になってしまいます。しかし、DokuWiki の場合は容易に「http://example.jp/項目名」が可能で、フロントページも「http://example.jp/」とできます。逆に言うと、DokuWiki を純粋な CMS として使うことができるわけです。これはいいですね。

日本語情報もソコソコ存在するようです。以下にリンクしておきましょう。

欠点は、データーベースを使わず、テキストファイルでページ内容を保存することです。人によっては、これがメリットと思うでしょうが、アクセス競合やデーターの壊れにくさを考えるとデーターベースの方がいいと思います。今後のバージョンで MySQL などに対応してくれることを期待しましょう。