WordPressハックカテゴリーの投稿

2007-11-20
晴れ

WordPress 向け波ダッシュ矯正プラグイン Force Wave Dash 0.80 リリース

ゆりこ による 20:53:41 の投稿
カテゴリー: WordPressハック
タグ: , , ,

予告通り、波ダッシュ矯正プラグイン「Force Wave Dash」のバージョン 0.80 をリリースします。プラグインの詳細は配布サイトをご覧ください。変更点は以下の通りです。

  • 投稿の抜粋・コメント投稿者・コメント本文にある全角チルダも波ダッシュに置換するようにしました。
  • 検索文字列に全角チルダがある場合、波ダッシュに変換して検索するようにしました。
  • プラグイン本体を JeditTeraPad などのテキストエディタで開いても壊れないように、コードの書き方を工夫しました。
ダウンロード: force_wavedash080.tar.bz2 (9.4KB)
バージョン 0.81 をリリースしました。

本プラグインはWindows と Macintosh を両用している人には必須と言えるでしょう。ぜひインストールしてみてください。本当は、すべての Windows ユーザーにインストールして頂きたいのですが、Windows しか使ってない人の場合、「全角チルダ」ラブラブでも問題ないわけで、そうも言えないんですよね……。

[追記] 今後のバージョンアップとしては、カテゴリー名、カテゴリーの説明、登録ユーザー名も対象にすること、データベースに残っている全角チルダを一挙に波ダッシュに置換する機能をつけること、波ダッシュ2つ連続していれば「〰」(強波ダッシュ; WAVY DASH; U+3030) にする機能 (これは半分お遊び) を考えています。カテゴリーとユーザー名を対象にすればほぼ完璧でしょう。WAVY DASH は表示できない端末が多そうなので、やめた方がいいかもしれません ;-)

2007-11-18
晴れ

今後の開発計画

ゆりこ による 23:34:50 の投稿
カテゴリー: WordPressハック
タグ: , , , ,

今後のプラグイン開発計画を書いておきます。Ktai Style はだいたいの機能実装が終わったので、当面はバグ修正やセキュリティー対応のみとし、大きな機能追加は先送りとします。近日中に Force Wave Dash のリリースを予定しています。波ダッシュへの矯正対象をコメントタイトル・コメント本文にも拡大し、ソースの書き方も工夫したものです。バージョン番号は 0.80 を予定していますが、1.00 としてもいいかもしれません。

wp-mta も、バージョン 0.32 (未公開) ができてますが、3か月以上使ってて安定しているので、そのまま公開予定です。

そして、放置気味になっている Lightweight Google Maps の修正も検討しています。同一地点に複数の位置情報がある場合、現状では、マーカーが重なってしまって一番上のものしか使えないのですが、タブを使って1つのウィンドウに複数情報を表示させることを検討しています。また、マーカーを打った順番が分かりにくいので、マーカーの色をアニメーションさせて順番を示すようなことも考えています。

あとは、カレンダーの下にスケジュールを出すプラグイン (非公開プラグイン) の修正もあります。休日に色を付ける機能がバグっている (11月23日の色が付いてない) ので、ヒマをみて修正してみます。WordPress からスケジュールを入れるインターフェースを作って一般公開するかもしれません。

モバイル対応プラグイン WP MOBILE ダメすぎ

ゆりこ による 16:11:54 の投稿
カテゴリー: WordPressハック
タグ: , , , ,

いきなり脆弱性が見つかった DIGITAL STUDIO 製モバイル対応プラグイン WP MOBILE ですが (リリース案内)、11月15日に修正版が出ていました。改版履歴は「バグ修正」となっていて、セキュリティホールがあったことが隠されているのは不審です。

ともあれ、ダウンロードしてソースを読んでみますが、ダウンロードファイルには Readme がついていません!! インストール説明はウェブを見ないといけないのですが、この説明が分かりにくいんですよね……。どうやら2つのプラグインから構成されているようです。2つに分けるのはそれなりに意味があるのでしょう (Ktai Style でも、ウェブログ管理プラグインを別にしようかと検討したことはあったので)。

でも、ソースを読んでいると頭が痛くなってきました。ツッコミどころ満載だからです。

  • せっかくローカライズ関数 __(), _e() を使っているのに、その引数に日本語文字列を書いてある。
  • echo _e() なんてコードもある:-) (_e() == echo __() なので無意味なコードとなる)
  • $action = $_POST['mode'];
    switch($action) {
    case "挿入":

    というのは、マトモに動くコードとは思えない (しかも日本語は EUC-JP コード)

こんなスパゲッティコードで脆弱性を見つけたというのは、発見者に脱帽です。わたしは根気がないので、解読する気にもなりません。PHP が分かる方はぜひ WP MOBILE のソースを見てみてください。プラグインを使う気が失せること確実です ;-) 開発元には、プロ根性を発揮してもらって、よりよいコードにしてもらいたいものですが、期待できないかも……。

[追記] そうそう、携帯電話で閲覧したとき、いくつか GIF 画像のアイコンを使うようですが、これが500〜1000バイトぐらいあるので、端末によっては容量制限にひっかかる可能性があります。また、パケット料金の浪費にも繋がります (閲覧者のサイフにやさしくない)。割引サービスの有無によりますが、1KB==1円なので、けっこうな額になるんですよね。

[さらに追記] さらに調査すると、プラグインを有効化するときの PC 用ブラウザーは Firefox, Internet Explorer, Opera しか使えません。それ以外のブラウザーではエラーになります (しかもエラーが文字化け)。そう、Safari ではダメなのです。なぜ、PC 側ブラウザーに制約を設けるのか不明ですが、Mac ユーザー無視というだけで叩くのに十分でしょう ;-)

もっと驚愕の事実が分かりました。なんと WordPress 2.3 には対応してないようです!! 今どき WordPress 2.3 の動作確認してないって……。

[またまた追記] いや、もっとすごい事実が判明しました。WP MOBILE を入れると、ウェブログの表示自体が Safari 非対応になります!! (プラグインの有効化ができないだけではない) デモサイトがあるのですが (携帯電話表示は http://www.celeb-walker.net/?action=preview で確認可能)、どちらの URL に Safari でアクセスしても「ユーザagentがサーバーに書いてないですのでアクセスができないです」というエラーのみが表示されます (メッセージも日本語になってない……)。PC 向けブラウザーチェックは単なる閲覧にも作用するようで、結果として「Firefox, MSIE, Opera 以外お断りサイト」を作るプラグインとなっているわけです;-)

こんな設計では「作者にはがんばってもらって、よいプラグインを作ってもらいたい」というレベルを越えています。今すぐ開発中止してもらいたいものです。

(注) 盛大に叩いていますが、プロが作っているものだからです (実力的にはプロと思えませんが)。個人が趣味で作ったものなら暖かく見守りますよ。

[追記: 2009-02-11] 1月中には、当該プラグインのダウンロードリンク先が Not Found になっていました。Press9 での提供は続いていますが、一般配布は終了してしまったようです。腰抜けですね ;-) オープンソースの理念とは、広く公開することでよりよいソフトを作ろうとするものですから、わたしが盛大に叩いた箇所をすべて直せば、すごいものができた *かも* しれないのに……。

WordPress 向け携帯電話閲覧・管理プラグイン Ktai Style 0.94 リリース

16日リリースした WordPress 向け携帯電話閲覧・管理プラグイン Ktai Style ですが、バグがいくつか見つかったので、それを修正したバージョン 0.94 をリリースします。バグフィックスだけはナンですので、カテゴリー変更機能も付けてあります。

  • 各種スマートフォン、PSP, NDS のページ容量を 50KB に拡大しました。
  • 新規投稿時、投稿編集時にカテゴリーを変更できるようにしました。
  • デフォルトカテゴリー、メール投稿時カテゴリーの設定をできるようにしました。
  • ログイン直後、画面が真っ白または PHP のエラーが表示されることがある問題を修正しました。
  • 投稿編集のカテゴリー表示で、親カテゴリーを持つカテゴリー (第2階層以下のカテゴリー) が表示されない問題を修正しました。
ダウンロード: ktai_style094.tar.bz2 (73.6 KB)
→新バージョン0.95をリリースしました。

バージョン 0.93 はリリース直後にファイル差し替えを何回もやってしまったのですが、今回は慎重にチェックしています。実は、0.93 リリース前にメインマシンを修理に出していたので、リリース作業は予備マシンで行ったのでした。このため作業にミスが出てしまいました。予備マシンは Leopard を入れてしまったので、使い勝手が違うんですよね〜〜。今回はメインマシン (こちらはまだ Tiger) の作業なのでスムーズに進んでいます。

とりあえずは、必要最小限の機能がついていると思います。ただし、カテゴリー変更機能は携帯電話の容量制限にひっかかった場合に使えませんので、これを回避する方法を考えないといけません。

今後は TODO リストに書いてある内容を実装してみますが、それ以外にも、タグ対応など要望があるようなので、いろいろ検討してみます。

2007-11-15
晴れ

WordPress 向け携帯電話閲覧・管理プラグイン Ktai Style 0.93 リリース

WordPress 向け携帯閲覧・管理プラグイン「Ktai Style」の新バージョン 0.93 をリリースいたします。主な修正点は以下の通りです。プラグインの詳細は配布サイトをご覧ください。

  • サイト管理機能を実装しました。新規投稿・投稿編集・コメント管理が可能です。
  • PSP, Nintendo DS も携帯電話向け表示をさせるようにしました。
  • コメント投稿・新規投稿・投稿編集など、携帯電話から送信された文字列を UTF-8 に変換させるとき、SJIS-win ではなく SJIS とみなして変換させるようにしました (波ダッシュが全角チルダになるのを防ぐため)。
  • WPhone プラグインが存在する場合、is_mobile() 関数のかわりに is_ktai() 関数を定義するようにしました。
ダウンロード: ktai_style093.tar.bz2 (71.8 KB)
※2007-11-16 22:40ごろ、リンクを調整しました。それまでは余分なファイルを含むパッケージにリンクしていました。

バージョン0.94をリリースしました。

今回のポイントは何といっても「ウェブログ管理機能の追加」です!! 日本の携帯電話に最適化された管理機能を提供し、かつ、セキュアなプラグインとしては初めてでしょう (セキュアでないプラグインはむにゃむにゃ……)。とりあえず、新規投稿、投稿管理、コメント管理機能を提供していますが、携帯電話で管理できる機能としては、十分だと思います。

個人的には、新規投稿・投稿管理でカテゴリー設定機能が欲しいのですが、技術的に困難な点があるので、今回のリリースでは見送りました。次回以降に実装する予定です。

PHP5.0 以降、WordPress 2.2 以降のみ対応と、利用環境が狭いのが難点ですが、開発リソースおよび技術的な問題でこのような制約となっています。ぜひとも、PHP5 および WordPress 2.2 以降の環境に移行して、本プラグインをご利用頂ければ幸いです。

2007-11-12
晴れ

WordPress 用お天気表示プラグイン Weather Journal 1.10 リリース

ゆりこ による 23:24:34 の投稿
カテゴリー: WordPressハック
タグ: , , ,

プラグイン表示画面サンプル

WordPress お天気記録プラグイン「Weather Journal」のバージョン 1.10 をリリースしました。プラグインの詳細は配布サイトを見てください。

ダウンロード: weather_journal110.tar.bz2 (88.6KB)
→バグフィクスしたバージョン1.11をリリースしました。

今回は、携帯電話での閲覧時 (拙作の Ktai Style プラグイン、まおう氏の Mobile Eye+に対応)、画像ではなく絵文字や文字列で天気を出力するようにしたことが改良点です。これでパケット代が大幅な節約になるはずです。Yuriko.Net 旅行記ではだいぶ前から 1.10 を使っていて、もうテストは十分だろうということでリリースとなりました。

2007-11-10
雨

Ktai Style 0.93 ベータ版を CVS に置きました

ゆりこ による 09:45:05 の投稿
カテゴリー: WordPressハック
タグ: ,

さきほど、Ktai Style の 0.93 ベータ版を CVS リポジトリーに置きました。「ktai-admin」ブランチを選択してチェックアウトすれば使うことができます。匿名チェックアウトならば Sourceforge のアカウントは不要です。あくまで開発中バージョンですので、「データベースが壊れていい」「記事やコメントが消失していい」人のみ使ってください。

今のところ、投稿管理画面で下書きがリストされないことがあるバグが判明しています。また、管理者以外のレベルのユーザーでログインした場合の動作チェック、異常動作をしたときのチェックが不十分です。

問題点を見つけられた場合は、お手数ですが、メール等でお知らせ頂きますようお願いします。特に、セキュリティーにかかわる問題の場合、コメント投稿などに書かないようにしてください。

2007-11-09
くもりのち雨

WordPress を携帯電話で管理できるプラグインの画面サンプル

ゆりこ による 23:45:57 の投稿
カテゴリー: WordPressハック
タグ: , ,

ダッシュボード画面 投稿作成画面 投稿管理画面 投稿管理画面

現在、Ktai Style にウェブログ管理機能を追加するべく開発をしていますが、画面サンプルを掲載しておきます (i-mode シミュレーターの画面なのでアイコンが貧相ですいません)。実装はほぼ完了しており、微調整およびバグ取りを行なっています。

基本的には、WordPress 本体の管理機能コードを携帯電話向けに改造しただけなので、ユーザーインターフェースは PC 向け管理画面に似ています。ログインパスワードも PC 向けと同等で、セキュリティーも WordPress 本体とほぼ同等になっているはずです。

WP MOBILE いきなり脆弱性見つかる

ゆりこ による 22:34:36 の投稿
カテゴリー: WordPressハック
タグ: , , ,

DIGITAL STUDIO が11月6日に公開したモバイルサイト構築プラグイン WP MOBILE ですが、さっそく脆弱性が見つかってしまいました開発元の技術力が不安だっただけに、予想的中です ;-)

メール投稿も予測していた通り、Press9 ドメインのメールアドレスを発行してもらい、そこに投稿するという仕組みでした。これも、「技術力があやしい会社のサーバーを経由する」ということで、これまた不安要素がいっぱいです ;-) (追記2007-11-19: XML-RPC は使わず、Press9 のサーバーがプラグイン中の ******_recieve.php を叩くと投稿できる仕組みでした)

他人の悪口を言いたくはないのですが、ことセキュリティーにかかわる話だけに、「ダメなものはダメ」としっかり言うことは大事だと考えています。

実を言うと、Ktai Style を開発するきっかけの1つは、DIGITAL STUDIO の携帯サイト構築プラグインの開発表明でした。しっかりした作りのものを別途開発して公開しないとヤバいと思ったのです ;-) ;-) Ktai Style の管理機能は、実装は完了しておりバグ取りを行なっています。来週末リリースを目標としていますので、もうしばらくお待ちください。(これだけエラソーに書いたので、脆弱性があったら叩かれることは確実なので、慎重にバグ取りせねば)

[追記 2007-11-18] 11月15日に脆弱性を修正したバージョンが出たようですが、バージョン番号が同じで「バグを修正しダウンロード再開」という記述だけなのはよくないですね。セキュリティーホールがあったことを隠蔽しているわけで、「開発元が信用できない」ことが証明されました ;-)

2007-10-31
晴れ

WordPress を携帯電話で管理できるプラグインの開発は順調

ゆりこ による 01:47:01 の投稿
カテゴリー: WordPressハック

Ktai Style ログイン画面

Ktai Style への、ウェブログ管理機能の追加ですが、開発は順調に進んでいます。ログイン状態の管理も、自前でセッション管理機構を作りましたが、ほぼ問題なく動いています。あとは、各管理機能を、どうやって携帯電話の容量制限に絞り込むか、文字コードの変換を漏れなく行えるか、です。

なんといっても、カテゴリー一覧を出すだけで 5KB を越える可能性があるのが難儀です (Yuriko.Net 旅行記は64個のカテゴリーがある)。つまり、新規投稿画面に、カテゴリーを選択するポップアップ (プルダウン) メニューを作れないのです!! (ポップアップメニュー用 XHTML が 5KB オーバーのため)。カテゴリーを選択させるインターフェースをどうしようか、非常に悩みます。カテゴリーの選択機能は省略するかもしれません。

あと、いわゆる「簡単ログイン」機能の実装も悩んでいます。コメント通知メールが携帯電話に送られたとき、そこに記載された URL をクリックして Ktai Style の提供するコメント管理画面が出ることが理想です。しかし、そのときのログインを「簡単ログイン」にするには、携帯電話の固有 ID (製造番号や契約者ごとの番号) を使う必要があり、それではセキュリティーが落ちます (固有 ID は他のサイトにも送信されていて秘密情報ではないため)。

といって、簡単ログインを作らないことには、WordPress の通常ログインパスワードを、携帯電話で入力しやすい単純なものにする人が続出して、セキュリティーが落ちます……。うーん。どうしましょう。

[追記 2007-11-05] ログイン画面のイメージを追加しました。