ヘボ業者タグの投稿

2009-05-08
晴れ一時雨

WordPress ブログ提供サービス Press9 が6月末に終了

ゆりこ による 18:43:21 の投稿
カテゴリー: WordPressハック,ネットワーク
タグ: , ,

WordPress ブログ提供サービスである Press9 が、今年6月末で終了するそうです。ここは、デジタルスタジオが運営していたサービスで、press9.net ドメイン以外に wordpress.ne.jp ドメインのブログもホスティングしていました。また、わたしが以前叩いた WP MOBILE プラグインが適用されていたサービスでもあります。

あらゆる意味で、このサービス終了は歓迎できることですね ;-) よく決断されたことだと思います。これで WordPress.com も発展することでしょう。

一番心配なのは、wordpress.ne.jp ドメインの行方ですね。「WordPress」は商標であるだけに、それを含むドメイン名を使うことが商標侵害に当たります。サービス終了でドメインも不要になるわけですが、そのままドメインを所有するのか、廃止してしまうのかが心配です。単純に廃止すると、第三者が取得してまずい状況が起きる可能性があるため、WordPress 日本語コミュニティないし Automattic 関係者に譲渡してもらいたいですね。Automattic と契約した Nao さんコンタクト取ってもらえますか??

2009-03-06
雨

PLIMO 開発者は RFC を知らない

ゆりこ による 03:48:22 の投稿
カテゴリー: ソフトウェア,ネットワーク,モバイル・携帯電話
タグ: , , ,

シックス・アパートと株式会社 GENOVAが「Movable Type」をベースとした携帯電話専用CMS「PLIMO」を共同開発したそうなのですが、そのデモサイトの出来にがっかりしました。

まず、デモサイトの URL は QR コードで提供されているのですが「左のQRコードを読み込むと」と書いてあるのに、QR コードは右にあります (魚拓)。それぐらいはつまらない誤記だと思ったのですが、それは第一歩に過ぎませんでした。その、読み込んだ URL が驚愕でした。なんと「http://plimo_salon2.plimo.jp/」というものだったからです。ホスト名にアンダースコア (_) が入っているという RFC1123 (日本語訳その1その2) 抵触モノです!! ホスト名に使えるのはアンダースコアじゃなくてハイフン (-) なのですが、それを分かってないということですよね……。携帯端末とウェブサーバーの間のネットワークに、アンダースコアを含むホスト名を想定していない機器 (プロキシー等) を通った場合、閲覧できない可能性もあります。

また、デモサイトの HTML も、XML 違反があります。48行目「MENU&PRICE」のアンパサンド記号が「&」という記述ではなく「&」となっていて、これがレンダリングエラーになります (Safari とか Firefox で見てみてください)。リンクの色が薄くて見にくいとか、画像の回り込みをテーブルタグで実現しているとか、スペーサー画像の alt 属性が「alt=”space”」だとか、他にもツッコミどころ満載です ;-)

デモサイトは自社の技術力を示すものですから、もっと丁寧に、かつ、しっかり作ってもらいたいものです。GENOVA の方はベンチャーなので、少々ミスがあっても「そんなもんか」と思われるだけですが、共同開発者であるシックス・アパートがこれを見逃しているのは、「ありえない」ことだと思います。

シックス・アパートと言えば、携帯電話向けコンテンツ表示モジュール「TypeCast」を自社開発しているはずですが、それとは別に CMS を作ってしまうとなると、TypeCast はどう位置付けるんでしょうね?? TypeCast は ISP 向けであって、別物ということでしょうか。

PLIMO は、携帯シミュレーターを内蔵してプレビュー時に携帯出力を確認できるなど、斬新な機能があるんですが、根幹の部分がいまいちだと先行きが不安ですね……。せめて、ウィルコムとイー・モバイル音声端末にも対応して「5キャリア対応!!」とかやってくれれば、応援する気にもなりますが。

2009-03-04
晴れ

葛西区民館のサイトURL変更

ゆりこ による 02:47:46 の投稿
カテゴリー: WordPressハック,ネットワーク
タグ: , , ,

3月1日に東京都江戸川区がウェブサイトをリニューアルしたため、施設を紹介するページの URL が軒並み変更されてしまいました。来たる4月12日に開催される WordCamp Tokyo 2009 の会場である葛西区民館も例外ではありません。

旧URL:
http://www.city.edogawa.tokyo.jp/institution/01kuyakusyo/kuyakusyo03_02.html
新URL:
http://www.city.edogawa.tokyo.jp/shisetsuguide/bunya/kuyakusho/kuminkan/kasai/

WordCamp Japan の公式サイトは変更ずみです。もし、自身のサイトで WordCamp Tokyo 2009 を告知していて、葛西区民館へのリンクを張っているならば、変更されることをおすすめします。

江戸川区がウェブサイトをリニューアルすることは結構なことですが、URL の変更は避けて欲しかったですね。個人サイトならともかく、地方自治体なのですから「クールな URI は変わらない」を実践してもらわないと……。最悪、URL 体系を変更したならば、旧 URL から新 URL へのリダイレクトを実施してもらいたいものです。江戸川区経営企画部広報課に、リニューアルを担当した業者がどこか質問かなあ?? 利用者に迷惑をかけているわけで、URL の変更を是とした業者はサイテーですね ;-)

[追記 2009-03-18] 江戸川区の広報課に電話で尋ねてみました。全職員がウェブ更新できるよう CMS を導入したため、URL の変更が不可避となったとのことでした。CMS 導入にあたっては外部の業者を利用したそうですが、そのときに URL の維持をする検討は、業者・区役所どちらもしなかったようです。あかんやん!! 古い URL からリダイレクトは、サーバーも変わってしまったためできなかったそうです (そんなことはないので単に技術が低いだけって気が……)。URL は電話番号と同じ性格のもので、できれば100年(!)は維持してもらいたいと要望しておきました。結局のところ、業者・区役所ともに「ヘボ」ということに違いなさそうです ;-)

2008-07-14
くもり

WordPress を含む JP ドメイン

ゆりこ による 10:17:16 の投稿
カテゴリー: WordPressハック,ネットワーク
タグ: ,

WordPress 公式サイトでは、「WordPress という商標を守るため、WordPress に関するサイトを始める場合は、ドメイン名に『WordPress』をという文字を含めないでほしい」というお願いがされています。かわりに「wp」という文字列が推奨されています。ただし、サブドメインに「WordPress」を含む場合は許可されています。

さて、JP ドメインの場合は、以下の3つが存在します。AC.JP, AD.JP, ED.JP, GO.JP, GR.JP, LG.JP, OR.JP は空いています。

WORDPRESS.JP はどうやら Otsukare さんが所有されているようです。今のところ A レコードの割り当てはないようで、ウェブサイトもありません。むしろ「悪意ある他人に取られないための防衛策として保有」されているような状況ですね。これは問題なさそうです。

WORDPRESS.NE.JP はデジタルスタジオのブログサービス Press9 で使えるドメインの1つです。すなわち、モロ「WordPress に関するサイト」です。サービス内容も WordPress.com とかぶるため、完全に商標侵害と思われます。

WORDPRESS.CO.JP は株式会社デジタルキューブのドメイン名です。オープンソースを利用したウェブ構築ソリューションの提供などをされているようで、業務素材として WordPress を使っているようです。それだけだと問題は少なそうなのですが、サイト名が「ビジネスワードプレス」というのはヤバそうです……。また、「WordPress を含むドメイン名を取るな」という声明が出た後 (2006年10月以降) にドメイン取得しているという点は悪質だと思われます。

後者2社を Automattic にチクったら、おそらく訴訟問題に発展するでしょう。特に、デジタルスタジオの方 (wordpress.ne.jp ドメイン) は確実に潰せそうです ;-);-) 個人的にはそれはそれでよいことだと思うんですが、wordpress.ne.jp ドメインでウェブログを公開している人がかわいそうなんですよね……。うーん。

2007-11-18
晴れ

モバイル対応プラグイン WP MOBILE ダメすぎ

ゆりこ による 16:11:54 の投稿
カテゴリー: WordPressハック
タグ: , , , ,

いきなり脆弱性が見つかった DIGITAL STUDIO 製モバイル対応プラグイン WP MOBILE ですが (リリース案内)、11月15日に修正版が出ていました。改版履歴は「バグ修正」となっていて、セキュリティホールがあったことが隠されているのは不審です。

ともあれ、ダウンロードしてソースを読んでみますが、ダウンロードファイルには Readme がついていません!! インストール説明はウェブを見ないといけないのですが、この説明が分かりにくいんですよね……。どうやら2つのプラグインから構成されているようです。2つに分けるのはそれなりに意味があるのでしょう (Ktai Style でも、ウェブログ管理プラグインを別にしようかと検討したことはあったので)。

でも、ソースを読んでいると頭が痛くなってきました。ツッコミどころ満載だからです。

  • せっかくローカライズ関数 __(), _e() を使っているのに、その引数に日本語文字列を書いてある。
  • echo _e() なんてコードもある:-) (_e() == echo __() なので無意味なコードとなる)
  • $action = $_POST['mode'];
    switch($action) {
    case "挿入":

    というのは、マトモに動くコードとは思えない (しかも日本語は EUC-JP コード)

こんなスパゲッティコードで脆弱性を見つけたというのは、発見者に脱帽です。わたしは根気がないので、解読する気にもなりません。PHP が分かる方はぜひ WP MOBILE のソースを見てみてください。プラグインを使う気が失せること確実です ;-) 開発元には、プロ根性を発揮してもらって、よりよいコードにしてもらいたいものですが、期待できないかも……。

[追記] そうそう、携帯電話で閲覧したとき、いくつか GIF 画像のアイコンを使うようですが、これが500〜1000バイトぐらいあるので、端末によっては容量制限にひっかかる可能性があります。また、パケット料金の浪費にも繋がります (閲覧者のサイフにやさしくない)。割引サービスの有無によりますが、1KB==1円なので、けっこうな額になるんですよね。

[さらに追記] さらに調査すると、プラグインを有効化するときの PC 用ブラウザーは Firefox, Internet Explorer, Opera しか使えません。それ以外のブラウザーではエラーになります (しかもエラーが文字化け)。そう、Safari ではダメなのです。なぜ、PC 側ブラウザーに制約を設けるのか不明ですが、Mac ユーザー無視というだけで叩くのに十分でしょう ;-)

もっと驚愕の事実が分かりました。なんと WordPress 2.3 には対応してないようです!! 今どき WordPress 2.3 の動作確認してないって……。

[またまた追記] いや、もっとすごい事実が判明しました。WP MOBILE を入れると、ウェブログの表示自体が Safari 非対応になります!! (プラグインの有効化ができないだけではない) デモサイトがあるのですが (携帯電話表示は http://www.celeb-walker.net/?action=preview で確認可能)、どちらの URL に Safari でアクセスしても「ユーザagentがサーバーに書いてないですのでアクセスができないです」というエラーのみが表示されます (メッセージも日本語になってない……)。PC 向けブラウザーチェックは単なる閲覧にも作用するようで、結果として「Firefox, MSIE, Opera 以外お断りサイト」を作るプラグインとなっているわけです;-)

こんな設計では「作者にはがんばってもらって、よいプラグインを作ってもらいたい」というレベルを越えています。今すぐ開発中止してもらいたいものです。

(注) 盛大に叩いていますが、プロが作っているものだからです (実力的にはプロと思えませんが)。個人が趣味で作ったものなら暖かく見守りますよ。

[追記: 2009-02-11] 1月中には、当該プラグインのダウンロードリンク先が Not Found になっていました。Press9 での提供は続いていますが、一般配布は終了してしまったようです。腰抜けですね ;-) オープンソースの理念とは、広く公開することでよりよいソフトを作ろうとするものですから、わたしが盛大に叩いた箇所をすべて直せば、すごいものができた *かも* しれないのに……。