セキュリティータグの投稿

2011-08-29
晴れ

海辺で WordPress イベント WordBeach Nagoya を開催

WordBeach in Nagoya, August 27th, 2011

8月27日〜28日、愛知県知多市の新舞子まなビレッジ南浜荘で WordPress イベント「WordBeach Nagoya」を開催しました。WordPress ユーザーと開発者が集う世界的イベント「WordCamp」に匹敵するイベントですが、今回は正式な WordCamp イベントではなく、日本ローカルの独自イベントという位置付けです。

知多市新舞子という名古屋駅から30分ほどかかる場所にありながら、167人171人の参加者 (スタッフ含む) に来場して頂きました。初心者トラック、中上級者トラック、超初心者向けワークショップの3トラックを開催し、Usteam による放送は、セミナー2チャンネルと特設スタジオによる放送で計3チャンネルを実施しました。

わたしの担当は、超初心者向けワークショップと、17時からは中上級者向けセッションで45分登壇しました。ワークショップでは手持ちの MacBook に Boot Camp で Windows 7 を入れて WebMatrix 環境を設定してありました。また、会場の無線 LAN 環境 (wordbeach1, wordbeach2) の設定も行いました。手持ちの Time Capsule と Planex の無線ルーターに、光ポータブルや EMOBILE のUSB端末やを繋いだという簡易的な仕掛けですが……。

懇親会のあと、日本の WordCamp クラスのイベントとしては初の試みとなる「PillowFight」(合宿) を実施しました。今回の WordBeach は、まさにこの合宿を行うために南浜荘という会場を選んだのです。1F の大部屋では布団を敷いてのピロートークや枕投げに興じ、2F ロビーでは徹夜の Ustream 放送を行い、3F の302号室では夜通しのコード書きが行なわれていました。

夜が空けてからは撤収作業を行い、海辺で水遊びをしてから解散となりました。お疲れさまでした〜〜。

最後に、わたしが担当したセミナー「セキュアな WordPress プラグインの作り方」のスライドおよび、WebMatrix の設定マニュアル (ワークショップ用PCを提供したスタッフ向け) を公開しておきます。

セキュアな WordPress プラグインの作り方
形式: PDF 484KB
ライセンス: クリエイティブ・コモンズ・表示-継承 2.1 日本
スライドPDF「セキュアなWordPressプラグインの作り方」
※27ページの入力値の検証でesc_url_raw()を使うよう修正しました。
WebMatrix で作る WordPress ローカル環境
形式: PDF 2.1MB
ライセンス: クリエイティブ・コモンズ・表示-継承 2.1 日本
スライドPDF「WebMatrix で作る WordPress ローカル環境」
関連リンク

なお、9月3日(土)に開催される OSSC 会津にて「WordPress の世界的イベント WordCamp ってどんなの?」というライトニングトークに登壇して WordBeach の様子を紹介します。興味ある方はぜひ会津にどうぞ;-)

_DSC0921 _DSC0936 _DSC0975 _DSC0980
_DSC1017 _DSC1059 _DSC1072 _DSC1070 _DSC1129 _DSC1120
_DSC1139
2011-06-25
くもり

Weekly CMS セキュリティー特番に出演

ゆりこ による 2011-07-05 02:20:10 の投稿
カテゴリー: WordPressハック,イベント,ソフトウェア
タグ: , , ,

毎週土曜11時から Ustream 放送している Weekly CMS ですが、今回はセキュリティー & CMS 大特集となりました。マイクロソフト品川本社の会議室をお借りしまして、大勢の視聴者を交えての放送としました。

寝坊してしまって、セキュリティーセッションの IPA さんの講演は聞き逃しましたが、なんとか WordPress のセキュリティーについてしゃべる時間に間に合いました。以下にスライドを付けておきます。

後半はさまざまな CMS の紹介が行なわれ、その後は持ち寄り食材による XOOPS 2.2 リリースパーティーとなりました。7月後半に WordPress 3.2 リリースパーティーを計画しているので、その予習として参加させてもらいました。わたしはお手製の鮭おにぎり、味付け玉子、焼酎、ビーフィーター (ジン)、パッシモ (ラムリキュール)、自家製ラム梅酒ライムジュースソーダを持ってきました。酒持って来すぎ;-)

スライド「WordPress のセキュリティ状況」
形式: PDF 987KB
ライセンス: クリエイティブ・コモンズ・表示-継承 2.1 日本
スライドPDF「WordPressのセキュリティ状況」
2010-10-26
晴れ

第1回神泉セキュリティ勉強会資料「WordPressセキュリティー」

ゆりこ による 21:33:48 の投稿
カテゴリー: WordPressハック,イベント
タグ: ,

本日開催されました第1回神泉セキィリティ勉強会のライトニングトークでしゃべりました。以下、スライド資料を公開します。

スライド「WordPressセキュリティー」
形式: PDF 1MB
ライセンス: クリエイティブ・コモンズ・表示-継承 2.1 日本
スライドPDF「WordPressセキュリティー」をダウンロード

WordBench の勉強会でも「WordPress セキュリティー」というセミナーをやったことがありますが、今回は「どういう実装か」に的を絞ったギーク向けの内容となっています。WordPress ユーザーとしてセキュリティーにどう気をつけたらいいか、というものではありません。あしからず。

会場を提供してくださった EC ナビさん、LT の機会を設けてくださった春山さん、ありがとうございました。また機会があれば参加したいと思います。

(以下懇親会について追記予定)

2010-08-15

WordBench 川崎資料「WordPress セキュリティー」「Ktai Style 用携帯テーマの作り方」

ゆりこ による 2010-08-30 01:51:56 の投稿
カテゴリー: WordPressハック,イベント
タグ: , , ,
麻生市民館第3会議室での勉強会は休憩中

麻生市民館第3会議室での勉強会は休憩中 (Photo by jim912)

本日、麻生市民館で WordBench 川崎勉強会を開催しました。「川崎の7区全部回る」計画として難関だった麻生区にやっと来ることができました。麻生市民館は会議室が少ないのですが交通至便なので人気が高く、なかなか部屋が取れないのでした。盆休み真っ最中というこの日にやっと取れた次第です。日程が日程だけに、早くから申し込んだ人は少なかったのですが、直前になって予定が空いた人の滑り込みが多く、最終的には19人で開催されました。

なぜか空調の効きが悪く、なかなかクールダウンできなかったため、設営および談笑に1時間もかけてしまい、肝心の講義は「14時開始」という体たらくでした。あまりの「ゆるゆる」運営となりました。まあこれが WordBench の良さということで;-)

(スライド資料は準備中です)

2009-10-07

wpplugins.jp がドメイン失効していた

ゆりこ による 03:07:13 の投稿
カテゴリー: WordPressハック,ネットワーク
タグ: , , , ,
wpplugins.jp のドメイン情報

wpplugins.jp のドメイン情報

かつて、WordPress のプラグイン情報を日本語で発信していた「WP Plugin DB JAPAN」(リンク先ははてなブックマーク) が、いつの間にかドメイン失効していました。現在は第三者に取得されてしまい、http://www.wpplugins.jp/ は「100円パソコン比較」( あえてリンクはしない) というサイトになってしまっています。

もし、このサイトにリンクしているウェブログ記事とかあれば、即時にリンクを削除されることをおすすめします。a タグを消すか、リンク先 URL のドメイン部分を www.wpplugins.EXAMPLE.jp に変更するとかそういう手がよいでしょう。

当該サイトは2007年10月ごろを最後に更新がされてなかったのですが、そのままドメイン失効となったのは非常に残念です (結局 Ktai Style が掲載されずじまい)。それなりに被リンクのあるドメイン名が失効してしまうと、悪意ある第三者に取得された場合に非常に問題となります。今回のように、明らかに広告サイトに変貌している場合は「違うサイトに繋がってしまったかな?」と思って直帰するだろうから、あまり問題にはなりませんが、元のサイトに良く似た詐欺サイトを作られた場合は非常に問題です (プラグインのリンク先をウイルスファイルにしている etc)。

オープンソースソフトウェアの開発もそうですが、未来永劫サイトを維持するのは非常に困難です。でも、今までサイトを見てくださっていた訪問者を守るというセキュリティー面から、最低でもドメイン名だけは維持してもらいたいです。もしくは、信頼できる第三者に譲渡するという手もあります。WordPress コミュニティーで、WordPress に関するドメイン名を維持・管理するための NPO か何かを作る手もいいかもしれませんね……。

[追記] テンプレート解説サイト wptags.com も失効しているようです (リンク先は aboutus.com)。

2009-09-30

Androidの内蔵ブラウザーはアドレスバーが変

ゆりこ による 05:02:27 の投稿
カテゴリー: ソフトウェア,モバイル・携帯電話
タグ: , , ,

HT-03A モニター記事を全部見る。

Androidブラウザーは長いURLの末尾を省略してしまう

Androidブラウザーは長いURLの末尾を省略してしまう

HT-03A の内蔵ウェブブラウザーの挙動を調べてみました。真っ先に目がいったのはアドレスバーです。1行に「ドメイン名 (FQDN) とページタイトル」をまとめて表示するという、他のブラウザーでは見たことのないスタイルです。

ブラウザーのアドレスバーを隠してはならないことは、セキュリティーの立場から必要なことです。Android では、表示スペースを節約するため、最低限必要な情報として FQDN を出しています。残念ながら、長い FQDN の場合は中間ではなく末尾が削られてしまって、真正なサイトかを一目で確認することはできません。とはいえ、メニュー→その他→ページ情報、で URL を確認できるので、目くじらを立てる必要はないでしょう。

問題と言えるのは、リダイレクトがかかったときの挙動です。なぜか、以下のような状態遷移になります。(注: Android 1.6 ではマトモな挙動に直されています)

  1. 元FQDNのみ
  2. 新FQDNのみ
  3. 元FQDN:ページタイトル
  4. (ページレンダリング中)
  5. 新FQDN:ページタイトル

もし、あやしいページを開いたことに気がついた場合中止するのは「ページレンダリング中」ですが、このときは、一度表示された新 FQDN が消えてリダイレクト元の FQDN に戻っているため、URL からは「あやしいサイトかどうか」の判定が困難となっています。表示が完了したタイミングで新FQDNに差し替えられています。凶悪なことに、レンダリング中に「ページ情報」を開いても、リダイレクト元の URL しか表示されません!!

(続きを見る…)

2009-08-09
晴れ

WordBench 資料「WordPress のセキュリティー」

ゆりこ による 22:03:01 の投稿
カテゴリー: WordPressハック
タグ: , , ,

去る8月8日に開催された WordBench 川崎勉強会でわたしが行なった講演のスライドを公開いたします。実は、あまり時間がなくてやっつけ仕事になってしまい、予定よりも少ない内容になってしまいました。それでも、セキュリティーの基本としては十分な資料だと思われます。なお、あくまでサイト運営者としてのセキュリティーであり、テーマ作成者・プラグイン開発者としてのセキュリティーは含んでいません。

「WordPress のセキュリティー」
形式: PDF (1.5MB)
ライセンス: クリエイティブ・コモンズ・表示-非営利-継承 2.1 日本
スライド: WordPressのセキュリティー
(ZIP 圧縮版 696KB)

[追記] もっと入れたかった項目は以下の通りです。

  • WordPress のバージョン UP ごとに追加されたセキュリティー対策 (どれだけ古いバージョンを使うとどういう脅威があるか)
  • 各種セキュリティー対策プラグインの有効性 (WP Security Scan とか)
  • 巷にあふれる「セキュリティーアップのポイント」を個別検証 (バージョン隠しは有意義か? など)
2009-02-26
くもり

つくば観光協会に電話した

ゆりこ による 10:23:36 の投稿
カテゴリー: ソフトウェア,社会問題
タグ: , ,

つくば方面で素の Mobile Eye+ を使っているサイトがある」という報告を発見したのですが、執筆者は「サイト運営者に連絡していない」ようでした。「それはあかんやろ」と思ったので、つくば観光協会にサイトについて電話で質問してみました。すると、以下のような回答でした。

  • ウェブサイトの更新は、観光協会の職員さんが行なわれている。
  • サイトの構築は業者に発注。
  • 携帯対応は、業者からの提案で、設置作業も業者が実施。
  • 発注先の業者がどこかは教えられない。

その後、Mobile Eye+ の脆弱性についてしゃべってサイトが危険なことを伝え、口頭では分かりにくいため、回避策・対応策についてはメールいたしました。ウェブサイト担当者の方には真摯に受け止めて頂けました。ありがとうございます。

つくば方面というと、わたしが以前叩いた「ある業者」がありますが、わたしの指摘以降、ちょっとはマシになったかと思っていました。もし、梅まつりウェブサイトの構築が「そこ」ならば、やっぱしまだスキルが低いままなのかなーということですね……。そういう業者は、市や観光協会が「指名停止処分」にするべきでしょう ;-) 土木や建築だったら、欠陥工事レベルですから、指名停止になってておかしくないわけで、IT 関連でも同じ措置があってもよいかと。

[追記 18:35] 昼すぎに観光協会から連絡があり、業者に対応を取って頂いたそうです。こちらでも、脆弱性が回避できていることを確認できました。さすがに「直接電話する」のは効果がありますね。もちろん、観光協会および業者さんの対応が早かったことは特筆すべきことだと思います。(業者さんは) 知識や情報収集能力が足りないっぽいですが、それを行動力でカバーといったところでしょうか ;-)

2009-02-14
晴れ

HTML エスケープなしの出力は怖い

ゆりこ による 01:13:47 の投稿
カテゴリー: WordPressハック
タグ: ,

Ktai Style 1.61-rc1に同梱した Photolog テーマは、WordPress のメディアライブラリに登録された画像を探して、投稿一覧に貼り付けるという動作をしています。こういう動作は最近人気があるようで(?)、ひろまささんが wp-kougabu に機能追加したりしています。さきほど見つけたのは「WordPressの最新の記事から画像を一覧表示する」というコードでした。

<?php  
query_posts('showposts=10');  
if ( have_posts() ) : while ( have_posts() ) : the_post();  
$files = get_children("post_parent=$id&post_type=attachment&post_mime_type=image");  
if (!emptyempty($files)){  
$keys = array_keys($files);  
$num=$keys[0];  
$thumb=wp_get_attachment_thumb_url($num);  
print "<a href=\"".get_permalink()."\" title=\"$post->post_title\">
<img src=\"$thumb\" width=\"80\" height=\"80\" alt=\"$post->post_title\" /></a>\n";  
}  
endwhile;else:  
endif;?>

しかし、このコードを見てびっくりしました。一切 HTML エスケープがされていないからです!! まあ、表示するのは「サイト運営者が入力した情報」である、投稿のパーマリンクとタイトル、画像の URL だけなので、XSS 脆弱性とは言いにくいですが……。ただし、投稿タイトルとして「大阪 -> 京都のきっぷ」というのがあれば、HTML のパースエラーが発生してしまいます。

さて、先方に連絡しようにも、当該の投稿にはコメントフォームがありません。ウェブサイトを見てもコンタクトフォームも連絡先も見つかりません。最後の手段としてピンバックが動作することを期待して、このエントリーを書いたわけです ;-)

素人ならともかく、WordPress のカスタマイズを業務として行なっている方が、こういうコーディングをしてしまうのは不安になってしまいます。HTML エスケープなんて基礎の基礎ですよ!!

さて、改善方法ですが、URL を出すところに WordPress のエスケープ関数である attribute_escape(), clean_url() を使うのがよいですね。post_title を出しているところは、API 関数の the_title_attribute() を使った方がよいでしょう (ただし、事前に global $post; しておくことが必要)。HTML を組み立てるクォート文字列もシングルクォートにしておけば、HTML 内で使うダブルクォートをバックスラッシュでエスケープしなくて済むので見通しがよくなりますね。

print '<a href="' . clean_url(get_permalink()) . '" title="' . 
the_title_attribute('echo=0') . '"><img src="' . clean_url($thumb) . 
'" width="80" height="80" alt="' . the_title_attribute('echo=0') . '" /></a>' . "\n";

WordPress のテクニックをいろいろ公開されるのは素晴しいことですが、こういうセキュリティーの甘いコードを公開するのは困りますね〜〜。せめてツッコミを入れられるようにコメントフォームを開けておいてもらえると助かります。

2009-02-10
晴れ

脆弱性あり Mobile Eye+ を使っていた業者

ゆりこ による 03:38:30 の投稿
カテゴリー: ソフトウェア,社会問題
タグ: , , ,

Mobile Eye+ に XSS 脆弱性があることを発表して以来、ブログ検索などで、素の Mobile Eye+ を使っている人を見つけては、拙作のパッチを紹介するという活動をしています。多くの方がびっくりされますが、パッチを適用して頂いています。ありがたいことです。反面、書いたコメントが「承認待ち」のまま放置という状態もあって、これは悲しいです。放置していても、自身のサイトが攻撃されたり、他のサイトを攻撃する踏み台にされるだけで、それは自業自得ですから、仕方ないのですが……。

このとき、いくつかの Mobile Eye+ 利用サイト (Google 検索へのリンク) が、ほぼ同じデザインなことに気がつきました。どう見ても、「業者から購入したテンプレートそのままの状態」で、非常に情けないです。念のため、見つけたサイトすべて (コメントが閉じられている1サイト除く) にコメントを書きましたが、5日ほど経過しても反応がありません……。(すべて「承認待ち」のため、わたし以外にはコメントの存在は見えません)

よーく調べてみると、どうやら、「HyperBlogger (ハイパーブロガー)」というツール (というかテンプレートセット) で作ったを購入した人向けの専用テンプレートを適用したサイトのようでした。つまり、販売業者は「脆弱性がある Mobile Eye+ を含むツール」を売っている代行インストールしたわけです!!

Mobile Eye+ の XSS 脆弱性が見つかったのは今年1月7日ですから、それ以前に販売した顧客への対応が困難なのは仕方ないです。でも、手前が販売したソフトウェアならば、脆弱性情報などもきちんと入手して、利用者に通知するのがあるべき姿でしょう。(まあ、スパムブログ生成ツールを作っている時点で、到底「マトモ」とは言えないですが ;-) →先方から連絡があり、「顧客に案内を行う予定である」とのことでした。すばらしい!!

まっとうな WordPress ブロガーがこのようなツールを買う代行インストールサービスを利用するとは思えませんが、じゅうじゅう注意されるようお願いします。なお、拙作の Ktai Style をベースに「PC & 携帯サイト同時生成ツール」を売っている業者もあるようですが、Ktai Style の最新版情報をいち早く入手されて、顧客に通知されることをお願いいたします。

ちなみに、WordPress, Ktai Style はどちらも GPL に基づくオープンソースなので「自動生成ツールと抱き合わせで配布することを禁止する」なんてのは無理なんです。オープンソースソフトウェアは、「利用する分野を制限してはならない」ので、極端な話、テロリストが使用することも認めないといけないのです。


[追記: 2009-02-11 03:30] 本日、深夜0時20分ごろ、HyperBlogger 開発元の「デジステイト」さんからメールが届きました。以下のような概要です。

  • HyperBlogger はあくまで、ローカルアプリケーションであること (WordPress、Mobile Eye+ やブログテンプレートは含まない)
  • HyperBloggerの開発の意図としては、決してスパムを目的としたブログを生成することではない。(ただし、利用者の多くはアフィリエイトを目的としている現状である)
  • キーワードなどを指定して自動的に同一のページが生成される機能はない。必ずユーザ側での編集作業が必要。
  • 既存の企業ポータルサイトや一部会員制サイトでの利用実績がある。
  • HyperBlogger の購入者に対して、特製のテンプレートや必須プラグインを含む WordPress 代行インストールサービスを行なっている。
  • 設置代行したユーザーに対して、Mobile Eye+ パッチの適用またはKtai Style などの代替プラグインを自身にて適用されるよう案内する予定。

わたしは完全に誤解していて、HyperBlogger (14,800円) には WordPress, Mobile Eye+、特製テンプレートが附属しているのだと思っていました (GPL アプリを有償で売ることは問題ないので)。自身で WordPress インストールが難しい人向けに、2,500円で代行インストールを行なっているのだと思っていました。実は、Mobile Eye+ の設置は、代行インストールの一環で行なっていたようです。

上記のような指摘がありましたので、タイトルおよび本文を修正し (旧タイトルは「脆弱性あり Mobile Eye+ を含むツールを売る業者」)、「ヘボ業者」タグは外させて頂きました (このようなタグを付与して申し訳ありません)。アフィリエイト目的のブログ作成という行為は個人的に感心はしませんし、それに使えるツールについては全く興味がないです。でも、この記事の目的は「セキュリティーの向上」にあるので、それに対する対策を取って頂けるならば、何の問題もありません。

このような「毒記事」なのに、素早く丁寧な連絡を行なってくることは驚きでした。自社製品によっぽど自信があるのだと思いますね〜〜。