WP MOBILEタグの投稿

2008-07-27
晴れ

ユーザー視点と作者視点

今ごろ気がついたのですが、wpmob, wpmobExpress の作者さんから「そっとしておいてもらえると嬉しい」と言われていました (リンクするかわりに引用しておきます)。「作者の視点」としてはまさにその通りで、そう言いたい気持ちもよく分かります。

あと最近、ソフトウェアを批評する方のサイトから良くリンクを頂いているようですが、正直そっとしておいてもらえると嬉しい。

紹介して頂けるのは本当に有り難いのですけれど、単なる趣味としてやってんだから類似したソフトウェアといちいち何回も細かく比較されるのは不快です。
自作のソフトウェアの機能アピールに当て馬として使われるのはもっと不快です。

他のソフトを引き合いに出して自作をアピールするなら、もっと優秀なソフトウェアのみ選出すると良いでしょう。
拙作は明らかに「機能不足」で「時代遅れ」なソフトウェアなワケだから無視して下さい。

ただ、わたしが「メール投稿ツールの比較表を作った」のは、純粋にユーザーの便宜のためでした。WordPress 用メール投稿ツールは、日本語に対応したものだけでも7種あり (Ktai Entry 含む)、選択基準を提示すべきではと考えたのです。網羅性を重視したため、見つけたものはすべて掲載しました。そして、ユーザーの立場としては「機能の劣る点」「問題点」も重要な情報ですから、○×表として記載したり、日本語ファイル名の対応などを確認したわけです。確かに「作者としての立場」を考慮しない書き方なのはまずかったですが、「作者さんにはがんばってメンテナンスしてほしい」という願いがありました。

「当て馬」があるとすれば、それは拙作の wp-mta および、Otsukare さん作の wp-shot になるでしょう。wpmob および wpmobExpress は、古いというより「枯れている」というのが合っていると考えていて、けなす意図はありません。優劣を判断してツールを選択するのはユーザーですから。

ついでに書いておくと、WP MOBILE の非難は、どちらかというと作者視点セキュリティー啓発者としての活動です。同様の機能を持つプラグインを作っているために「ライバル潰し」と誤解される可能性が大なのですが、あくまで「危険なプラグインの啓蒙」です。Ktai Syle は、「安全なものの代替案」として提示していると考えてください。(その割にバージョン 1.3x はバグが多くてご迷惑をおかけしましたが……)

幸い、WP MOBILE はユーザーがほとんどいなくて安心しているのですが、Mobile Eye+アダルト広告問題が見つかってしまい、これを啓発せざるを得ないのは残念なところです。セキュリティー欠陥ではないので「ほっとけばいい」という考えもあるでしょうが、危機管理という面では放置できないネタなので、広報しています。ライバルとなるソフトウェアを開発している人が言うのは、告知効果という面ではいまいちなので、利害関係のない第三者にやってもらいたいところです……。というか、まおうさんに修正して頂くのがベストですね ;-) 例えば、URLGATE 機能にリストアップするサイトを個別に ON/OFF できるようにして、画像リサイズ/画像URLGET/ファイルシーク/pic.to の横に「アダルト広告注意」と書いておく (デフォルトはすべてオフ) などの実装が考えられます。

ユーザー視点としてみると「便利なものを使いたい」「機能豊富なものを使いたい」となるでしょうし、多くのプラグイン作者は「自分が必要なものを作りたい」「ハック欲を満たしたい」となるでしょう。わたしの場合、そこに加えて「セキュアなものが普及してほしい」「危険なものは使うべきではない」という考えも持っています (「使うべきでないプラグイン12選」はその一例)。そのへんのバランスはなかなか難しいですね。WordPress コミュニティーに「セキュリティーを重視する」という文化が醸造されればいいのですが……。

2008-07-15
晴れ

使うべきでないプラグイン12選

ゆりこ による 00:19:06 の投稿
カテゴリー: WordPressハック
タグ: , , ,

トラックバック企画「WP2.5に入れるプラグイン10選」ですが、中間集計が始まったようなので、「使うべきでないプラグイン10選」を挙げてみたいと思います ;-) (追記: ヤバいものが増えてしまい、12選になりました) Masayan さんはこういうリストアップを好まないと思いますが、「やばいものは避けよう」という注意喚起としてあえて出してみます。もし、自身で使っているプラグインが該当していると不快になるかもしれませんが、セキュリティー向上のための情報ですので、気を悪くされないようにお願いします。

危険なプラグイン

以下のプラグインは、セキュリティーホールがある/ありそうなため、即座に使用停止した方がいいものです。

WP MOBILE
デジタルスタジオ製のモバイル対応プラグインです。当サイトでは度々危険性を告知しています。当初発見された脆弱性は塞がれていますが、まだ突破口があるのでないかと思われます。また、WordPress 2.3 以降には未対応なこと、IE, Firefox, Opera 以外の PC 向けブラウザー (Safari など) では閲覧できない、という重大な問題があります。(Safari ユーザーお断りサイトができてしまう ;-) (追記: このプラグインがあまりにふがいないため、Ktai Style の開発を始めました。Ktai Style の普及のために WP MOBILE を叩いているのではありません)
Plug ‘n’ Play Google Map
Lightweight Google Maps の前身である Google 地図対応プラグインです。XSS 脆弱性があること (作者に報告しても梨のつぶて)、位置情報が多くなると PHP およびブラウザーのメモリエラーになること (16MB だと 1000個が厳しい) などの問題があります。(追記: こういう問題があるので、Plug ‘n’ Play Google Map の使用をあきらめて自作することにしたのです)
まだベータ版なので、ここに挙げるのはかわいそうなのですが、2回も脆弱性を指摘したのにまだ同じ箇所が直ってないのは残念です。今後修正版が出るでしょうが、多くのテスターによる確認が済むまで使わない方が賢明です ;-) (作者がんばれ!!)

新しい WordPress に対応していないもの

以下のプラグインは最近の WordPress に対応していないものです。また、作者が開発を中止した/新バージョンが今後出ないと思われるものです。コードを自分でいじれる人ならば、改造して使ってもいいですが、プログラミングの知識がないならば、避ける方が無難です。

SOMY Mobile Gate
SOMY さんのメール投稿ツールです (厳密にはプラグインではありません)。残念ながら 2006 年秋頃に開発を中止されてしまいました。そのため、WordPress 2.3 以降の新しいカテゴリーテーブルには未対応となっています。後継の MobG を使いましょう。こちらはメンテされています。
SOMY SpamBlock JP
SOMY さんのスパム対策プラグインです。こちらも 2005年3月以降メンテナンスされていません。トラックバック・ピンバックの識別方法が古く、すべてコメントとして処理してしまっています。また、ブロック時の表示が文字化けしやすいこと (Shift_JIS 表示かつ HTTP ヘッダで Content-type 未指定)、コメント/トラックバックを必ずデータベースに一度保存させていること、どうにかがんばれば SQL インジェクションを起こせるかもしれないこと、将来 $tablecomments が廃止されたら動かないこと、などいくつか問題などがあります。
WordPress 2.0 以前 (2.0 含む) でセキュリティー欠陥があることが判明しました。WordPress 2.0 以前ではインストール禁止です。
SOMY IMG Collect
SOMY Logined Publish
SOMY さんのギャラリープラグインと、ログインユーザー判別プラグインです。どちらも、設計が古く将来の WordPress で動くかどうか不明です。なんとか WordPress 2.6 でも動きそうですが……。なお、WordPress 2.0 以前 (2.0 含む) でセキュリティー欠陥があることが判明したため、インストール禁止です。

アダルト広告が出てしまうもの

以下のプラグインは、取り扱い注意な機能を含むため、万人にはおすすめできないものです。設定を変更するか、「ポルノ広告表示機能」を了承の上使うのならば問題ありません。

Mobile Eye+
まおうさんの携帯対応プラグインです。Otsukare さん作の Mobile Eye がベースとなっていますが、大幅に変更されています。これも、当サイトで口が酸っぱくなるほど書いている通り、「画像や外部リンクをクリックしたときの URLGATE 画面には、ポルノ・出会い系広告が出る外部サービスがリストされる」という問題があります。しかも、この機能はデフォルトで ON にかかわらず、ドキュメントや配布サイトには記述されていません。このため、Mobile Eye+ をデフォルト設定で使うと、「アダルト広告に繋がる携帯サイト」ができあがってしまいます。
URLGATE 機能がドキュメント化されているならば、「ポルノ広告が出てもいい」というユーザーだけが ON にすればいいのですが、そうでないため、取扱注意なプラグインとなっています。PHP5 未対応のため Ktai Style が使えない、という人は、ちょっと機能が低いですが「MobilePress」も検討してみてください (ただし、short_open_tag が off だと動きません)。
(追記: WordPress 2.3 以降で「ブログのパーマリンク」が「使用しない」の設定の場合、標準 URL (Canonical URL) の仕組みにより、パーマリンクを使った URL に常にリダイレクトがかかってしまいます (ドコモ携帯ではダイアログが出ます)。また、前後ページのナビゲーションで URLGATE 経由になってしまいます。「使用する」に設定すればどちらも回避できます)
(追記その2: Ktai Style 開発動機のもう1つの理由が、「Mobile Eye+ の挙動が好みと違う」ことでした (まおうさんも「かなり自分仕様な設計」と明言されています)。わたしには「ページ分割機能がない」「パケット節約が十分でない」「コメントとトラックバックを強制的に分離する」「スマイリー画像をそのまま出す機能がある」などは不満でした。このため「もっといいものが作れるんじゃないか」と考えて、携帯対応プラグインの開発を検討したのです。その後、「アダルト広告問題」が発覚したため、Mobile Eye+ も非難せざるを得なくなってしまいました。これは残念なことです)

お行儀が悪いもの

以下のプラグインは実装が凶悪で、他のプラグインに悪影響を出すものです。

Events Calendar
イベント表示プラグインです。標準のカレンダーの代替を提供します。しかし、プラグインの初期化段階で wp-includes/pluggable.php を require してしまうため、「プラグインが先に関数宣言することでオーバーライドできる」という pluggable.php の仕掛けを台無しにしてしまっています。WordPress コアの動作をまるで理解していない人が作っているわけで、これだと Extends から削除すべきぐらい酷いものです ;-) Ktai Style とコンフリクトするから敵対視しているわけではありません……。
All in One SEO Pack
人気のある SEO 増強プラグインです。しかし、タイトル書き換え機能が ob_start() を使うという凶悪な実装で、Ktai Style や Mobile Eye+ では title 要素が化けます (現在の Ktai Style では対策ずみ)。お行儀が悪い、という意味ではトラブルメーカーなわけで、初心者の方は避けた方が無難です。

セキュリティーを落とすもの

WordPress のセキュリティーを下げてしまうプラグインです。

Exec-PHP
runPHP
どちらも、投稿に PHP コードを記述できるようにするプラグインです。テーマの改造では不可能な動的なサイトを作ることができます。しかし、複数の投稿者がいる場合、ユーザー登録が自由なサイトではセキュリティーがかなり落ちますので、使ってはなりません。ページテンプレートや自作関数/自作プラグイン/自作ショートコードを作れば、これらのプラグインに頼らなくても済みます。逆に言うと、これらのプラグインを使うということは、まだ初心者の域であると言えるかもしれません ;-)

閲覧者が困るもの

他人のプラグインばかり非難していると「何様やねん」と言われそうなので、自作のものをオチとして出しておきましょう。

Ktai Style Shuffle (PC 向けバージョン)
Ktai Style のエイプリルフール版です。なんと、アクセスの度に表示される投稿が変化するという「ランダム表示」を強要します。閲覧者が困惑すること必死です ;-) 強烈なジョークプラグインですので、真面目なサイトで使ってはいけません。

なお、ここに挙げられていないものが「安全」というわけではありません。プラグインは便利ではありますが、PHP コードそのものですので、すべてセキュリティーの脅威となり得ます。プラグイン紹介サイトでは、コードの確認をしていない場合もありますので、「人気サイトで紹介されているから大丈夫だろう」と思わないようにしてください。

[追記] もちろん、上記のリスクを承知の上で、ここに挙げたプラグインを使うのは自由です。また、問題点がさほど重大でない場合もありますので (設定で回避できる etc)、一概に全部がダメ、というわけではありません。本当にダメなのは、一番最初の2つだけです。

[さらに追記 2008-07-15 09:20] デッドリンクチェッカーは、作者さんが根本的な改良をされたようなので、削除しました。そのかわり、Events Calendar を追加しました。

[もっと追記 2008-07-17 01:15] SOMY プラグインの欠陥を追記して、他のプラグイン2つも追加しました。

[本文中に追記 2008-07-27 22:45] WP MOBILE, Plug ‘n’ Play GoogleMap と Mobile Eye+ と拙作プラグインの関係について、本文中に追記しました。既存品に問題や不満があったため代替品を作ったという経緯なので、それらを非難するのは必然なわけです……。

2008-06-09
晴れ一時雷雨

デジタルスタジオの WP MOBILE を使っている人がいた

ゆりこ による 21:43:06 の投稿
カテゴリー: WordPressハック
タグ: , , , ,

当サイトで問題点を何回か指摘している、デジタルスタジオ製のモバイル対応プラグイン「WP MOBILE」ですが、実際に使っている人を見つけました (当該サイトへのリンクはありません)。見つかった理由は、当該サイトを Safari で見ようとして「ユーザagentがサーバーに書いてないですのでアクセスができないです」という表示になったからです。こりゃいかんと思って Firefox で閲覧して、コメントしようとしましたが、携帯対応に関する投稿はありませんでした。しかし、Safari に言及している記事があったので、そこでコメントを書いておきました。WP MOBILE はイケてないこと、Ktai Style ないし MobilePress がオススメであること、Mobile Eye+エロ広告が出たりページナビゲーションにバグがあるのでやめた方がよいことなどです。

で、さきほどそのサイトを確認してみると、Safari で見えるようになっていました。さっそく対応されてすばらしい、と思ったのも束の間、事もあろうに Mobile Eye+ に切り替えられていました!! しかも URLGATE はオンのままです!! 「おすすめしません」と書いてあるプラグインをわざわざ採用するのは、わたしに対する嫌がらせですよね ;-) まあ、Ktai Style は PHP5 を要求しますし、MobilePress は Mobile Eye+ に比べて機能が少なく、short_open_tag が off のサーバーでは動作しないため、消去法で Mobile Eye+ が残った可能性はありますが、それならばせめて URLGATE オフにしてもらいたかったです。わたしの書いた「URLGATE がやばい」という投稿までは見られていないのでしょう……。

あまり悪口は言いたくないですが、「そもそも WP MOBILE を選ぶ」時点でセンスおよび情報収集能力が少し劣るような気がします :-P そもそも、Google で「WordPreess モバイル」と検索すると、WP MOBILE プラグインのページが上位に来てしまうのが問題なのですが。わたしの「WP MOBILE 叩き記事」が上位に来るようにがんばらないと ;-);-)

[追記] もう1つ、WP MOBILE 利用サイトを見つけました。こちらはコメント先として適切な投稿がなかったため、コンタクトフォームから問合せしています。今度はよい返事があることを期待したいですね。

[さらに追記] ちなみに、この現象 (Safari で見られない) については、だいぶ前にデジタルスタジオに報告ずみです。Press9.net で稼動しているバージョンでは改善されているようですが、一般向け配布版はバージョンアップされていないのです。Press9 は一部ウェブログで WordPress 2.5 になっていて、プラグインの方も 2.5 対応されていると推測できるのに、一般公開しないのは残念です。わたしに叩かれるのが嫌なのかも ;-) でも、オープンソースってのはそういうものですよね。

2007-11-18
晴れ

モバイル対応プラグイン WP MOBILE ダメすぎ

ゆりこ による 16:11:54 の投稿
カテゴリー: WordPressハック
タグ: , , , ,

いきなり脆弱性が見つかった DIGITAL STUDIO 製モバイル対応プラグイン WP MOBILE ですが (リリース案内)、11月15日に修正版が出ていました。改版履歴は「バグ修正」となっていて、セキュリティホールがあったことが隠されているのは不審です。

ともあれ、ダウンロードしてソースを読んでみますが、ダウンロードファイルには Readme がついていません!! インストール説明はウェブを見ないといけないのですが、この説明が分かりにくいんですよね……。どうやら2つのプラグインから構成されているようです。2つに分けるのはそれなりに意味があるのでしょう (Ktai Style でも、ウェブログ管理プラグインを別にしようかと検討したことはあったので)。

でも、ソースを読んでいると頭が痛くなってきました。ツッコミどころ満載だからです。

  • せっかくローカライズ関数 __(), _e() を使っているのに、その引数に日本語文字列を書いてある。
  • echo _e() なんてコードもある:-) (_e() == echo __() なので無意味なコードとなる)
  • $action = $_POST['mode'];
    switch($action) {
    case "挿入":

    というのは、マトモに動くコードとは思えない (しかも日本語は EUC-JP コード)

こんなスパゲッティコードで脆弱性を見つけたというのは、発見者に脱帽です。わたしは根気がないので、解読する気にもなりません。PHP が分かる方はぜひ WP MOBILE のソースを見てみてください。プラグインを使う気が失せること確実です ;-) 開発元には、プロ根性を発揮してもらって、よりよいコードにしてもらいたいものですが、期待できないかも……。

[追記] そうそう、携帯電話で閲覧したとき、いくつか GIF 画像のアイコンを使うようですが、これが500〜1000バイトぐらいあるので、端末によっては容量制限にひっかかる可能性があります。また、パケット料金の浪費にも繋がります (閲覧者のサイフにやさしくない)。割引サービスの有無によりますが、1KB==1円なので、けっこうな額になるんですよね。

[さらに追記] さらに調査すると、プラグインを有効化するときの PC 用ブラウザーは Firefox, Internet Explorer, Opera しか使えません。それ以外のブラウザーではエラーになります (しかもエラーが文字化け)。そう、Safari ではダメなのです。なぜ、PC 側ブラウザーに制約を設けるのか不明ですが、Mac ユーザー無視というだけで叩くのに十分でしょう ;-)

もっと驚愕の事実が分かりました。なんと WordPress 2.3 には対応してないようです!! 今どき WordPress 2.3 の動作確認してないって……。

[またまた追記] いや、もっとすごい事実が判明しました。WP MOBILE を入れると、ウェブログの表示自体が Safari 非対応になります!! (プラグインの有効化ができないだけではない) デモサイトがあるのですが (携帯電話表示は http://www.celeb-walker.net/?action=preview で確認可能)、どちらの URL に Safari でアクセスしても「ユーザagentがサーバーに書いてないですのでアクセスができないです」というエラーのみが表示されます (メッセージも日本語になってない……)。PC 向けブラウザーチェックは単なる閲覧にも作用するようで、結果として「Firefox, MSIE, Opera 以外お断りサイト」を作るプラグインとなっているわけです;-)

こんな設計では「作者にはがんばってもらって、よいプラグインを作ってもらいたい」というレベルを越えています。今すぐ開発中止してもらいたいものです。

(注) 盛大に叩いていますが、プロが作っているものだからです (実力的にはプロと思えませんが)。個人が趣味で作ったものなら暖かく見守りますよ。

[追記: 2009-02-11] 1月中には、当該プラグインのダウンロードリンク先が Not Found になっていました。Press9 での提供は続いていますが、一般配布は終了してしまったようです。腰抜けですね ;-) オープンソースの理念とは、広く公開することでよりよいソフトを作ろうとするものですから、わたしが盛大に叩いた箇所をすべて直せば、すごいものができた *かも* しれないのに……。

2007-11-09
くもりのち雨

WP MOBILE いきなり脆弱性見つかる

ゆりこ による 22:34:36 の投稿
カテゴリー: WordPressハック
タグ: , , ,

DIGITAL STUDIO が11月6日に公開したモバイルサイト構築プラグイン WP MOBILE ですが、さっそく脆弱性が見つかってしまいました開発元の技術力が不安だっただけに、予想的中です ;-)

メール投稿も予測していた通り、Press9 ドメインのメールアドレスを発行してもらい、そこに投稿するという仕組みでした。これも、「技術力があやしい会社のサーバーを経由する」ということで、これまた不安要素がいっぱいです ;-) (追記2007-11-19: XML-RPC は使わず、Press9 のサーバーがプラグイン中の ******_recieve.php を叩くと投稿できる仕組みでした)

他人の悪口を言いたくはないのですが、ことセキュリティーにかかわる話だけに、「ダメなものはダメ」としっかり言うことは大事だと考えています。

実を言うと、Ktai Style を開発するきっかけの1つは、DIGITAL STUDIO の携帯サイト構築プラグインの開発表明でした。しっかりした作りのものを別途開発して公開しないとヤバいと思ったのです ;-) ;-) Ktai Style の管理機能は、実装は完了しておりバグ取りを行なっています。来週末リリースを目標としていますので、もうしばらくお待ちください。(これだけエラソーに書いたので、脆弱性があったら叩かれることは確実なので、慎重にバグ取りせねば)

[追記 2007-11-18] 11月15日に脆弱性を修正したバージョンが出たようですが、バージョン番号が同じで「バグを修正しダウンロード再開」という記述だけなのはよくないですね。セキュリティーホールがあったことを隠蔽しているわけで、「開発元が信用できない」ことが証明されました ;-)