2007年2月14日より、WordPress ハック関連は Yuriko.Net メインサイトの「WordPress ハックカテゴリー」にて執筆しています。検索エンジン等でこのカテゴリーを見つけられた場合は、ぜひとも Yuriko.Net メインサイトもご覧ください。
その後もこのカテゴリーを使っていますが、それは、このサイト自身に対するハックや、自作プラグインの動作テストとなっています。
あと、言うまでもないことですが、「ハック」は悪い行為の意味ではなく、高度なプログラミングをする、の意味です。
昼からのセッションを聴講したのちは、ライトニングトークに登壇しました。今回は「GPLを理解するためのきわどいシリーズ」の新作です。原稿の調整がギリギリまでかかり、練習不足だったために時間切れとなってしまいました。聴講者に初心者が多そうだったので、冒頭のGPL部分の説明に時間を掛けすぎたのも敗因でした。やはり練習は大事です。
本日はWordPress川崎の宴会です。
HTTP://walk.eznavi.jp/map/?datum=0&unit=0&lat=%2b35.34.39.84&lon=%2b139.39.28.54&fm=1
当サイトのエイプリルフールは携帯電話のみの開催となっております。あしからずご了承ください。
[追記] PC でも同じ動作が可能なので、実施してみました ;-)
[追記 2008-04-03] エイプリルフール企画は、お楽しみ頂けましたでしょうか。どんな URL にアクセスしても「ランダムに記事が表示される」というもので、かなりびっくりされたかと思います。しかも、その動作を実現するプラグインも公開していました ;-)
リアルタイムレポート時に波ダッシュ「〜」をよく使っていますが、波ダッシュを2つ続けたら「〰」(WAVY DASH) に変換されるようにしてみました。携帯電話で見たときも実は対応していて、iモード, WILLCOM, EMOBILE には WAVY DASH を示す絵文字 (165番) に変換されます。EZweb, SoftBank は対応する絵文字がないので、波ダッシュ2つのまま「〜〜」になります。
この対応は拙作のプラグイン「Force Wave Dash」で行なっていますが、テストが良好ならば、一般公開してみる予定です。
余談ですが、Windows Mobile スマートフォンでは「〜」(WAVE DASH) が文字化けしてしまい、Force Wave Dash を使うと表示がイマイチになってしまいます。Windows Mobile のときだけ「~」(FULLWIDTH TILDE) に変換させる機能 (Force Fullwidth Tilde 機能) を入れた方がいいのかも。
Google Static Maps API を利用して、携帯電話でも地図が出るようにしました。まだコードが汚なくてめちゃくちゃなので公開はできませんが、ヒマを見つけて Lightweight Google Maps のバージョンアップをしたいと思います。
携帯電話閲覧プラグインのテスト用に、WordPress 内蔵のスマイリー一覧を並べておきます。当然テスト用サイトは別に作ってありますが、Basic 認証をかけてあるために、Basic 認証非対応の Vodafone 改め SoftBank 端末からは確認できないのです;-)
→ :smile: icon_smile.gif
→ :grin: icon_biggrin.gif
→ :sad: icon_sad.gif
→ :eek: icon_surprised.gif
→ :shock: icon_eek.gif
→ :???: icon_confused.gif
→ :cool: icon_cool.gif
→ :mad: icon_mad.gif
→ :razz: icon_razz.gif
→ :neutral: icon_neutral.gif
→ :wink: icon_wink.gif
→ :lol: icon_lol.gif
→ :oops: icon_redface.gif
→ :cry: icon_cry.gif
→ :evil: icon_evil.gif
→ :twisted: icon_twisted.gif
→ :roll: icon_rolleyes.gif
→ :!: icon_exclaim.gif
→ :?: icon_question.gif
→ :idea: icon_idea.gif
→ :arrow: icon_arrow.gif
→ :mrgreen: icon_mrgreen.gif
特別にWordpressハックカテゴリーにします。元町駅近くに「十六夜」という居酒屋がありました。いやはや。
HTTP://walk.eznavi.jp/map/?datum=0&unit=0&lat=%2b34.41.31.05&lon=%2b135.11.14.41&fm=0
CVE-2007-2627 の対策として、カスタム 404 ページのテンプレートから (追記: この修正は意味がないので記述削除)get_sidebar() 関数を除去しました。そのままではレイアウトが崩れてしまったので、適宜 <div id="sidebar"> </div> などの記述を足しています。
脆弱性の概要は以下の通りです。WordPress 2.2 では修正されるのかな??(WP2.1 の時点で OK でした)
Overview
Cross-site scripting (XSS) vulnerability in sidebar.php in WordPress, when custom 404 pages that call get_sidebar are used, allows remote attackers to inject arbitrary web script or HTML via the query string (PHP_SELF), a different vulnerability than CVE-2007-1622.
[追記 20:45] 本日、WordPress 2.2 本家版がリリースされましたが、どうも直ってなさそうです。template-loader.php, theme.php を見ても 404.php を読み込む処理に手が入ってるように見えませんから。
[追記 21:40] これは WordPress コアの脆弱性じゃなくて、テーマの作り方によって脆弱性が起きるという話でした (なのでタイトルと記述を大幅修正)。詳細によると、WordPress の sidebar.php にある検索フォームが <form method="get" id="searchform" action="<?php echo $_SERVER['PHP_SELF']; ?>"> となっているからヤバイ、というものです。でも、WordPress 2.1 に同梱されているテーマは、もはやそんな記述になっていません。classic, default ともに <form id="searchform" method="get" action="<?php bloginfo('home'); ?>"> となっていて安全です (WordPress 2.2 の default テーマは action="<?php bloginfo('url');?>" に修正されています)。しかし、ME 版附属の EasyAll はモロ $_SERVER['PHP_SELF']; を使っていて危険です!! WordPress 2.2 ME 版ではぜひ直してもらわないと……。
なお、当サイトのテーマは PHP_SELF を使っていないので、最初に投稿した修正は不要でした。
| 月 | 火 | 水 | 木 | 金 | 土 | 日 |
|---|---|---|---|---|---|---|
| « 8月 | ||||||
| 1 | 2 | 3 | 4 | 5 | 6 | |
| 7 | 8 | 9 | 10 | 11 | 12 | 13 |
| 14 | 15 | 16 | 17 | 18 | 19 | 20 |
| 21 | 22 | 23 | 24 | 25 | 26 | 27 |
| 28 | 29 | 30 | 31 | |||
上に戻る
