cha-ki-sho

blog.bulknews.net で Trackback の脆弱性についての勧告 という記事が出ています。

悪意のあるスパマーは、ウェブサイトのビジターのマシンから javascript を使って Trackback Ping SPAM を送らせることができる (DDoS 的であると言える)。

詳細は当該記事でご確認ください。

ところで、この情報は英語圏には（というか、非日本語圏には）伝わっているのでしょうか。日本語圏でだけ対策されても、欧米発祥のblogツールが多くありますから問題が残りそうです。
などと言いつつ、私はちゃんと英訳できる自信がないので報告しない横着者です。申し訳ない。

記事で示されている「考えられるソリューション 3,4」のパッチの b2evolution 版を作ってみました。
完全なものとは言えないかもしれませんが、試案ということでご理解ください。問題がありましたら、お報せいただけると助かります。

/htsrv/trackback.php の33行目、

@header('Content-Type: text/xml');

の後に

if ( isset($_SERVER['HTTP_REFERER']) || strpos($_SERVER['HTTP_USER_AGENT'], 'Mozilla/') === 0 ) {
trackback_response(1, 'Trackback ping with invalid headers: denied.');
}


という3行を追加してください。

その後、8月11日に Trackback の脆弱性についての勧告 は更新され、上記拙作パッチ案の元に当たるMovable Typeとblosxomのパッチが削除されました。一部ツール等からのトラックバックを受け付けなくなる副作用を考慮した模様です。 拙作パッチ案を使用される場合は、副作用があることを考慮の上で使用するかどうかを判断されるようお願いします。 また、対策の改良案として リファラつきの Trackback に確認画面 が提示されています。副作用の少ない対処法をお探しの方は、ご覧になってみてください。 私のほうで、この方式のb2evolution版を作る予定は今のところありません。Apacheのmod_rewriteが必須になっているため、動作しない環境も多いと思いますので、そのまま移植するのはちょっと気が乗りません。（類似の効能があって、汎用性の高い方法を考えればいいのでしょうけど、知識とか気力とかが足りません）

b2evolution の日本語対応に関するメモ。（ほぼ 0.9.0.9 の日本語対応 と同じです）

b2evolution はそのままで使ってもそれなりに日本語が使えます。
しかし、ブックマークレット、トラックバックの受信、コメント等があった際の通知メールの文字コード処理などで問題が発生する可能性があります。

さらに、こちらでは検証しておらず予想でしかありませんが、メールでブログに記事を投稿する機能を使う際に、文字コード処理が行われないのでおそらく正常に書き込めないと思います。これは、私は今のところ使う予定の無い機能ですので、どなたかが調査してくださると嬉しいです。

バージョン0.9.0.10について、私が行った対処を書いておきます。
他の環境でも通用するかは不明です。
（XREA.COM で使用する場合は、XREA.COM 特有の b2evolution 設定 も参照してください）

続きを読む »

b2evolution 0.9.0.9 はアップグレード時およびMovable Typeからの移行時にエラーが発生する場合があります。これからインストール／アップグレードされる方は、修正された 0.9.0.10 を利用するようにしてください。

b2evolution の日本語対応に関するメモ。（0.9.0.8 の日本語対応 とは一部やり方を変えました。異なる部分も多いので注意してください）

b2evolution はそのままで使ってもそれなりに日本語が使えます。
しかし、ブックマークレット、トラックバックの受信、コメント等があった際の通知メールの文字コード処理などで問題が発生する可能性があります。

さらに、こちらでは検証しておらず予想でしかありませんが、メールでブログに記事を投稿する機能を使う際に、文字コード処理が行われないのでおそらく正常に書き込めないと思います。これは、私は今のところ使う予定の無い機能ですので、どなたかが調査してくださると嬉しいです。

バージョン0.9.0.9について、私が行った対処を書いておきます。
他の環境でも通用するかは不明です。
（XREA.COM で使用する場合は、XREA.COM 特有の b2evolution 設定 も参照してください）

続きを読む »

b2evolution の日本語対応に関するメモ。（ほぼ 0.9.0.5 の日本語対応 と同じです）

そのままで使っても困る場面というのは少ないのですが、ブックマークレットと、トラックバックの受信と、コメント等があった際の通知メールの文字コード処理で問題が発生する可能性があります。

もう一つ、予想でしかありませんが、メールでブログに記事を投稿する機能を使う際に、文字コード処理が行われないのでおそらく正常に書き込めないと思います。これは、私は今のところ使う予定の無い機能ですし、XREA.COMではこの機能自体そのままでは動作しないようですので、どなたかが調査してくださると嬉しいです。

バージョン0.9.0.8について、まずブックマークレット、次にトラックバックと通知メールについて、私が行った対処を書いておきます。
検証を十分に行ったわけではなく、XREA.COMの環境 (Apache 1.3系、PHP 4.3系 + マルチバイト文字列関数(mbstring)有効 + .htaccess によるPHP設定変更可能) と私の使い方ではうまくいったという程度のものですから、他でも通用するかは不明です。
（XREA.COM で使用する場合は、XREA.COM 特有の b2evolution 設定 も参照してください）

続きを読む »

私のミスで、0.9.0.5 の配布パッケージに収録された日本語ファイルは不完全なものになっています。新しいものを作って CVS に登録してもらいましたので、blogs/locales/ja_JP/_global.php および blogs/locales/ja_JP/LC_MESSAGES/messages.po の各ファイルと置き換えてください。
_global.php
messages.po

b2evolution の日本語設定に関するメモ。
そのままでも困る場面というのは少なく、ほぼ日本語が使えると言っていいのですが、ブックマークレットと、トラックバックの受信と、コメント等があった際の通知メールの文字コード処理で問題が発生する可能性があります。

もう一つ、予想でしかありませんが、メールでブログに記事を投稿する機能を使う際に、文字コード処理が行われないのでおそらく正常に書き込めないと思います。これは、私は今のところ使う予定の無い機能ですし、XREA.COMではこの機能自体そのままでは動作しないようですので、どなたかが調査してくださると嬉しいです。

バージョン0.9.0.5について、まずブックマークレット、次にトラックバックと通知メールについて、私が行った対処を書いておきます。
検証を十分に行ったわけではなく、XREA.COMの環境 (Apache 1.3系、PHP 4.3系 + マルチバイト文字列関数(mbstring)有効 + .htaccess によるPHP設定変更可能) と私の使い方ではうまくいったという程度のものですから、他でも通用するかは不明です。
（XREA.COM で使用する場合は、XREA.COM 特有の b2evolution 設定 も参照してください）

続きを読む »