Semantic Web – WordPress

Archive for 12月 2004

Movable Type BlogPeople MyBlog DirectoryIndex

leave a comment »

Movabel Type では、[ウエブログの設定 サイトURL]:
(例) 独自ドメイン http:⁄⁄www.example.com⁄
となり、「ファイル名(index.html など) は入力しないでください。」との注意規定があります。仮に、
index.php index.html index.htm default.html default.htm default.asp
の順で、DirectoryIndex 設定 (Apache の httpd.conf ないし ホームディレクトリ内の .htaccess ) を行い、
   http:⁄⁄www.example.com⁄index.php (例: ブログではない)
   http:⁄⁄www.example.com⁄index.html (例: MTブログ のトップページ)
を別ファイルとしたいとき、
MyBlog さんの URL登録に際しては、
   http:⁄⁄www.example.com/
とすれば、ブログ URL を自動検出してくれるようです。しかし、
リニューアル後のBlogPeople さんのURL登録に際しては、ping 不能となるので、
   · DirectoryIndex 設定の最優先ファイルがブログのトップページとなるようにする、または、
   · DirectoryIndex 設定のファイルは1つだけとする
   · URLは必ず、Movabel Type 設定 (例) http:⁄⁄www.example.com⁄
とする必要があります。

広告

Written by support

2004/12/29 at 11:09

カテゴリー: ブログ blog

So-net blog サーバ 負荷コントロール

leave a comment »

So-net blog さんのサーバが長時間停止しています。ときどき、サーバ負荷によりアクセスが不安定となっていましたので、blog 専用サーバとネットワークは、大手ISP が運営している従来型のWWWサーバと比べて、負荷の程度が”桁違い”ではないか、と考えていました。特に、So-net blog さん では、ブログサーバなどへの TrackBack ping、Comment、ページ更新がとてもスピーディでしたので、バックグラウンドのタスク自体の負荷も大きいことが予想されました。TrackBack Spam をフィルター、制御する独自システムもなかったようですので、もし早急に復旧しても、今後のblog システムの一層の改善がなされないと、過大な負荷が繰り返される可能性がありそうです。すべて、利用者としての印象です。

Written by support

2004/12/29 at 10:10

カテゴリー: ブログ blog

spam future anti-spam spam-free

leave a comment »

過去メール・ログの内容を調査すると、スパム (メール)は"ある日"から急激に増加する特徴があります。
ホームページ「迷惑メール(spam)撲滅私的調査会について」の中で、高崎さんは、
     http://antispam.stakasaki.net/mythinking.html
「おそらく2000年10月の時点で、どこかのアドレスリストに私へのメールアドレスが載せられ、転売され始めたと考えます(後述参照)。」と、分析されています。
アドレスリスト売買の後、スパマーが利用すると、クライアントは受信のたびにスパムメールの削除に追われる日が続き、受信メールの大部分が spam spam spam spam となる日が到来します。クライアントの性格によっては、spam に対する憤りから「きれる」ことになります。
Microsoft社 Executive の一人 Bill Gates による Executive E-Mail (日本語版) Toward a Spam-Free Future「スパムの無い未来に向けて」 (2003年6月24日)
をご覧下さい。
     http://www.microsoft.com/japan/mscorp/execmail/2003/030624_BillG.asp
利口な人、優秀な IT 企業は、いつもインターネットの未来を考えています。
一方、行政サイドでは、IT 関連の問題では法律の整備が常に遅れますので、たとえば、
     http://www.meti.go.jp/kohosys/press/0004584/
     平成15年10月9日
     経済産業省
     「違法な迷惑メールで出会い系サイトの利用を勧誘した事業者2社に特定商取引法による初めての行政処分」
といった対応となります。
どのような行政処分であったのか、PDF 文書をみますと、
     上記3 (1)及び(2)の違反事実を認定し、特定商取引法第11条第1項及び第2項で定める表示事項を適正に表示すべき旨を指示。
つまり、「決められたように表示しなさい」という文書によるお約束事だけだったようです。お役人さんがもし優秀であったとしても、できることはこれだけなのです。
日本においても、早急に罰則強化に真剣に取り組んでほしいです。

Written by support

2004/12/28 at 13:30

トラックバック(TrackBack) URL を GD と ID タグで作成する

leave a comment »

個別エントリー・アーカイブのテンプレート (デフォルト)では、
トラックバックURL は タグ <$MTEntryTrackbackLink$> により表示されます。
ブラウザで個別エントリー・ファイルのソースを見ると、たとえば、
     http:⁄⁄www.example.com⁄mt⁄mt-tb.cgi⁄89
となりますので、当然 Google ハッキングなどによる無差別・大量 TrackBack ping を受けるリスクがあります。
Xrea.com さんのサーバーは Linux系ですので、GDグラフィックライブラリーを使った画像生成用の関数がデフォルトでインストールされています(php文を使うと、文字列から画像を作成しブラウザに表示できます)。
もし、GD のインストール、表示パターンが不明であれば、下記の編集を行う前に、
     http://medqa.net/update2003/gfxchek.html
をご覧下さい。
modules.php をクリックすると、Security Code:と同じ画像が表示されます。
注) Unix系サーバ・OSでは、GDなどの拡張ライブラリーを手動でインストールする必要があります。
URL文字 http:⁄⁄www.example.com⁄mt⁄mt-tb.cgi⁄ をGDライブラリーで画像に変換します。サンプルのPHP文では、JPEG画像を生成します。
新規インデックス・テンプレート 例) gfx.php として保存します。背景画像は、グラフィックツールで作成しアップロードします。

<?php
Header("Content-type: image⁄jpeg");
⁄*  Header("Content-type: image⁄png"); *⁄
$code = "http:⁄⁄www.example.com⁄mt⁄mt-tb.cgi⁄";
$image = ImageCreateFromJPEG(".⁄background.jpg");
$text_color = ImageColorAllocate($image, 80, 80, 80);
ImageString ($image, 5, 15, 5, $code, $text_color);
ImageJPEG($image, '', 75);
ImageDestroy($image);
die();
break;
?>

背景画像 (例: background.jpg) の上に文字 (例: URLを $code 入力) を配置し、文字のサイズ, 文字の位置 X座標, Y座標 や 文字の色 R,G,B, などを関数で指定します。
サンプルは jpeg画像となりますが、Headerなどを変更すると、png 画像が出力されます。
多くの参考ページ
     http://hotwired.goo.ne.jp/webmonkey/2001/36/index4a.html
があります。
個別アーカイブ・テンプレートのタグ <$MTEntryTrackbackLink$> を、
(例)
     <img src="..⁄gfx.php" style="border-width:0px;" alt="trackbacklink"> <$MTEntryTrackbackID$>
などに変更します。
なお、このような作業の意義については、
     comment spam, trackback spam 対策 ( Movable Type )
をご覧下さい。

Written by support

2004/12/26 at 21:43

カテゴリー: ブログ blog

comment spam, trackback spam 対策 ( Movable Type )

with 3 comments

追記: 本エントリーは、2005/1/5 公開された
    Guide for Fighting Comment Spam
    http://sixapart.com/pronet/comment_spam.html
以前に作成したものです。よって、Movable Type 本家による spam 対抗策も是非ご覧下さい。
追記: 新しい属性 rel="nofollow" を付加する plugin
    http://www.osbsd.net/archives/000068.php [公開日 2005/1/18]
==

Movable Type v3.14 とは、大量のスパムによるサーバ負荷を軽減するためのマイナーバージョンアップです。バージョンアップしてもコメントスパムが減るのではありません。しかも、世界の中で、数カ国がスパムを違法としても何ら解決しません。

Δ スパム送信元 IPアドレスによるコメント制御

(1) 設定 > 禁止IP (IP banning):
   デフォルト なし
(2) mt.cfg 設定変更:
   ThrottleSeconds デフォルト 20秒
(3) [MT]/lib/MT/ConfigMgr.pm の編集:
   CommentSessionTimeout デフォルト 1分

Δ スパム対策用プラグイン

(1) MT-Blacklist: comment spam,trackback spam 全般
   http://www.jayallen.org/projects/mt-blacklist/
Movable Type 3.14 に対応するバージョン [2004年12月22日 現在]

As part of the ongoing efforts against comment spam, Jay Allen has released Blacklist v2.03-beta. This release is designed to take advantage of the improvements in Movable Type 3.14, and the combination of the two is an excellent way to manage comment spam while not imposing too much of a burden on your web server.

(2)「日本語を含まないコメントを SpamとしてRejectする」プラグイン:
   Reject ASCII-only Comments (An example of Application-level Callback):
   Spamfilter Plugin, v.0.01
   Ogawa::Memoranda さんが公開されたplugin. インストールはごく簡単です。Movable Type 3.1から実装となったアプリケーション・レベルのコールバック機能を利用したものです。

Δ HTTP_REFERER による SPAM対策

ブログ管理者が許可したReferer リファラのないコメントやトラックバックを拒否する.
   リファラつきの Trackback に確認画面
   指定ページ (同意文書のあるページなど) やトップページへのアクセス後でなければ、フォーム入力・登録ができない動的ページに相当しますが、投稿者はコメントしたいとき操作がワンステップ増えることになります。

Δ 検索エンジン対策
(スパム実行のために、エントリーを一度取得させたり、いろいろ手間と時間がかかるようにする方法を含む) サーバー負荷を軽減させるための対策でもあります。

· mt-comments.cgi をリネームする
Movable Type 本家サイトや blog.bulknews.net などで紹介されている方法ですが、ブログ管理者にとっては (全くとはいいませんが、あまり) 意味がないことも周知のことです。しかし、
==
  (例) Google Rearch で、キーワード "⁄mt⁄mt-comments.cgi" を検索してみた [2004/12/23] 。
  結果: 約 2,110,000 件 ヒットした(国内外) 。
==
(例) http:⁄⁄www.example.com⁄mt⁄mt-comments.cgi?entry_id=170
と表示されることが多いので、エントリーのURLがわからなくても、コメントスパムプログラムであれば、直接スパム投稿可能であるのが現状です (ブログ管理者がSPAM受信拒否の対策を行っていなければ)。

· mt-comments.cgi を truncate url 表示とする
mt-comments.cgi の [URL] 表示を 下記のように canonical URL から truncate URL に変更するだけでも、直接的なスパム投稿 (全体数のこと) は一時的に減るのではないでしょうか。
Ogawa::Memoranda さんが公開された
mt-truncateurl.pl 0.01(2004.09.29): First Release
を使用し、個別エントリーのテンプレートにコンテナタグ <MTTruncateURL>  </MTTruncateURL>を挿入すると、
canonical url:

<form method="post" action="http:

⁄⁄www.example.com⁄mt⁄mt-comments.cgi" name="comments_form" onsubmit="if (this.bakecookie[0].checked) rememberMe(this)">

<input type="hidden" name="static" value="1" /> <input type="hidden" name="entry_id" value="59" />

truncate url:

<form method="post" action="⁄mt⁄mt-comments.cgi" name="comments_form" onsubmit="if (this.bakecookie[0].checked) rememberMe(this)">

<input type="hidden" name="static" value="1" /> <input type="hidden" name="entry_id" value="59" />

form action="truncate url ··· と、URLソースには 相対URLのみ表示されます。
      canonical (和訳:正準, 標準) , truncate (和訳:切り捨てる)

もちろん、Ogawa::Memoranda さんが本スクリプトを公開された目的は全く異なりますし(上記ページをご覧下さい) 、勝手に応用してもサーバ当たりの spam の全体数が一時的に若干減るだけかもしれません。
個々のブログ URLは、無料ブログやブログサーバの公開情報などからも簡単に入手できるので、トップページがわかれば、個別エントリーのURLはリンクを辿れば取得できます。その実例として、
   distanceさんのページをご覧下さい。
   http://distance.degle.net/blog/archives/2004/09/23_0457.html"
「GETでエントリーを一度取得している事から、おそらくパースしてhidden要素を含めPOSTしています。」とのコメント・スパム事例などから、

· 追加したhidden要素の有無で制限する
· GETによるコメント投稿を制限する
などのファイル編集による comment spam 対策にも当然、限界があります。
なお、
アメリカでがんばりましょう さんのページでは、「JavaScript をオンにした環境で、Submit ボタンを押したとき(onSubmit イベント時)に、隠しフィールドの値を設定すれば、人がボタンを押したときは正しい値が、コメントスパムプログラムが HTML だけ解釈して投稿したときは間違った値が送られる」新コメントスパムプログラム対策で成功しているようです [October 12, 2004. Movable Type 2.661版のブログにて].

また、きままにポロポロ さんのページでは、「全角文字」「句読点」「連続したひらがな」を含まないコメント投稿は受付けないように、mt-comments.cgi にそれぞれのコードを追加し、編集する方法が紹介されています。

スパム "SPAM" の語源
不特定多数のユーザーに対してメールを送りつける行為を スパム "SPAM" といいます。その語源は、(現実とは大いに異なり) とても面白いので、お伝えいたします。
⁄⁄ すずきひろのぶ著 「実践 Linux セキュリティー」 発行インプレス ⁄⁄ より、その一部を引用させていただきます。
SPAMは、もともと米 Hormel Foods 社の肉缶詰の商標で、イギリスのTV番組 「モンテパイソン」 で放映された有名なコントの1つに · · · · 大衆レストランでカップル客が料理の種類を尋ねたところ、すべてが SPAM 料理で、居合わせたお客が「スパム、スパム、スパム、スパム」と繰り返す歌を合唱する · · · · というものがあるそうです。 のちに · · · · アメリカの移民専門弁護士事務所から "アメリカ移民局労働ビザ抽選手続き代行" の広告が Usenet に流された · · · · Usenet 上で「しつこく繰り返し迫るのは、モンテパイソンの SPAM のコントと同じだ」とされました。これが SPAM の語源で、世界で最初の大規模なSPAMです。また、"SPAM 広告" のおかげで弁護士事務所は大もうけしたそうです。

Written by support

2004/12/23 at 19:21

カテゴリー: ブログ blog

LaunchBackgroundTasks mt-testbg.cgi

leave a comment »

LaunchBackgroundTasks のデフォルト設定は、Movable Type 3.14 (英語版)となっても、リビルドなど時間を消費するタスクをバックグラウンドで実行しない "0" となっています。
    正確には、[MT]⁄lib⁄MT⁄ConfigMgr.pm のデフォルトは
    $mgr->define(‘LaunchBackgroundTasks’, Default => 1);
    となっていますが、mt.cfg の初期設定
    LaunchBackgroundTasks 0 が優先となります。

Xrea.com さんのサーバでは、cgiなどによるタスクが連続30秒を越えサーバに過重な負荷が発生すると、Movable Typeに限らず強制終了となりますが、バックグラウンドなどの並列ジョブの実行は以前から可能でした。
LaunchBackgroundTasks 1
(または、mt.cfg 内の一行をコメントアウトする # LaunchBack··· )

しかし、レンタルサーバのスペックが高性能となった現在でも、今なおバックグラウンドタスクを実行できないものがあり、しばしばフリーズするときは、
WWWサーバーが並列ジョブ可能であるか? pfork() を利用した mt-testbg.cgi で確認します。本家サイトの supportフォーラムでは、クライアントに対する回答として、「ホストサーバ変更を推奨します」というものもあります。

旧バージョンの mt-testbg.cgiでは、
(例) mt-testbg.cgi,v 1.4.2.1 2004/05/13 00:57:40 ezra Exp $

if (MT->VERSION !~ /^3\.0/) {

    print "You have not yet upgraded to the 3.0 version of MT. Please do that before you run this script. Exiting…";

となっているので、使用中のMTのバージョンに編集後、ブラウザでアクセスし実行します。
最新バージョンの mt-testbg.cgiでは、
(例) mt-testbg.cgi,v 1.6 2004/08/17 00:39:56 ezra Exp $
MTのバージョンチェックは行われませんので、直ちに結果が表示されます。

If you see only one number below, or if you see two and they match, you should add the line
  BackgroundTasks 0
to the file mt.cfg.

Written by support

2004/12/22 at 11:02

カテゴリー: ブログ blog

MTバージョン3.14英語版 comment spam 対策など

with one comment

【2004/12/20】Movable Type本家にて公開となった MTバージョン3.14英語版 (フルインストール版、アップグレード版) フォーマット形式 tar.gz について
comment spam によるサーバ負荷対策に伴うマイナーバージョンアップです。
本家ページ、および Ogawa::Memoranda さんのページ
http://as-is.net/blog/archives/000951.html
などの解説をご覧下さい。
フルインストール版: 英語版のバイナリーファイル(tar.gz) は、いつも問題なく展開できますが、MT3.14版では、インストール後の設定画面でスクリプトエラー表示となります (使用ブラウザ Microsoft社 IE6.0SP1)。また、3.12英語版 (3.121ではない)と同様に Language for Date Display: Czech (チェコ語) がデフォルトとなっているので、注意が必要です。
アップグレード版: スクリプトエラーは表示されませんが、日本語化のために重要なファイルの一部がバージョンアップしているので、アップグレードは日本語版公開まで待った方がよいと思います (しかし、現在 comment spam 攻撃を受けているサイト、特に有償版を購入したユーザーは、シックス・アパート株式会社さんへ日本語版の早期バージョンアップを催促された方がよいと思います)。本家サイト[12.22.2004]では、

Movable Type 3.14 is now available in French, German, Spanish, and Dutch! Check out the international Movable Type sites for more information.

【補足】 ファイルのバージョンなど
(日本語化に必須のファイルなど)
[mt]/lib/MT.pm
v.314-us MT.pm.pre,v 1.1.2.2.2.4 2004/12/20 19:25:03
v.3121-ja MT.pm,v 1.214 2004/09/30 01:01:13
v.3121-us MT.pm.pre,v 1.1.2.2 2004/10/21 01:02:59
v.312-us MT.pm.pre,v 1.1.2.1 2004/10/18 18:50:05
v.311-us MT.pm,v 1.211 2004/09/03 22:43:53
v.311-ja MT.pm,v 1.214 2004/09/30 01:01:13
[mt]/lib/MT/Mail.pm
v.314-us Mail.pm,v 1.22 2004/04/29 02:42:57
v.3121-ja Mail.pm,v 1.22 2004/04/29 02:42:57
v.3121-us Mail.pm,v 1.22 2004/04/29 02:42:57
v.312-us Mail.pm,v 1.22 2004/04/29 02:42:57
v.311-ja Mail.pm,v 1.22 2004/04/29 02:42:57
[mt]/lib/MT/App/Trackback.pm
v.314-us Trackback.pm,v 1.42 2004/10/01 18:26:04
v.3121-ja Trackback.pm,v 1.42 2004/10/01 18:26:04
v.3121-us Trackback.pm,v 1.42 2004/10/01 18:26:04
v.312-us Trackback.pm,v 1.42 2004/10/01 18:26:04
v.311-ja Trackback.pm,v 1.42 2004/10/01 18:26:04
[mt]/lib/MT/App/CMS.pm
v.314-us CMS.pm,v 1.385.2.6.2.1 2004/12/17 03:36:59
v.3121-ja CMS.pm,v 1.385.2.6 2004/10/19 19:27:46
v.3121-us CMS.pm,v 1.385.2.6 2004/10/19 19:27:46
v.312-us CMS.pm,v 1.385.2.6 2004/10/19 19:27:46
v.311-us CMS.pm,v 1.379 2004/09/03 22:29:34
v.311-ja CMS.pm,v 1.385.2.3 2004/10/09 01:14:14
以前のバージョン調査

Written by support

2004/12/22 at 00:34

カテゴリー: ブログ blog