Semantic Web – WordPress

Archive for 10月 2005

メールアカウント「コンマ」誤入力と個人情報流出

leave a comment »

フォーム入力・投稿時、メールアドレスのアカウント部分に コンマ (カンマ comma「,」)を誤って本人が入力してしまったとき
[例] (誤) abc,def@xxx.example.com (正) abcdef@xxx.example.com
もしも、WWWサーバ上のフォーム・ウェブメールの送信プログラム (perl など)に E-Mailアドレス書式チェック「コンマ」がなく、メール通知機能が有効になっている場合、本人でないメールアドレスに入力情報が誤送信されてしまいます。
具体的には (ホスティングサーバで検証したところ)、上記の(誤)入力アカウントのとき
(1) abc@レンタルサーバのドメイン (2) def@xxx.example.com
の2つのメールアドレスへ送信されてしまいます。
さらに、(1) and/or (2) が実在するメールアドレスであれば、第三者に個人情報が誤って送信されます
サーバ上の送信プログラムは、通常、実在しないメールアドレスであってもプログラム設置者にエラーを返しませんし、本人のアドレスも不明ですので、第三者に誤って送信されたことをメールで通知することが不可能な事態となります。
自動メール通知機能を有効としてメール送信プログラムを運用する際、E-Mailアドレス書式チェックとして「コンマ」を必ず実行するようにプログラムの改修をおすすめいたします。
[具体例 perl: if文の追加]

if ($FORM{‘email’} =~ /\,/) { &error(“メールアドレスにコンマ「\,」が含まれています”); }
if ($IN{‘email’} =~ /\,/) { &error(“メールアドレスにコンマ「\,」が含まれています”); }

など。
[追記 2005/11/20] フォームメールの他の問題点(スパムメール)をお知らせいたします。
「フォームメールCGIの脆弱性をついた大量メールについて」
  » http://sb.xrea.com/showthread.php?t=10113

広告

Written by support

2005/10/25 at 11:22

カテゴリー: perl

Movable Type 3.2-ja, 3.2-ja-2とRangeヘッダ不正

leave a comment »

Movable Type 3.171-ja までは、http://blog.goo.ne.jp/XMLRPC への更新ping は昼夜どちらも正常に送信できましたが、
MT 3.20-ja, 3.20-ja-2のアップグレード後、トラフィックの少ない日中であっても、
送信ログ:

「http://blog.goo.ne.jp/XMLRPC」へのトラックバックは失敗しました: HTTPエラー: 416 Requested Range Not Satisfiable

となり、再送信も不成功となります。他のPing サーバへの送信は問題ありませんので、「MT3.20-ja, 3.20-ja-2のRangeヘッダが不正である」と判定するのは goo.ne.jp側の設定に関することであり(どちらかにバグがあるという問題ではないですから)、個人的には解決できない厄介な問題です。
Movable Type サポート様のご回答 [追記 2005/10/26]

goo 様で運営されている更新 ping サーバーへ、更新 ping が正常に送信されない問題についてですが、Movable Type 3.171 と Movable Type 3.2 での更新 ping 送信の機能に関する仕様を検証しましたが、バージョンアップに伴って更新 ping 送信の機能については変更しておりません。そのため、goo 様側で何らかの仕様変更があった可能性はありますが、こちらではその詳細ついては確認することができません。
また、Movable Type の更新 ping 送信の機能は更新 ping の仕様に基づいており、他の更新 ping サーバーへの送信は正常に行われていることから、やはりお客様がご指摘されましたとおり goo 様側での問題となりますため、こちらでは対応することができません。どうかご了承ください。

[問題解決]
http://blog.goo.ne.jp/XMLRPC への更新Ping は2005/10/31 17:54:19 成功しました。Movable Type 以外の仕様変更があったものと考えます。

Written by support

2005/10/15 at 20:20

カテゴリー: ブログ blog

Berkeley DBの諸問題

leave a comment »

Movable Type 3.2日本語版では、データベースとしてBerkeley DBを使用すると、数百KBの「エントリー(テキスト形式)」の「読み込み」は遅延または失敗します。DBに取り込んでいないと諦めてログアウトしたり、しばらくしてからエントリーを見ると、読み込まれていたり、いなかったりと、非常に不安定な状態です。数十KB程度のデータの読み込みは大丈夫のようです。
他の問題は、公式ページ
 » http://www.sixapart.jp/movabletype/news/2005/10/05-1955.html
および、「Ogawa::Memoranda: MT 3.2でrecently_commented_onとBerkeleyDBに嵌っている人が多い件について」
 » http://as-is.net/blog/archives/001051.html
をご覧下さい。

Written by support

2005/10/05 at 22:35

カテゴリー: ブログ blog

Archive File Path Specifiers / Movable Type 3.2

leave a comment »

Movable Type 3.2-ja の各アーカイブをVersion 3.1x 風に変更するためには、【公開の設定】「アーカイブ・マッピング」の出力フォーマットを以下のようにカスタマイズします。
» http://www.sixapart.com/movabletype/docs/3.2/e_archive_file_path_specifiers/

エントリー・アーカイブ:  archives/%e%x  (例) archives/000284.html
カテゴリー・アーカイブ:  archives/cat_%c%x  (例) archives/cat_art.html
月別アーカイブ:  archives/%y_%m%x  (例) archives/2005_06.html
但し、日本語だけのカテゴリー名であれば、カテゴリー・アーカイブ cat_ の右側は"dirify"のアルゴリズム algorithm にお任せとなります。

[追記 2006/2/9]
Movable Type 旧バージョンからのアップグレードでは、個別エントリーアーカイブ URLの右端が、たとえば「6桁数字の連番」+拡張子 phpであれば、個別エントリーアーカイブの出力フォーマット
   000123.php
でよいようです。
なお、旧バージョンの継続使用時、
   エントリー「dirify and Permalink (Movable Type)」
   » http://www.osbsd.net/2004/11/dirify_and_perm.html
をご覧下さい。

Written by support

2005/10/04 at 22:05

カテゴリー: ブログ blog

Movable Type Version 3.2-ja, 3.2-en_USと不正な ScriptURI

leave a comment »

エントリー「問題解決:MT 3.17と AdminCGIPath https+複数パス」
 » http://shellscript.biz/archives/000062.html
エントリー「MT 3.17の問題点:AdminCGIPath, SSLサーバ( https プロトコル)」
 » http://shellscript.biz/archives/000061.html
においても指摘いたしましたが、
[MT]/lib/MT/App.pm のサブルーチンおいて、Movable Typeの ScriptURI, StaticURI などが決定します。しかし、(たぶん)環境変数を多用した条件文が採用されているため、サーバ環境によっては、不正な ScriptURIとなることがあります。
Xrea.com さんのサーバでは、Movable Type 3.17-ja, 3.17(3.16)-en_US からこの問題が発生しています。このバージョンでは、https, AdminCGIPath などを利用する一部のユーザーだけの問題でした。
問題解決
以下の問題点はサーバーの「広告免除権」を購入して、環境変数が
SERVER_PROTOCOL = HTTP/1.1
となれば解決します
Movable Type Version 3.2-ja, 3.2-en_US では、MTのインストール、アップグレードともに不能となる深刻な問題となっています。
具体例として[ドメイン名 "example.com"、[MT]ディレクトリー "mt"]、
  http://www.example.com/mt/index.html
にアクセスすると、インストールを開始する画面に変わりますが、
  http://www.example.com/mt/mt-upgrade.cgi?__mode=install

ブログを始める前に、データベースを初期化してインストール作業を完了する必要があります。
 ……
Version 3.2-ja Copyright c 2001-2005 Six Apart. All Rights Reserved.

ボタン【インストール続行】をクリックすると、エラー表示となります。

アドレス included://www.example.com/mt/mt-upgrade.cgi
無効な構文エラー

前ページのソースを表示すると、

 …
ScriptURI = ‘included://www.example.com/mt/mt-upgrade.cgi’;
ScriptBaseURI = ‘ ’;
StaticURI = ‘http://www.example.com/mt/mt-static/’;
HelpBaseURI = ‘ ’;
 …
 …
<p>ブログを始める前に、データベースを初期化してインストール作業を完了する必要があります。</p>
 …
 …
<form method="post" action="included://http://www.example.com/mt/mt-upgrade.cgi"&gt;
<input type="hidden" name="__mode" value="install">
<input type="submit" value="インストールを続行" />
</form>

Xrea.com さんのサーバでは、[MT]/lib/MT/App.pm などのサブルーチンにおいて、今後も同様の問題が起こると思います。
[追記 2005/10/3]
MTをインストールしたXrea.com さんのサーバの環境変数を調べると、
SERVER_PROTOCOL = INCLUDED
でした。
 » XREA.COM 広告について
最下段 「注2) CGIなどが適切に動かない場合、適宜対応してください。」
Movable Type 3.2以降のインストール/アップグレード/使用に際して、サーバーの広告免除権を購入する方法を選択することになります。
問題解決のために参考となったページを以下に列記します。
(1) フォーラム「XREA SUPPORT BOARD」
  » http://sb.xrea.com/showthread.php?t=1984
(2) フォーラム「XREA SUPPORT BOARD」
  » http://sb.xrea.com/printthread.php?t=6759&page=23&pp=15

Written by support

2005/10/02 at 16:17

カテゴリー: ブログ blog