CVS更新 - henoheno

プラグインのオーバーホールに燃えています :)

MD5プラグイン: POST使用可能 / キーワードとハッシュを同時に扱わない

あんまり使って欲しくない *1 のですが、このままにしておくのも何なので (^^;

  • Overhaul. Don't show MD5 hash and its key at the same time. Don't use GET method sending key
    • cvs:plugin/md5.inc.php (1.5,1.6)
    • POSTメソッドを利用できる様に修正 (アクセスログなどにパスワードが書き込まれることを防ぐ)
      • ハッシュを表示させるためには、表示(新規追加)されるform(からPOSTメソッド)を使わなければならない。
      • GETメソッドによる直接アクセスを試みた場合、その値が入ったformが返される(のみ)。これを使ってPOSTで再アクセスしなければならない。
      • 安易な連続試行をさせないために、formは一回だけ表示する (「戻る」ことで実現可能ではある)
    • 片方向の通信には必ず片方の情報しか含まない様に修正 (= 片方だけなら盗聴されても問題にならないかもヨ)
      • ハッシュを返す時には元のキーワードは表示しない。
    • 入力文字列長を事前にチェックする (ハードコードで512文字以下かどうか) --- ことで、例えばmd5() や htmlspecialchars() に何らかの欠陥があっても問題ないようにする

従来通りのアクセスも可能です。その場合、処理が一段増えて、ちょっと覚え辛くなったかのように見えます。自力で入力フォームを表示できるようになりましたから、(パスワードに使いうる文字列をGETメソッドに入れるんじゃない、という意味で)GETメソッドによる従来通りのアクセスはいずれ禁止して良いと思います。

プラグイン: その他の軽い修正

  • cvs:plugin/rss10.inc.php (1.14): Status: 301 Moved Permanently
    • あまり難しいことはせず、簡潔に転送する。
    • NOTE: 今まで rss10 が (CVSリポジトリの) Atticフォルダに入ったままだったので、これを元に戻しました。ブラウザで上記リンクが読めなくなった場合(特にAttic/以下を見に行っている場合)、ブラウザのキャッシュをクリアしてから再度お試しください。
  • cvs:plugin/rss.inc.php (1.10,1.11): Care version '1' => 1.0, '2' => 2.0
    • デフォルト値(0.91)を明確に表記し、ついでにバージョン番号の指定を若干柔軟に。

paragraph-edit関連


*1 コマンドラインで算出できるならば、そうして下さい。詳しくは cvs-raw:pukiwiki.ini.php.diff?r1=1.67&r2=1.68

トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2004-11-28 (日) 22:29:25
Site admin: PukiWiki Development Team

PukiWiki 1.5.2+ © 2001-2019 PukiWiki Development Team. Powered by PHP 5.6.40-0+deb8u7. HTML convert time: 0.312 sec.

OSDN