1.4.6リリースに向けて

  • ページ: BugTrack2
  • 投稿者: henoheno
  • 優先順位: 重要
  • 状態: 完了
  • カテゴリー: その他
  • 投稿日: 2005-05-30 (月) 22:07:13
  • バージョン:

メッセージ

1.4.6リリースに向けた修正項目の確認を行いましょう。

2005/07/01 rcリリースの2週間後1.4.6リリース
2005/06/15 必須項目を一通り仕上げ次第 7/3rcリリース

1.4.6リリースまでの道のりは、少し険しくなっています (^^;

(開発日記/2005-05-28より移動) いつもより定期リリースの良い点と、安全性とのバランスが難しい・・・

その他の対策事項

  • PukiWiki.org サーバー切り替え対応 -- 作業完了待ち
  • PukiWiki.org ドメイン喪失 -- 待つしかないらしい
    • pukiwiki.org新サーバーのメンテ -- 待ち
  • [必須] rc(リリース候補) からリリースまでの流れ
    • rcをリリースしてから余裕を空けてからリリースすべき
    • 変更点を書く時間

済み

  • [必須] AutoLink が貼り付けまくるanchor タグだけを綺麗にひっぺがす方法 => BugTrack2/65にて完了
  • [必須] : Movable Type? 由来らしい、TrackBack関連cssの正確な由来の確認(どのバージョンの何が由来か)。 => BugTrack2/62 コードから該当の機能を削除。BugTrackにまだ書いていない(日本語では)。
  • 少なくとも「管理者以外の添付を禁止」した設定をデフォルトにする done
  • ファイルが添付された際にメールを送信するパッチ (既存) => BugTrack/686 にて済み

次期定期リリースに向け検討/再検討すべきところ

  • マニュアルのコミット
  • BugTrack2/62 Trackback機能の削除について
    • BugTrack書き
    • パッケージ削除、再リリース
    • UPGRADING.txt 書き (非互換)

実装が無いものは無いのと同じ / 立証されていない穴があるもの / チェック待ちかチェック後

  • feed(BugTrack2/45) -- 検証要するため持ち越し。タブが破壊されている話題あり(特定目的のエディタの設定が他のプロダクトへ)
  • codeプラグイン
    • ライセンスについて ベースとなったという著作物との関係の確認
    • BugTrack/779 (時間がかかりそう) r0.5.0で対策済み
  • BugTrack/789: tDiary用CSSの多色化、最低1~2色の追加 -- 持ち越し
    • 何色を追加すれば(より多くの)テーマをケアできる? それを探すのが一番大変だ
  • BugTrack/772: Wiki SPAM対策
    • 検出時のメール通知
      • メール送信機能の取り出し => BugTrack2/78
      • さらなるハック
  • BugTrack/719: ツールチップ -- どこにそれを保存するのか誰も話題にしていない
  • para-edit(BugTrack/585)・・・
    • BugTrack/779 というか基本的な見直しは誰もしていない
      • 編集機能自体の改修
    • 重複しているfixed-heading anchor を保存時に書き換えるような芸当
  • para-editの前にeditの見直し
  • backupの見直しとdiffとの統合 -- とりあえず flock() が先か

添付関係の機能について

  • :config/plugin/attach/mime-type に定義されている拡張子のものだけを添付できるようにしてはどうでしょうか。性質が違うものなので、別に許可リストを作成したほうがいいかもですが・・・ -- teanan 2005-05-31 (火) 04:02:12
  • 添付における種別判定やその許可云々ではなく、それを取り出す際の参照時における振る舞いの制御ですよねぇ。そうしないと、常に、このファイルを維持する必要が出てきますよ。取り出す際に、考慮すべきマジックナンバーは何なのか?をいかに行うかだと思っていますけどね。 -- upk 2005-05-31 (火) 10:07:50
    • すみません、すこし紛らわしい書き方をしました。ファイル添付時に :config/plugin/attach/mime-type を見て、そこに定義されていたら添付できるようにしたらどうか、という提案です。他の形式を許可したい場合は、管理者にmime-typeを編集してもらえばいいのかな、と。 -- teanan 2005-05-31 (火) 14:35:01
      • それは、(拡張子判別だとしたら)拡張子をだましてくるものに関しては防げないので意味ないです (^^;  *1 -- みこ 2005-05-31 (火) 20:08:50
  • 画像だけを許可する場合は、getimagesizeを使うのはどうでしょうか。 -- さばぞう? 2005-06-02 (木) 17:52:34
    diff -ur pukiwiki-1.4.5_1/ja.lng.php pukiwiki/ja.lng.php
    --- pukiwiki-1.4.5_1/ja.lng.php	2005-01-15 11:51:44.000000000 +0900
    +++ pukiwiki/ja.lng.php	2005-06-02 14:39:06.823809600 +0900
    @@ -182,6 +182,7 @@
     	'err_delete'   => '$1 からファイルを削除できませんでした',
     	'err_password' => 'パスワードが一致しません。',
     	'err_adminpass'=> '管理者パスワードが一致しません。',
    +	'err_notimage' => '画像ファイルではありません。',
     	'btn_upload'   => 'アップロード',
     	'btn_info'     => '詳細',
     	'btn_submit'   => '実行'
    diff -ur pukiwiki-1.4.5_1/plugin/attach.inc.php pukiwiki/plugin/attach.inc.php
    --- pukiwiki-1.4.5_1/plugin/attach.inc.php	2005-01-30 21:02:37.000000000 +0900
    +++ pukiwiki/plugin/attach.inc.php	2005-06-02 14:48:24.416208600 +0900
    @@ -28,6 +28,9 @@
     // アップロード/削除時にパスワードを要求する(ADMIN_ONLYが優先)
     define('PLUGIN_ATTACH_PASSWORD_REQUIRE', FALSE); // FALSE or TRUE
     
    +// 画像ファイルだけをアップロードできるようにする
    +define('PLUGIN_ATTACH_UPLOAD_IMAGE_ONLY', TRUE); // FALSE or TRUE
    +
     // ファイルのアクセス権
     define('PLUGIN_ATTACH_FILE_MODE', 0644);
     //define('PLUGIN_ATTACH_FILE_MODE', 0604); // for XREA.COM
    @@ -185,6 +188,13 @@
     	if (move_uploaded_file($file['tmp_name'], $obj->filename))
     		chmod($obj->filename, PLUGIN_ATTACH_FILE_MODE);
     
    +	if (PLUGIN_ATTACH_UPLOAD_IMAGE_ONLY && getimagesize($obj->filename) === FALSE) {
    +		unlink($obj->filename);
    +		return array(
    +			'result'=>FALSE,
    +			'msg'=>$_attach_messages['err_notimage']);
    +	}
    +
     	if (is_page($page))
     		touch(get_filename($page));
  • 画像のみならその方法はありだとおもいます (^^) *2 -- みこ 2005-06-02 (木) 21:07:09
  • 今回の脆弱性云々とは別件として導入することにして、どうせやるなら画像のサイズ制限も行うと良いかと思います(タテヨコのピクセル数について、異常な値であった場合は拒否する) -- henoheno 2005-06-26 (日) 22:24:33
  • 逆リンクをたどって。こちらのページを知りました上記方法を導入して、画像添付機能を復活させることができました。ありがとうございました。 -- BloodOpera@はてな/Ray 2005-07-01 (金) 22:38:30
    • 私はあらゆる案について、あからさまに変なモノ以外は、有効性については当分言及しません。お薦めする当面の解は「第三者に添付を許さない」です。うむせちがらい世の中だ。 -- henoheno 2005-07-05 (火) 23:54:28
  • Hikiでも採用しているらしい、Content-Dispositionヘッダにattachmentを指定 する対処案も検討候補に挙げたいです。 -- にぶんのに 2006-02-28 (火) 00:53:53

コメント

  • BugTrack2/65(関連としてBugTrack2/67もある)は要修正だと思います。 -- 2005-05-31 (火) 04:46:46
    • コメントありがとうございます。上で言っている「AutoLinkのリンクだけをひっぺがす」件はコレです。 -- henoheno 2005-05-31 (火) 23:44:27
    • BugTrack/669 もコレですね。お知らせありがとうございます。 -- henoheno 2005-06-04 (土) 13:04:47
  • あ、忘れてました。プラグインマニュアルですが、nofollowは追加してません。commit時にfreezeとnofollowの追加よろしく。 本当は出来る所までやっておきたいのですが、devにはnofollowがなくてエラーになるので。同様の理由で見送っているヘッダフッタのnaviがページを絶対指定しているのも早く直したいんですがねぇ、、 -- にぶんのに 2005-07-16 (土) 03:07:20
  • code.inc.phpのBugTrack/779はr0.5.0で対策しました。 -- sky 2005-08-27 (土) 01:30:35
    • こんにちは :) 次に見るのが楽しみです -- henoheno 2005-08-27 (土) 23:58:16

*1 Mac IE 5.2.3 を触れてみればわかるかとおもいます。 (^^;
*2 ちなみに、他のファイルについても、こっそり対策案はだしています (^^; が、extension なのでここでは保留

トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2008-12-06 (土) 18:07:51
Site admin: PukiWiki Development Team

PukiWiki 1.5.2+ © 2001-2019 PukiWiki Development Team. Powered by PHP 5.6.40-0+deb8u7. HTML convert time: 0.393 sec.

OSDN