Category::Plugin

commentなどの主要プラグインが編集認証に対応していない

  • ページ: BugTrack2
  • 投稿者: mendel
  • 優先順位: 緊急
  • 状態: 着手
  • カテゴリー: 本体バグ
  • 投稿日: 2006-10-03 (火) 04:35:28
  • バージョン: 1.4.7

メッセージ

他にもarticleなど。
スパム対策のために全ページに編集認証をかけてもすり抜けてしまいます。プラグインがPKWK_READONLYをチェックしている後ぐらいに次の2行を追加することで対応できます。

$page = isset($vars['refer']) ? $vars['refer'] : '';
check_editable($page, true, true);

修正はこんなに簡単なのに未対応ということは、何か意図があってのことでしょうか?。


  • こんにちは :) コメントありがとうございます。単なる労力不足と、まとめが足りないのと、編集認証/閲覧認証の設計自体もう少し練り直した方が良いのではないか、という観点のミックスだと思います。 -- henoheno 2006-10-03 (火) 23:43:38
  • 既存の関連トラック(他にもあります)も参考にしていただいて、例えばこのページに具体的なターゲットが(少しづつでも)まとまるならばあり難いのですが。編集認証関連の話題の相互リンク(や話題の整理)も足りない予感が。まとめましょう -- henoheno 2006-10-03 (火) 23:44:39
  • 凍結時には同様にcommentやarticleが使えるのですが、それと合わせたのかと思っていました。この間ちらほら認証関連で問題が挙がっている事ですし、改めて整理するのには私も賛成です。 -- にぶんのに 2006-10-07 (土) 23:47:26

現行のBasic認証機構関連のまとめ

  • プラグイン実装
    • article: スパムが通過してしまう。BugTrack2/197
    • attach: 閲覧許可が無いページの添付ファイルが一覧に表示されてしまう。(完了) BugTrack/471
    • comment: スパムが通過してしまう。BugTrack2/197
    • edit: 閲覧できないページが編集できてしまう BugTrack/657
    • template: テンプレートでアクセス制限の掛かったページが閲覧できる BugTrack/694 BugTrack/598
    • source: source.inc.phpで認証チェック漏れ(完了) BugTrack/541
    • yetlist: 多分 _対応_ はしていない BugTrack2/175

コメント

  • 現状の機能は単独のページについて、複数のルールに基づいて結構細かくチェックすることを前提に作られており、ページの一覧から条件に合わないものだけ除外するようなニーズについては、キャッシュの動作も鑑みると、そううまくは実現しないように思っています(例えばyetlist)。閲覧ないし編集制限をするためのルールを単一のルールで揃えるか、通信を完全にSSLでくるむか、認証下にあるページの出力は全てキャッシュさせないようにHTTPヘッダを操作するのであれば多分おおよそ無問題。でなければ、特定の権限のある誰かが閲覧したデータがproxyサーバーなどにキャッシュとして残り、その権限のない別の誰かに見えてしまうかもしれません -- henoheno 2006-10-04 (水) 00:07:40
    • 全てのプラグインに実装を終えたり、試みてすらいない現状は、こんな事気にする段階じゃないですけどね (^^; -- henoheno 2006-10-04 (水) 00:22:11
  • 追加報告です。*1
    unfreeze プラグインで、凍結解除後すぐに編集画面を出すように、PLUGIN_UNFREEZE_EDIT を設定している時、
    check_editable($page, true, true);
    をはさんでいないので、すり抜けてしまいます。
    見つけた理由が、RecentDeleted を凍結解除するという処理だったり。 -- 2007-05-29 (火) 16:28:06
  • 上に修正と補足。freeze プラグインと、unfreeze プラグインで凍結あるいは凍結解除した後、画面表示前に編集認証/閲覧認証のチェックをしてしていないので、中身を見れたりします。管理者だけが対象なので問題にはならないのかもしれませんが。 -- 2007-06-01 (金) 18:26:31
  • 「上にプラグイン実装」という項目がありますが、PukiWiki/1.4/ちょっと便利に/任意のページごとの閲覧・編集制限#nb9236e1どちらかにまとめた方がよいのでは? -- ぃぉぃぉ 2007-06-01 (金) 19:19:10
  • PukiWiki/1.4/ちょっと便利に/任意のページごとの閲覧・編集制限 が本体統合前用(上に、過去の話題とあるから)で、このページが本体統合後用だと思ってたんですけど。まとめてしまいますか? -- 2007-06-09 (土) 18:10:09
  • BugTrack2/255 -- 2007-07-01 (日) 16:59:34
  • :config/領域のページでコメントが動作する -- 2010-11-24 (水) 14:36:22
    パッチ
    plugin / comment.inc.php : function plugin_comment_action()
    
     if (PKWK_READONLY) die_message('PKWK_READONLY prohibits editing');
    +if (preg_match('/^:config\/i',$vars['refer'])) die_message('You can not post a comment in this page.');
  • ↑はBasic認証とはまったく関係ないうえに、PKWK_CONFIG_PREFIX を変更したらパッチが無力化するような・・・ -- 2010-11-24 (水) 19:13:23


*1 間違えてこの行だけで送ってしまいました...

トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2010-11-24 (水) 19:13:23
Site admin: PukiWiki Development Team

PukiWiki 1.5.2+ © 2001-2019 PukiWiki Development Team. Powered by PHP 5.6.40-0+deb8u7. HTML convert time: 0.383 sec.

OSDN