[[開発日記]]
* 更新ほか -- [[henoheno]] [#h0cff63f]
** 検討 [#ve0e1fba]
- [[BugTrack/628]] DDIポケット AH-K3001V(Opera搭載)に対応を (テスト待ち => 完了)
-- ご協力ありがとうございました ;)
- [[BugTrack/629]] CSS編集機能 (作成したい)
CSS周りの今までの問題点としては、cssのファイル名がスキンに
静的に記述してあるという点があります。これが動的に変更可能
であれば、スキンのデザイン的な切り替えを実現したり(default.
ini.phpで指定/切り替えできてもいいですね)、CSSファイルの
バリエーションがデフォルトで貧弱であるという点を補うことが
できると思います。 -- henoheno 2004-07-11 (日) 20:48:05 New!
-- どのような編集機能になるか楽しみです :)
------------------------
** cvs更新 [#n1dd152e]
小さなことからコツコツと
- Renamed ''dir.txt'' => ''index.html'' or newly added ''index.html'', to avoid basic web spidering, that increases server's load-average and your security risk
-- [[cvs:/attach/index.html]] (v1.4:1.1,1.2, v1.3:1.2.2.1)
-- [[cvs:/backup/index.html]] (v1.4:1.1, v1.3:1.1.2.1)
-- [[cvs:/cache/index.html]] (v1.4:1.1, v1.3:1.1.2.1)
-- [[cvs:/counter/index.html]] (v1.4:1.1, v1.3:1.1.2.1)
-- [[cvs:/diff/index.html]] (v1.4:1.1, v1.3:1.1.2.1)
-- [[cvs:/face/index.html]] (v1.4:1.1, v1.3:1.1.2.1)
-- [[cvs:/image/index.html]] (v1.4:1.1, v1.3:1.1.2.1)
-- [[cvs:/plugin/index.html]] (v1.4:1.1, v1.3:1.1.2.1)
-- [[cvs:/skin/index.html]] (v1.4:1.1, v1.3:1.1.2.1)
-- [[cvs:/trackback/index.html]] (v1.4:1.1)
-- [[cvs:/wiki.en/index.html]] (v1.4:1.1)
-- [[cvs:/wiki/index.html]] (v1.4:1.1, v1.3:1.1.2.1)
-- index.html という名前のファイルを配置することにより、Webブラウザでアクセスできる場所にPukiWikiを展開しているとき、「どのようなファイルがそのディレクトリに含まれているのか(どんなデータがあるのか、脆弱なプラグインが入っているかどうか)」といった探索行為をある程度制限します。また、サーバーの負荷が高くなる要因を減らします。
--- ※index.htmlという名前のファイルでディレクトリのブラウジングを止められるかどうかは、Webサーバーの設定に依存します
--- ※Webサーバーの設定で、ディレクトリのブラウジングそのものを禁止することも可能です
--- ※どのサブディレクトリでも、その中にあるファイルの名前を推測できる以上、直接アクセスされた場合には無力です。これを防ぐには、サブディレクトリの名前を推測できないものに変更するか、データの収められたサブディレクトリに別途(.htaccessなどで)アクセス制限をかけるか、そもそもWebブラウザからアクセスできない場所に配置する、といった対策を取って下さい。
--- ※今回の作業はサブディレクトリのみを対象としています
-- 関連:
--- [[BugTrack/278]] 配布ファイル展開だけで必須ディレクトリを作成する
--- [[pukiwiki:続・質問箱/250]] 情報漏洩を防止するには(RSS、trackbackについて)
------------------------
- Simplify, reducing memory overheads.
-- [[cvs:init.php]] (v1.4:1.89)
-- 単純化: 配列 $get, $post, %%$vars,%% $cookie は、それぞれ配列 $_GET, $_POST, %%$_REQUEST,%% $_COOKIEを参照する配列となりました。この変更により、それぞれの配列を用意するためのメモリ領域や、冗長な配列操作(コピーやarray_merge())のための実行時間が削減されました。
-- 単純化: 配列 $get, $post, %%$vars,%% $cookie は、それぞれ配列 $_GET, $_POST, %%$_REQUEST,%% $_COOKIEを参照する配列となりました。この変更により、それぞれの配列を用意するためのメモリ領域や、冗長な配列操作(コピー%%やarray_merge()%%)のための実行時間が削減されました。
--- $varsについては、$_REQUESTの信頼性は低いとみなされ、最終的に array_merge() に戻りました。([[開発日記/2004-07-25]])
-- 'msg'と同じく、GETメソッドに 'pass'(※パスワードの入力に使われるキー) を使うことを禁止しました。
-- GET, POSTに含まれる 'encoding_hints' の内容が空文字列かどうかを調べる様にしました
-- スペースの追加、コメントの調整などを行いました
![[PukiWiki]](image/pukiwiki-dev.png "[PukiWiki]")
