The wildcat of a wilderness

Nest of Snowy Owls：trackback の脆弱性 & コメントスパムへの対処で

• ヘッダのHTTP_REFERERに何か入っている
• ヘッダのHTTP_USER_AGENTが"Mozilla/"を含む

と言うことでほぼこれと同じかな？と思ったら

修正ついでに、コメントスパムへの対処もしておくことにしました。今のところコメントスパムの主流は英語の様なので、

• SJISに変換した物とEUCに変換した物が一致した場合拒否する

という対処法を採用してあります。日本語でやられたらどうしようもないですがね…(いずれ来そうな気がします)。

とのことです。これで日本語スパムが来るまでは安心できますが、うちにはマイナーすぎてスパム来ませんヽ(´¬｀)ノ
でも入れ替えてみたりｗ

因みに前回修正した部分(267行目)は、293行目になってます。書き換えは一緒

hail2u.net：blosxom starter kit #18
blog.bulknews.net：Trackback の脆弱性についての勧告 を受けてのwritebackプラグインの更新らしいです
変更点は以下のご様子

• リファラが送信された場合には拒否
• 正規表現"^Mozilla/"にマッチするUAは拒否

kyoさんお疲れ様です
追記：hail2u.net：blosxom starter kit #19
blosxom starter kitが1.0.3に更新されました

「writebackのパラメータに特定の文字列をセットして投稿すると、任意のJavaScriptコードを実行されてしまう」というもので、危険度は高いです。

と言うわけで修正は前回と同じwritebackプラグインのみ、差し替えだけでokっぽいです
ただし

オリジナルのwritebackでもflavourの書き方によっては似たような脆弱性を抱えますので、オリジナルを利用している方も注意した方が良いかもしれません

とのことなので気を付けられたし
追記にしたのは作った本人以外がこれでエントリー数を稼ぐのはいかがな物かと思ったため
と言うか人の更新情報でエントリーもどうかと思ってみたり
しかし脆弱性があるならアナウスするのは良いことなのかなぁ

追記：hail2u.net：blosxom starter kit #20
コメントスパムにも対応だそうです

• 特定のURL以外のリファラを送信してきたコメントの投稿は拒否
• リファラを送信してきたTrackBackは拒否
• Mozilla/で始まるUser Agent名を送信してきたTrackBackは拒否
• ASCIIのみのコメント・TrackBackは拒否

そして それぞれのスパム対策は、設定で有効・無効を切り替えられるようにします。一週間くらいいろいろチェックしながら問題がなさそうだったら1.2として出そうかなとか。
なんか結果的に長文になったけど、何処で区切って良いものやら
とりあえずこのまま放置

追加になったスパム対策writebackplus_customに導入するには自分で書き換えるしかないのか…
perl解らないので同じく放置orz

今更感もありますが、大手がblogサービスに参入です
MSN、Blogサービス「MSN Spaces」を開始 - 日本でこそ開花するサービスを
今からサービスを開始という割には微妙……
「魔法のiらんど」を運営するティー・オー・エスと提携で、βではNTTドコモ、au対応
正式サービス時にはボーダフォンも対応とのこと
無料で広告収入メインらしいですが、有料サービスも検討中らしい

今から参入する割には目新しい物もなく、いっそのことメッセンジャーから投稿できたりすると、まだユーザ確保の強みが出るんじゃないかと思うんですがー