miau's blog?

blog の見えないところを色々いじってみた

やったのはこの辺り。

・HTTP でもコメントできるようにした
・Nucleus v3.31 SP2 EUC-JP日本語版にあげた

とりあえず忘れないうちにメモしておきます。





■HTTP でもコメントできるように

○経緯

xrea.com への POST 時に 403 Forbidden になってしまう件 - miau's blog?

ここに書いたとおり、コメントが書き込めない件の対策として「SSL で(ss1.xrea.com 経由で)コメントする」という形をとっていました。bookmarklet で SSL ページに誘導してたんですが、最近アクセスログを見てると HTTPS 経由でアクセスして来る人がちらほら。HTTPS だと Referer 飛ばないはずだし、googlebot が bookmarklet 解析してるとは思えないし、なんで URL が外部に漏れちゃったんだろう?

HTTPS 経由のアクセスで何が困るって、SMB が分散しちゃうこと。ひとまず HTTPS を使わなくていい環境を目指して、HTTP でコメントできない件について調査開始。

○ソースを軽く追ってみる

Nucleus のソースに対して grep かけて、403 Forbidden なエラーを吐いてる箇所がないか調査。ヒットしないのでやっぱり Apache で弾いてるとこの時点では判断。

○XREA+(PLUS) に入ってみる(効果なし)

騒いでる人が妙に少ないので XREA Free だけの問題だったりするかなー?と思い立って、有料版である XREA+(PLUS) の無料体験 7 日間に申し込んでみた。まあ効果なし。ページ上部の広告が消えて、ちょっとだけすっきり。

○ソースヘッダ覗いてみた

本当に Apache まわりではじかれてるのかなー?と思ってヘッダを見てみると、

HTTP/1.1 403 Forbidden
Date: Sat, 08 Nov 2008 00:36:44 GMT
Server: Apache
Generator: Nucleus CMS v3.31SP1
:
(以下略)

とのことで・・・ちゃんと Nucleus まで到達してるじゃん。前回ちゃんと調査してなかったみたい。

○処理追ってみた

もしかしたら PHP で許可されていないメソッドの場合に 403 ページに飛ばされるようになってたりするのかな?と疑ってソースを追ってみることに。会社からだったので FTP 転送とかできず、Web ベースのファイルマネージャでちまちま print デバッグ。すると NP_Blacklist(スパムフィルタリングプラグイン)で落ちてる雰囲気。

あ。そういえば Nucleus のソースは grep かけたけど、プラグインのソースはサーバにしか置いてないから調査できてないや・・・。と、ソースを見てみると、

header("HTTP/1.0 403 Forbidden");
header("Status: 403 Forbidden");

みたいな処理がそのまんまありましたorz

NB_Blacklist を解除することで、HTTP での書き込みができるようになりました。

■Nucleus v3.31 SP2 EUC-JP日本語版の導入

ついでに、いつかやろうと思ってたバージョンアップを実施。

JVN#92651529: Nucleus EUC-JP 日本語版におけるクロスサイトスクリプティングの脆弱性

この脆弱性の対策として、Nucleus v3.31 SP2 EUC-JP日本語版にアップグレード。ここでもサーバの容量不足やらなにやらでやたら手間取ったけど、比較的すんなり導入完了。

ただ、気がつくと rsd.php の表示で XML の parse error が出るようになってる。rsd.php は ここ に書いたとおり、SBM が分散しないようにリダイレクトページにしてるから、これが見れないのはちょっと困る。

色々調べたところ、Nucleus 3.31 のアップデータで xml/rsd に対応する Content-Type が text/xml に設定されているのが原因っぽい。ひとまず

UPDATE `nucleus_skin_desc` SET `sdtype` = 'text/html' WHERE `sdnumber` = '15' LIMIT 1 ;


として対応。

■後始末&残作業

コメント欄付近の注意書きを消して、ひとまず対策は完了。

残作業として、HTTPS でアクセスされた場合は HTTP にリダイレクト(301 Moved Permanently)するというのがある。今は Google でなぜか HTTPS のほうが上位にきてしまっているので、傷口が広がらないうちに(=SMB 等からリンクが増えないうちに)やってしまいたい。

あと NP_Blacklist 有効にしないとトラックバックスパムが来るんだったような。しばらく現状で様子見して、問題あったら最新版を試してみよう。

NP_Blacklist - NP_cles()
posted at 12:49:22 on 2008-11-08 by miau - Category: 連絡事項&更新履歴 No Trackbacks - Permalink

TrackBack

このエントリにトラックバックはありません
現在トラックバックは受け付けていません。

Comments

No comments yet

Add Comments

現在コメントは受け付けていません。
お手数ですが、 こちら のコメント欄にでも記載していただければと思います。