BBコード/セキュリティ
2006/05/28 (Sun) 00:08:07
紅堂幹人

紅堂幹人Shiftweb-mars鯖不調だねー。昨日の18時ごろアクセスできなかったりと。紅堂はScarlettもせずにひたすらPerl弄ってました(死・ぉぃ)。BBコード(擬似タグ)とか動くようにしたりで忙しかったのよ。投稿部分の改変も完了して基本動作はするようになりました。あとは感想・点数の扱いの問題と作品ジャンルの問題、それにモバイル対応強化。これがデカい気がする。と……少し気になってサーバ側のファイル数限界について調査。さすがに『一作品』に『一ログ』はまずいというわけですかー。問題点としてはその他としてカウントしてなかったけど急浮上。作者に関連付けて感想は最大1500件、って程度にしておきましょうか。あと、感想書き込み時に容量制限すればファイルが容量超えて壊れる、って心配も無いだろうし。一感想は多くても2KBとしておく、とか。さぁ、また色々と面倒になってきましたよー、と。って、登竜門の場合XREA SUPPORT BOARDに記事あるけど、『標準->容量の上限:49 MB、ファイル数の上限:4900』で、『拡張150M->容量の上限:149 MB、ファイル数の上限:14900』なので登竜門の場合まだ大丈夫でしょうか。でも、他サーバへの移転とかも選択肢に入れたいし拡張は仕方が無いかな。感想ログが1600個とか洒落になりませんって。
 吐き気と笑いが同時にこみ上げてくる。午前2時。CGIのセキュリティホールを確認してしまった。今までの約4年間、こんな事にも気づかなかったのか、と自分を嘲笑したくなる。失格だ。管理人失格だ。情報系学生失格だ。紅堂失格だ。サーチ(T-BookmarkPlus)の方もセキュリティホールではないが、脆弱性はある。そろそろ、新しいCGIにしなければならないだろうか、と本気で考えさせられた。ちなみに、T-BookmarkPlusの悪い点は、T-Bookmarkという『リンク集』から派生・改良された点にあり、『パスワードを必要としない』点だ。そう、IDとメールアドレスさえあれば登録内容変更・削除申請が可能なのだ。Yomiも開発・更新が停滞して新CGIを作るなど計画しているらしいSearch Engine Allianceに久しぶりに顔を出そうか。……少し調べ、紅堂が設置していない別口のCGIにもセキュリティホールを発見した。あのCGI作者はWebセキュリティを考えていないし、勉強していないのだろう。プログラムも独学で勉強したのだろう。これは、仕様書段階で排除すべきセキュリティホールだ。パスワード暗号化処理でも不備があったし、仕方が無いのだろう。紅堂の場合は悪い点・改良点をルーズリーフにリストアップして、それが30個にも上って頭抱えた派。多機能大好きな紅堂ですから、『今じゃできない点』をリストアップしたわけで。んで、自分のテリトリーさえセキュリティがしっかりしていれば問題ない。こちらの改良点に自然と入れてた項目を、旧CGIではチェックしてなかったわけで。そこまで危ないものだとは気づいてなかった。あの人たちは気づくまで放っておこう。セキュリティホールを見つけたからといって報告する義務は無い。しかし、趣味・自分のテリトリーで使うだけのCGIにセキュリティホールがあっても問題はないが、『配布CGIにセキュリティホール』があるのはまずいだろう。本当、笑えてくる。嘲笑ではなく、だ。久しぶりに気分が高揚している。さて、別口のセキュリティホールを理由に新CGI開発をしていたが、『本当にもっと危ないセキュリティホール』を発見してしまうとは、何か不思議な気分だ。新CGI開発の理由に追記しなくてはならない。ベース(骨組み)はあのCGIの流用だったし、紅堂は見やすくコーティングしたといってもよかったが、改造部分が多すぎたし。まぁ、詩のためなら仕方が無いよね、なんて言ってみる。『別の事にも使えるから別の用途に使おうとする』利用者が悪いのだ。あの作者のFOLLOWERもいるようだが、この事は報せないでおくべきだろう。気づくまで笑えるのが勝利者の特権なのだ。
 ……はたと。セキュリティホールなのか、脆弱性なのか、と。セキュリティホールは穴だし、気づけば誰でも利用できるという意味とコンピュータの乗っ取りとかで使われるもので、脆弱性は飽くまでどれくらい弱いかなわけで。でも今回のケースの場合、『誰でも記事を自由に変更できてしまう』ってのはどうなのだろう。ソフトウェアや特定のスクリプト(cmd/telnet.cgiなど)はセキュリティホールになりえるが、普通のスクリプトの場合は飽くまで脆弱性なのではないか、とか。いやまぁ、FileManager.cgiとかでサーバ上の他のユーザの領域まで見ることのできたりする、ってのはセキュリティホールっちゅうか不法侵入よね。サーバ管理者のセキュリティ知識が乏しいとかそういう系の問題。個人で内輪に提供してるサーバなら仕方が無いけど、有料サーバでそういうのは困る。っちゅうかInter1系列なのですが。ちなみに、他のユーザの領域見えますよ。パーミッションによっては改竄も可能だと思うし。まぁ、BABUとか使ってる人は気をつけてください、と。そういや、COOLも以前は見えたかも。XREAやShiftwebは、ユーザリストディレクトリまでは逆上れたけど、さすがにユーザディレクトリの中身までは見ることできなかったはず、とか。それくらいの意識はもって欲しいよね。海外ではProhostingなんかが弱々すぎる所ですが。どうなったんかな、海外無料サーバとか使わなくなったしなぁ、と。

この記事のURL
http://galle.oe-p.com/cgi-bin/diary_01.cgi?category=diary&anchor=060528
カテゴリ:日記 / この記事のURL / コメント(0)