cles::blog

先日、Dovecotを導入したときにコメントでkimitakeさんから「なんか（ウェブメールで）お勧めのあります？」という話になったので、GPLのウェブメーラーであるRoundCubeを導入してみました。

動作的にはそんなに速くなっているわけではないと思いますが、Ajaxのおかげで画面切り替えなしにスムーズに動作しています。ただ、まだ発展途上のためなのか実装されている機能はシンプルなものにとどまっているようです。不満店としてはメールの表示が2ペインなので記事を拾い読みしにくいことと、SquirrelMailのような便利なプラグインがまだないことでしょうか。

それでも偶に使うくらいならこれでも十分だと思います。

NucleusのプラグインにCSRF攻撃に対する脆弱性を持つものが広範にわたって存在することが明らかになったため、それらの一部を解消するプラグイン「NP_0TicketForPlugin」がリリースされました。

当サイト内で配布しているプラグインについても同様の脆弱性があることが判明しましたので、本日、対策を施した新バージョンをリリースいたしました。

大変お手数をおかけして申し訳ありませんが、該当のプラグインをお使いになっている方はできるだけ早く最新版へ移行することを強く推奨いたします。セキュリティ問題で度々のアップデートなりお手数をおかけいたしますが、今後ともご支援をいただければ幸いです。

※これ以外のプラグインのアップデート情報に関しては「Nucleus(JP)フォーラム :: トピックを表示 - プラグインの脆弱性を解決するプラグイン(NP_0TicketForPlugin)のリリースについて」に比較的集約されています。

セキュリティに問題のあるコードの改善をおこないました。

1.0bにはCSRF攻撃に対する脆弱性が存在します。この問題についてはNP_0TicketForPluginで解決することもできますが、このバージョンでは独自に対策を行っています。

※使い方についてはplugins:impexp [Nucleus CMS Japan Wiki]にまとめてあります

動作確認はNucleus 3.24（UTF-8）、PHP 4.4.4環境で行っています。
動作確認報告、バグ報告はこのエントリへ、コメント・トラックバックをお願いします。

セキュリティに問題のあるコードの改善を行いました。

v1.14以前のバージョンにはCSRF攻撃に対する脆弱性が存在します。この問題についてはNP_0TicketForPluginで解決することもできますが、このバージョンでは独自に対策を行っています。

v1.13以前のバージョンからのアップグレードの際には、管理画面から旧バージョンをアンインストールし、新バージョンをインストールする必要があります。アンインストールを行わなかった場合画像が投稿できませんのでご注意ください。

動作確認はNucleus 3.24（UTF-8）、PHP 4.4.4環境で行っています。
動作確認報告、バグ報告はこのエントリへ、コメント・トラックバックをお願いします。

セキュリティに問題のあるコードの改善を行いました。

v1.2以前のバージョンにはCSRF攻撃に対する脆弱性が存在します。この問題についてはNP_0TicketForPluginで解決することもできますが、このバージョンでは独自に対策を行っています。また、このバージョンからJavaScriptによるグラフ機能および、管理画面へのアイコンの追加を行っています。

※使い方についてはplugins:clap [Nucleus CMS Japan Wiki]にまとめてあります

動作確認はNucleus 3.24（UTF-8）、PHP 4.4.4環境で行っています。
動作確認報告、バグ報告はこのエントリへ、コメント・トラックバックをお願いします。

セキュリティに問題のあるコードの改善をおこないました。

jp8以前のバージョンにはCSRF攻撃に対する脆弱性が存在します。この問題についてはNP_0TicketForPluginで解決することもできますが、このバージョンでは独自に対策を行っています。

ダウンロードはこちら [NP_Blacklist v0.98 jp9][617clicks]
NP_Blacklist v1.0をリリースしています。

※利用方法についてはNucleusCMS Japanのplugins:np_blacklist [Nucleus CMS Japan Wiki]にまとめてあります。

動作確認はNucleus 3.24（UTF-8）、PHP 4.4.4環境で行っています。
動作確認報告、バグ報告はこのエントリへ、コメント・トラックバックをお願いします。

セキュリティに問題のあるコードの改善を行いました。

jp6以前のバージョンにはCSRF攻撃に対する脆弱性が存在するするほか、任意の第三者からの要求で任意のページに対してTrackBack Auto-Discoveryを行ってしまう脆弱性が存在します。後者についてはNP_0TicketForPluginで解決することができない脆弱性です。この脆弱性を利用された場合、第三者が自分のサイトを踏み台にして任意のページのTrackBackURLを収集する可能性があります。

これらの脆弱性はjp6以前のすべてのバージョンおいて存在していますので、jp7へのバージョンアップを強く推奨します。

※使い方についてはplugins:trackback [Nucleus CMS Japan Wiki]を参照してください。

動作確認はNucleus 3.24（UTF-8）、PHP 4.4.4環境で行っています。
動作確認報告、バグ報告はこのエントリへ、コメント・トラックバックをお願いします。

しばらく前に道潅山下の交差点の角にオープンしていたらーめん いっとくに入ってみました。前々から気になっていたんですが、営業時間と僕の生活時間帯が合わなかったので食べようにも食べられなかったんですよね。

オーダーは徳ねぎらーめん。昼だとライスをサービスしてくれます（おかわりもできるみたいです）。で、肝心のラーメンの方はというと結論から言えばいまひとつという感じ。スープに透明感がなく、飲んでみるとザラザラして粉っぽい。この辺ではめずらしくあっさり系なのは良いんですけどね。

ネットで検索してみると写真がいくつか見つかるんですが、それらよりも明らかにスープが濁ってるので試行錯誤中ということなんでしょうか。しばらく経ったらまた食べに行ってみたいと思います。

このところ久しぶりに仕事がハードだったんですが、予定通り無事リリースまでこぎつけました。
ということで、最後にオフィスで乾杯。

とりあえず、今日は寝よう。

Yahoo! Slurpの解釈するrobot.txtの内容がいつの間にか拡張されていたようです。

Yahoo! Search、robots.txtでワイルドカード対応 :: SEM R

Yahoo! Search、robots.txtでワイルドカードに対応、クローラSlurpに対して指定した文字列を含む全てのファイル／ディレクトリへのアクセス禁止指示をすることが可能に。

なんといっても目玉なのは拡張子によってクロールが制御できるということでしょうか。

Yahoo! Search blog: Yahoo! Search Crawler (Yahoo! Slurp) - Supporting wildcards in robots.txt

User-Agent: Yahoo! Slurp
Disallow: /*.gif$

こんな感じにするとサイトにある.gifを拡張子に持つファイルをすべて禁止することができるみたいです。mod_rewiteなんかで動的サイトを静的に見せたりしているような場合に、ロボットによる過負荷を防ぐには便利そうですね。