Bad Behavior2-2.0.23

従来、gllabs関係者がサポートしていたプラグインは主に、

1. Bad Behavior2
2. CAPTCHA
3. Dokuwiki
4. mediagallary

の4つで、glfusionへの移行に伴い、新バージョンが出なくなることが懸念されて(いた|いる)が、Bad Behavior2-2.0.23がDirkさんによって先日公開され、CAPTCHAもひろろんさんの手によって、「CAPTCHA - 画像認証プラグイン（妹認証付）」（自動インストーラ用レシピ、プラグイン本体）という形でパワーアップして帰ってきた。

残るDokuwikiは必要な人間がなんとかハックするだろうが、mediagallryは代替物がない。mediagallaryをフォークするか、gallary2とGeeklogとのブリッジであるG2Bridgeが本家で公開されているので、これに移行するか、全く新しいプラグインを開発することになるだろう。

Geeklog-1.5.0のコンフィギュレーションUIに対応すべく更新していたテーマエディタプラグインとタグプラグインにDokuWikiプラグインと共存できないというバグが見つかった。原因は両プラグインのfunctions.incで$confという変数を使ったこと。各プラグインのfunctions.incの中で使用する変数は、Geeklog内ではグローバルスコープになることをうっかり忘れており、この変数がDokuWikiの設定を保持している同名の$conf変数を上書きしているせいで、エラーが発生していた。自分の注意力のなさにうんざり　orz...

テーマエディタプラグインの修正版はこちら、タグプラグインの修正版はこちらからどうぞ。

DataproxyプラグインとSitemapプラグインがGeeklog-1.5.0に対応した。これで主要な自作プラグインはすべてGL-1.5.0に対応したことになる。まもなく、Geeklog-1.5.1のベータ版ないしリリース候補版が公開されるはずだが、バグ修正が主で、機能追加はほとんどないと思われる。

昨日は涼みがてらに山口県の秋芳洞へ行ってきた。外は35度近い猛暑だが、チケット売り場を過ぎ、洞窟から流れ出す川の畔を10メートルも歩くと急にひんやりとした。入り口前で撮った写真がこれ。

中にはいると別天地の涼しさだったが、見学者が多かったのには参った。ガイドさんの説明を聞いている団体客が通路をふさぎ、中年のおっさんが三脚を持ち込んで写真やビデオを使っている。子どもの作文のネタのためとはいえ、少し疲れた。

Geeklog-1.5.0に対応したテーマエディタプラグイン-1.1.0を公開した。ダウンロードはこちらからどうぞ。機能追加はなく、GL-1.5.0のコンフィギュレーション対応、CSRF対策追加、バグ取りのみ。

先日、PHP-4.4.9がリリースされ、これで4.x系列に対するセキュリティパッチ提供も最後となった。

PHPの安全性を高めるSuhosinも、この記事によると、今年いっぱいは4.xに対するパッチを提供するが、年が明けたら提供を打ち切るとのこと。いよいよPHP-5.x系列への移行を迫られる状況となった。GeeklogはPHP-5.xでも動作するが、そのパワー（クラス、インターフェースなど）を生かしているとはお世辞にも言えないので、そのうち、PHP-5.x専用にコードを書き直す気運が高まるかもしれない。

延び延びになっていたプラグインのアップデート第一弾ということで、DbmanをGL-1.5.0に対応させた。ダウンロードはこちらからどうぞ。機能追加はなく、GL-1.5.0のコンフィギュレーション対応、CSRF対策追加のみ。とはいえ、元のコードでADMIN_simpleList()を複数回使用していたので、これを1.4.xでも1.5.0でも動作するように変更するのと、コンフィギュレーションに対応させるのに時間がかかった。

他のプラグインも更新を待っているのだが、続きはいつになることやら...

Geeklogの掲示板プラグインに脆弱性が発見された。検索機能でJavaScriptのフィルタリングが不十分なため，クロスサイトスクリプティング(XSS)の危険性があるらしい。Blaineさんによる元記事はこちらからどうぞ。対策はバージョン2.7.1へアップグレードすること。ダウンロードはこちらからどうぞ。

遅ればせながら，先ほどGeeklog.jpに2つの脆弱性に関する記事を投稿した。

1つ目は，CSRF(Cross-Site Request Forgery)攻撃に関するもので，Geeklogに管理者としてログインしている場合，予期しないフォームを送信するなどの危険性がある。Geeklog-1.5.0では，フォーム表示時にデータベースにトークンを登録し，POST時に照合するというオーソドックスな対策をとっている。大規模なコードの改修を伴うため，Geeklog-1.4.xではこの問題に対応できない。せいぜい，管理者としてログインする期間を短くし，こまめにログアウトを心がけるしかない。

2つ目は，Geeklog内部でHTMLフィルタとして使用されているksesライブラリに脆弱性が見つかったというもの。HTMLフィルタでstyle属性を許可していなければ，問題にはならない。まあ，普通の管理者なら，一般ユーザに <img>タグや style属性の使用を許可してはいないだろうが...

そろそろ当サイトも1.5.0にアップグレードしなければならない状況になったようだ。しばらくは，自作のプラグインのアップグレードにまで手が回りそうにない。

タグ：セキュリティ csrf kses geeklog-1.5

Geeklog本家のバージョン管理にはCVSを用いているが，

1. ディレクトリの移動をしにくい。
2. コミット権を持った人以外はコミットできない。

という点がいつも問題になる。他の開発者たちは「せめてSubversionにしよう」と提案するが，Dirkさんは「CVSとSubversionは大して違わない。今から新規にプロジェクトを興すならわざわざCVSを選ぶ理由はないが，現状はうまくいっているからCVSで運用する。」と言っていた。

今朝流れたメーリングリストでは，Dirkさんが「GSoCに取り組む学生たちのコードを管理するのに分散型バージョン管理システムを使いたい。Linuxカーネルのコード管理に使われているGitについて調べてみたが，似たようなコマンドがたくさんあって引いてしまう（全部で152コマンド）。他に誰も口にしないから，自分はMercurialを使おうと思う。これは最終決定ではなく，お試しだ。」と発言していた。本家のWiki上にはMercurialに関するページもできている。GeeklogがGSoCで取り組む内容をいち早く知りたい人は上記ページをチェックしてほしい。