Geeklogを全ての人の手に!
2024年11月21日(木) 18:35 JST
昨日は涼みがてらに山口県の秋芳洞へ行ってきた。外は35度近い猛暑だが、チケット売り場を過ぎ、洞窟から流れ出す川の畔を10メートルも歩くと急にひんやりとした。入り口前で撮った写真がこれ。
中にはいると別天地の涼しさだったが、見学者が多かったのには参った。ガイドさんの説明を聞いている団体客が通路をふさぎ、中年のおっさんが三脚を持ち込んで写真やビデオを使っている。子どもの作文のネタのためとはいえ、少し疲れた。
Geeklog-1.5.0に対応したテーマエディタプラグイン-1.1.0を公開した。ダウンロードはこちらからどうぞ。機能追加はなく、GL-1.5.0のコンフィギュレーション対応、CSRF対策追加、バグ取りのみ。
タグ:プラグイン geeklog-1.5 テーマエディタ
延び延びになっていたプラグインのアップデート第一弾ということで、DbmanをGL-1.5.0に対応させた。ダウンロードはこちらからどうぞ。機能追加はなく、GL-1.5.0のコンフィギュレーション対応、CSRF対策追加のみ。とはいえ、元のコードでADMIN_simpleList()を複数回使用していたので、これを1.4.xでも1.5.0でも動作するように変更するのと、コンフィギュレーションに対応させるのに時間がかかった。
他のプラグインも更新を待っているのだが、続きはいつになることやら...
タグ:プラグイン geeklog-1.5 dbman
Geeklogの掲示板プラグインに脆弱性が発見された。検索機能でJavaScriptのフィルタリングが不十分なため,クロスサイトスクリプティング(XSS)の危険性があるらしい。Blaineさんによる元記事はこちらからどうぞ。対策はバージョン2.7.1へアップグレードすること。ダウンロードはこちらからどうぞ。
タグ:セキュリティ xss 掲示板
遅ればせながら,先ほどGeeklog.jpに2つの脆弱性に関する記事を投稿した。
1つ目は,CSRF(Cross-Site Request Forgery)攻撃に関するもので,Geeklogに管理者としてログインしている場合,予期しないフォームを送信するなどの危険性がある。Geeklog-1.5.0では,フォーム表示時にデータベースにトークンを登録し,POST時に照合するというオーソドックスな対策をとっている。大規模なコードの改修を伴うため,Geeklog-1.4.xではこの問題に対応できない。せいぜい,管理者としてログインする期間を短くし,こまめにログアウトを心がけるしかない。
2つ目は,Geeklog内部でHTMLフィルタとして使用されているksesライブラリに脆弱性が見つかったというもの。HTMLフィルタでstyle属性を許可していなければ,問題にはならない。まあ,普通の管理者なら,一般ユーザに <img>タグや style属性の使用を許可してはいないだろうが...
そろそろ当サイトも1.5.0にアップグレードしなければならない状況になったようだ。しばらくは,自作のプラグインのアップグレードにまで手が回りそうにない。
タグ:セキュリティ csrf kses geeklog-1.5
Geeklog本家のバージョン管理にはCVSを用いているが,
という点がいつも問題になる。他の開発者たちは「せめてSubversionにしよう」と提案するが,Dirkさんは「CVSとSubversionは大して違わない。今から新規にプロジェクトを興すならわざわざCVSを選ぶ理由はないが,現状はうまくいっているからCVSで運用する。」と言っていた。
今朝流れたメーリングリストでは,Dirkさんが「GSoCに取り組む学生たちのコードを管理するのに分散型バージョン管理システムを使いたい。Linuxカーネルのコード管理に使われているGitについて調べてみたが,似たようなコマンドがたくさんあって引いてしまう(全部で152コマンド)。他に誰も口にしないから,自分はMercurialを使おうと思う。これは最終決定ではなく,お試しだ。」と発言していた。本家のWiki上にはMercurialに関するページもできている。GeeklogがGSoCで取り組む内容をいち早く知りたい人は上記ページをチェックしてほしい。
メーリングリストでのDirkさんの話によれば,今後の予定として,
を考えているが,みんなの意見は?というコメントが出ていた。Blaineさん,Vinnyさん,Mikeさんは,1.5.1でJoeさんのCaching Template Libraryを導入してはどうかと口を揃えて言っている。Blaineさんは,現在のコンフィギュレーションエディタは直感的でなく使いにくいため,今回のGSoCで改良に取り組む学生を期待したが,適当な応募者がおらず,指導者(メンター)も不足していたと発言していた。
中でも過激なのはMikeさんで,1.5.1のベータ版を7月半ばに,最終版を7月31日に公開すべきだと発言している。他のオープンソースWebアプリケーションと同様,今後のロードマップとリリース予定を公開することでユーザからの信頼を高め,コアチームとユーザのコミュニティが協力し,コアチームの責任をDirkさんだけでなく,全員で共有すべきだと提言している。すべて,Geeklog.jpにも当てはまることで,耳が痛い。
タグ:geeklog-1.5
先ほど本家で1.5.0が公開された。Firefox-3の公開よりは早かった。
日本語版は,有志が作業中だが,1ヶ月と経たないうちにGeeklog.jpでも公開できるだろう。1.5.0ではインストールが格段に容易になり,OpenIDやAtomPubもサポートされた。従来,config.phpをせっせといじっていた設定もオンラインのコンフィギュレーションが可能になった。そういう意味では初心者にとって敷居が低くなったと言えるが,また,不安の要素でもある。
タグ:geeklog-1.5
最近Geeklogを触っていないが,本家で1.5BETA1が公開された。同時に言語ファイルの翻訳を求めている。Configuration UIで大量の翻訳が必要になるとのこと。また,同梱プラグインの言語ファイルの翻訳も求めている。メーリングリストでは,Geeklog-1.5は今月中(確か5月26日?)に公開するとDirkさんが発言していたので,Release Candidateもすぐに公開されることだろう。