2020年4月 2日(木) 13:36 JST

PHP-4.x系列の終焉(本当におしまい)

  • 投稿者:
  • 表示回数 3,003
Geeklog

先日、PHP-4.4.9がリリースされ、これで4.x系列に対するセキュリティパッチ提供も最後となった。

PHPの安全性を高めるSuhosinも、この記事によると、今年いっぱいは4.xに対するパッチを提供するが、年が明けたら提供を打ち切るとのこと。いよいよPHP-5.x系列への移行を迫られる状況となった。GeeklogはPHP-5.xでも動作するが、そのパワー(クラス、インターフェースなど)を生かしているとはお世辞にも言えないので、そのうち、PHP-5.x専用にコードを書き直す気運が高まるかもしれない。


DbmanプラグインがGeeklog-1.5.0に対応

  • 投稿者:
  • 表示回数 4,155
プラグイン

延び延びになっていたプラグインのアップデート第一弾ということで、DbmanをGL-1.5.0に対応させた。ダウンロードはこちらからどうぞ。機能追加はなく、GL-1.5.0のコンフィギュレーション対応、CSRF対策追加のみ。とはいえ、元のコードでADMIN_simpleList()を複数回使用していたので、これを1.4.xでも1.5.0でも動作するように変更するのと、コンフィギュレーションに対応させるのに時間がかかった。

他のプラグインも更新を待っているのだが、続きはいつになることやら...

タグ:プラグイン geeklog-1.5 dbman

掲示板プラグインの脆弱性

  • 投稿者:
  • 表示回数 4,493
プラグイン

Geeklogの掲示板プラグインに脆弱性が発見された。検索機能でJavaScriptのフィルタリングが不十分なため,クロスサイトスクリプティング(XSS)の危険性があるらしい。Blaineさんによる元記事はこちらからどうぞ。対策はバージョン2.7.1へアップグレードすること。ダウンロードはこちらからどうぞ。

タグ:セキュリティ xss 掲示板

Geeklogに2つの脆弱性

  • 投稿者:
  • 表示回数 3,524
Geeklog

遅ればせながら,先ほどGeeklog.jpに2つの脆弱性に関する記事を投稿した。

1つ目は,CSRF(Cross-Site Request Forgery)攻撃に関するもので,Geeklogに管理者としてログインしている場合,予期しないフォームを送信するなどの危険性がある。Geeklog-1.5.0では,フォーム表示時にデータベースにトークンを登録し,POST時に照合するというオーソドックスな対策をとっている。大規模なコードの改修を伴うため,Geeklog-1.4.xではこの問題に対応できない。せいぜい,管理者としてログインする期間を短くし,こまめにログアウトを心がけるしかない。

2つ目は,Geeklog内部でHTMLフィルタとして使用されているksesライブラリに脆弱性が見つかったというもの。HTMLフィルタでstyle属性を許可していなければ,問題にはならない。まあ,普通の管理者なら,一般ユーザに <img>タグや style属性の使用を許可してはいないだろうが...

そろそろ当サイトも1.5.0にアップグレードしなければならない状況になったようだ。しばらくは,自作のプラグインのアップグレードにまで手が回りそうにない。

タグ:セキュリティ csrf kses geeklog-1.5


Geeklog本家,GSoC用にMercurial採用

  • 投稿者:
  • 表示回数 3,259
Geeklog

Geeklog本家のバージョン管理にはCVSを用いているが,

  1. ディレクトリの移動をしにくい。
  2. コミット権を持った人以外はコミットできない。

という点がいつも問題になる。他の開発者たちは「せめてSubversionにしよう」と提案するが,Dirkさんは「CVSとSubversionは大して違わない。今から新規にプロジェクトを興すならわざわざCVSを選ぶ理由はないが,現状はうまくいっているからCVSで運用する。」と言っていた。

今朝流れたメーリングリストでは,Dirkさんが「GSoCに取り組む学生たちのコードを管理するのに分散型バージョン管理システムを使いたい。Linuxカーネルのコード管理に使われているGitについて調べてみたが,似たようなコマンドがたくさんあって引いてしまう(全部で152コマンド)。他に誰も口にしないから,自分はMercurialを使おうと思う。これは最終決定ではなく,お試しだ。」と発言していた。本家のWiki上にはMercurialに関するページもできている。GeeklogがGSoCで取り組む内容をいち早く知りたい人は上記ページをチェックしてほしい。


Geeklog-1.5以降

  • 投稿者:
  • 表示回数 3,103
Geeklog

メーリングリストでのDirkさんの話によれば,今後の予定として,

  • Geeklog 1.5.0-1: バグ修正のみ。リリース目標は7月後半。
  • Geeklog 1.5.1: バグ修正+ユーザが投稿した機能拡張パッチ適用。リリース目標はGoogle Summer of Codeの終わり頃,つまり,9月上旬から中旬。
  • Geeklog-1.5.2ないし1.6.0: Google Summer of Codeの成果を統合し,他の機能追加。目標は今年の終わりから来年の初め。

を考えているが,みんなの意見は?というコメントが出ていた。Blaineさん,Vinnyさん,Mikeさんは,1.5.1でJoeさんのCaching Template Libraryを導入してはどうかと口を揃えて言っている。Blaineさんは,現在のコンフィギュレーションエディタは直感的でなく使いにくいため,今回のGSoCで改良に取り組む学生を期待したが,適当な応募者がおらず,指導者(メンター)も不足していたと発言していた。

中でも過激なのはMikeさんで,1.5.1のベータ版を7月半ばに,最終版を7月31日に公開すべきだと発言している。他のオープンソースWebアプリケーションと同様,今後のロードマップとリリース予定を公開することでユーザからの信頼を高め,コアチームとユーザのコミュニティが協力し,コアチームの責任をDirkさんだけでなく,全員で共有すべきだと提言している。すべて,Geeklog.jpにも当てはまることで,耳が痛い。

タグ:geeklog-1.5

Geeklog 1.5公開

  • 投稿者:
  • 表示回数 3,630
Geeklog

先ほど本家で1.5.0が公開された。Firefox-3の公開よりは早かった。

日本語版は,有志が作業中だが,1ヶ月と経たないうちにGeeklog.jpでも公開できるだろう。1.5.0ではインストールが格段に容易になり,OpenIDやAtomPubもサポートされた。従来,config.phpをせっせといじっていた設定もオンラインのコンフィギュレーションが可能になった。そういう意味では初心者にとって敷居が低くなったと言えるが,また,不安の要素でもある。

タグ:geeklog-1.5

Geeklog 1.5 BETA1

  • 投稿者:
  • 表示回数 3,363
Geeklog 最近Geeklogを触っていないが,本家で1.5BETA1が公開された。同時に言語ファイルの翻訳を求めている。Configuration UIで大量の翻訳が必要になるとのこと。また,同梱プラグインの言語ファイルの翻訳も求めている。メーリングリストでは,Geeklog-1.5は今月中(確か5月26日?)に公開するとDirkさんが発言していたので,Release Candidateもすぐに公開されることだろう。

タグ:geeklog-1.5

geeklog2mtカスタム関数,mt2geeklogカスタム関数機能追加

  • 投稿者:
  • 表示回数 3,547
Geeklog CATEGORY IDというproprietaryなメタタグをサポートするバージョンを公開した。トピックIDがfooとなっている記事を全てbarに変えるだけなら,phpMyAdminを使って

UPDATE `gl_stories`
SET `tid` = 'bar'
WHERE `tid` = 'foo'

とすれば,一発なのだが...