Jeans & Development:
Deprecated: Function strftime() is deprecated in /home/u109394186/domains/rad51.net/public_html/jeans/jeans/libs/blog.php on line 333
2006年 12月の記事
NP_ProtectByMD5でスパムを軽くあしらう [Nucleus]
2006年12月29日
夕べ、4時間ほどの間に76回のコメントスパムの攻撃を受けたが、すべてNP_ProtectByMD5でブロックした。現在、NP_ProtectByMD5のテスト期間としているのでNP_JSEncodeはコメントスパム対策としては使っていないために、この攻撃を受けたものと考えている。
結果としてはすべてブロックしたので、スパム業者は勝利を収めることが出来なかった。しかし、攻撃の間ずっとサーバのリソースを無駄に使い続けられたと考えると100%こちらの勝利とも言いがたい。こういったケースでのリソースの消費について考えてみた。
結果としてはすべてブロックしたので、スパム業者は勝利を収めることが出来なかった。しかし、攻撃の間ずっとサーバのリソースを無駄に使い続けられたと考えると100%こちらの勝利とも言いがたい。こういったケースでのリソースの消費について考えてみた。
NP_ProtectByAjax [Nucleus]
2006年12月26日
NP_JSEncode, NP_ProtectByMD5 に続く、スパム対策シリーズ第三弾。半分洒落のつもりで作ってみた(半分本気)。NP_JSEncodeでは、スパムロボットに読み込まれたくない部分をurl_encodeして記事に直接埋め込んでいたが、このNP_ProtectByAjaxではAjaxを用いて当該部分を別途読み込む形式。なので、より硬い防御が期待される。
使用方法はNP_JSEncodeとほとんど同じであるが、プラグイン編集オプションからキャッシュデータ(スパムロボットに対して隠蔽しているHTMLを保持する)を消去する機能が追加されている。
私のブログは人気があまり無いおかげで、NP_JSEncode と NP_ProtectByMD5 でスパムコメントを完全にブロックできている。が、将来これらの方法でブロックできなくなるケースに対処するため、作ってみた。もともとは、NP_JSEncodeの次期バージョンに組み込む予定にしていたが、ちょっと思うところあって別プラグインとして開発。
使用方法はNP_JSEncodeとほとんど同じであるが、プラグイン編集オプションからキャッシュデータ(スパムロボットに対して隠蔽しているHTMLを保持する)を消去する機能が追加されている。
私のブログは人気があまり無いおかげで、NP_JSEncode と NP_ProtectByMD5 でスパムコメントを完全にブロックできている。が、将来これらの方法でブロックできなくなるケースに対処するため、作ってみた。もともとは、NP_JSEncodeの次期バージョンに組み込む予定にしていたが、ちょっと思うところあって別プラグインとして開発。
(ここからダウンロードできます。)
コメントスパムの連続攻撃 [Nucleus]
2006年12月18日
12月12日、午前6時3分(GMT)から午前6時12分までの9分間の間に、妻のブログ(Nucleusで構築)へのコメントスパムの連続攻撃だと思われるアクセスがあった。ログを見て分かったことのメモ。
NP_MultipleCategoriesの高速化 [Nucleus]
2006年12月15日
このブログではNP_MultipleCategories0.38jに若干改造を加えたものを用いているが、カテゴリリストの表示に時間がかかるのが難点であった。アクセスの時刻にもよるが、ページ全体の表示に3.5秒ほどかかり、その時間のほとんどがMultipleCategories::showCategoryList()関数の実行に費やされている。スピード化を試みた。
新しいバージョンのNP_0TicketForPluginについて [Nucleus]
2006年12月7日
NP_0TicketForPluginがアップグレードされて、バージョンが1.2.8.1aになりました。今回のアップグレードでは、CSRF攻撃のみならず管理画面への直接攻撃に対する脆弱性対策が盛り込まれています。
脆弱性があるためアンインストールしてあるプラグインでも、ファイルを消去せずに残したままにしてあると脆弱性が残ったままになっている場合があります。新しいバージョンのNP_0TicketForPluginではそういった脆弱性も解消するような機能が組み込まれてあります。
詳しくは、Nucleus(JP) フォーラムの当該トピックをご覧ください。Nucleus を使用しているすべての方に、強くインストールをお勧めします。
なお、Nucleus-SQLite をご使用で、NP_0TicketForPluginをアップグレードされる方は、新しいバージョンのNP_0TicketForPlugin.phpを上書きでアップロードした後に、プラグイン管理画面で一度NP_0TicketForPluginを削除して再インストールしてください。この作業を行わずに『登録リストのアップデート』だけですませると、NP_SQLite を含めたすべてのプラグインの管理画面に入ることが出来ません。
脆弱性があるためアンインストールしてあるプラグインでも、ファイルを消去せずに残したままにしてあると脆弱性が残ったままになっている場合があります。新しいバージョンのNP_0TicketForPluginではそういった脆弱性も解消するような機能が組み込まれてあります。
詳しくは、Nucleus(JP) フォーラムの当該トピックをご覧ください。Nucleus を使用しているすべての方に、強くインストールをお勧めします。
なお、Nucleus-SQLite をご使用で、NP_0TicketForPluginをアップグレードされる方は、新しいバージョンのNP_0TicketForPlugin.phpを上書きでアップロードした後に、プラグイン管理画面で一度NP_0TicketForPluginを削除して再インストールしてください。この作業を行わずに『登録リストのアップデート』だけですませると、NP_SQLite を含めたすべてのプラグインの管理画面に入ることが出来ません。
Nucleusプラグイン用DES暗号クラス [Nucleus]
2006年12月2日
Nucleus プラグインでDES及び、トリプルDESを使うクラスを作成した。用途としては、ユーザとの情報のやり取りを行う際に、それを暗号化してセキュリティーの向上を図るなどがある。同様のセキュリティー確保の仕組みとして、Nucleus では ticket という概念があるが、それよりもう一段高いセキュリティーが期待される。利用方法は、ticket の実装よりほんの少し敷居が高い程度に分かりやすくさせたつもり。使い方を忘れないように、ここにメモしておく。