Nucleus
| Jeans & Development | 電子ブロック工房 | 三日坊主 | フロントページ |
コメントスパムの連続攻撃 [Nucleus]
2006年12月18日
12月12日、午前6時3分(GMT)から午前6時12分までの9分間の間に、妻のブログ(Nucleusで構築)へのコメントスパムの連続攻撃だと思われるアクセスがあった。ログを見て分かったことのメモ。
NP_MultipleCategoriesの高速化 [Nucleus]
2006年12月15日
このブログではNP_MultipleCategories0.38jに若干改造を加えたものを用いているが、カテゴリリストの表示に時間がかかるのが難点であった。アクセスの時刻にもよるが、ページ全体の表示に3.5秒ほどかかり、その時間のほとんどがMultipleCategories::showCategoryList()関数の実行に費やされている。スピード化を試みた。
新しいバージョンのNP_0TicketForPluginについて [Nucleus]
2006年12月7日
NP_0TicketForPluginがアップグレードされて、バージョンが1.2.8.1aになりました。今回のアップグレードでは、CSRF攻撃のみならず管理画面への直接攻撃に対する脆弱性対策が盛り込まれています。
脆弱性があるためアンインストールしてあるプラグインでも、ファイルを消去せずに残したままにしてあると脆弱性が残ったままになっている場合があります。新しいバージョンのNP_0TicketForPluginではそういった脆弱性も解消するような機能が組み込まれてあります。
詳しくは、Nucleus(JP) フォーラムの当該トピックをご覧ください。Nucleus を使用しているすべての方に、強くインストールをお勧めします。
なお、Nucleus-SQLite をご使用で、NP_0TicketForPluginをアップグレードされる方は、新しいバージョンのNP_0TicketForPlugin.phpを上書きでアップロードした後に、プラグイン管理画面で一度NP_0TicketForPluginを削除して再インストールしてください。この作業を行わずに『登録リストのアップデート』だけですませると、NP_SQLite を含めたすべてのプラグインの管理画面に入ることが出来ません。
脆弱性があるためアンインストールしてあるプラグインでも、ファイルを消去せずに残したままにしてあると脆弱性が残ったままになっている場合があります。新しいバージョンのNP_0TicketForPluginではそういった脆弱性も解消するような機能が組み込まれてあります。
詳しくは、Nucleus(JP) フォーラムの当該トピックをご覧ください。Nucleus を使用しているすべての方に、強くインストールをお勧めします。
なお、Nucleus-SQLite をご使用で、NP_0TicketForPluginをアップグレードされる方は、新しいバージョンのNP_0TicketForPlugin.phpを上書きでアップロードした後に、プラグイン管理画面で一度NP_0TicketForPluginを削除して再インストールしてください。この作業を行わずに『登録リストのアップデート』だけですませると、NP_SQLite を含めたすべてのプラグインの管理画面に入ることが出来ません。
Nucleusプラグイン用DES暗号クラス [Nucleus]
2006年12月2日
Nucleus プラグインでDES及び、トリプルDESを使うクラスを作成した。用途としては、ユーザとの情報のやり取りを行う際に、それを暗号化してセキュリティーの向上を図るなどがある。同様のセキュリティー確保の仕組みとして、Nucleus では ticket という概念があるが、それよりもう一段高いセキュリティーが期待される。利用方法は、ticket の実装よりほんの少し敷居が高い程度に分かりやすくさせたつもり。使い方を忘れないように、ここにメモしておく。
NP_0TicketForPlugin [Nucleus]
2006年11月25日
Nucleus(JP)フォーラムにおいて、幾つかのプラグインの新たな脆弱性の報告と、その脆弱性を解決するプラグイン、NP_0TicketForPluginの公表がありました。Nucleusを利用しているほとんどの方が関係すると思いますので、フォーラムの当該トピックからNP_0TicketForPluginをダウンロードしてインストールしてください。
なお悪意のある第三者が今回の脆弱性を利用するには、Nucleus管理者を悪意のあるWebサイトに誘導する必要がありますので、脆弱性としてはそれほど危険度が高いものではありません。しかしながら、場合によってはサイトを完全にコントロールされてしまう可能性もありますので、すべてのNucleus利用者にこのプラグインのインストールを強く推奨します。
なお悪意のある第三者が今回の脆弱性を利用するには、Nucleus管理者を悪意のあるWebサイトに誘導する必要がありますので、脆弱性としてはそれほど危険度が高いものではありません。しかしながら、場合によってはサイトを完全にコントロールされてしまう可能性もありますので、すべてのNucleus利用者にこのプラグインのインストールを強く推奨します。
NP_PseudoFancyURL2計画書 [Nucleus]
2006年11月3日
ラクーカンで FancyURL を実現するためのプラグイン計画書、第二弾。 NP_CachedFancyURL がうまく行かず頓挫する可能性、あるいは、こちらのほうがすぐに実装できる可能性があるため、平行して計画。(随時更新)
やっぱりラクーカンでFancyURLは無理 [Nucleus]
2006年11月2日
フォーラムでも質問が上がったので、再度ラクーカンでFancyURLが出来ないか色々とトライしたが、矢張りお手上げという結論になった。mod_rewriteはむろん、ダメである。
どうやら、ラクーカンではサーバにZeusという物を使っているらしい。これが、mod_rewriteが使えない原因のようである。FancyURLに必要な、ForceType での PHP の指定が上手く行かないのも、このサーバの特色かもしれない。
しかし、である。なせば成るとの言葉通り、何とかしてみたい物である。元々、SQLiteラッパーも、ラクーカンでNucleusを使うために作ったんだし。
どうやら、ラクーカンではサーバにZeusという物を使っているらしい。これが、mod_rewriteが使えない原因のようである。FancyURLに必要な、ForceType での PHP の指定が上手く行かないのも、このサーバの特色かもしれない。
しかし、である。なせば成るとの言葉通り、何とかしてみたい物である。元々、SQLiteラッパーも、ラクーカンでNucleusを使うために作ったんだし。