2005-07-20
_ [Diary] 昼間はともかく、朝夕は風が通ってすごしやすい
Firefox 1.0.6 の日本語 JLP 版がようやく出たので、いそいそと alezo にセットアップ。「アレぞうさん家に泊ろう」も晴れて作品化されることになったようだしね。この閉塞した状況下での唯一の心の拠り所だったり。早く読みたいぞ。
しかし、もう、次回からは JLP なしだ。無くたってかまわない language pack がらみの不具合でセキュリティー系の更新が遅れるなんて論外だし。しかも、FreeBSD では portupgrade -a すりゃ、あとは放っておけば済むが、Windows では手間があれこれかかって面倒なのだ。JLP なしの米語版なら autoupdate が効いてくれると期待してるんだけど、さてどうなんだか。を、Portable Firefoxも出てるな。これまたアップデートが面倒なもののひとつだ。なんてったって、こいつはそもそも autoupdate 対応が期待できんしな。面倒っつても、アーカイブを USB メモリ内に展開した後、古いのから profile を移動してくるだけなんだけど、それをまぁ、マウス使ってエクスプローラーでツンツクやってると、「きぃいいいっ」と叫び出したくなるんよ。Mac OS の Finder もそうだけど、どしてこんな面倒なインターフェイスを皆がまんできるんだろう。忍耐強いこっちゃ。
うう。愚痴ばっかりになってしまった。いやいやいや、さわやかな風が通って、心おだやかですよ? あとは「アレぞうさん家で、みんなでおふろ」が読めれば…
_ [tDiary] CSRF 問題で SECURITY RELEASE 2.0.2
おふろの妄想してたら tdiary-devel ML から物騒なメールが。tDiaryの脆弱性に関する報告(2005-07-20)。早速更新する。ちゃんと 2.0.2 になってるかな?
って、おい、tdiary-mode.el から更新できないじゃん。なにこれ?
どうやら、emacs からは Referer を送らないかららしい。そらそうだな。いきなりデータを投げてるはずだから。嘘んこヘッダで投げると受けつけてくれるんだろうか…
[追記] 設定をアレコレした結果、Referer なしを許すという csrf_protection_method => 2 にするだけではダメで、一気に 0 にして CSRF 対策を無効にしない限り機能しないようだ。むむむむむ。結構、根は深いかも。
[追記の2] ちっとも深くなかった。最新(7/20以降)の contrib の tdiary-mode は、CSRF対策対応済みだった。そらそうか。Referer なしを許すという csrf_protection_method => 2 の場合、CSRF KEY が必要となる。もちろん、そんなデータは CSRF対策未対応の tdiary-mode からは送れないのでダメだったのだ。
| csrf_protection_method | CSRF Key | Referer check |
|---|---|---|
| 0 | 無 | 無 |
| 1 | 無 | 有 |
| 2 | 有 | 無 |
| 3 | 有 | 有 |
ということなんですな。CSRF KEY の値の設定だけしたけど、有効にすると動かなくなる plugin があるかもということなので、method は default の 1 のまま様子見中。