«前の日記(2005-07-18) 最新 次の日記(2005-07-22)» 編集

おこたの国


2005-07-20

_ [Diary] 昼間はともかく、朝夕は風が通ってすごしやすい

Firefox 1.0.6 の日本語 JLP 版がようやく出たので、いそいそと alezo にセットアップ。「アレぞうさん家に泊ろう」も晴れて作品化されることになったようだしね。この閉塞した状況下での唯一の心の拠り所だったり。早く読みたいぞ。

しかし、もう、次回からは JLP なしだ。無くたってかまわない language pack がらみの不具合でセキュリティー系の更新が遅れるなんて論外だし。しかも、FreeBSD では portupgrade -a すりゃ、あとは放っておけば済むが、Windows では手間があれこれかかって面倒なのだ。JLP なしの米語版なら autoupdate が効いてくれると期待してるんだけど、さてどうなんだか。を、Portable Firefoxも出てるな。これまたアップデートが面倒なもののひとつだ。なんてったって、こいつはそもそも autoupdate 対応が期待できんしな。面倒っつても、アーカイブを USB メモリ内に展開した後、古いのから profile を移動してくるだけなんだけど、それをまぁ、マウス使ってエクスプローラーでツンツクやってると、「きぃいいいっ」と叫び出したくなるんよ。Mac OS の Finder もそうだけど、どしてこんな面倒なインターフェイスを皆がまんできるんだろう。忍耐強いこっちゃ。

うう。愚痴ばっかりになってしまった。いやいやいや、さわやかな風が通って、心おだやかですよ? あとは「アレぞうさん家で、みんなでおふろ」が読めれば…

_ [tDiary] CSRF 問題で SECURITY RELEASE 2.0.2

おふろの妄想してたら tdiary-devel ML から物騒なメールが。tDiaryの脆弱性に関する報告(2005-07-20)。早速更新する。ちゃんと 2.0.2 になってるかな?

って、おい、tdiary-mode.el から更新できないじゃん。なにこれ?

どうやら、emacs からは Referer を送らないかららしい。そらそうだな。いきなりデータを投げてるはずだから。嘘んこヘッダで投げると受けつけてくれるんだろうか…

[追記] 設定をアレコレした結果、Referer なしを許すという csrf_protection_method => 2 にするだけではダメで、一気に 0 にして CSRF 対策を無効にしない限り機能しないようだ。むむむむむ。結構、根は深いかも。

[追記の2] ちっとも深くなかった。最新(7/20以降)の contrib の tdiary-mode は、CSRF対策対応済みだった。そらそうか。Referer なしを許すという csrf_protection_method => 2 の場合、CSRF KEY が必要となる。もちろん、そんなデータは CSRF対策未対応の tdiary-mode からは送れないのでダメだったのだ。

csrf_protection_methodCSRF KeyReferer check
0
1
2
3

ということなんですな。CSRF KEY の値の設定だけしたけど、有効にすると動かなくなる plugin があるかもということなので、method は default の 1 のまま様子見中。


2002|10|
2003|10|12|
2004|01|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|05|07|08|09|10|11|12|
2009|02|06|08|09|
2010|02|08|
2011|08|
2012|07|
2013|01|06|09|10|
2019|07|10|
2020|07|