MID [Serendipity Weblog] - Serendipity

年末年始はコメント遮断します

nospam@example.com (MS-K) — Fri, 28 Dec 2007 21:14:18 +0900

年末年始は管理があまりできなくなります。
でもってこういう時期は決まってspamコメントが多くなりますので、一時的に全てのコメントを遮断させていただきます。
ご容赦願います。JAH来年まで(^.^)/~~~

ドメインの変更を行いました。

nospam@example.com (MS-K) — Thu, 20 Sep 2007 12:54:01 +0900

長らく ms-k.serveblog.net として公開してきたこのBlogですが、
no-ip での定期的なIPアドレス更新作業がうっとうしくなってきたため、新規ドメインでの運用としました。
ここは固定IPアドレスでの運用なので、no-ip から時々チェック入るんですよ

2007-09-20からはhttp://blog.till-daylight.org/となります。
よろしくお願いいたします。

SerendipityをSQLiteからMySQLに移行完了

nospam@example.com (MS-K) — Thu, 25 Jan 2007 10:00:52 +0900

昨年から仕事の合間にやっていたSQLiteからMySQLへの移行を完了しました。

が、

データバックアップのポカで最近の数エントリは消失させてしまいました。
あと、コメントとトラバとリファラは仕様のため空になりました<(_ _)>
申し訳ないです。。。

SerendipityをSQLiteからMySQLに移行(3)

nospam@example.com (MS-K) — Sat, 02 Dec 2006 10:07:52 +0900

データベースディレクトリを変更するので
＃vi /etc/rc.conf

mysql_enable="YES"
mysql_dbdir="/usr/local/db/mysql"

コンフィグファイルを /etcにコピー。
＃cp /usr/local/share/mysql/my-medium.cnf /etc/my.cnf
＃chmod 644 /etc/my.cnf
＃vi /etc/my.cnf

[mysqld]
default-character-set=utf8
skip-character-set-client-handshake

管理者パスワードを設定。
＃mysqladmin -u root -p password 'ms-k12345'
Enter Password: [Enter]

不要ユーザーを削除。
FreeBSD/MySQLさんやFreeBSDな生活さんがわかりやすいです。
私は以下と同様にHostがlocalhost以外のものを削除しました。

FreeBSD の ports でインストールすると、以下のユーザーがいるはず。(your.host.name は、マシンのホスト名)

root@localhost

root@your.host.name

@localhost

@your.host.name

これを、以下のみとする。

root@localhost

@localhost

(''@localhost も制限した方がいいかも?)

PHPのMysqlモジュールは組込み済みなので、後はやっとSerendipityの再設定です。

SerendipityをSQLiteからMySQLに移行(2)

nospam@example.com (MS-K) — Thu, 30 Nov 2006 21:09:04 +0900

linuxthreads のインストールが無事完了したので、改めてMySQLを。
あ、これまだテスト用ローカルサーバでの話です。

＃cd /usr/ports/databases/mysql50-server
＃make deinstall
＃vi Makefile

＃CONFIGURE_ARGS= --localstatedir=/var/db/mysql 

CONFIGURE_ARGS= --localstatedir=/usr/local/db/mysql

＃make WITH_LINUXTHREADS=yes
＃make install clean

昨日の作業なのであまり正確ではありませんが(^^ゞ
っつーか忙しくてこれっぽっちのペースでしか進んでいないあたり、逆に効率悪いです。
この手の作業は集中して一気にやらないと。
っつーか、こんなに分割したらリソースとして使いづらい

SerendipityをSQLiteからMySQLに移行(1)

nospam@example.com (MS-K) — Mon, 27 Nov 2006 11:35:38 +0900

訳あってこのBlogをSQLiteからMySQLに移行することにしたのでメモ。
ちなみにこれまた訳あってFreeBSD4です。

＃cd /usr/ports/databases/mysql51-server
＃vi Makefile
容量などの問題で/var以下にデータベースディレクトリができるのは嫌なので、

＃CONFIGURE_ARGS= --localstatedir=/var/db/mysql 

CONFIGURE_ARGS= --localstatedir=/usr/local/db/mysql

＃make

エラーでmake失敗（笑）、これでしょうか。

先日バージョン5.1シリーズとしては久々にバージョン5.1.12 がリリースされましたが、この 5.1.12 にはコンパイル時の不手際により NDB クラスタもパーティショニング機能も含まれていなかったようです。
バージョン 5.1.13 が公開され次第アップグレードすることが勧められています。
なお、5.1.13 は現時点ではまだミラーへの配布すら行われていないようですので、公開までもう数日から１週間以上かかるものと見込まれます。 5.1.12 で新機能を検証しようとしている方はご注意を。

気を取り直して
＃cd /usr/ports/databases/mysql50-server
＃vi Makefileで、上記と同様にデータベースディレクトリを変更します。
これで無事にmakeまで完了なのですが、いかんせんWITH_LINUXTHREADS=yesしていないあたりが不安を誘います。
ということで、ここでいったんやめておいて、ローカルマシンでLINUXTHREADSのインストールテストをしてみます。

LINUXTHREADSをインストールするにはFreeBSDのソースが必要なのですが、ああ、ｓｙｓ以外入れてないんだった… ということで、

＃cp /usr/share/examples/cvsup/standard-supfile /etc/src-supfile
＃chmod 644 /etc/src-supfile
＃vi /etc/src-supfile
これだけのためにソースを全部入れても仕方ないので、

＃src-all ←コメントアウト
src-base
src-contlib
src-gnu
src-lib
src-release
src-usrbin

ヤマカンおよびエラーメッセージから上記をインストールしておきます。
＃cvsup -g -L 2 /etc/src-supfile

＃cd /usr/ports/devel/linuxthreads
＃make install clean
ここまで無事完了。
疲れたのでまた明日。

serendipity_plugin_audioscrobbler が修正された

nospam@example.com (MS-K) — Fri, 06 Oct 2006 21:14:37 +0900

先日serendipity_plugin_audioscrobbler がダメっぽいとのことで、自分でいろいろ試した結果、全然負け組みだったので、s9yのフォーラムを見たところ同様の現象の人がいるようで、私も投稿してみました。
が、デベロッパー自身はこのプラグインを使っていないようで「よくわからんから作者に連絡してみて」と言われ、さっそくつたない英語でヘルプミーのメールを出しました。

作者から直接のメールは来ませんでしたが、フォーラムにレスポンスあり。
「今週末に見てみる」とのことで、っつーかそのレスのあった今日が今週末なんですけどと思いながら読んでいたら、いきなりCVSに反映したようで、解決です。

オープンソースの素晴らしい一面を見せていただきました<(_ _)>
Thanks a lot!

serendipity_plugin_audioscrobbler がダメっぽい

nospam@example.com (MS-K) — Wed, 04 Oct 2006 20:42:45 +0900

last.fmのRSSのURIが変わったこともあって、このページ最下部の「最新BGM」が表示されなくなってしまいました。

serendipity_plugin_audioscrobbler.phpのソースで指定してあるRSS部分を修正したのですが、ダメでした。
パースの問題かもしれませんが、私にはわかりません…
ということで、しばらくはこのまま

serendipity 静的ページの検索表示修正

nospam@example.com (MS-K) — Tue, 01 Aug 2006 22:34:23 +0900

Staticpage（静的ページ）でプロフィールを明記するのにtableを使ったところ、クイックサーチの結果表示がえらいことになってしまいました。

＜ul class="staticpage_result"＞

＜li＞＜strong＞＜a href="http://blog.till-daylight.org/pages/profile.html" title="profile"＞プロフィール＜/a＞＜/strong＞ (MS-K)＜br /＞



＜table summary="プロフィール一覧" rules="all" border="1" id="prof_t"＞

＜tr＞

＜th＞Blogオーナー＜/th＞＜td＞MS-K＜/td＞

＜/tr＞



＜tr＞ ... ＜/li＞

＜/ul＞

上記のようにtableが閉じないので、ここ以下の表示がわやです。
ということで、/plugins/serendipity_event_staticpage/plugin_staticpage_searchresults.tplを修正です。

--- plugin_staticpage_searchresults.tpl.BAK	Tue Aug 01 22:32:02 2006

+++ plugin_staticpage_searchresults.tpl	Tue Aug 01 22:32:41 2006

@@ -3,8 +3,7 @@

 

     ＜ul class="staticpage_result"＞

     {foreach from=$staticpage_results item="result"}

-        ＜li＞＜strong＞＜a href="{$result.permalink|@escape}" title="{$result.pagetitle|@escape}"＞{$result.headline}＜/a＞＜/strong＞ ({$result.realname})＜br /＞

-        {$result.content|@truncate:200:" ... "}＜/li＞

+        ＜li＞＜strong＞＜a href="{$result.permalink|@escape}" title="{$result.pagetitle|@escape}"＞{$result.headline}＜/a＞＜/strong＞ ({$result.realname})＜/li＞

     {/foreach}

     ＜/ul＞

 ＜/div＞

結果

＜ul class="staticpage_result"＞

＜li＞＜strong＞＜a href="http://blog.till-daylight.org/pages/profile.html" title="profile"＞プロフィール＜/a＞＜/strong＞ (MS-K)＜/li＞

＜/ul＞

OK。

アンテナ文字化け？

nospam@example.com (MS-K) — Sun, 30 Jul 2006 21:32:48 +0900

あ、今気づいたのですが、
このページの下の方の「MS-K's アンテナ」、曜日が変ですねぇ。。。。
五とか六になってます(^_^X)
クリティカルではないので近いうちに調べます。

Serendipity1.0 リリース！

nospam@example.com (MS-K) — Fri, 16 Jun 2006 15:19:50 +0900

Serendipity 1.0 released!
・Fixed all known bugs, making the 1.0 release of Serendipity the most stable version ever

とうとう出ました1.0です。
現在ローカルマシンに上書きインストールして検証中です。

上書きによるバージョンアップはえらい簡単ですが、自分で書き換えているソースも数箇所あるので、それらを比較および再修正するかどうかがキモとなりそうです。

あ、それと大垣さんのBlogで指摘されていた「以下のコードはセキュリティ上大きな問題となる脆弱な処理が含まれています。」の件については修正は行われていないです

Serendipityのセキュリティホール

nospam@example.com (MS-K) — Wed, 24 May 2006 20:44:12 +0900

先日yohgaki's blogさんで取り上げてくれていた「解答：まちがった自動ログイン処理」

- クッキーにランダム文字列以外の値を設定している
- クッキーにユーザ名が保存されている
- クッキーにパスワードが保存されている
- ユーザ名・パスワードが保存されているクッキーは暗号化されていないBASE64エンコードされたキストである
- 自動ログイン用にが保存されたクッキー（ユーザ名・パスワード）がアプリケーション全体で有効になっている

これはどう考えても自分では修正不可能なので、（はなから使ってはいませんが）自動ログインを使わないという解決策で甘んじるとして、

NetSecurityで一部公開されている件については具体的なことが不明なのでどうしましょう？といった感じです。

Serendipityは、config.phpスクリプトが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。
2006/05/08 登録

危険度：中
影響を受けるバージョン：1.0 beta2
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

詳しい情報は有料なんですよね～(-_-;)
ところでconfig.phpっつーのは存在しないんですが、、、、、
serendipity_config.inc.phpのことかなあ

あ、あと管理画面がgoogleに引っかかるのは、どうせBlogから管理画面へのリンクが表示されているにしても気持ち悪いのでserendipity_admin.php 44行目に以下追記。

＜meta name="robots" content="noindex,nofollow" /＞

それとserendipityとPHPのバージョンが表示されるのはどうかと思うので369行目を変更

＜div id="serendipityAdminFooter"＞

Powered by Serendipity

＜/div＞

Serendipity エントリリンクPlugin

nospam@example.com (MS-K) — Fri, 12 May 2006 15:44:18 +0900

serendipity_plugin_entrylinks.phpは wordwrap()で指定文字での折り返しをするようになっていますが、wordwrap()には最近バグが発見されたばかりですし、まあそれは修正されましたが、PHPのアップデートもここのところリスキーだし、根本的に日本語ではまともに処理できないので、変更しました。

自分の設定に関わる部分だけですが

--- serendipity_plugin_entrylinks.php.ORG	Fri May 12 12:58:21 2006

+++ serendipity_plugin_entrylinks.php	Fri May 12 13:16:46 2006

@@ -143,7 +143,7 @@

 

         $references = serendipity_db_query("SELECT link, max(name) as name FROM {$serendipity['dbPrefix']}references WHERE entry_id = " . $id . " GROUP BY link");

         if (is_array($references)) {

-            $links = '＜ul style="margin: 5px; padding: 10px; text-align: left"＞';

+            $links = '＜ul style="margin: 5px; padding-left: 10px; text-align: left"＞';

             foreach($references AS $key =＞ $row) {

                 if (empty($row['name']) || empty($row['link'])) {

                     continue;

@@ -152,8 +152,9 @@

                 if (isset($counter[$row['link']])) {

                     $count = '＜br /＞＜div style="text-align: right; margin: 0px"＞[' . $counter[$row['link']] . ']＜/div＞';

                 }

+                // Commented by MS-K

                 // $link_name = $wordwrap ＜ 1? $row['name']: wordwrap($row['name'], $wordwrap, "＜br /＞", 1);

-                $link_name = $wordwrap ＜ 1? $row['name']: substr($row['name'], 0, $wordwrap)."...";

+                $link_name = mb_strlen($row['name']) ＞ $wordwrap ? $link_name = mb_substr($row['name'], 0, $wordwrap).'..' : $row['name'];

                 $links .= '＜li＞＜a href="' . $row['link'] . '" ' . $target . '＞' . $link_name . "＜/a＞$count＜/li＞";

             }

             $links .= '＜/ul＞';

珍しく元ファイルをバックアップしてからやったのでdiff -uできました（笑）

serendipityの自動ログイン検証

nospam@example.com (MS-K) — Wed, 10 May 2006 20:39:04 +0900

なーんしかまたーりゆたーり日記中さんでどういうことなのか書いてあったのであっさり納得してしまいました。

危険なログイン認証です。PHPは長らく触ってないけどまずbase64_decodeでbase64エンコードされた文字列を復元。
次にserializeはdeserialize（こんな関数でしたっけ？）で配列に復元。
後は配列のusername,passwordの中身が丸わかりー。

ということで試してみました。
こればかりは試さなくて結果は見えていますが、自身のためですので練習代わりに。
ちなみに自分自身では自動ログイン（ログイン状態を保存）は全く使ってません

＜?php
// serendipityの自動ログインの暗号化状況を再現
$package = serialize(
            array(
                "username" =＞ "testuser",
                "password" =＞ "test1234"
            ));

$test_cookie = base64_encode($package);

echo <<< EOD
＜p＞
ちなみにこれがセットされるcookieです。＜br /＞
$test_cookie
＜/p＞

EOD;

// cookieが盗まれたとしてここから復元
$org_cookie = base64_decode($test_cookie);
$author_information = unserialize($org_cookie);

echo <<< EOD
＜p＞
これが配列の中身です。
＜/p＞
＜pre＞

EOD;

var_dump($author_information);
echo "＜/pre＞";
?＞

結果、こんな感じです。

ちなみにこれがセットされるcookieです（改行加えてます）。
YToyOntzOjg6InVzZXJuYW1lIjtzOjg6InRlc3R1c
　2VyIjtzOjg6InBhc3N3b3JkIjtzOjg6InRlc3QxMjM0Ijt9

これが配列の中身です。

array(2) {
　　["username"]=>
　　string(8) "testuser"
　　["password"]=>
　　string(8) "test1234"
}

serendipityの自動ログインが危険！

nospam@example.com (MS-K) — Wed, 10 May 2006 15:36:00 +0900

yohgaki's blogさんで取り上げられていましたので、さっそく自分のところも修正しなければ。
って、自分で調べてわかるだろうか、心配です。
っつーかどのファイルだこれ？
それを探すのが先決でした(^^ゞ grepしたら出てきました。
/include/functions_config.inc.phpですね。

問題：以下のコードはセキュリティ上大きな問題となる脆弱な処理が含まれています。セキュリティ上のベストプラクティス、他の自動ログインの実装方法と比較し、以下のコードの脆弱性を詳しく述べよ。

どうもCookieの取扱いがまずいらしいですが、解答は次のエントリらしいので、期待とお願いの意味でもTBしとかなければ