2005-07-20 [長年日記]

_ [tDiary] CSRF 対策リリース

tdiary の CSRF 対策版がリリースされました。 詳細は「tDiary の脆弱性に関する報告 (2005-07-20)」や「tDiary 2.0.2、2.1.2リリース」をご覧ください。

なお、

なお今回、標準のプラグイン集には含まれていませんが、ユーザが比較的多いと思われる image_ex.rb プラグインにも修正が入っています。ただ、作者の shimoi さんに連絡がつかないため、正式なリリースができません。

image_ex.rb ファイルのみ、contrib パッケージに同梱する形で配布していますので、image_ex をお使いの方は、contrib/plugin/image_ex に入っているファイルと置き換えてください。

という話もありますので、image_ex.rb をご利用の方はご注意を。

このエントリーを含むはてなブックマーク 

_ [tDiary] tDiary.Net の CSRF 対策

CSRF 対策版 tDiary のデフォルトの設定では、referer を送らないブラウザを使うユーザは CSRF 対策の設定の変更がブラウザ経由でできないため (もちろん設定ファイルを直接編集するという手段も使えないため)、tDiary.Net ではユーザ自身が設定するまでは「リファラチェックが通らなくてもキーチェックが通れば許可する」という設定にしています。

もちろん、CSRF 防止キーは各ユーザごとに別のものにしてありますので、くれぐれも悪いことを企まないように。

このエントリーを含むはてなブックマーク 
[]
トップ «前の日記(2005-07-19) 最新 次の日記(2005-07-21)»
Creative Commons License
この日記の本文は、クリエイティブ・コモンズ・ライセンスの下でライセンスされています。
本文以外の著作物(画像、動画、引用部、コメントなど)は、それらの著作権保持者に帰属します。
This Diary is Running on tDiary.Net 2nd. Powered by fdiary.net and netforest.
Generated by tDiary version 2.3.0.20080805
Powered by Ruby version 1.8.5