ヌークレウス配布所@2ch内検索 / 「セキュアなプラグインの作り方」で検索した結果
-
セキュアなプラグインの作り方
プラグインの持つセキュリティ問題 クロスサイトスクリプティング(XSS) SQLインジェクション 外部リンク jun氏のサイトNucleusの使い方(仮) http //nucleus.mz-style.com/?に、セキュアなプラグインの作成についての覚書としてまとめられています。jun氏、有益な情報ありがとうございます。 目から鱗 w/SQLite » PHP のセキュリティーに関する考察 http //kandk.cafe.coocan.jp/nucleus/index.php?itemid=220#more 上記講座のチェックシート http //www.ipa.go.jp/security/awareness/vendor/programming/a_check.html だとか - プラグイン制作でハマッたよ http //nucleus.d... -
メニュー
... 参考リンク セキュアなプラグインの作り方 プラグインの使い方 forum最新記事 showrss プラグインエラー RSSが見つからないか、接続エラーです。 @wiki FAQ http //faq.atwiki.jp/? @wiki 初心者講座 http //www1.atwiki.jp/faq/? @wiki マニュアル http //doc.atwiki.jp/? @wiki 便利ツール http //atwiki.jp/tools/? @wiki http //atwiki.jp? rss1.0 http //www16.atwiki.jp/nu_cleusu/rss10.xml? -
プラグイン
各プラグインに関する情報やファイルのアップロードなど。 非公開プラグインの補完 セキュリティ対策 セキュアなプラグイン作成及びハックへの手引き すでに入手不可能なプラグインを代用出来るような日本以外のプラグイン その日本語化や説明 など出来たらいいんじゃないかと考えてます。 暫定ダウンロード とりあえずは 再配布目的ではなく、セキュリティ系の改変を行ってもらえる人用に各々最新版(であろう)の プラグインを置いておく。 ダウンロード目的ではないので詳しい説明等は現在明記しない。あまり検索とかにもかかって欲しくないので。 各自 非公開になってしまった プラグインの最新版を持ち寄っていただければ幸いだ。 なお ファイル添付の方法や リンクの張り方は 情報交換BBSあたりで議論されているので 参照されたし。 セキュリティ対策(ここ大事!) jun氏のサイトNuc... -
チラ裏
...のかもわからない セキュアなプラグインの作り方のPHPとMySQLのセキュリティ対策−覚書 http //nucleus.mz-style.com/?を読む。 風邪引いて頭いたいので寝る。今日はここまで。 スーパーグローバル変数を探せ 喉が痛くて目が覚めてしまった。 junさんによると 1. 「$_」で検索をかけて、外部から受け取ったデータ(変数)を確認し、その後どのように使われているかを追跡する。ソースのメンテナンスのことを考え、外部から受け取ったデータ(変数)については、直後にエスケープすることを心がける。 2. データベース利用時にWHERE節などにおいて変数を直接使う場合や、HTML表示時に a href /a や form /form 内などにおいて変数を直接使う場合、それぞれの変数がエスケープされているかどうかを確認。 エ... -
プラグインの使い方
プラグインの使い方 サイト閉鎖とともに失われたドキュメントの補完を目指すプロジェクト。 NP_MultiBlogs NP_TopBlogs? NP_Fix? NP_SearchEX? NP_CT? NP_SC? NP_Word? NP_MemberControl? NP_Database? NP_View? NP_Analyze? NP_CreateAccount? NP_Mobile? NP_MultiTags NP_Group? NP_Commerce? NP_Headlines NP_EzComment? NP_Antenna? アイテムを一括印刷する方法 -
現在の状況
解説 事の発端 発端となったのは公式フォーラム、8月27日の投稿。kosugiatkips氏より、「これらのプラグインには脆弱性がある。アンインストールすべき」と、特定のプラグインを名指しで脆弱性情報公開。 「先に作者に知らせるべきでは」との意見が上がったが、「コアじゃないから外した方が手っ取り早いし安全。アイテム(コンテンツ)が失われるわけではないから、なんとでもなる。外せないようなプラグイン入れるときは事前に注意深く検証すべき」と突っぱねる。しかし現実的には専門的な検証技術を持たないNucleusユーザ(CMSユーザ)も多い。外したくても外せない構成のサイトもあるだろう。このため議論はやや紛糾傾向で進行する。 経過 8/30 - 報告者であるkosugiatkips氏により、新トピック「セキュリティクイズ」が立てられる。意図が分かりにくいという指摘を受け、やや紛糾。... -
トップページ
まえがき このサイトは、セキュリティホールなど諸般の事情(現在の状況参照)により公開が停止、または配布元が閉鎖されたため入手できなくなったNucleusプラグインをなんらかの形で復活すべく設置されました。「ヌークレウス配布所」というサイト名ではありますが、当然ながらNucleusそれ自体を配布するわけではなく、失われたリソースの補完を主な目的とするものです。本件は、様々な視点による深い考察が必要です。PHPに詳しい方・セキュリティに詳しい方・プラグイン製作経験のある方・そしてNucleusを愛してやまない方々の協力を求めています。 現在まだ運営方針は固定してませんが、当面の目標は該当プラグインのセキュリティホール対策。チェックが済み次第、順次配布を再開する予定です。生みの親である作者より開発を引き継ぎ、内部構造をリストラクチャし、より優れたプラグインとして成長させるビジョンも提案... -
情報交換BBS
情報交換用BBS 2chの方で 意見交換は事足りると思うが とりあえず予備の場所ということで。 br()wikiの使い方わからんので とりあえず コメントプラグインを使ってみたが もし 機能追加でもっといい物があれば だれか差し替えて欲しい。 br()以上 -- toma (2006-09-23 16 18 14) tomaさん、ありがとう! br()プラグインなどのアップローダ作りたいんだけどどーすればいいかな? br()アップローダというかプラグインの解説なども含めたプラグイン紹介と更新の追跡も含めて考えたいんだけど。 -- ura (2006-09-23 16 44 21) ちょっと調べてみるわ。 br()今 1Mまでなら アップロードできそうな機能を見つけたんだが 使い方がわかんないのでもうちょい調べてくる。 br()プラグインのファイルって でかくても 1M... -
自分で行うサーバーセキュリティチェック
以下の項目を徹底的にチェックしてください。 第1段階 (1-1)Nucleus をインストールしているディレクトリに見覚えの無いファイル・ディレクトリが無いか (1-2)設定した覚えの無いパーミッションになっていないか (1-3).htaccess ファイルの内容を再度確認してください Alias系 Redirect系 mod_Rewrite ぜんぜん知らない、または見に覚えの無いディレクトリが指定されていないか FancyURL 用の拡張し無しファイルが書き換えられていないか (index.php においてあるものだけでなく、・・・extra/fancyurls ディレクトリ内のものも) 見に覚えの無いプラグインがインストールされていないか 第2段階 (2-1)http サーバのログが見れる人はおかしなアクセスが無いか (... -
情報交換BBSⅡ
つぅことで 前スレ 情報交換BBS?が 長くなって見にくくなってきたので新スレ立てました。 br()話変わって、仕事の休み時間に Nucleus jp forumを携帯で読んでたら 藤崎さんの発言に「裏ヌー」の文字があって すんげぇびっくりしてさ。 br()んで 帰ってきたら なんと テスト用BBに登録までしてもらってて うれしいやらびっくりするやらw br() br()で またまた話は変わるんだが。 br()現在のここの状況だと だれでも書きかえられちゃうから プラグインを差し替えられたりとかする可能性とかもありうるよね。 br()更新状況を逐一監視してて 下メニューの差分も定期的にチェックして 不正な差し替えは手動で元に戻すことはできるけど。 br()それを 誰がやるんだって話だよね(笑) br()で ひとつの案として 管理人さんしか編集できないページを作って 管理人さんがそこに 各種... -
NP_Headlines
スキン記述方法 パラメーターを付けずに、 %Headlines% とスキンに書いた場合は、カレントブログの最新10件を以下の様に表示します。カテゴリーが選択されている場合は、このプラグインの表示も同カテゴリーに絞り込まれます タイトル1 [2005-05-03] タイトル2 [2005-05-02] タイトル3 [2005-05-01] タイトル4 [2005-04-30] タイトル5 [2005-04-29] タイトル6 [2005-04-28] タイトル7 [2005-04-27] タイトル8 [2005-04-26] タイトル9 [2005-04-25] タイトル10 [2005-04-24] パラメーター指定方法 %Headlines([テンプレート],表示数,カテゴリーモード,ブログモード,iteminfoタイプ,カテゴリーIDの省略)% 例(テン... -
NP_MultiBlogs
非常に多機能なプラグインで、各種ページスイッチに対応しており、 %blog% %item% %searchresults% と完全に入れ替えることができます。また、 %prevlink% %previtemtitle% 、 %nextlink% %nextitemtitle% については、アーカイブスキン以外において完全に入れ替えることができます。 【A.基本的な使い方】(basic type index or archive skin) lt;%MultiBlogs([テンプレート], [アイテム], [ブログ], [ページスイッチ], [ソート], [カテゴリー])% gt; lt;%MultiBlogs([$template], [$items], [$bmode], [$bpage], [$msort], [$mcat])% gt; [使用方法] ... -
ご意見BBS(仮設)
ご意見BBS どうも 掲示板を PHPBBにしてから名無しさんの書き込みが激減した気がするんだよね。 br()たぶん 敷居が高いとか 使い方わかんねぇとか 新着が見にくいとかの事情もあるだろうし はたまた 「話が難しくなりすぎて 気軽に書き込めねぇよ」ってのもあるかも知れん。 br()結局 高機能な掲示板を設置したところで 投稿がなければ 意見もあつまらないし そのまま 自然消滅にもなりかねないんだろうなって ふと危機感を覚えた訳。 br() br()で 仮設だけど 掲示板復活してみた。 br()ただ 以前のと違って 最新レスが20件表示されるだけで 全ログは別ページに保存されるから 少し見やすく、使いやすいんじゃないかと思うんだけど。 br() br()あっちに書くほどの事じゃないんだけど ちょっと言いたいような事あれば 遠慮なくここに書いとくれ! br() br() -- (t... -
NP_MultiTags
スキンでの利用 タグリスト機能 タグリスト機能の使えるページ メインの目次ページ 個別アイテムページ アーカイブページ アーカイブ一覧ページ 検索ページ %MultiTags([$template], [$mitem], [$mblog], [$mswitch], [$msort], [$mcat], [$mlevel])% [$template] 「A/B/C/D」という形式で記入 テンプレート…「A」→「tag」 「meta keywords」文作成 …「A」→「meta」(※バージョン2.12より) HTML指定…「B」→「空白」「ol」「ul」 文字サイズ変更しない…「C」→「空白」 文字サイズ変更(※倍率の数字を指定)…「C」→「1」や「0.5」 文字サイズ変更:件数表示・カテゴリー名もサイズ変更…「D」→「空白」 文字サイズ変更:件数表示・カテゴ... -
コメントログ
書き込みはご意見BBS(仮設)から どうぞ。 どうも 掲示板を PHPBBにしてから名無しさんの書き込みが激減した気がするんだよね。 br()たぶん 敷居が高いとか 使い方わかんねぇとか 新着が見にくいとかの事情もあるだろうし はたまた 「話が難しくなりすぎて 気軽に書き込めねぇよ」ってのもあるかも知れん。 br()結局 高機能な掲示板を設置したところで 投稿がなければ 意見もあつまらないし そのまま 自然消滅にもなりかねないんだろうなって ふと危機感を覚えた訳。 br() br()で 仮設だけど 掲示板復活してみた。 br()ただ 以前のと違って 最新レスが20件表示されるだけで 全ログは別ページに保存されるから 少し見やすく、使いやすいんじゃないかと思うんだけど。 br() br()あっちに書くほどの事じゃないんだけど ちょっと言いたいような事あれば 遠慮なくここに書いとくれ!... - @wiki全体から「セキュアなプラグインの作り方」で調べる