PolyMoNote Developer
PolyMoNote開発サイドの情報の発信場
Diary/20120815
ver.0.9.32β@アップデート
先日、久しぶりに"PolyMoNote"のアップデート版を公開しました。
アップデート内容について詳しくは、こちらのリリース情報を見てもらうとして、重要度の高い変更としては、"index.php"で行っていた主だった処理を別ファイルに移して、"index.php"のソースは必要最小限にしたことでしょうか。
これは数ヶ月前に話題となった"CGI版PHPの脆弱性"の問題をうけて、修正することにしたものです。
脆弱性についての詳しい内容は、リンク先の記事を読んでみてください。
ちなみに、この脆弱性の問題はCGI版でのことで、"Apacheモジュール"や"FastCGI"で動いている場合は、その影響はありません。
正直、スクリプトサイドでできる対策はないんだけど、メインのスクリプトに記述するソースを少なくすることで、もしソースが覗かれても見える範囲はほとんどないに等しいので、少しはマシになるかなぁと。
PolyMoNoteのベースとなった元々のWikiエンジンが、メインのスクリプトに結構処理が集まっていて、PolyMoNoteでもそれを引きずっていたんだけど、前々からメインスクリプトは必要最低限のソースにして、インクルードする下位のスクリプトに移行させたいと思いつつ、ついそのままになっていたんですよね。
まぁ、気休め程度の対策ですけど。
この問題は、PHP側の問題で、スクリプトサイドからやれることが少ないというのが困り者ですね。
前述の紹介記事では、
当脆弱性は極めて影響が大きい反面、影響を受けるサイトは限られます。
とありますが、企業が運営しているネット向けサービスや公式サイト等でPHP製スクリプトを動かしているところは、"Apacheモジュール"で動かしているところが多いと思いますが、一般のお客さん向けのレンタルサーバの場合、意外とCGI版ってところがあるんですよね。
ちなみに、改変自体は結構前にしたのですが、もうひとつの改変のテストに時間を使っていたので、ちょっと遅れ気味になりました。