• Trackback の脆弱性についての勧告
• http://blog.bulknews.net/mt/archives/001165.html

JavaScriptを使って，不特定多数のクライアントマシンからPINGを送られる危険性がありますよ，ということのようだ。特定のBlogに向けた悪意のあるコードをCSS対策されていない掲示板などに置かれると，DDoS攻撃の踏み台に使われてしまうなあ。

JuNyaさんのエントリ(http://www.junktest.net/zope/junya/353)にCOREBlog用のパッチがあり，このパッチは十分に有効であります。宮川さんのエントリでいうと3と4の対策の合わせ技。PINGのリクエストは普通Blogツールなりクライアントから送信されるので，リファラ情報がついたリクエストはありえない。また，同様にWebブラウザ経由のリクエストであることを強く連想させる"Mozilla"を含むユーザーエージェントから送られてくる事はない(IEのUAにもMozillaが含まれている)。というような2つのルールを設けているようです。

1は実装が大変な割には有効性があんまりないので-1，2は宮川さんのエントリにも書いてあるけど，PINGのURLと送信もとのリモートホストは必ずしも一致しないことがある。CNet Janapの記事にトラックバックを送る事が出来ますが，URLチェックの制限がかかっていたためココログからのPINGを受けられなかった，ということがありましたね。PyCS/PyDSなんかも，リモホとURLの整合性がとれない。あとBlogクライアントからPINGを送る場合もそうだな。

態度的には5が一番前向きなのかな。

8月13日にJavaScriptのコードが公開されるとの事。COREBlogは明日かあさってくらいに0.74bリリースでしょうか。