- Trackback の脆弱性についての勧告
- http://blog.bulknews.net/mt/archives/001165.html
JavaScriptを使って,不特定多数のクライアントマシンからPINGを送られる危険性がありますよ,ということのようだ。特定のBlogに向けた悪意のあるコードをCSS対策されていない掲示板などに置かれると,DDoS攻撃の踏み台に使われてしまうなあ。
JuNyaさんのエントリ(http://www.junktest.net/zope/junya/353)にCOREBlog用のパッチがあり,このパッチは十分に有効であります。宮川さんのエントリでいうと3と4の対策の合わせ技。PINGのリクエストは普通Blogツールなりクライアントから送信されるので,リファラ情報がついたリクエストはありえない。また,同様にWebブラウザ経由のリクエストであることを強く連想させる"Mozilla"を含むユーザーエージェントから送られてくる事はない(IEのUAにもMozillaが含まれている)。というような2つのルールを設けているようです。
1は実装が大変な割には有効性があんまりないので-1,2は宮川さんのエントリにも書いてあるけど,PINGのURLと送信もとのリモートホストは必ずしも一致しないことがある。CNet Janapの記事にトラックバックを送る事が出来ますが,URLチェックの制限がかかっていたためココログからのPINGを受けられなかった,ということがありましたね。PyCS/PyDSなんかも,リモホとURLの整合性がとれない。あとBlogクライアントからPINGを送る場合もそうだな。
態度的には5が一番前向きなのかな。
8月13日にJavaScriptのコードが公開されるとの事。COREBlogは明日かあさってくらいに0.74bリリースでしょうか。
