CMS四天王のバリデーション状況を調査したところ意外な結果になった
バリデーションでSQLインジェクション攻撃をブロックしないCMSが多い ログインIDにおける典型的なSQLインジェクション攻撃として、'OR 1=1# をバリデーションがブロックするかどうかを確認しました。ログインIDとして許容される文字を見る限り、WordPress、Joomla、Drupalはブロックしそうですが、結果は下記の通りです。 WordPress: ブロックしない Joomla: ブロックする Drupal: ブロックしない MovableType: ブロックしない ということで、意外なことに、バリデーションでSQLインジェクション攻撃を止めるのはJoomlaのみという結果でした。 ログインIDにヌルバイトや改行が使えるCMSがある テストをしていてもっともびっくりしたことの一つがこれです。JoomlaとMovableTypeはヌルバイトや改行など制御文字がログインIDとして
第1回 Movable Type 4.1や4.2では、何ができるの? | gihyo.jp
本連載では、くれま先輩とほげ山くんの2人が、MT4.1を(4.2が正式公開された後は4.2を)使ったサイト制作を行いながら、制作の上で押させておきたいポイントや躓きやすい部分を取り上げ、実際に使えるTipsを紹介していきます。 はじめに 皆さま、はじめまして。フリーランスWebデザイナーの黒野明子と申します。Movable TypeをCMSとして使った企業サイトの構築をメインに、サイトの企画設計・デザイン・コーディングなどを日々行っています。 2007年06月05日にMovable Type 4.0公開ベータテストが開始されてからほぼ1年が経ちました。つい先日の2008年5月30日には4.2リリース候補版 (RC) 1 が発表され、正式公開の時期も近づいています。そんな中、4.0以上で追加されたさまざまな機能を活かして企業サイトを作成している方もいらっしゃいますが、「難しそう!」「テン
日本のコミュニティの意見を反映した「Movable Type 5」記者発表会レポート - ネタフル
2009年7月8日13時30分より大手町で行なわれている「Movable Type 5」記者発表会に参加しています。そのレポートをお届けします。 シックスアパート代表取締役 関信浩氏より本日の概要。 会見に先立ってタグを使いたい人には「#mt5press」「#mt5」を使ってください。実況中継するなど、自由にどうぞ。 手元にある飴は「シックスアパートの飴」です。食べたら美味しいです。 ブログはもともと個人の日記と認識されていた時もあった。企業がブログをする、ブログを使って行動的なことをするブロガーがいる、いろいろなことに使われている。ブログは開かれた誰にでも使えるウェブサイトの構築ツールと考えている。 企業のメディアブログも増えている。単純にニュースを出すだけでなく、記者が開設したり読者とコミュニケーションしたりブログが広く使われている。 そうした中でCMSとしての使われ方も広まっている。
AMN、iPhoneに最適化する「iPhoneテンプレート for MT」
アジャイルメディア・ネットワーク(AMN)とcrema designは5日、Movable TypeでiPhoneとiPod touchに対応したテンプレートを作成できる「iPhoneテンプレート for MT」を開発・公開した。 「iPhoneテンプレート for MT」は、Movable TypeのテンプレートにiPhone用テンプレートを追加することで、通常記事と同時にiPhoneやiPod touchに最適化した記事を出力できるというもの。テンプレートを活用した静的なHTMLを作成するため、ページ表示に余計な負荷がかからないという。 また、個別のブログ記事テンプレートは優先度の低い要素を取り除いた状態でHTMLを作成し、PC用Webページを閲覧するよりも動作を軽量化。加えて、横スクロールがほとんど発生しないようページを作成するしている。 今後はcrema designのWebサイト
Movable Type 4.15でRSS2.0廃止?
2024年2月1日 拙作プラグインの譲渡について 拙作のMovable Typeのプラグインを、株式会社ワールドイズマインに譲渡いたしました。 長きにわたり拙作のプラグインをご愛顧いただき、ありがとうございました。 Movable Type 4.15の開発が進められていますが、現状の最新βではRSS 2.0のテンプレートが廃止され、フィードはAtomに一本化されています。 この点をめぐって、MTOS-DEVメーリングリストで、議論が交わされています。 1.廃止の背景 MTOS-DEVメーリングリストによると、SixApartのByrne Reese氏から、RSS 2.0のテンプレートを廃止する理由として以下のことがあげられていました。 「Atomはインターネット標準であるが、RSSはそうではない」ということです。 We selected Atom because all things be
パソコンちょこっとメモ | Windowsユーザのためのちょっとしたメモです
※最終通知のお知らせ 管理番号:21SHA 株式会社セキュリティーポイントの青山と申します。 弊社はこの度、お客様の携帯端末よりご登録中のサイト運営会社様から依頼があり、ご連絡をさせていただきました。以前にご登録されましたサイトにおけます、ご使用についての有無を確認させていただきたいので至急ご連絡くださいますようお願いいたします。~~中略~~※尚、本通知は最終通告となります。身辺調査の開始、裁判費用等はお客様を含め、ご自宅・お勤め先・一親等の身内への満額請求となる場合がございます。 ご相談・大会手続等をご希望でしたら上記の依頼番号をご確認の上、本日営業時間内に至急ご連絡ご相談ください。 株 セキュリティーポイントTEL:03-6734-6931 担当:青山美紀 もちろん、身に覚えは全くありません。 迷惑メール・架空請求メールの類だと思われますが、 こういうメールをうけとったときに「このメー
1つの DB で MT4 を複数インストール
共有タイプのレンタルサーバなどを使っていて、1契約につき、DB が 1つしか使えないような場合ってよくあると思いますが、そこに例えばバージョンが異なる複数の M... 共有タイプのレンタルサーバなどを使っていて、1契約につき、DB が 1つしか使えないような場合ってよくあると思いますが、そこに例えばバージョンが異なる複数の MT をインストールして別々に使いたいなんてこともあると思います。 SQLite は別として、MySQL、PostgreSQL を使用して 1つの DB に複数の MT をインストールしようとすれば、テーブル名が同じになるのですべての MT から同じデータしか参照できません。この場合は、各 MT が生成するテーブル名がかぶらないようにして変更あげればいいわけですが、その変更方法をメモがてら紹介してみようと思います。 MT は、インストール時に 「mt_」 という接頭辞
WingMemo: サムネイルリストからブログ記事(エントリー)にリンクを張る (MT4用)
MT4サイドバーのサムネイルリストはデフォルトでは直接画像へリンクが張られています。それはそれでいいのですが、ブログの内容や方針によっては、画像ではなく、画像のあるエントリー記事へリンクを張りたいと思うことはありませんか。 これが実は出来るんです。MT4には「自動でサムネイルを作って、そのサムネイルから自動で記事へリンクを張る」機能があるんです。これには<MTEntryAssets>タグを使います。MTタグだけで実現できてしまうので、すごい便利です。 ■カスタマイズの前に…画像と記事の関連性について まずはおさらい。特定のブログ記事(エントリー)にどの画像が属しているのか知るためには、画像とブログ記事(エントリー)が何らかの形で紐付けられていなければならないのですが、MT4の場合はユーザーが自分で何かしなくても画像挿入時に実はもう既にちゃんと関連付けがされているのです。MT4になってから、
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
シックス・アパートに訊く、「Movable TypeをWindows Azureに対応させて分かったこと」
ゆっくり飛びすぎる戦闘機(動画)
http://biblion.org.uk/blog/post_37.html