MT で nofollow プラグインを無効にすると危険 | 水無月ばけらのえび日記
セキュリティホールmemo (www.st.ryukoku.ac.jp)より、「Movable Type Security Bug (www.zackvision.com)」。MT 3.3 にクロスサイトスクリプティング脆弱性があるそうで。 MT に詳しいりゅうさん (rryu.sakura.ne.jp)に聞いてみたのですが、どうも設計に問題があるようですね。 MT では、コメントの設定で「HTMLの利用を許可」することができるようになっています。そのときは任意の HTML が書けるわけではなくて、ホワイトリストに無いタグを全て除去するというサニタイズが行われます。 ※ホワイトリストは自由に設定できますが、デフォルトでは a, b, i, br, p, strong, em, ul, ol, li, blockquote, preが許可されています。 ところが、その処理は何故か本体ではなく
[mixi]ダウンロード&簡単なカスタマイズのできる - Movable Type | mixiコミュニティ
はじめまして。 アフィリエイトのスクール・DVDによる 通信教育の会社を運営している者です。 会社のサイト⇒http://white--stone.com/ Movable Typeのダウンロード、簡単なカスタマイズが 問題なくできる方で、ダウンロード等の作業を 代行していただける方を募集しております。 スクールの生徒さん等、MTに興味があるけれど、 ダウンロードの手間を省いてすぐに始めたいという方が 増えております。弊社での対応が難しくなっておりまして、 代行していただける方を急募しています。 謝礼は、1サイトにつきいくら、という形で お支払いいたします。 (生徒さんの希望されるカスタマイズレベルによって 異なります。ご相談させてください。) ご興味のある方はmixiメールでご連絡ください。 その際に、今までに作られたMTのURLをいくつか お教えください。 ご不明な点などお気軽にお問い
hori-uchi.com: MT3.2をapacheのハンドラとして動かす
MT3.2をapacheのハンドラとして動かす MT3.2のユーザーインターフェースが秀逸だと聞いて、どうしても見たくなり、hori-uchi.comのMTを3.2へバージョンアップしてみました。 すると、数回アクセスすると、502 Proxy Errorが出るように。。 hori-uchi.comはフロントにApache2.0を置きここでhtmlなどの静的なコンテンツを処理し、バックエンドのapache1.3+mod_perlでApache::Registryを使ったCGIのエミュレート環境でMovableTypeを動かしています。 バックエンドへのリクエストの受け渡しはmod_proxyを使って行っています。 この構成の構築方法は Techknow Movable Type: Apache 2.0 mod_proxy によるリバース・プロキシの構築 に詳しく解説されています。 502の
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
世界の中の1%の人々へ: 今日の研究:Movable Typeにプラグインとして組み込んで使用するWYSIWYGエディター、Ajaxify: EnhancedEntryEditing日本語版公開
専門家は個人の責任で情報発信するな - void GraphicWizardsLair( void ); //
http://hxxk.jp/mt/2004/09/13/2105
