ホーム > タグ > セキュリティ
セキュリティ
Firefox で特定のページの特定の箇所から特定のページにリンクしたとき「一部だけ暗号化されていない」という状態になる
何かよく分からない事象にハマってます。
もし原因や解決法などをご存知の方が居ればぜひ情報を……。
- 同一ドメインにおいて(仮に「http://www.hoge.jp/」とします)
- Firefox で保護されていない特定のページ(「http://www.hoge.jp/〜」)から保護されている特定のページ(「https://www.hoge.jp/〜」)へリンクしたとき
- 「一部しか暗号化されていない」という状態になる
- そのページをリロードすると、その事象は解消される(すべて保護されている状態になる)
- 同じリンク元ページの別の箇所から、まったく同じ URL にリンクしても、上記のような事象は発生しない(すべて保護されている状態になっている)
- リンク先 URL を直接入力したり、他のページからリンクしても、やっぱり事象は発生しない
- つまり、特定のページの特定の箇所にあるリンクでのみ、事象が発生している(再現性あり)
- IE、Safari、Google Chrome といった他のブラウザでは特にそういったことは起こらない
- 逆に Opera では、どの保護されていないページ(「http://www.hoge.jp/〜」)からであっても、保護されているページ(「https://www.hoge.jp/〜」)へリンクした場合、「保護されてはいません」となる
- Opera の場合、Windows ではリロードすると解消される(保護されている状態になる)が、Mac だとリロードしても解消しない(URL を直接入力してもダメ)
- このサイトは PHP で構築されていて、ファイル名によって「http://」と「https://」を 302 リダイレクトで切り替えている(「info.php?〜」なら「http://」、「edit.php?〜」なら「https://」という具合)
という感じです。
もう、まったく意味が分からないんですけど……。
WordPress を安全に使いたければ今すぐ 2.8.4 へアップデートを!
- 2009 年 9 月 7 日 6:43 PM
- WordPress
btmup 関連のサイトに使ってる WordPress のバージョンを、2.8.4 に上げました。
何だか今回のバージョンアップはこれまでのものと趣が違ってますね。
WordPress 公式ブログの記事を筆頭に、色んなところで「安全に WordPress を使いたかったら一刻も早く 2.8.4 へアップデートしなさい!」的な記事がアップされています。
- WordPress | 日本語 » WordPress を安全に使い続ける方法
- 警告! WordPress旧版は簡単に乗っ取られる―即刻アップデートを
- WordPress 2.8.4未満を使用している場合は要アップデート | コリス
- 『WordPress』旧版にワーム感染のおそれ – japan.internet.com Webテクノロジー
上記の記事で紹介されているところによると、以下のような点に注意すべきとのこと。
あなたがWordPressのユーザーなら次の2点に注意すること。ブログが乗っ取られている証拠だ。
まず、パーマリンクに奇妙なコードが付加されている。たとえば、
example.com/category/post-title/%&(%7B$%7Beval(base64_decode($_SERVER%5BHTTP_REFERER%5D))%7D%7D|.+)&%/.
キーワードは“eval”と“base64_decode”だ。
第2に、「隠されたバックドアー」に注意すること。不審な管理者が設定されていないかチェックする。“Administrator (2)”や見慣れない名前の管理者が登録されていないか調べること。
いつもは「バージョンアップしましたからアップデートしてね」くらいの、単なるプレスリリースでしか無かったと思うんですけど。
今回はそれだけ危ないセキュリティホールが見つかったということなんでしょうか。
まぁよく分からないんですが、放ったらかしにしとくのも怖いのでとりあえずアップデートしといた方が良いでしょうね。
2.8 に上がってからだいぶ時間も経ってますから、「プラグインが効かない!」なんてことも少ないかと。
(僕のは今のところ大丈夫っぽいです)
あ、アップデートするときはバックアップをお忘れなく。
タカをくくったときほど事件は起きたりしますから。
»WordPress のバックアップ – WordPress Codex 日本語版
それでは皆様、ご安全に!
−+−+−+−
「2.8.4 にアップデートしないことがどれだけ危険か」ということを切々と書いている WordPress.org のブログですが、ソースを見たら衝撃の事実が。
なんと、バージョン 2.6 !!
こういうのを見てしまうと、どれだけ力説されても説得力に欠けますよね……。
なんだかなぁ……。
ちなみに、本家の方のバージョンは「WordPress 2.9-rare」でした。
何だ、「rare」って。
ホーム > タグ > セキュリティ
- 書いてる人
-
- kbysbtmup
サラリーマンデザイナーやってます。
Follow @kbysbtmup
- 検索
- 最近の投稿
- カテゴリ
- スポンサードリンク
- Facebook ページ
-
- kbysbtmupの本棚
- タグクラウド
- (X)HTML
- .htaccess
- 301
- 505
- :nth-child
- a-blog cms
- about:config
- Acrobat
- ActionScript
- Adobe
- AdSense
- Amazon
- Analytics
- Android
- Apache
- Apple
- AR
- area
- AS2
- AS3
- ASP
- BackType
- border
- Broken Link Checker
- Calc
- canonical
- CGI
- Chrome
- CMS
- CMS Designer
- col
- colgroup
- Cookie
- CS
- CSS
- CSS3
- CSS Naked Day
- CSS Nite
- CSSスキン
- Cyberduck
- date
- Dell
- Digg
- dom.max_script_run_time
- Dreamweaver
- Dropbox
- Duplicate Post
- EC
- Excel
- Feed
- Fetch
- Firefox
- Fireworks
- Flash
- float
- Flutter
- font-family
- FTP
- Gmail
- GMT
- Google Analyrics
- gzip
- HTML
- IE
- IE6
- IE7
- Illustrator
- Intel
- Internal Server Error
- iPhone
- JavaScript・jQuery
- Jimdo
- jpg
- jQuery
- kindle
- line-height
- Linux
- Live Search
- Mac
- Makeshop
- meta
- Movable Type
- MovieClip
- MySpace
- MySQL
- Office
- OOo
- OpenOffice.org
- Opera
- OSX
- parent
- permanent
- PHP
- phpinfo
- phpMyAdmin
- PLESK
- png
- Prototype
- psd
- query_posts
- Reader
- Redirect
- rel
- Rewrite
- RewriteRule
- RSS
- Safari
- Screengrab!
- SEO
- Shift-JIS
- Simple Tags
- Smashing Magazine
- SNS
- SOY CMS
- SSH
- SSL
- strtotime
- styleswitcher.js
- sub
- sup
- table
- table-cell
- TechCrunch
- The Times
- TinyMCE
- Top Level Categories
- UI
- UIScrollBar
- UNIX
- Untitled
- URL
- URL正規化
- UTF-8
- vertical-align
- Vicuna
- Vitroperlo
- Wasabi
- WCAG
- WebRelease
- Web担当者Forum
- Wikipedia
- window.close()
- Windows
- WordCamp
- WordPress
- WP-DB-Backup
- WP-PageNavi
- XFBML
- XOOPS
- XOOPS Cube Legacy
- Xperia arc
- XSS
- Y-Combinator
- Yahoo!
- yuga.js
- ZIP
- あわせて読みたい
- すき間
- つぶやき
- とんぼ玉
- はてな
- はてブ
- アイコン
- アイレップ
- アクセシビリティ
- アクセス解析
- アップグレード
- アップデート
- アップロード
- アドオン
- アナログ
- アプリ
- アラーム
- アンチエイリアス
- アーカイブ
- アート
- エディタ
- エラー
- エンコーディング
- オフィス
- オプション領域
- カスタムフィールド
- カスタム検索
- カテゴリー
- カバレッジ
- キャスト
- キャッシュ
- キャンペーン
- クエリ
- クリア
- クリッカブルマップ
- ケース
- コメント
- コンパイルエラー
- サーバー
- システム環境設定
- シンボリックリンク
- スクリプト
- スクリプトエラー
- スクロールバー
- スタートアップ
- スティーブ・ジョブズ
- スマートフォン
- スライダー
- セキュリティ
- セキュリティアップデート
- ソーシャルメディア
- ダミー
- テキスト
- テンプレート
- テーブル
- テーマ
- ディレクトリ
- ディレクトリ名
- デザイン
- デジタル
- データベース
- データ移動
- トラッキングコード
- ドメイン
- ドロップシャドウ
- ネスト
- バグ
- バックアップ
- バージョン
- バージョンアップ
- パス
- パスワード
- パソコン
- パフォーマンス
- ビジネス
- ビジュアルエディタ
- ピンタレスト
- ファイル
- ファイルサイズ
- ファイル名
- ファンページ
- ファーストサーバ
- フォント
- フレームアクション
- ブックマーク
- ブラウザ
- ブログ
- ブログパーツ
- プライバシー
- プラグイン
- プリンタ
- プロパティ
- ページ設定
- ポール・グレアム
- ムービー
- モバイル
- モーショントゥイーン
- ユーザビリティ
- ライブラリ
- リスト
- リダイレクト
- ルート設定
- ロゴ
- ロフトワーク
- ロールオーバー
- ワークショップ
- 一発太郎
- 一覧
- 上書き保存
- 並べ替え
- 京都
- 偶数
- 入れ子
- 共同募金
- 共有
- 円マーク
- 出版
- 分岐
- 初心者
- 別ウィンドウ
- 制作
- 勉強会
- 動画
- 印刷
- 同期
- 告知
- 圧縮
- 外部テキスト
- 外部ファイル
- 大阪
- 奇数
- 実体参照
- 寄付
- 専用サーバー
- 属性
- 広告
- 感想
- 投稿
- 拡張現実
- 支援金
- 改行
- 文字コード
- 文字サイズ
- 文字化け
- 文字参照
- 日付
- 日本語版
- 暗号化
- 曜日
- 書き出し
- 書籍
- 本
- 正規表現
- 水都
- 津田大介
- 添付
- 独自拡張
- 産創館
- 画像
- 目標
- 素材
- 美術
- 義援金
- 背景画像
- 芸術
- 表
- 表現
- 表組み
- 裸の日
- 複製
- 記事
- 記号
- 誤報
- 読書
- 警告
- 配布
- 関数
- 階層
- リンク
- フィード
- メタ情報