wiki相談所 - 1310213661 - したらば掲示板

100：wiki管理人 ◆aRmzD8Jm32：2011/08/25(木) 11:10:16: >>79
Refにこんなオプションがあったなんて…

懸念点というのは後ろの文から察するに
悪い画像をアップして踏み台にされちゃうかも、っていうことですよね

通常のRefプラグインの呼び出し方でも
<img src="ttp://loljp.net/wiki/index.php?plugin=ref&page=Champion%2FAkali&src=AkaliCrescentSlash.png">
などとimgタグに入れちゃえば呼び出せちゃいますし
直接アクセスを許可した場合のリスクはさほど変わらないんじゃないでしょうか

そもそもRefさえなんとかなれば直るのか、といった検証も兼ねて
ひとまずRefの直接アクセスオプションをTRUEにして試してみます
これがうまくいけばアイコン化もいらないかもですね
101：名無しさん：2011/08/25(木) 14:23:42: >>98
現テンプレを自分が作った記憶はございません

>>99
その通りです

誤解されるとあれなので弁解しておきますが
消した理由はテンプレに合っていないからではなくかなり昔の情報のまま更新されていないからです
半年(ドラン系+pot)や1年以上も昔(そのチャンプ実装当初等)の情報で書かれていて
大勢の人が見るからこそ正確な情報が必要では？
パッチに合わせてある程度更新されていればビルドページに移すのがベストだと思いますが
これだけ長期間の変更がされないという事は執筆者が既にプレイしていなかったり更新する気がない等
古い情報のまま執筆verもわからずずっとビルド例に残り
wikiのビルド例が役に立たないとよく耳にする一因にもなっていると思います

現在は執筆者やsolomidの翻訳者が少ないですが今後増えていった場合
greedplankのようにパッチによって終わったと明記されていればいいですが
既にいくつかある全く更新されないビルドページはどうする予定ですか？
他人が書いた物だから残しておきたいというのはわかりますが囚われすぎな気がします
102：wiki管理人 ◆aRmzD8Jm32：2011/08/25(木) 16:01:08: >>101
今回の削除については問題ないと考えてます
wikiのお知らせにも"削除したよ"と明記し"復活必要なら連絡してね"としました

古いビルドについては
埋もれてしまうほど増えたら消すなり移すなりすれば良いかなと考えています
判断基準として執筆バージョンを最上部に記述してもらうようにしていますが
記述されていないビルドも結構あるようですね…

今のところは各チャンピオンで数個程度ですのでいいかなとも思ってたんですが
見やすくするためにももう古いビルドを移動させても良いかもですね
503対応が落ち着いたら検討してみます
103：79：2011/08/25(木) 20:35:31: 危険性に関しては過去のpukiwikiの更新履歴及びその関連記事を漁って下さい。
簡潔に言えば脆弱性対策です。
添付時に簡易的にそれが画像かチェックする
改造ブラグインも有るので最低でも使うべきかと。若しくは添付
は認証必須とかドメイン制限とかそんな感じで色々対策すべきです。
ネットゲーム系のwikiにアカウントハック系のトロイとか張られたら
笑い者にしかなりません。

画像をひとつのページに沢山張らない(&出来るだけ小さく)という運営方針は
あった方が良いかと。張るとしてもnoimgオプションを出来るだけ使う、とか。

あと、検索botもバカにならないのでものによっては弾くのもあり(ﾊﾞｲﾄﾞｩとか)。
編集リンクとかはクロールされても無駄なのでrobots.txtで遠慮を
お願いする手も(当方のwikiのものを参考にした方が分かり良いかも)。
104：wiki ◆aRmzD8Jm32：2011/08/26(金) 08:14:16: うーん、少し調べたんですがRefのオプションによる脆弱性は見当たらなかったです
attachの脆弱性は出てきたのですが今回の話とは別物ですよね

一晩様子を見てみましたが503はほぼなくなったようです
やはりRefが原因のようでした
あとは脆弱性を調べて本対応をどうするか検討します

もしXSS程度の脆弱性なら簡易な対応でいいかなーとも考えてます
wikiにアクセスするとウィルスを仕込まれるといったレベルでなく
フィッシングサイトに誘導されるなどでしたら自己責任の範疇かなーと

利便性や管理の手間に影響が出るならば
多少の危険性は残っちゃっても仕方ないかなといった考えです
105：79：2011/08/26(金) 17:54:39: attachの(解決困難な)脆弱性を何とかする為の仕組みがrefの
あの仕様です(困難だからこそ根本的解決は添付禁止か管理人
限定にせよと開発側は主張している訳)。まあ普通のあぷろだも
同じ問題を抱えているので現状平穏な状況を踏まえれば気にし
過ぎと考える人も多いでしょうね。

wikiの運営ポリシーはそのwikiの人が決めるものですから私は
これ以上の主張はないです。

それで運用する場合はファイルやディレクトリの属性や鯖設定の
ディレクティブに十分注意して下さい。
106：wiki管理人 ◆aRmzD8Jm32：2011/08/26(金) 20:07:11: attachの脆弱性をある程度マシにしてるよ、ってオプションだったんですね
完全な対応は難しそうなので様子見つつ手の空いたときに改善していこうと思います
いろいろとありがとうございました
107：79：2011/09/08(木) 17:37:25: 少し話しに出したプラグイン改造ネタですが、その方面の話は進んでないように
見受けられたので暇を見て自分でやってみたものを公開しておきました。
興味があったら使ってみて下さい。検証は不十分なんでバグあるかもしれませんし、
現状に満足されているのであればこれを導入するとサーバ負荷が必然的にUPする
ことになる(未審査ファイルはrefプラグイン経由になるため)ので微妙かもしれませんけど。

ttp://z49.org/2011/09/08/530/
108：wiki ◆aRmzD8Jm32：2011/10/13(木) 15:26:24: もの凄く返事が遅れてすみません。
わざわざご用意いただきありがとうございます。

最近wikiの管理があまり出来ておらず半放置状態になってしまってます。
今導入しても運用できそうにないので申し訳ないですがしばらく見送ります。
落ち着いたら(といっても半年以上先になりそうですが)利用させていただくかもです。

せっかくご協力いただいたのにすみませんー。