アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs
他のXoopsサイトとかXoopsの中の人とか (スコア:0)
で、この場合サーバー丸ごと迷惑かけちゃう事になるのでしょうか。
また気になるのはXoopsのモジュールが脆弱性を含み、SQLインジェクションのような問題をアプリケーション全体にもたらしている、という話を以前に人づてに聞いており、今回の事が
Re:他のXoopsサイトとかXoopsの中の人とか (スコア:1, 参考になる)
今回の件はXOOPSが標準で提供してるモジュールではなくて、XOOPSプロジェクトではない
外部の開発者が別プロジェクトとして提供しているモジュールの脆弱性によるもの。
はっきり言えば、その辺の"単体"で提供されるPHPプログラムが持つ脆弱性となんら変わりがない。
実際XOOPSがなくても、該当するファイルだけあれば穴が突けます。
SourceForgeが利用者の融通を利きやすくするためか、PHPの動作制限が緩い設定で
運営を行っていたので、それと相まって色々と出来てしまった。
だからPHPに関してだけだと、
・ユーザの持ち込むPHPスクリプトの全て
・サーバでのPHPの動作設定
の2点の見直しが必要なのであって、
"XOOPSが…"とか言ってると足元すくわれます。
ユーザの持ち込むスクリプトのチェックなんて全部は出来ないのが普通だと思うので
管理者の自衛策としては「PHP動作設定の再チェック」が重要。