09 (Mon) 20:34 [Blog]

から続いているトラックバックスパム対策。コメントなどで周りのBlosxomなサイトの方々のお話を伺っていたわけですが、うちの対策としては「カンガルーオアシス :: 当サイトの当面のスパム対策」で書かれている対策を、そのまま使わせて頂く事としました。具体的には、新たにhail2u.net - Weblog - blosxom starter kit #20で公開されているwritebackのコメントスパム対策部分を追加して、トラックバックスパム対策部分の「正規表現"^Mozilla/"にマッチするUAは拒否」の部分を削除という事です。（#19で追加されたサニタイズ部分は、既に実装済み）

私自身で対策を考えるという知識がありませんので偉そうな事は言えませんが、実際問題、何が一番いいのかよくわかりません。しかし、攻撃コードが公開されると言われれば、どこかのおバカさんがイタズラ半分で何かやらかす可能性もありますので、何かしら対策は施しておきたいとは思いますし、かと言って、パッチにある通りをすべて適用すれば、周りの方々で送信できない方々を多数出てしまいますので、それも避けたいと思っていました。しかし結局の所、私の実力では何かを作り出す事も解決案を考え出す事もできず、困っていたのが正直な所です。そこで、カンガルーオアシスさんの考えを採用させて頂く事にしました。これならば、送信できないでいる方も、「カンガルーオアシス :: 当サイトの当面のスパム対策」で紹介して下さっている、TrackBack Ping 発射台、もしくはBlogPeopleで配布している更新ping（Track back）送信ツール「ぶろっぐぴんぴん」でも送信可能なので、現段階でのTrackback受け入れ方法としては最善策かなと思っています。

まとめてみると、トラックバックスパム対策としては、

リファラがついているのは拒否
ASCIIのみは拒否（#20で追加された対策部分。トラックバックにも有効）

という事になります。

追記：
攻撃コードは公開しないという事になったようです。.....ウーン、なんでわざわざ公開するんだろうとは思っていたんですけどね。こうなってくると、リファラがついているトラックバック拒否も必要ない気がしてきました。が、とりあえずココははずさないでおきます。

Permanent link Same Topics TrackBack (1) Comments (12) Edit

breadcrumbs list Top > Blog > Trackback spam #2

« Blosxomグッズ | parmalink paging | 始めてのチュー »

ads

Related goods

TrackBack URI for This Entry

TrackBacks

from Ck2 Blogger at 2004/08/10 (Tue) 20:22:47

ぶろっぐぴんぴんからトラックバックテスト........ ぶろっぐぴんぴんからトラックバック。ちゃんと届くかな？

Comments

Posted by color99 at 2004/08/09 (Mon) 22:21:40

#19以降で実装されたサニタイズも実装しておかないとＸＳＳ脆弱性なる物が残ってしまいます。

Posted by きゃー at 2004/08/09 (Mon) 22:54:42

あ、kyoさんのwritebackには既に施されていたので追加していませんでした。
が、その旨、書いておかないとマズイですよね。追記します。

Posted by color99 at 2004/08/09 (Mon) 23:22:29

特定のURL以外のリファラを送信してきたコメントの投稿は拒否　は入れてありますか？　これは私が少し前に実験してた内容でして、kyoさんに入れてほしいと要望したんで＃２０で始めて導入したんじゃないかと思いますので、入ってないのでは？
＃２０の１００??１１０行目です。
そちらでもそのまま使えると思います。
弊害はなく、リファラを偽られない限りは強力に効くと思います。

Posted by きゃー at 2004/08/10 (Tue) 00:00:34

はい、#20で追加されているコメントスパム対策部分はすべて追加しました。この対策があれば、コメントスパム対策にも苦労しないで済みそうですね♪color99さんがお願いされたんですか！ありがとうございますー！頂くばかりでなんだか申し訳ないです。（;´Д｀）

Posted by color99 at 2004/08/10 (Tue) 09:22:36

トラックバックスパムの関係で、どうも今後スパムが増えてきそうな予感がしたので、私のような物が公開してる対策なんかでは、内容と対策公開時間の点で、対応しきれないと判断しましたので、kyoさんダイレクトにメールで、スパム対策は公共性が高いので、最低限の物はしっかりと力を持つ人が提供してほしいみたいな事を...言っちゃいました。
そしたら、「面倒なんで...」という返事ではなく、快く受けていただけました。その際、私の方法も紹介しておいたんで、それをもっとすっきりした形でインプリしていただけました。　うー、やっぱりkyoさん、すごい。

Posted by きゃー at 2004/08/10 (Tue) 10:35:02

そうだったんですかー。color99さんの勇気に感謝だー！
kyoさんてやっぱり凄い人なんですねぇ。まさにカリスマですね。
印象的な話になっちゃいますが、「これこれこうだから、まぁ適当にどうぞ。」みたいなクールな雰囲気がありながらも、実は寛大っぽくてやる事はしっかりとやって提供して下さる所がすきです。（笑）

Posted by ハヂメ at 2004/08/10 (Tue) 17:01:02

color99さん、kyoさん、カコイイ…
人生の目標にします

Posted by color99 at 2004/08/10 (Tue) 22:03:04

ｔｏ：　キャーさん
kyoさんは、専門知識高いので、必要性とそれにかかる時間なりパワーを的確に把握されて、判断されていると思うので、基本的にはそれを尊重しています。
でも、カリスマは横暴と紙一重なんで、納得出来ない時なんかはしつこく聞いたりしてます。私の場合、あつかましいだけという気もしないではないです。

ｔｏ：　ハヂメさん
恥ずかしいんで、勘弁して下さい。
暇が有ったら、私のサイトにも来て何か書き込んでいって下さい。
いろんなサイトでいろんな人と会話するといろいろ得るものあると思いますよ。
そうやってコミュニケーションを広げていって、いろんな人のいいとこも悪いとこも知った上で、いろんな判断をする様にしたらどうでしょう。

Posted by きゃー at 2004/08/10 (Tue) 23:24:21

color99さんの、そういう納得いかない時は納得いくまでって姿勢は、なかなか出来るものでもないので、すごい事だと思いますよ。私だったら、尻込みしてできないし。
ハヂメさんの気持ち、私もよくわかります。そういう姿勢は見習いたいなぁ。

Posted by ハヂメ＠Hajime ONLINE at 2004/08/11 (Wed) 03:48:52

＞color99さん
うーむ，なるほど…。そうですよね。
いい言葉をいただきました。ぐっと来ました。ありがとうございます☆
良かったらcolor99さんのサイト，リンクさせてくださいー(^-^)
ことあるごとに書き込ませていただきます(^O^)
＃あっ，ところでRSSがパースエラーみたいですが…半角の「＆」のせいでしょうかね？

＞きゃーさん
なんと言いますか，すばらしい出会いの場をいただけたという感じです☆

Posted by color99 at 2004/08/11 (Wed) 09:33:41

えーと、なんか本題とは違う話になってるんで、このあたりで終わりにしません？

でも、１点だけ。
RSSエラー出てましたね。ご指摘のとおりで、直しておきました。
ハヂメさん、ありがとうございました。
それと、リンクや書き込みは歓迎です。

Posted by きゃー at 2004/08/11 (Wed) 14:48:37

では、---------------終了---------------------って事で。（笑）