今度こそ暫定リリース@人柱募集中
以下の内容はこちらに差し替えとなりました。
先日、脊髄反射でリリースしてやらかしたので、今度はしばらく寝かしてみました。寝かしてる間にドキュメントを整備して、正式版に昇格させようとも企んでいたのですが、書くべき内容がかなりあるので、結局ひとまずやっぱり暫定リリースです。ただし、前言は撤回で、次期正式リリース(多分0.9.10)は基本的にこのままのものにする予定(さらに仕様を変更したい箇所はあるのだけど、後回し)。
これは主に、これまでザルのまま放置していたセキュリティに関わる部分をマトモにしたつもりのものです。それまでは、認証の類は「通らば」だったので、まったく無頓着で放置していたのですが、前バージョン(とCookieManagerの改造)でそれなりにクリアになっちゃったので、さずがにそのままではまずかろうということで、それなりの対策を施してみた次第。
また、セッション機能を利用されない場合でも、いろいろと対策を講じてありますので有用なものだとは思います。
正式版ではないのでSourceForge.jpには置きません。以下からゲットしてください。また、まともなドキュメントはありません。不明点や苦情は、お手数ですがコメント欄や掲示板にてご連絡ください。
» pc2m-0.9.9.2.zip
重要な注意!
これまでのものと異なり、デフォルトではセッション機能は「ON」です。
で、パッケージに新たに加わっている「data」ディレクトリが、デフォルトのセッションデータの保存先です(場所や名前を変える場合はConfig.inc.phpで)。このディレクトリは書き込み可能である必要があるため、パーミッションを707とかにしてください。また、外部からHTTPでアクセス可能なところにこれを置く場合(このパッケージのファイル構成のままでアップロードするとそうなる罠)、外部からのアクセスはすべて拒否されるように、この中にある.htaccessファイルは必須です。
2006/03/28
トラックバック
このエントリーのトラックバックURL:
http://www.rcdtokyo.com/mt/mt-rcdtokyo5428-tb.cgi/729
コメント
不具合自己申告。
セッションIDは、数字とアルファベットの大小文字の組み合わせとしていますが、セッションデータのファイル名はsess_IDなわけで、Win32のように、ファイル名においてはアルファベットの大小文字を区別しないファイルシステムでは衝突が発生する可能性があります。
てなことで、アルファベットは小文字のみを採用することにします。
Win32でご利用のかたは、1711行目の文字列から、アルファベットの大文字を消去していただければと存じます。
Posted by ucbさん at 2006/03/29 13:22
不具合自己申告。
不具合ではないのだけど。
cookieが利用可能な端末では、有効なcookieを持っていない状態でのアクセスで表示されるページでは、(この段階ではcookieが送信されておらず、利用可能かどうかは未だ不明なので)ページ内の各リンクURLには、とりあえずセッションIDが埋め込まれています。従って、このリンクをクリックした直後のURLに関しては、せっかくcookieが利用可能にも関わらずセッションIDが晒されてしまいます。
対策として、このような場合はセッションIDを除去したURLにあらためてリダイレクトしてIDを隠蔽するように、次回のリリースでは変更します(デモサイトのものは変更済み)。
Posted by ucbさん at 2006/03/29 13:32