Shintaro Shirai
ytgs2****@tkm*****
2008年 2月 15日 (金) 01:43:57 JST
白井です。 お返事が遅くなってしまい申し訳ありません。 たくさんのご回答ありがとうございました。 件のXSSの懸念については、杞憂ということで安心しました。 #今回の件でHTMLに対する理解が甘いことを実感いたしました。 外部リンク機能の無効化はやはり、そうたやすくないということで次バージョン でON/OFFを実装していただけるならばFswikiユーザーとしてかなり助かります。 かつて、wiki荒しに大量のエロ画像などをトップページに貼り付けられた続けた 時は、更新監視メールをにらみながら都度都度消すしかありませんでした。 今回は大変お世話になりました。 それでは、失礼いたします。 On Wed, 13 Feb 2008 22:19:58 +0900 "Akitoshi Manabe" <akito****@gmail*****> wrote: > A_M です > > > 以前も画像参照をするURLをcommentプラグインから投稿され、TOPページやその > > 他ページに画像がでかでかと表示されてしまうという事が度々あったため、URL > > による画像参照を無効にしようと管理画面の設定項目やソースを見ましたがどう > > にも対処できませんでした。 > 「画像参照をするURLを…表示」はIMGタグで展開表示するため、 > 開発側で意図した動作ですが、この仕様を周知する必要性はあります。 > 〜この事を知らないユーザが安易に画像URLを追記するのを防止するため〜 > > 外部リンク機能はXSSが懸念されるのではなく、Web知識に乏しい閲覧者が > 問題のあるURLに誘導されてしまう可能性のほうが重要です(FSWikiに限らずですが)。 > > 現在、FSWikiを公開サイトとして運用する時に出来ることは、以下のような内容と思います。 > 1) ドメイン(またはサブドメイン)を取得して運用し、外部サイトの判別を容易にする。 > 2) スタイルシートによる外部URLリンクを可視化する。 > 3) 編集権限による、外部ユーザの編集権限を許可せずに遮断する。 > (コメントプラグインはCaptcha機能付きcommentに変更するなど) > > 尚、3)のユーザを限定する運用は、WikiというよりもCMS的になりますけどね > > _______________________________________________ > Fswiki-dev mailing list > Fswik****@lists***** > http://lists.sourceforge.jp/mailman/listinfo/fswiki-dev 白井 慎太郎<ytgs2****@tkm*****> -----------End of message
Fork