いつの間にか、RC1が・・・とうとう出てるじゃないですか・・・。そろそろ動かないとだめですか・・・。

早速インストールしてみた。

前からでしたっけ？インストール時に管理者のユーザ名を指定できるのって・・・。これは良いことです。管理者だからって何もadminに限定しなくても良いし、Joomlaで作られたサイトは、adminってわかっているからパスワードを適当なものにしておくと危ないと思っていたし。

でも、まあサンプルだからとはいえ、いきなり多階層を見せつけるがごとく深い階層の記事が一番に来てるのは何とも言えない気がします・・・。（実際これだけ長かったら、レイアウトに困ることってないかな・・・）

以下は、mod_jcontentplusでの縦表示時の説明です。

モジュールのJContentPlusでセクションや、カテゴリーのメニュー（リンク）を表示することができますが、（例えば、ここのExtensionsやDownload, Blogなど）カテゴリーの階層化（子カテゴリー、親カテゴリー）表示のとき、当初indentという変数にその階層の深さを反映していたつもりが、していなくて（過去にはしていたのかもしれませんが）Noticeエラーが出ていました。（通常Noticeエラー表示している方は、少ないと思うので気づかなかった方も多いと思う。）

今回、それを修正しましたが、以前と異なる表現方法にしましたので、その変更点をご説明します。簡単に、スタイルで階層化を表現できます。

先月分を忘れていました。iLogScannerの結果報告です。

今回の攻撃は主にディレクトリトラバーサルのようでした。先月（２月）から飛び抜けて増えています。あまり多いのですぐにログを見てみました。

ほとんどmultithumbプラグインに対しての攻撃でした。何か脆弱性でもあったのだろうか？でも、私はmultithumbは使ってないっての。あ、ポップアップ使ってるからそう見えるのだろうか・・・。自作のプラグインだっての。

ログ内をmultithumbで検索してヒットした数252である。使っている方は注意した方が良いかもしれない。前回はこれほど目立たなかった。

ちなみにうちで使っているcom_jbはというと169だ。multithumbとかぶっている物がほとんど。優秀！？

攻撃の一例

multithumb.php?mosConfig_absolute_path=../../../../../../../../../

などと続く。そんなに上の階層にいったら空まで行くだろ。

ついでにホームディレクトリが、デフォルトでは一つ上の階層になっているのを本来のホームに変更してみました。

Root/administrator/components/com_joomlaxplorer/config/conf.php

$dir_above = substr( $mosConfig_absolute_path, 0, strrpos( $mosConfig_absolute_path, $GLOBALS["separator"] ));
        if( !@is_readable($dir_above)) {
                $GLOBALS["home_dir"] = $mosConfig_absolute_path;
                // the url corresponding with the home directory: (no trailing '/')
                $GLOBALS["home_url"] = $mosConfig_live_site;
        }
        else {
                $GLOBALS["home_dir"] = $dir_above;
                // the url corresponding with the home directory: (no trailing '/')
                $GLOBALS["home_url"] = substr( $mosConfig_live_site, 0, strrpos($mosConfig_live_site, '/'));
        }

を

//       $dir_above = substr( $mosConfig_absolute_path, 0, strrpos( $mosConfig_absolute_path, $GLOBALS["separator"] ));
//      if( !@is_readable($dir_above)) {
                $GLOBALS["home_dir"] = $mosConfig_absolute_path;
                // the url corresponding with the home directory: (no trailing '/')
                $GLOBALS["home_url"] = $mosConfig_live_site;
//      }
//      else {
//              $GLOBALS["home_dir"] = $dir_above;
//              // the url corresponding with the home directory: (no trailing '/')
//              $GLOBALS["home_url"] = substr( $mosConfig_live_site, 0, strrpos($mosConfig_live_site, '/'));
//      }

のようにコメントアウトしただけです。

このコード上部に書かれているように1.3.0からサイトの一つ上の階層を表示するように変更されたようです。以前から気になっていたのですが、バグかと思っていました。

DebugBarの5.0 beta 1がリリースされていたので早速入れてみました。IEでページ詳細を見るときは便利です。普段Firefoxのことばかり書いている私ですが、実はFirefoxでDOMをみるとWeb Developerツールバーでは、階層が深いと画面から見えないところに行ってしまってわからないのでその時はIEのDeveloperを使っています。たまに起動するIEは遅いし使いにくいのですがそれだけは、便利なんです。DebugBarは、さらに便利かもしれないです。元々有料なのでこのBeta版いつまでつかえるのかなと思いながら使ってみようと思っています。DebugBarのサイトには他にフリーで便利なCompanion.JSというツールがあります。これは、とても便利でIEでスクリプトのエラーを表示させると鬱陶しいのですが、これだとスマートに表示してくれさらに該当部分もすぐに表示できます。DebugBar 5.0beta1の画面をキャプチャしてみました。

今回Flashを使ってみて思ったのですが、Joomla!.orgを見ても意外にIE対策してFlashを簡単に埋め込むエクステンションてないのですね。今度作ろう。Adobeのサイトを見てみるとかなり面倒そうですが。