Joomla!の1.7、1.5の両方のセキュリティリリースです。

さっさとアップデートしちゃいましょう。

今回は、1.5のアップデートは、実質ワンファイルです。バージョンとログのファイルで3ファイルになっていますが、恐れることないです。（なにそれ！？)

中程度の優先度のセキュリティFixを含んでいるので、さっさとバックエンドからアップデートしちゃいましょう。

バックエンド用の多言語ステータスモジュールが追加されているようですね。他にもたくさんの改善がされているようです。

CKEditorをチェックしてみると、あらあらやっぱり、新しいバージョンがリリースされてます。早速、新しいCKEditorに置き換えてみる。中身を見てみると、何やら以前のバージョンには無かったPHPファイルがいくつか入っていて、確かに何か変更されているのか・・・。What’s Newを読んでみても、Joomlaでエディタとして使う場合、どれか該当するものがあるのかよくわからない。

とりあえず、PHPファイルは不要なので削除し、空のindex.htmlを追加して試してみた。

問題なさそうです。

さて、私の作成する（と、言っても普通にCKEditorのライブラリを呼び出しているだけなので、なんとも言い難いが・・・）プラグインは、CKEditorのイメージ挿入などでポップアップから、画像一覧など出てきません。これは、本来Joomlaの構造からすると、プラグイン単体では面倒だからです。これは、コンポーネントを絡めることが、Joomlaの場合正当なのじゃないかと思っています。もちろん、コンポーネントを絡めて作成しても面倒ですが、セキュリティ的には安心できるものが作成できるのではと思っています。

この簡易というかデフォルトなCKEditor。Joomla1.5用は、前のままで使えているようなので、まずJoomla1.6用のCKEditorを作成してみました。

やってみると、Joomla1.6では、やはり若干変更されていてJoomla1.5用のものをそのまま使うわけにはいかないようです。（純粋なJ1.6としては）同じ関数でも引数が異なったり、XMLファイルの仕様が全然異なります。また、CKEditorのバージョンアップによる変更のためでしょうか、今まで同様では、エラーが出てしまいます。

とりあえず、作成したので前作同様、Juser.jpフォーラムに置きました。テストしてみてください。

数日間、ずっとと言うわけではないが、かかりきりで対応していた。

Joomla!のキャッシュ対応でセッションが正しく保存されないのである。何度やっても異なる値が保存される。いろいろ検索してみても答えを出してくれないし、結局いろいろやって結果が出た。私のミスでした。

これは、それがセキュリティのチェックのための動作であり、どうしても外したくなかったので根気を入れて解決策を探していました。いろいろ見ていくと、どうも他のエクステンションではそういったチェックはやっていなさそうで、そうした記述はみられない気がしました。

一例ですが、Tokenのチェックです。Captcha画像ですが、これってPHP（サーバー）側にとってアクセスが増えればそのまま負荷に繋がるものです。それは、この画像生成を毎回やっているからです。画像生成が負荷かかるものというのは常識ですが、これを表示する毎にやっているので当たり前の事ですがせめて外部からアクセス出来ないようにする、もしくはしにくくするということは当然対策としてやるべきものと考えていて実際そうしています。

昨日アップデートされています。

http://extensions.joomla.org/extensions/90/details

普段Joomla本体ばかりですが、エディタ関係は、みなさんお使いだと思うので書きました。セキュリティリリースなのでアップデート必須と思います。

少し前にFCK Editorそのものの脆弱性が公表されていましたが、それに伴うアップデートだと思います。