Joomler!.net - Decided on Joomla!

Wiki or Wordpress? No it is JContentPlus.

 

Archives

Blog

Demo

Home » Blog » コンポーネント
0 votes
Written by:Joomler! 6762 hits Monday, 08 December 2008 16:30

先日ある方に指摘されました。「なんで広告載せないの?」

たしかにうちは広告を一切掲載していない。別に理由などなく、私が面倒なので後回しにしつづけた結果なだけです。サイトテンプレートを作る時にも広告のスペースなど一切考慮せずに作成していましたし。

で、どこまで掲載しようかと今思案中です。どこまでって・・・いや、とことんやるのかある程度で抑えるのかです。広告ばかりで鬱陶しいのもいやですし、また現在日本からのアクセスは増えてきてはいるもののまだ、23.31%しかないのでどのように配分したものかということも考えないといけません。

せっかく掲載するのだから、せめてサイトを運営していく実費だけでも稼ぎたいし。

少しずつなのか、一度にガバっとなのかはわかりませんが、広告を掲載することにします。

専用のコンポーネントを作成しようかな、とも考えています。Joomla!1.0.x用ならRSSにまで挿入できるものは既に作成済みで、とことんやろうと思ったらいつでもやれますが、さて、どうしたものか・・・。

 
0 votes
Written by:Joomler! 12380 hits Friday, 28 November 2008 16:38

サイトを作成しているとよくあることですが、

  • この時は表示したいけどいつも非表示にしたい。
  • この時だけは非表示にしたい。

などと。

Joomla!は、メニューにテンプレートを割り当てる事ができるのでメニュー毎にテンプレートを切り替える方法は、一般的な方法です。

もう一つ簡単な方法として考えられること。要はその表示・非表示の条件が、何で判断できるかを考えてみます。

例えば、

  • ログインしていない時に表示したいけど、ログイン後は非表示にしたい。
    簡単です。モジュールの中にきっとログイン後しか表示しないモジュールがあると思います。なければ、ユーザー詳細などログイン後にしか表示しないメニューを他のメニューモジュールとは別で作成し、アクセスするレベルを一般(Public)から登録(Registered)に変更します。そして単独(他の同条件のモジュールと共に)で表示するモジュールポジションを作成します。ログイン後に表示したいモジュールを作成したポジションに指定します。

    後は、下記のようにテンプレートに記述すれば、このモジュールが表示されているときは、ログイン後で表示されていないときは、ログインされていないと判断することができます。
    <?php if($this->countModules('作成したモジュールのモジュールポジション')) : ?>
    	<jdoc:include type="modules" name="ログイン後に表示したいモジュールポジション" style="rounded" />
    <?php endif; ?>
 
3 votes
Written by:Joomler! 6840 hits Wednesday, 12 November 2008 16:10

今回は、変更箇所を少し確認してから1.5デモサイトをアップデートしました。いくつかのXSS対策も今回適用されているようですので該当する使い方(ウェブリンクの投稿を許可していたり、Author以上のユーザーに投稿を許可している)をされているサイトは、すぐにアップデートした方が良さそうです。

www_joomla_org_announcements_release-news_5219-joomla-158-released_html

今回のリリースであらためて気づいたのですが、テンプレートでオーバーライドできることにより、アップデートの内容によっては使用しているテンプレートにも影響するということです。みなさんがお使いのテンプレートでオーバーライドしているものがあれば確認が必要です。元のコンポーネントや、モジュールのテンプレートが変更されていれば、確認した方が良いと思います。

 
2 votes
Written by:Joomler! 9156 hits Wednesday, 22 October 2008 16:35

以前に紹介して実際にこのサイトでも使っているDS-Syndicateでセキュリティホールが公表されていました。私は、改造して使っていたりなのですが、そこまで見ていませんでした。

対応策

new_feed(mosGetParam( $_GET, 'feed_id', ""));

new_feed(intval( mosGetParam( $_GET, 'feed_id', "") ));

のように(他の方法でももちろん良い)数値にサニタイズすることで対処できます。

追記:さらにすでに攻撃されたかどうかは、Root/components/com_ds-syndicate/feedフォルダ内を見て下さい。そこに通常のファイルではなさそうなものがあればすでに攻撃されたものだと思われます。フォルダ内のファイルをすべて削除する必要があります。

念のためまだ10月の途中ですが、毎月行っているiLogScannerのスキャンを行ってみました。

joomler_net-2008-10_iLogScanner

22日現在の時点で104件の攻撃で幸い成功はしていないようです。
成功していないというのは厳密に言うと間違いです。この攻撃を使ってのインジェクション攻撃は成功しています。そしてデータベースのnameとpasswordは見る事ができたかもしれません。ですが、Joomla!は生のパスワードは保存していません。パスワードは、Joomla!の独自メソッドでハッシュ値に変更されたものなので生のパスワードを悟られる事はまずありえ無いでしょう。心配な方は、パスワードを変更してください。

ログを見てみるとDS-Syndicateに対する攻撃は、10月6日から来ています。公表されるずいぶん前の時点ですね。情報を素早く入手することももちろん大切ですが、エクステンションを導入するときには気軽に導入すべきではないことも事実のようです。また、たくさんの人が使っているから大丈夫ということも絶対言えませんし、あのサイトで紹介されているから大丈夫とも言えません。

 
1 votes
Written by:Joomler! 7228 hits Sunday, 05 October 2008 16:31

joomler_net-2008-09_iLogScanner

先月より減りました。

ログを見ると私が作成したコンポーネントにも攻撃が来ています。何れも成功していないようです。というか、穴は無いと思われ・・・。

また、IPアドレスを数えてみると7パターンでした。攻撃があった日は、7日でIPアドレスと同じで日が変わればIPアドレスも変わっているというようなパターンです。特定の攻撃者みたいな感じですね。

みなさん気をつけましょう。

 
7 / 11

JContentPlus for Joomla!1.5 powered by Joomler!.net

デル株式会社
joomler.net is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla!(R) name is used under a limited license from Open Source Matters in the United States and other countries.
joomler.net is not affiliated with or endorsed by Open Source Matters or the Joomla! Project.