adiary開発日誌

2006/11/19(日)adiaryでFC2形式のデータインポート

「FC2形式には対応してないのですか？」との問い合わせがあったので改めて調べてみたのですが、FC2形式はMovable Type形式（MT形式）の拡張ですので、そのままMovable Type形式として取り込むことができます。もし取り込めないとき、化けてしまうとき*1は連絡頂ければ可能な限りは対応します。

コメント（0件）

2006/09/12(火)adiaryのXSS対策

adiary::仕様

Version1.00β9以降についての記述です。

対外部ユーザー＝アカウント非保持者

コメント欄、TBなどのtag記号<, >, "はすべてエスケープ。
USER_AGENT, DNS逆引きホスト名内のタグ文字などをエスケープ。
PATH_INFOなどの文字列は、エスケープなしに（表示等に）使用しない。
CSSXSS対策。「{」を「{」に置き換える。

対内部ユーザー＝アカウント保持者

日記内や日記の紹介、RSSなどで使用可能なタグと属性値をホワイトリスト式とする。
タグの href, src, site, cite, action属性では、登録されたプロトコル以外で始まるリンクを消去*1。相対パスの場合は"./"を付加。
タグの最後の属性値が0x80以上の文字で終わる場合、スペースを付加するかさらに後ろにダミーの属性値xss=""を追加する（EBXSS対策）。

スタイルシートXSS対策

日記本文内の style="" 指定

\, @記号および、0x00～0x1fの制御コード、0x80～0xffまでの文字コード（全角文字など）を除去
/*, */, &#, script, java, exp, eval, cookie, includeといった文字列が完全になくなるまで除去*2

ユーザースタイルシート内

TAB, LF以外の制御文字を除去する。
コメントを最初に退避し、"*/"を"*/ "に置き換える。
"～"といった文字列（改行を含む）を退避し、文字列内から改行を除去*3、さらに日本語文字で終わる場合はスペースを付加する。（EBXSS対策）
", ', *, #を除く文字の、手前に付く\記号を除去する。
0x80～0xffのコード（全角文字など）をすべて消去する。
/*, */, &#, script, java, exp, eval, cookie, includeといった文字列が完全になくなるまで除去する。
TAB や LF を間に挟んだ上記の記号列が１つでも存在する場合、TABやLFの手前にスペースを１つ追加する。
url() が正しいかチェックする。相対リンクの場合は"./"を先頭に付加する。
文字列を復元する。
コメントを復元する。

参考文献

はてなダイアリーXSS対策
IE における "expression" の過剰検出による XSS の誘因
通常とは異なる記述の javascript: プロトコルが実行される(microsoft) … TABの代わりにスペースや改行でも同様に解釈されるので注意。

スクリプト側で対応不可能な既知のIE脆弱性

お願い

adiaryでセキュリティーホールを発見した場合はどんなに些細なものでもお知らせ下さい*4。また「このセキュリティーホールに対応していますか？」という問い合わせはこの記事にどうぞ。

コメント（0件）

2006/09/03(日)adiaryメモ

adiary::雑記

今後の予定

とりあえずあと１～２ヶ月でリリースしたいところです。安定度というより付けたい機能があるというだけで、別に現状でも問題はありません。まあただβリリースなんで、ときどき（よく？）細かいバグ付きでリリースされてますが（苦笑）

βだけあって、様子見が多いのかインストールはあまり増えてません（把握してる限り）。様子見は結構あるみたいですが、それもよく分かりません。だから早くリリースしたい気持ちと、機能的に完全にしたい気持ちと色々です。adiary本体よりも、スケルトンシステムの普及を計りたい部分あるので*1。あとは、adiaryの強烈な標準パーサー（さつきパーサー）の単独公開、これもやりたいですね。

利用者紹介ページですが、リリース前に仕組みを変更する予定です。単純なモノ（仕組み）ですけど、お楽しみに。

コメント（0件）