adiary開発日誌

9/14のaa記法といい、最近はてなの機能追加が豊富。別にはてな互換をめざしてるつもりはないのですが*1、でも良い機能ならadiaryにも付けたいと思うのが人情というもの。

ただ、はてなには12人のPerlプログラマが居るそうで……さすがに１人追いかけるのは辛いですねぇ。はやくVersion1.00を一般公開して、subversionでのリポジトリ管理に移行して、第３者の手も借りたいところです(^^;;　とはいえテーマ開発して下さったり、バグ指摘してくださったり、機能拡張アイデア（要望）を出して下さったり、えらい助かってます。

ダウンロードはこちらから。

β9→β10の変更点

• 単一記事指定時も、カレンダーの表示を変更するようにしました。
• カテゴリ編集画面で一括変更が可能なように改良しました。
• カテゴリが１つしかないとき、サイドバーに表示しないようにしました。
• はてなブックマークのアイコンを表示できるようになりました（詳細設定→表示設定→はてなブックマークアイコン）
• 【Satsuki-system】スケルトンコンパイラをさらに改良しました。
• 【さつきパーサ】リスト記法において、valueを指定する機能を付けました。
• 【さつきパーサ】テーブル記法において、セルの連結に対応しました。（idea by serika）
• 【さつきパーサ】[hatena:help:アスキーアート（AA）を簡単にきれいに表示する（aa記法）:aa記法]に対応しました。
• 【テーマ】テーマ開発作法を少し変更しました。*1
• 【RSS】（続きを読む）以降は省略して（削除して）配信するようにしました。
• その他、細々とした修正。

β６以降からのアップグレード

そのまま上書きしてください。

β５以前からのアップグレード

adiary.conf.cgi に次のエントリを追加してください。

<$Temp_dir = 'data/tmp/'>

ダウンロードはこちらから。

トラックバックされた不具合を修正し上記ファイルを差し替えました 2006/09/15

設定を保存するとタイトルイメージなどが強制的に追加される不具合を修正しました。お困りの方はお手数ですが落としなおしてください。

β8→β9の変更点

今回はbug-fixとXSS対策がメインです。

• 【XSS対策】CSSXSSされない対策／CSSによるXSSをさせない対策を取りました。また一部のXSS対策が不十分だったため修正しました。
• 【スケルトン】<span class="adminmenu">全体を<span class="admin-links">で括りました（idea by kaede）。
• 【さつきパーサ】[hatena:help:はてな記法一覧:はてな内リンク記法]への互換性を高めました（adiaryでは[hatena:r:sample]などと使用します）。
• 【fix】スケルトンコンパイラにおいて括弧 ( )対応の検出が狂っていたので修正しました*1。
• 【fix】コメント等編集画面から、日記を削除できなくなっていたので修正しました。
• 【fix】日記インポート画面にエラーがある不具合を修正しました。
• 【fix】はてなテーマ使用時にIEで表示が崩れる問題を修正しました。
• 【fix】任意の日記帳作成画面が表示出来なくなっていたので修正しました。
• 【テーマ】「lfdiary」を最新版（β8で一部の表示が崩れる問題に対応）に差し替えました。
• 【テーマ】テーマ「このみ」を収録しました。
• その他、細々とした修正。
• その他、細々としたクラスの追加。

β６以降からのアップグレード

そのまま上書きしてください。

β５以前からのアップグレード

adiary.conf.cgi に次のエントリを追加してください。

<$Temp_dir = 'data/tmp/'>

コメント

IE向けのセキュリティー対策は不毛ですね。やらないわけにはいかないし、やったから言ってと少しも機能が増えるわけでもなく無駄にソースが増えるばかり*2。その上、機能追加より何倍も手間がかかりモチベーションも上がりにくいという(;;

Version1.00β9以降についての記述です。

対外部ユーザー＝アカウント非保持者

• コメント欄、TBなどのtag記号<, >, "はすべてエスケープ。
• USER_AGENT, DNS逆引きホスト名内のタグ文字などをエスケープ。
• PATH_INFOなどの文字列は、エスケープなしに（表示等に）使用しない。
• CSSXSS対策。「{」を「&#123;」に置き換える。

対内部ユーザー＝アカウント保持者

• 日記内や日記の紹介、RSSなどで使用可能なタグと属性値をホワイトリスト式とする。
• タグの href, src, site, cite, action属性では、登録されたプロトコル以外で始まるリンクを消去*1。相対パスの場合は"./"を付加。
• タグの最後の属性値が0x80以上の文字で終わる場合、スペースを付加するかさらに後ろにダミーの属性値xss=""を追加する（EBXSS対策）。

スタイルシートXSS対策

日記本文内の style="" 指定

1. \, @記号および、0x00～0x1fの制御コード、0x80～0xffまでの文字コード（全角文字など）を除去
2. /*, */, &#, script, java, exp, eval, cookie, includeといった文字列が完全になくなるまで除去*2

ユーザースタイルシート内

1. TAB, LF以外の制御文字を除去する。
2. コメントを最初に退避し、"*/"を"*/ "に置き換える。
3. "～"といった文字列（改行を含む）を退避し、文字列内から改行を除去*3、さらに日本語文字で終わる場合はスペースを付加する。（EBXSS対策）
4. ", ', *, #を除く文字の、手前に付く\記号を除去する。
5. 0x80～0xffのコード（全角文字など）をすべて消去する。
6. /*, */, &#, script, java, exp, eval, cookie, includeといった文字列が完全になくなるまで除去する。
7. TAB や LF を間に挟んだ上記の記号列が１つでも存在する場合、TABやLFの手前にスペースを１つ追加する。
8. url() が正しいかチェックする。相対リンクの場合は"./"を先頭に付加する。
9. 文字列を復元する。
10. コメントを復元する。

参考文献

• はてなダイアリーXSS対策
• IE における "expression" の過剰検出による XSS の 誘因
• 通常とは異なる記述の javascript: プロトコルが実行される(microsoft) … TABの代わりにスペースや改行でも同様に解釈されるので注意。

スクリプト側で対応不可能な既知のIE脆弱性

• mhtmlを使ったAjax風味で同様にデータ盗用方法
• object.documentElement.outerHTMLプロパティ処理の脆弱性（IE）

お願い

adiaryでセキュリティーホールを発見した場合はどんなに些細なものでもお知らせ下さい*4。また「このセキュリティーホールに対応していますか？」という問い合わせはこの記事にどうぞ。

今後の予定

とりあえずあと１～２ヶ月でリリースしたいところです。安定度というより付けたい機能があるというだけで、別に現状でも問題はありません。まあただβリリースなんで、ときどき（よく？）細かいバグ付きでリリースされてますが（苦笑）

βだけあって、様子見が多いのかインストールはあまり増えてません（把握してる限り）。様子見は結構あるみたいですが、それもよく分かりません。だから早くリリースしたい気持ちと、機能的に完全にしたい気持ちと色々です。adiary本体よりも、スケルトンシステムの普及を計りたい部分あるので*1。あとは、adiaryの強烈な標準パーサー（さつきパーサー）の単独公開、これもやりたいですね。

利用者紹介ページですが、リリース前に仕組みを変更する予定です。単純なモノ（仕組み）ですけど、お楽しみに。