2007-07-23(月) [長年日記]
■ tDiaryの脆弱性に関する報告(2007-07-23)
昨日、のんきにbase_urlを指定しなされなんて書いていたら、ツッコミにて脆弱性の指摘を受けてしまった。なるほど、これはヤバい。
というわけで、tDiary.orgでアナウンスした。アナウンスの公開まで、takayamaさんのツッコミは非表示にさせていただいていました。ご指摘に感謝します(が、次からはメールにしてね……)。
多くのレンタルサーバではName-based Virtual Hostを使っているだろうから、危険な人はそんなにいないように思うが、固定IPアドレスで自宅サーバを運用しているような人は該当する場合が多いかも。読者を危険にさらさないためにも、base_urlは指定しましょう。
2007-07-22(日) [長年日記]
■ 「暇つぶし系」のspamには無力
いろいろと対策をとっているおかげで、最近はこの日記に対してツッコミspamやTrackBack spamを喰らうことはほとんどなくなった。
……んだけど、今朝方10件ほどツッコミspamを喰らってしまってがっくり。調べてみると、SoftBankのケータイから。内容から見て、目的も知性もあるように思えないので、おそらく夏休みに入って暇で暇でしょうがない貧乏な*1高校生が、独り言をつぶやいているだけだろう。こういうのは対策のしようがないから、まずたいていのspamフィルタは無力だよなー。ケータイ相手だと、IPアドレスやUAで締め出すわけにもいかないし。
とりあえず、名前だけは固定のようなので、やっつけのフィルタを書いた:
module TDiary::Filter class SpamtempFilter < Filter def comment_filter( diary, comment ) if comment.name == '【ここにspammerの名前】' then debug( "comment has bad name." ) return false end true end end end
収まるまでほっておこう。これで午後から6件ほど弾いている。って、明け方から夕方まで、知らぬ人の日記に向かって延々と独り言かよ! よっっっっっぽど暇なんだなー。そういうヤツは、ニコニコ動画でもみてろ。
*1 キャリアがSoftBankだから←偏見。
■ tDiary: 複数のURLでアクセスできる日記には、base_urlを設定しましょう
feed(RSS)経由で人の日記を読んでいて、なぜか同じ記事が複数回登場してきて不思議に思ったことがないだろうか*1。よく見てみると、それらの記事はそれぞれ別々のURLになっていたりする。
これは、同一の日記に対して、複数の異なるURLでアクセスできるような場合に発生する。たとえばこんな感じのサイトはけっこうある:
http://www.example.jp/diary/ http://example.jp/diary/
上記2つのURLで同一のコンテンツにアクセスできるような場合、現在のtDiaryのmakerss.rbプラグインでは問題が起きる。たとえばこんな状況:
- 「www」付きのURLからオーナーが日記を更新
- その後「www」なしのURLでアクセスしてきた読者がツッコミを入れる
すると、1.の時には「www」付きのURLでfeedが生成され、feedリーダに読み込まれたのち、2.によってfeed中のすべての記事が「www」抜きのURLで置き換えられる。feedリーダはこれを区別できないので、feedリーダ上には同じ記事やツッコミが2度ずつ並ぶことになる。
この問題に対処するもっとも正しい方法は、どちらか一方でしかアクセスできないようにすることだ。同じコンテンツに複数のURLがあって嬉しいことなんてない。mod_rewriteでも使って、どちらかへリダイレクトするようにすべき。
そうは言ってもmod_rewrite使えないし……なんて場合には、(tDiaryでは)少なくともfeedくらいは統一できるので、その設定をしておきましょう(やっと本題)。といっても、tdiary.confに以下の3行を追加しておくだけ:
def base_url 'http://あなたの日記の唯一のURL' end
同じ記事を何度も読ませられる読者の身になって、ゼヒ。
*1 更新してないのに過去の記事が未読扱いされてしまうLDRのバグ(?)とは別の話。
■ tDiary: openid.rbをlivedoor authに対応させた
タイトルだけで用件が済んでしまった。まぁ、1行追加するだけだったのに、今まで何をしていたのかと。
そういえばopenid.rbは、そろそろcontribからpluginへ移動すべきだろうか。「すべき」というくらいにOpenIDがメジャーになっているかというと、そうでもないような気がするし。
◆ takano32 [ただのにっきを「無料の」日記だと勘違いして書き込んでいる,とか.>コメント]
◆ ただただし [えぇ〜。「ただ」には無料以外の意味もあるのに! ストールマンの気持ちが今わかった!]
◆ hiraku [あああ!!なるほど! GoogleReaderでも発生してます、RSSの記事複製現象。あと、たまになぜか日記のURL..]
◆ takayama [これって、悪い人が base_url が指定されていないサイト(ドメイン)にアクセスするように自分用の DNS とか..]
◆ 吉澤 [LDRのバグ(?)の原因の1つとして、tDiary 2.1.4頃にあった(今は直ってるらしい)makerssプラグイ..]
2007-07-21(土) [長年日記]
■ 宇宙研一般公開
今日はISAS(宇宙研)の一般公開日ということで、行ってきた。相模原に長らく在住していながら、毎年万オーダーの人が来場すると聞いて(人ごみがきらいなので)一度も行ったことがなかった。でも今年は、惑星協会のメルマガで的川さんが:
今回は私が最後のご奉公として一般公開の実行委員長を務めていますので
と書かれていたので、的川さんを心より尊敬する立場としては、行かないわけにはいかないよナァ!
というわけで、きっと駐車場はいっぱいだろうから相模大野からバスで行ってきた。PASMOが使えるようになって路線バスも使いやすくなったよな……と思っていたら、神奈中で使えるのは一部路線だけだって! うがー。バスには大きなお友だちしか乗ってなかったので不安になったが、会場にはわんさとチビっこがいた。有意義な夏休みだな、諸君。たいへんよろしい。
やはり「はやぶさ」の展示は人気で、一番広くていい場所を占めていた。実物大模型を見上げるだけで涙が出てきますよ。はやく帰って来いよなぁ。さすがに知らないことはほとんどなかったが、イトカワの模型に小バエのようなはやぶさの模型がちゃんと貼り付けてあってなごんだ。
打ち上げが9月に延期されてしまった「かぐや」も、順当な展示。成功祈願の寄せ書きがあったので、ちゃんと書いてきた。
思いのほか面白かったのが、「すざく」「ひので」「あかり」の展示で、なんといってもプレゼンが上手い。写真は、ひのでの観測結果のプレゼンなんだけど、自転する太陽の映像をプロジェクターで映しているだけなんだけど、スクリーンが半球形。これだけの工夫でリアリティがぐっと上がる、いいアイデア。
これはすざくかな。ブラックホールでできる重力レンズを説明するために、PCにつないだUSBカメラの映像を、中央にブラックホールがあるかのようにリアルタイムで加工して見せるプレゼン。重力レンズがここまでリアルに感じられた説明は初めて見たよ。すばらしい。
探査機を使った科学の成果は、手元にブツがないから説得力のあるプレゼンが難しいと思うけど、こういう創意工夫があるのはいいねぇ。
一方、ブツがある分、圧倒的にアドバンテージがあるはずの月・惑星探査ローバのデモは、なんだかショボショボで期待はずれだった。研究途中でうまく動かないのは仕方がないと思うけど、なにより観客がいることをぜんぜん意識していない、つたなすぎる説明がどうにもこうにも。学生主体だったようだけど、もっとがんがれ。
ブツがあると言えば(たぶん毎年同じことをしている可能性が高い)レールガンのデモは迫力勝ち。せっかくなのでビデオにしてみた。
かなり大きな音がするのはわかっていたので身構えていたけど、それでもカメラを持つ手がビクってしてるなぁ。でも同じYouTubeにあがっていた昨年のビデオの方がビビりまくりで面白い。いくらなんでも動揺しすぎだ。むむ。どうやらツッコミをくれているmaru-baさんらしいなぁ。今年の分もだいぶ動揺している(笑)。
これで、融けたり裂けたりしたターゲットのサンプルでも展示してあればなお良いのにね。
その後、ロケット系の展示をぶらぶらと見てまわってから、子供たちのお楽しみ、ペットボトルロケットの発射模様を横目で見ながら、屋台でお好み焼きを買って終了。はやぶさTシャツはSサイズしか残っていなくて買えず。だいたい2、3時間で一通り見て回れる。来年も行くかな。かぐやの成果が出てるだろうし。
◆ maru-ba [No Ruby, No Life.のトートバッグの人はやっぱりたださんだったのね >会場で遭遇した人]
◆ ただただし [声をかけて下されば良かったのに。こういうところではバッグとかTシャツとかで、だいたい見分けがつくような格好をしてるつ..]
◆ Takashi Kikuchi [いつも拝見してます。 私も子連れで行ってきました。 13:00入りでしたが、ペットボトルロケットで一日終わった雰囲..]
◆ tsukasa.oishi [ビビりまくりのビデオをyoutubeに載せているおおいしと申します(笑)。毎年ISASの一般公開に行っていて、もう5..]
◆ ただただし [ありゃ、別の方でしたか。いやぁ、おいしいビデオですねー。YouTubeに載せるならああじゃないといけませんね。]
◆ しばた [Nama-based って生ベース?]
◆ ただただし [とほほ。生はいかんよね、生は。]
◆ takayama [そうですよね>メール 私ものんきでした…。 素早い対応ありがとうございました。]