adiary manual

メール通知機能

なべ — Sat, 30 Aug 2008 15:08:09 GMT

メール通知機能を利用するためには、sendmailコマンドが実行できる必要があります。メール投稿機能を利用する際にも、同様にsendmailコマンドが必要になります。

sendmail コマンドとは、メールを送信するためのプログラムで、大抵のWebサーバには入っています（Windows系除く）。そのサーバでメールが送信可能な状態であれば、ほぼ自動的に入れられるコマンドで、sendmailに限らず、postfix、qmail等あらゆるサーバで導入されます。

某掲示板互換機能

なべ — Tue, 12 Aug 2008 10:33:15 GMT

Ver2.00β以降に含まれます。動作確認は以下の環境で行いました。読み込みのみの対応です。

ギコナビ
katjusha/kage
openjanedoe

■adiary設定方法

dat.cgi が実行ファイル、dat.conf.cgi が設定ファイルです。dat.cgi に実行属性を付けてそのまま転送してください。

■専用ブラウザの設定方法

設定URL1 http://xxx.org/adiary/adiary.cgi （シングルモード）

設定URL2 http://yyy.org/adiary/user_id/　（マルチモード）

設定URL3 http://test.blog.abk.nu/ （サブドメインモード, id=test）

ギコナビの場合は、config\Board\adiary.txt などのファイルを用意し、次のように書き込みます。

[adiary]
url1=http://xxx.org/adiary/dat.cgi/x/
url2=http://yyy.org/adiary/dat.cgi/user_id/
url3=http://test.blog.abk.nu/dat.cgi/test/

kage/かちゅーしゃの場合は other.brd に次のように書き加えます。空白はタブ１つです。注意してください。

	http://xxx.org/adiary/dat.cgi	x	URL1
	http://yyy.org/adiary/dat.cgi	user_id	URL2
	http://test.blog.abk.nu/dat.cgi	test	URL3

その他の場合は、適当に読み替えてください（゜゜

■制限事項

書き込みには未対応です。
single_mode によるデフォルトIDを指定する場合は "x" です。
スレ作成日時の表示がおかしいけど、気にしないでください。*1
HTMLが加工されず表示されるブラウザ（ギコナビ等）の方が本文が綺麗に出ます。
どうしょもない不具合がありましたら、この記事のコメントで。

*1 : 内部的に持っている書き込み日時がユニークとは限らないので仕方ありません(^^;　特に外部日記インポート時とか…ry

Google/Amazonの設定

なべ — Wed, 16 Apr 2008 14:04:49 GMT

すべて「管理 → 日記帳の設定 → 詳細設定」で行います。

■Google Analytics

トラッキングコードのうち、IDに相当する「UA-123456-1」の部分のみを、Google Analytics ID欄に設定します。

コード全体を貼り付けないでください。*1

*1 : コードを貼り付けたい方はトラストモードと埋め込みテキストの利用をご検討ください

■AmazonアソシエイトID

アフィリエイトのIDを「AmazonアソシエイトID」設定します。例えば「xxxblog-22」などになります。

■Google AdSense ID

GoogleアドセンスのIDを「Google AdSense ID」設定します。

バグではない仕様

なべ — Fri, 08 Feb 2008 20:46:23 GMT

adiaryには少ないながら、バグではなく「仕様」としているものがあります。

過去のカレンダーの祝日が不正確。→最新の祝日のみ対応
アップロードした画像ファイル等は隠せない。
- 非公開日記でも非公開記事に関連するものでも区別する機能が存在しない。
- （Webサーバの）ファイルのインデックス表示が on ならば容易に、そうでなければファイル名が推測されることで、アップロードした画像ファイルを任意の人に表示されてしまう。
Apacheのworker/preforkの判定に失敗する。
- mod_perl2環境で"PerlModule Apache2::MPM"をきちんと設定したときのみ有効。気になる場合は、adiary.conf.cgi で <$Is_thread=1> を設定。

■IE固有

コンテンツバーの２段階目以降（プルダウンした後の、さらにサブのメニュー）が展開されない。
アルバム画面で、画像一覧に通常より大きなサムネイル画像があったとき、そのままのサイズで表示される。

XSS対策

なべ — Thu, 25 Oct 2007 11:56:23 GMT

■対外部ユーザー＝アカウント非保持者

コメント欄、TBなどのtag記号<, >, "はすべてエスケープ。
USER_AGENT, DNS逆引きホスト名内のタグ文字などをエスケープ。
PATH_INFOなどの文字列は、エスケープなしに（表示等に）使用しない。
（CSSXSS対策）~~CSSXSS対策。「{」を「{」に置き換える~~。Ver2.00β2以降、さすがにブラウザのバグ修正も普及したと見込んで外しました。*1

*1 : 大手サイトも軒並みこの対策をやめた時期になります。

■対内部ユーザー＝アカウント保持者

日記内や日記の紹介、RSSなどで使用可能なタグと属性値をホワイトリスト式とする。
タグの href, src, site, cite, action属性では、登録されたプロトコル以外で始まるリンクを消去*2。相対パスの場合は"./"を付加。
タグの最後の属性値が0x80以上の文字で終わる場合、スペースを付加するかさらに後ろにダミーの属性値xss=""を追加する（EBXSS対策。これも参考に）。

*2 : :, :, :などは":"に戻してから処理します

■スタイルシートXSS対策

日記本文内の style="" 指定

\, @記号および、0x00～0x1fの制御コード、0x80～0xffまでの文字コード（全角文字など）を除去
/*, */, &#, script, java, exp, eval, cookie, includeといった文字列が完全になくなるまで除去*3

ユーザースタイルシート内

TAB, LF以外の制御文字を除去する。
コメントを最初に退避し、"*/"を"*/ "に置き換える。
"～"といった文字列（改行を含む）を退避し、文字列内から改行を除去*4、さらに日本語文字で終わる場合はスペースを付加する。（EBXSS対策）
", ', *, #を除く文字の、手前に付く\記号を除去する。
0x80～0xffのコード（全角文字など）をすべて消去する。
/*, */, &#, script, java, exp, eval, cookie, includeといった文字列が完全になくなるまで除去する。
TAB や LF を間に挟んだ上記の記号列が１つでも存在する場合、TABやLFの手前にスペースを１つ追加する。
url() が正しいかチェックする。相対リンクの場合は"./"を先頭に付加する。
文字列を復元する。
コメントを復元する。

*3 : 正規表現で１回マッチングするだけ不完全。例えば"javascrscriptipt:"と書かれた文字列でXSSを起こせるので、参考にする方は注意

*4 : IEではCSS内において改行を含む文字列を許可するので、注意が必要です。Firefox等で許可されません（改行で文字列が終わったことになります）。

■参考文献

はてなダイアリーXSS対策
はてなブックマーク - CSRF
はてなブックマーク - XSS
はてなブックマーク - CSSXSS
IE における "expression" の過剰検出による XSS の誘因
通常とは異なる記述の javascript: プロトコルが実行される(microsoft) … TABの代わりにスペースや改行でも同様に解釈されるので注意。

■スクリプト側で対応不可能な既知のIE脆弱性

mhtmlを使ったAjax風味で同様にデータ盗用方法
object.documentElement.outerHTMLプロパティ処理の脆弱性（IE）
IEの画像脆弱性（対応困難、対応保留中）

テーマ開発ドキュメント

なべ — Mon, 15 Oct 2007 17:56:27 GMT

/theme_doc/

themeが読み出せないサーバ

なべ — Sat, 18 Aug 2007 11:30:05 GMT

Infoseek iswebライトなどのサーバでは、cgi-bin 以下に設置しないと cgi が動作しない上、theme などの CSS ファイルがうまく読み出せないようです。その場合の対策を書きます。

■theme/, public/ の設置ディレクトリを変更する

標準では、RSSなどのデータやテーマ（CSS見た目ファイル）は adiary と同一のディレクトリに置くようになっています。一部のサーバなどでは cgi-bin 以下にこれらのファイルが置けないようになっているのでこれを変更します。

例えば該当のサーバで、cgi-bin にしか cgi ファイルを置けないとすれば次のように adiary を設置します。

自分のwwwディレクトリ
  + cgi-bin
    + adiary
       + __chche/
       + data/*
       + diary.skel/*
       + info/*
       - adiary.cgi
       - adiary.conf.cgi
       - （略）
  + adiary
    + public/*
    + theme/*

本体 http://---/cgi-bin/adiary/adiary.cgi
テーマ http://---/adiary/theme/

という状況です。

要するに adiary のファイル群の中から public/ と theme/ のみを違う場所に移動します。パーミッションなどはマニュアルどおりに設定してください（__chche, data/, public/ のパーミッションを0777などに）。

続いて adiary.conf.cgi を開き、次の場所を設定します。

# 公開のデータディレクトリ
<$constant(public_dir) = '../../adiary/public/'>
<$constant(theme_dir)  = '../../adiary/theme/'>

これで通常動くはずですが、問題が起きた場合はこの記事にコメントでもください。

注意

テーマ選択済のブログがあるとき、テーマディレクトリを移動すると一時的にテーマが適用されなくなります。

なべ『遅くなりました。そのような cgi-bin は特殊なディレクトリとしてApache上で設定されていることが多いので、普通のディレ...』(2009/05/05 14:35)
れい『情報をありがとうございました。結局、httpd.confのDirectory設定にAddHandler text/css cs...』(2009/05/07 9:38)
はる『テーマ選択のプルダウンメニューに何も入っていません。空白なのです。何故なのかわかりますでしょうか？環境　Windows上サ...』(2009/06/04 23:01)
なべ『バグの様ですね。修正できるようなら、あとで修正しておきます。』(2009/07/05 27:51)
なべ『＞テーマ選択のプルダウンメニューに何も入っていません。空白なのです。確認してみましたが問題ありませんでした。adiaryの問題...』(2009/11/22 25:16)

■トラックバック（0件）

TeX記法の設定

adiary — Tue, 24 Jul 2007 10:03:04 GMT

■mimetexのインストール

tex 記法を使えるようにするためには、mimeTeXをインストールする必要があります。標準では、adiary.cgi と同じディレクトリの mimetex/ にインストールしてください。違うディレクトリの場合は、info/textparser_tag.txt を適切に設定します。

mimeTeXを公式サイトからダウンロードします（ソースはこの辺、バイナリはこの辺にあります）

zipファイルを展開し、adiary.cgi と同じディレクトリに mimetex というディレクトリを作ってそこにファイルを転送します。

adiary/
  - mimetex/
    - README
    - mimetex.cgi
       :
  - data/
  - adiary.cgi
     :

バイナリを転送した場合は、mimetex.cgi に忘れずに実行属性を付けてください（パーミッション0755等）。

ソースファイルを落とした場合は、サーバに入ってコンパイルする必要があります。

console$ cd mimetex
console$ gcc -O2 -DGIF mimetex.c gifsave.c -lm -o mimetex.cgi

レンタルサーバで使用する場合、大抵はバイナリを使用することになりますが、その場合は運営されているサーバの OS や CPU が何であるか調べる必要があります。ご注意ください（多くは Linux (i386)、さもなければ FreeBSD (i386) だとは思いますが……）。

■TeX記法の注意

adiaryのタグ表記「[tex:xxxx]」の中では「{ } [ ]」が特殊な記号（エスケープ記号および記法タグ記号）として動作してしまうため、下付文字などを出すときに問題が発生します。エスケープ動作を行わない記法タグ[[tex:xxxx]]を使って記述してください。

（例）
【失敗例】[tex:[x^a x^b] = x^{ab}]
【成功例】[[tex:[x^a x^b] = x^{ab}]]

【失敗例】[[tex:x^{ab} = [x^a x^b]]]
【成功例】[[tex:x^{ab} = [x^a x^b] ]]　　←最後が ] で終わる場合はスペースを入れる

【失敗例】 = x^ab]

【成功例】

【失敗例】]

【成功例】

■参考サイト

mimetexに関するメモ

■トラックバック（0件）

adiaryのセキュリティ対策

なべ — Thu, 19 Jul 2007 08:22:21 GMT

adiaryでは adiary.conf.cgi 内で設定されているセキュリティフレーズによる、各種SPAM対策、CSRF対策を行っています。ここではその対策の仕組みについて紹介します。安全なサイト運用のためにセキュリティフレーズは必ず書き換えてください。

# ●以下の「秘密の言葉」を必ず書き換えてください。
<$Secret_phrase = 'すきな文字列をここに書く'>

■SPAM対策

例えば、adiaryのトラックバックURLは次のようになっています。

http://adiary.org/man/09/tb/7Tv

手前から「09」は記事番号、「tb」はトラックバックを識別するための記号、「7Tv」がセキュリティーコードです。

adiaryの記事番号は通し番号ですから総当たりなどの方法で適当な記事にトラックバックSPAMを送れてしまいそうです。では実際、この数字を書き換えてトラックバックを送信するとどうなるでしょうか。エラーになってしまいます。セキュリティーコードは上で設定したセキュリティーフレーズと記事番号から一定の法則で計算され、このコードが一致しないとトラックバックが送信できないようになっています。ここで大切なのことはセキュリティーフレーズが分からなければ、セキュリティーコードを計算できないということです。

では１度記事を手で確認してトラックバックURLを収集、収集したURLに自動的にトラックバックを送ろうとしたらどうなるでしょうか？　最初のうちは成功してしまいますが、１日も経てば失敗します。このセキュリティーコードは（デフォルトでは）８時間ごとに変更され、最大１６時間経つと使用出来なくなります。

とすれば、SPAMロボットがトラックバックURLを認識して、即時に送信するタイプだったらどうなるでしょうか？　実はこれも難しいように作れています。試しに（ログオフした状態で）JavaScriptをオフにして記事を表示してみてください。表示が次のように切り替わるはずです。

TB-URL http://adiary.org/man/09/tb/

※お手数ですが、SPAM防止のためURLの後ろに「7Tv」を追加してください。

つまりJavaScriptを解釈できないロボットはこのメッセージを認識してトラックバックURLを構築する必要があります。よってSPAMロボットが相当賢く作ってないとトラックバックURLを知ることができません。

もちろんadiary専用のトラックバックURL解読エンジンを作られれば負けてしまいますが、それをするメリットがあるとは到底思えませんし、その手のものが登場した瞬間に対策方式を変更するのでロボット側はかなり無力です。

コメントのSPAM対策

JavaScriptオフで記事を表示させた人は気づいたと思いますが、コメント欄にも同様のSPAM対策が施されています。公式 http://blog.abk.nu に幾度となくSPAMロボットがやってきていますが、（対策以後）ロボットが書き込みに成功した例はありません。

■CSRF対策

いわゆるCSRF攻撃対策のためにも、セキュリティフレーズが使われています。ログイン時に発行されるランダムな文字列である session_id とセキュリティーフレーズを使ってセキュリティーコードを生成しています。このセキュリティーコードはフォームを送信する際に必ず埋め込まれ、この値が一致しない限りフォームを受け付けない仕組みになっています。

ただし弊害として、日記を書いている最中にログアウトしてログインし直すと、日記を投稿するのにリロードが必要になります。

■タグ、JavaScript対策

フォームを処理する時点で、タグの除去には細心の注意を払っています。いかなる場面でも利用出来るタグは制限されていますし、コメント欄ではタグなどは一切書けません。

JavaScriptが一切記述出来ず、個人で利用するにはやや制限がキツいこともありますので、その場合はタグの利用制限を外す方法をお試しください。