■Google Analytics

トラッキングコードのうち、IDに相当する「UA-123456-1」の部分のみを、Google Analytics ID欄に設定します。

コード全体を貼り付けないでください。*1

*1 : コードを貼り付けたい方はトラストモードと埋め込みテキストの利用をご検討ください

■AmazonアソシエイトID

アフィリエイトのIDを「AmazonアソシエイトID」設定します。例えば「xxxblog-22」などになります。

■Google AdSense ID

GoogleアドセンスのIDを「Google AdSense ID」設定します。

■対内部ユーザー＝アカウント保持者

• 日記内や日記の紹介、RSSなどで使用可能なタグと属性値をホワイトリスト式とする。
• タグの href, src, site, cite, action属性では、登録されたプロトコル以外で始まるリンクを消去*1。相対パスの場合は"./"を付加。
• タグの最後の属性値が0x80以上の文字で終わる場合、スペースを付加するかさらに後ろにダミーの属性値xss=""を追加する（EBXSS対策）。

*1 : :, :, :などは":"に戻してから処理します

■スタイルシートXSS対策

日記本文内の style="" 指定

1. \, @記号および、0x00～0x1fの制御コード、0x80～0xffまでの文字コード（全角文字など）を除去
2. /*, */, &#, script, java, exp, eval, cookie, includeといった文字列が完全になくなるまで除去*2

ユーザースタイルシート内

1. TAB, LF以外の制御文字を除去する。
2. コメントを最初に退避し、"*/"を"*/ "に置き換える。
3. "～"といった文字列（改行を含む）を退避し、文字列内から改行を除去*3、さらに日本語文字で終わる場合はスペースを付加する。（EBXSS対策）
4. ", ', *, #を除く文字の、手前に付く\ 記号を除去する。
5. 0x80～0xffのコード（全角文字など）をすべて消去する。
6. /*, */, &#, script, java, exp, eval, cookie, includeといった文字列が完全になくなるまで除去する。
7. TAB や LF を間に挟んだ上記の記号列が１つでも存在する場合、TABやLFの手前にスペースを１つ追加する。
8. url() が正しいかチェックする。相対リンクの場合は"./"を先頭に付加する。
9. 文字列を復元する。
10. コメントを復元する。

*2 : 正規表現で１回マッチングするだけ不完全。例えば"javascrscriptipt:"と書かれた文字列でXSSを起こせるので、参考にする方は注意

*3 : IEではCSS内において改行を含む文字列を許可するので、注意が必要です。Firefox等で許可されません（改行で文字列が終わったことになります）。

■参考文献

• はてなダイアリーXSS対策
• はてなブックマーク - CSRF
• はてなブックマーク - XSS
• はてなブックマーク - CSSXSS
• IE における "expression" の過剰検出による XSS の 誘因
• 通常とは異なる記述の javascript: プロトコルが実行される(microsoft) … TABの代わりにスペースや改行でも同様に解釈されるので注意。

■スクリプト側で対応不可能な既知のIE脆弱性

• mhtmlを使ったAjax風味で同様にデータ盗用方法
• object.documentElement.outerHTMLプロパティ処理の脆弱性（IE）
• IEの画像脆弱性 （対応困難、対応保留中）

■theme/, public/ の設置ディレクトリを変更する

標準では、RSSなどのデータやテーマ（CSS見た目ファイル）は adiary と同一のディレクトリに置くようになっています。一部のサーバなどでは cgi-bin 以下にこれらのファイルが置けないようになっているのでこれを変更します。

例えば該当のサーバで、cgi-bin にしか cgi ファイルを置けないとすれば次のように adiary を設置します。

自分のwwwディレクトリ
  + cgi-bin
    + adiary
       + __chche/
       + data/*
       + diary.skel/*
       + info/*
       - adiary.cgi
       - adiary.conf.cgi
       - （略）
  + adiary
    + public/*
    + theme/*

要するに adiary のファイル群の中から public/ と theme/ のみを違う場所に移動します。パーミッションなどはマニュアルどおりに設定してください（__chche, data/, public/ のパーミッションを0777などに）。

続いて adiary.conf.cgi を開き、次の場所を設定します。

# 公開のデータディレクトリ
<$constant(public_dir) = '../../adiary/public/'>
<$constant(theme_dir)  = '../../adiary/theme/'>

これで通常動くはずですが、問題が起きた場合はこの記事にコメントでもください。

誤植『上記のディレクトリ構成時の公開データディレクトリは、 <$constant(public_dir) = '../../adiar...』(2007/10/10 5:18)
なべ『修正しました。ありがとうございます。』(2007/10/10 20:16)

Infoseek iswebにadiaryを設置 （stblog）

adiary/
  - mimetex/
    - README
    - mimetex.cgi
       :
  - data/
  - adiary.cgi
     :

console$ cd mimetex
console$ gcc -O2 -DGIF mimetex.c gifsave.c -lm -o mimetex.cgi

■TeX記法の注意

adiaryのタグ表記「[tex:xxxx]」の中では "{" と "}" が特殊な記号（エスケープ記号）として動作してしまうため、下付文字などを出すときに問題が発生します。エスケープ動作を行わない記法タグ[[tex:xxxx]]を使って記述してください。

（例）
 [tex:x^a x^b = x^{ab}]
[[tex:x^a x^b = x^{ab}]]

■参考サイト

mimetexに関するメモ

# ●以下の「秘密の言葉」を必ず書き換えてください。
<$Secret_phrase = 'すきな文字列をここに書く'>

■SPAM対策

例えば、adiaryのトラックバックURLは次のようになっています。

http://adiary.org/man/09/tb/7Tv

手前から「09」は記事番号、「tb」はトラックバックを識別するための記号、「7Tv」がセキュリティーコードです。

adiaryの記事番号は通し番号ですから総当たりなどの方法で適当な記事にトラックバックSPAMを送れてしまいそうです。では実際、この数字を書き換えてトラックバックを送信するとどうなるでしょうか。エラーになってしまいます。セキュリティーコードは上で設定したセキュリティーフレーズと記事番号から一定の法則で計算され、このコードが一致しないとトラックバックが送信できないようになっています。ここで大切なのことはセキュリティーフレーズが分からなければ、セキュリティーコードを計算できないということです。

では１度記事を手で確認してトラックバックURLを収集、収集したURLに自動的にトラックバックを送ろうとしたらどうなるでしょうか？　最初のうちは成功してしまいますが、１日も経てば失敗します。このセキュリティーコードは（デフォルトでは）８時間ごとに変更され、最大１６時間経つと使用出来なくなります。

とすれば、SPAMロボットがトラックバックURLを認識して、即時に送信するタイプだったらどうなるでしょうか？　実はこれも難しいように作れています。試しに（ログオフした状態で）JavaScriptをオフにして記事を表示してみてください。表示が次のように切り替わるはずです。

TB-URL http://adiary.org/man/09/tb/

※お手数ですが、SPAM防止のためURLの後ろに「7Tv」を追加してください。

つまりJavaScriptを解釈できないロボットはこのメッセージを認識してトラックバックURLを構築する必要があります。よってSPAMロボットが相当賢く作ってないとトラックバックURLを知ることができません。

もちろんadiary専用のトラックバックURL解読エンジンを作られれば負けてしまいますが、それをするメリットがあるとは到底思えませんし、その手のものが登場した瞬間に対策方式を変更するのでロボット側はかなり無力です。

コメントのSPAM対策

JavaScriptオフで記事を表示させた人は気づいたと思いますが、コメント欄にも同様のSPAM対策が施されています。公式 http://blog.abk.nu に幾度となくSPAMロボットがやってきていますが、（対策以後）ロボットが書き込みに成功した例はありません。

■CSRF対策

いわゆるCSRF攻撃対策のためにも、セキュリティフレーズが使われています。ログイン時に発行されるランダムな文字列である session_id とセキュリティーフレーズを使ってセキュリティーコードを生成しています。このセキュリティーコードはフォームを送信する際に必ず埋め込まれ、この値が一致しない限りフォームを受け付けない仕組みになっています。

ただし弊害として、日記を書いている最中にログアウトしてログインし直すと、日記を投稿するのにリロードが必要になります。

■タグ、JavaScript対策

フォームを処理する時点で、タグの除去には細心の注意を払っています。いかなる場面でも利用出来るタグは制限されていますし、コメント欄ではタグなどは一切書けません。

JavaScriptが一切記述出来ず、個人で利用するにはやや制限がキツいこともありますので、その場合はタグの利用制限を外す方法をお試しください。

■XREA（無料／広告付きサーバ）

広告を出すためにApacheをいじっているらしく、一部、HTTPやApacheの実装などに反する環境変数を設定します。PATH_INFOを２回繰り返して設定するのが最大（最低）のバグです。adiaryをここで動かすためには、設定ファイル adiary.conf.cgi の最初の方に次の２行を書き加える必要があります。

<$ENV.PATH_INFO   = substr(ENV.PATH_INFO,   length(ENV.PATH_INFO)/2)>
<$ENV.SCRIPT_NAME = substr(ENV.SCRIPT_NAME, 0, length(ENV.SCRIPT_NAME) - length(ENV.PATH_INFO))>

※XREA有料版ではこのような細工は不要です。

■Infoseek isweb

通常通り設置しただけではテーマなどCSSが読み出せない問題があります。詳細はこちら。

■CORESERVER.JP

パスの自動解析に失敗するようです。こちらを参考に <$Basepath>, <$Mod_rewrite=0> を設定してみてください。

■land.to

SCRIPT_FILENAME に PATH_INFO が付加して出力されるバグがあるようです。

http://adiary.xx.land.to/blog/adiary.cgi に設置した場合
<$Mod_rewrite=0>
<$Basepath="/blog/">
<$ENV.SCRIPT_NAME="/blog/adiary.cgi">

■その他のサーバ

デフォルトでは動かないレンタルサーバがありましたらお知らせ＆問題解決にご協力ください。

• adiaryを@pagesに設置してみた（ひとぅさん）
• adiaryをZMXに設置してみた（ひとぅさん）

ひとぅ『リンクありがとうございます。 ただTBはタイトルに間違いがありました。すみません。 リンクの方のタイトルを修正いただけると幸いで...』(2008/01/25 7:22)
stblog『Infoseek iswebにadiaryを設置みました。 MTデータのインポートができるcgiを探していたら見つけました。 し...』(2008/03/05 10:35)
なべ『いわゆる（万能の）静的出力の機能はありません。 エクスポートから静的出力することはできます。 現状だとwikiコンテンツぐらいし...』(2008/03/13 25:27)
stblog『ご返事ありがとうございます。』(2008/03/17 9:41)
stblog『前に送ったトラックバックは、削除してください。cgiからのurlでしたのでリンクができませんでした。申し訳ありませんでした。記事...』(2008/03/17 13:45)

adiaryを@pagesに設置してみた （ひとぅブログ） by ひとぅ
adiaryをAMZに設置してみた （ひとぅブログ） by ひとぅ
Infoseek iswebにadiaryを設置 前のトラックバックはurl間違いです。すみません （stblog）

CGI設置場所 : http://xx.yy.zz/~user/adiary/adiary.cgi
見せたいURL : http://xx.yy.zz/~user/adiary/

RewriteEngine	On
RewriteBase	/~user/adiary/
RewriteCond	%{REQUEST_FILENAME}	!-f
RewriteRule	^(.*)$			adiary.cgi/$1	[L]

■ディレクトリをまたがる mod_rewrite

CGI設置場所 : http://xx.yy.zz/~user/adiary/adiary.cgi
見せたいURL : http://xx.yy.zz/~user/

.htaccess を http://xx.yy.zz/~user/ に設置して

RewriteEngine	On
RewriteBase	/~user/
RewriteCond     %{REQUEST_FILENAME}     !-f
RewriteRule	^adiary/		-			[L]
RewriteRule	^(.*)$			adiary/$1
RewriteRule	^adiary/(\w*)\.cgi	-			[L]
RewriteCond	%{REQUEST_FILENAME}	!-f
RewriteRule	^adiary/(.*)$		adiary/adiary.cgi/$1	[L]

と書きます。http://xx.yy.zz/~user/adiary/ にある .htaccess（のmod_rewrite設定）は無効化します。

あとは応用で色々できます。

Apache 1.3.xxの場合

Apache1.3では上の方法はうまくいかないようです。それぞれ次のように設定すれば大丈夫でした。

/~user/.htaccess
RewriteEngine	On
RewriteCond     %{REQUEST_FILENAME}     !-f
RewriteRule	^adiary/		-			[L]
RewriteRule	^(.*)$			adiary/$1

/~user/adiary/.htaccess
RewriteEngine	On
RewriteCond     %{REQUEST_FILENAME}     !-f
RewriteRule	^(.*)$			adiary.cgi/$1

■adiary.conf.cgi にある設定項目の補足

adiary.conf.cgi にあるディレクトリ設定

# 公開のデータディレクトリ
<$constant(public_dir) = 'public/'>
<$constant(theme_dir)  = 'theme/'>

を変更する際、adiary.cgi から見たデータの保管場所として指定する必要があります。というのも www 上から見せる URL のパスであるのと同時に、adiary が実体ファイルにアクセスする際のパスにもなっているためです。