【freo】Web Liberty総合2【Web Diary Pro】
ブログ機能を備えたイラストサイト向け日記帳
freo、Web Diary Professional 他Web Libertyのスクリプトスレです。
Web Liberty
ttp://www.web-liberty.net/
Web Diary Professional配布元
ttp://www.web-liberty.net/download/diarypro/index.html
サポート掲示板(freo以外のWeb Libertyのスクリプト用)
ttp://www.web-liberty.net/support/index.html
freo配布元
ttp://freo.jp/
freo設置に関するサーバー別トラブルシューティング
ttp://freo.jp/setup/trouble/index.html
freoサポート掲示板
ttp://freo.jp/support/
前スレ
【freo】Web Liberty総合【Web Diary Pro】
http://hibari.2ch.net/test/read.cgi/blog/1290154285/ >>672
あなたの頭の悪さにはもううんざり
>URL書いたりID書いたりしないでね
この意味を理解してね >593
ハッシュが見えるのは確かにその通りですね。
ソースが公開されてるこの手のCGIでは仕方のないことなのかな
ファイルのパスかえたりハッシュの作り方変えたり独自の修正すればOKかな
ハッシュ関数desは弄ったことないけど、
大文字、小文字、数字、記号を混ぜての9桁なら結構強力だと思うけどな?
今時PCでも3ケ月くらいかかるんじゃない? >>676
URLやIDを書いたりしないでも他人にパフワードを解析されること自体が不快なんだが?
あなたの胡散臭さにはもううんざり 試したい人がいたらどうぞって話なのに何過剰反応してんの お言葉に甘えて例題出します
I2fNjxGCR8aW2
英数大小文字+記号、6文字
これで、どれくらいの時間かかりますかね そういわれりゃ、オレも3件やられたが
3件ともアカウントadminでパスワードは4〜6文字のホームページ
あるいはブログタイトルに関連した
単純な単語だった。
まあ、依頼者の希望だが。
英数8文字以上の12件はいまのところ大丈夫 パスワードの解析は犯罪です。
desの逆変換は犯罪ではありません。
>>677
user.logは普通ならhtaccess等でwebからは見られないようにするでしょうね
そうして全く問題ないので
9桁以上の表記は、パスワードは8文字分までしか反映していないよって意味でした
例えば8文字のパスワードの人は、ログイン時になにか適当に文字列をパスワードに付加しても、
普通にログインできるはずです。
また逆に、9文字以上のパスワードを設定している人も、8文字分までしか入力しなくても、ログインできます。
8文字のパスワードも20文字のパスワードも全く変わらないって意味です。
>>681
私のポンコツcore2duoで、1ヶ月ぐらいですね >671の記述は
いつもの 儲 対策で、そういうことができますよって話でした。すんません。
4時間なのは、6文字の半角小文字+数字のみの場合なのでした。
そもそも、私の使ってるDES解析ツールが、そのままでは記号を含められないので、
記号が入ってると大変なのです。中華もきっとありきたりなツールを使ってると思うので、
記号入れてれば多分今回の攻撃者からは逃れられるはずです。
ちなみに8文字で大小文字英+数+記号なら、480年ぐらいかかります。
でもそもそも、>>621で書いてる通り、穴はあるので、そこの対策はせにゃなりませんが。 すみません、今考えると私の>>594は勘違いだったようです。
ログイン画面から直接新規投稿へは遷移できるんですね。 使いたい人は使えばいいし
まあよく分からん自分はfreoに変更したわ
使いやすくて好きだったんだけどな残念 とりあえず「中国人にファイル置かれてた><」って言ってる人が書いたファイル名を検索してもこのスレしか出てこないんだけどw
あと素直な疑問なんだけど、なんで警察は「被害者」に連絡しても「セキュリティに穴のあるプログラムの作者」には連絡してないの?
警察から作者に連絡がいってて、本当にこのままじゃ不味い事態なんだったら、すくなくとも休止中のサイトのトップに「直ちに使用を中止してください」くらいの事は書きそうなんだけどな。 今きた。
昔から放置してるサイトでWDP使ってる。うちは問題ないけど
心配な人はこのページ読んで実行汁。
http://www.web-liberty.net/support/security.html
作者さんはちゃんと昔からセキュリティ強化方法書いてるよ。 とりあえず
lib 内 .pm ファイルのパーミッションを600にする
ってのをやっておいた。 >>593は「儲」なんて書くとアンチなんじゃね?って余計疑われるよ 自分と意見の合わない者=信者
って考え、自分が何なのか名乗ってるようなもんだよなw >>681
とりあえず半角小文字+数字の6桁の組み合わせではないってことは
確認しましたが、それ以上は許して
わたしゃー作者さんに対してそこまでアンチではない
もう何年も使わせてもらってるからね これからもそのつもりだし
今回全く何もやる気がないみたいなのは同じPGとしてどうかと思うが
ただ、頭の悪い一名は大変嫌いです
今回の一番やるべきは、.htaccessを置いて.logファイルを見れないようにする事
それ以外にも穴があるので、Plugin.pmの32行目付近のevalをコメントアウトする事
あとはFile.pmのget_extあたりに規制をかけとくといいんだろうけど、なぜかいろんなクエリが
ここを通るのでうまくいかない! 593>どうもでした
10年程前、MD5の解析で6文字以上は無理だとおもったけど
いまどき6文字が1か月でいけちゃいますか....
8文字で480年っていっても4コアのPC200台もってくりゃ7か月か 作者も忙しくて対処できないとかあろうよ
好意でやってくれてる人に対して求めすぎ 忙しい以外にも乗り気じゃないとかね
よくわからんアンチも実際にいたわけだし メディアに閲覧制限かけると管理者であっても開けなくなって
しまうのですがどうしたら良いでしょうか?
グループ、パスワード、ユーザー登録と一通り試してみたのですが
ファイルにURL直打ちでも403が出ます。
エントリー、ページそのものへの制限はかけられて確認も出来ます。
色々試してみたのですが解決策がわかりません。
心当たりのある方、ご教示願います。 作者はやる気が無いんじゃなくて、対応の必要性を感じてないんじゃないの?
これだけ「警察から連絡来た緊急事案だ」って騒いでるヤツが(数人でも)いて
それが本当の話ならのんびりしてる訳ないじゃん
警察から連絡来たって人は、それが本当なら連絡くれた警察に「作者に伝えろ」
と言えよ>>651とかさ、ここで騒いでも解決しないだろ
警察なら作者の身元調べるくらい簡単だろうし
あと警察のサイトに注意情報を掲載させるとかさ
ホントにヤバいなら俺らにも解るようにヤバさを伝えてくんない? >>694につきる
おれも被害を受けてレスった1人だが何も騒いでいない。
単なる情報提供。
それをどう受け取ってどう対応するかはそれぞれの勝手。
結構みんな対応情報くれてるよ。 >>687にある対応をとっておけば問題はなかったんだろ
悪いのはプログラムではなくセキュリティ対策をとっていない使い方をしてたこと
だからKもユーザーに個別に連絡してるという状況なのでは 追加のセキュリティ対策をしていないと悪い使い方になっちゃうプログラムってw
それがPGとしてどうなのよって話 頭悪いさん
>>697
>621でパスワードを完全に無効にする脆弱性の話してるのに、それを見ても対応の必要を感じないとか
試しもしないPGってのはやっぱ終わってるよ俺からしたら >621 はまだ確認していない
usr.logの置いてあるディレクトリにはup fileとかもあるので.htaccessを置くわけにはいかない。
ソースコードがオープンなんだから破る側が圧倒的に有利だなぁ http://www.futomi.com/lecture/htaccess/files.html
こんなので。logの禁止と、あとついでにphpとか、実行権限付けなくても
実行できちゃう拡張子を禁止しとくなど。 >593 .htaccess 細かい設定ができるのね、知らなかった、ありがと >>593
じゃあそんな終わってるPGの開発したプログラムなんて利用しないで自分でプログラム開発したら?
PG(笑)なんでしょ?
とかいうと儲(笑)認定されるかな 結局、作者が神で593が取るに足らない存在ってことを自ら喧伝してるだけか
人を頭悪い扱いできる程度の頭があるんなら、もうちょっと上手く立ち回ればいいのに 実際に被害に遭ったのは何人なの?
ここに1人か多くて2人しか居ないように見える
そのうち1人は同人板に居た人なら仕事で使ってるようなブログじゃなくて個人のブログでも
警察が連絡してくるの? > 実際に被害に遭ったのは何人なの?
ここで聞いて分かるわけないだろ
バカなのか? ×人を頭悪い扱いできる程度の頭がある
○人を頭悪い扱いできる程度の頭があると思ってる こんなの見つけましたが、関係あるのでは?
ttp://www.yomiuri.co.jp/e-japan/osaka/news/20140302-OYT8T00047.htm ここでの個人の情報とメディアの情報が一致したな
それでも信じられんやつは勝手にしろ >>711
ここでレスしてる中で何人なのかと思って
馬鹿でスマソ 己のセキュリティ対策の甘さ自慢大会会場はここですか 警察からではなけれど、サーバー業者から連絡は来た。
<お客様ご利用プログラム緊急停止のお知らせ>
拝啓 貴社益々ご清栄のこととお慶び申し上げます。
また、平素は大塚商会「アルファメール」をご利用いただきまして
誠にありがとうございます。
お客様のホームページ領域に設置されているプログラムが第三者に
よって悪用される可能性がある事を、弊社監視システムにより検知
いたしました。
このままではサービス提供に影響を与える可能性があるため、お客
様のプログラムの実行権限(属性)を停止させていただきました事を
ご連絡致します。
お客様におかれましては、ご利用Webツール(Web Diary
Professional)の脆弱性有無を確認いただくとともに、適切なアッ
プデートを行っていただけますようお願い申し上げます。
敬具
記
検知日 : 2014年03月03日
プログラム停止日時: 2014年03月03日 17時12分
停止したプログラム: cgi-bin/blog/data/z.php
上記内容を含めお客様コンテンツの修正内容に関するお問合わせは
お受けできかねますので、何卒ご了承いただけます様、お願い申し
上げます。
──────────────────────────────
このメールは重要なお知らせのためお客様の管理者アドレス宛てに
配信しております。
------------------------------------------------------------
このメールの送信元アドレスは送信専用です。ご返信によるお問い
合わせは受け付けておりませんので、ご了承ください。 2012年頃から大流行の「WEBサイト改ざん攻撃」について知らない人が
もしかしたら、まだいるかもしれないので、リンクおいておきますね。
【重要】日本中のWebサイトへの改ざん攻撃が多発中 4月から1000サイト以上が被害に | Web担当者Forum
http://web-tan.forum.impressrd.jp/e/2013/06/11/15427
去年の6月の記事ですが、まだ有効です。
Webから降ってくる脅威:最悪だったWeb改ざんとマルウェア感染攻撃をふりかえる・2013年まとめ (1/3) - ITmedia エンタープライズ
http://www.itmedia.co.jp/enterprise/articles/1403/06/news029.html
ググれば、↑みたいな2013年のセキュリティ動向まとめがいっぱい出てきますが、
専門家向けでちょっと読みにくいかも。
「ウェブサイト 改ざん お詫び」でググると、KADOKAWAを始めとする
大手企業サイトの謝罪文がずらずらと出てきて楽しいですよ。 WEBサイト改ざん攻撃被害者が加害者になる典型的なケースだけど、
サイト運営者側の責任がどうなるか気になることろです。
脆弱性を承知していたか、いなかったがが、分かれ目になりそうですけど、
自称警察やプロバイダーから警告を受けたにもかかわらず使い続けた人や、
セキュリティ対策してみたけど不十分だった人はアウトじゃないですかね?
長いことアップデートされず、しかも、作者が危険性を認識してサイトを閉じて
トンズラしたようなプログラムを使い続けることがどのようなリスクを招くか、
ちょっと考えてみて欲しいです。特に自分で対策できないような人は。
作者の人も、ただサイトを閉じるだけではなく、危険性をきちんと告知しなくては、
責任を果たしたことにならないんじゃないかと思います。
以上。 今回の件はもっとマイナーな攻撃者で、たぶんwebdiaryに的を絞って、
ページランクを持ってるサイトからリンクを張るというSEO目的
手作業してるし、botを増やそうなんていう高度な目的は無い感じ
目的から対象が企業サイトにされやすいし、そうすると電話番号明示してるから
電話連絡が多いのでしょう
まあ、加害者にならなかったのはたまたまと言っていいと思うが >webdiaryに的を絞って
この根拠よければくわしく そっかーうちがもう三年もWDP使ってるのに被害に遭ってないのは
セキュリティ対策をしっかりしたからとかそういうんじゃなくて
どピコだから攻撃者の眼中にないってことかぁ(゚∀゚)
orz WPD以外も被害にあっている感じだな。バックドア仕込まれて、
個人情報が抜かれても、ウェブ管理者はそこまで追跡能力がない。
ウェブサイト管理者の責任が問題。まさに、720さんに同意。
ttp://www.police.pref.osaka.jp/15topics/nisesite_teguchi_1.html >>722
ごめん、勘なんで根拠ないんだが、ロボットによる突破という形でなく、
人手によるファイルアップロードってところが、マイナーな感じがしたので。
あと、目的がSEOってところが、他のMTとかWPとかの攻撃目的と違うので。
>>724
すごいねこれwWDPが一番前に来てるってのはw 休止サイトのトップにセキュリティページへのリンクが足されたね。
どうしても使い続けたいならあれを全部やっといてって。 sb懐かしいな。あれはもう更新ないだろ…
記事数増えると対応出来ないし pmファイルのパーミッションを600にすると、サーバーエラーになっちゃうのはなぜ?
init.pmのcgiファイルの初期値変更しようにも、アプリケーションエラーになっちゃうよ・・ 単純なエディタの設定ミスで文字化けしてただけだったorz
だがパーミッション600の設定はできず。自鯖じゃないからかな。 ほんとにsuexec環境なの?
ファイル1個だけ0600にしてもエラー? ページイメージ分類別表示って>>33の例でいうと
表示させたいイメージがあるページは作品ページ1〜の位置にないとダメ??
分類用ページ1にイメージを設定しても、ページイメージ分類別表示プラグインのURL で表示されないけどこういう仕様なのかな?? ページイメージ分類別表示プラグインのURLで表示されないっていう意味がわからないけど
これ使えば?
ttp://32877.xii.jp/index.php/view/39 >>735
ページイメージを分類別表示させるURL( freo/index.php/page_image_categorized/gallery )って意味だった
あと>>733でアンカ間違えてた、>>31の例でいうと、の間違い またやられた。今度は楽天のレイバンのカタログを
dataフォルダーに入れられた。
いろいろやってるんだけど。 作者が提示した対策全部やってもまだ仕込まれるの?
前に来てた顧客のサイトの人じゃないならfreoにした方がいいんじゃね? tp://www.yomiuri.co.jp/it/20140612-OYT1T50017.html 今は使っていないが未対策のWDPのrecord.log
よりFilesManの記述を検出 ギャラリーを切り取りじゃなくて縮小サムネイルにしたい場合はどうしたらいい?
標準装備になったらプラグインの公式ページ消えてしまった...(´・ω・`) >>567
これとまったく同じ
設定終わり画像登録も終わり
挿入画面も出るんだけど
挿入ボタンおしても初期に戻るだけでなにも起きない
ここにも数人いるし公式サポートにも同じ症状が1人いるけど
なんの音沙汰もないのか…
導入無理だなあ >>745だけど自己解決
配布されてるファイルであっさり成功した
しかし今度は画像の縦横比が固定されてて困った
これ画像ごとの比率が反映されないのな
pixivだと大きさバラバラでも縦横比は可変でOKだったから
pixivからの引っ越しが出来ない…
いちいちつまずくんで疲れたよ >>746
画像の比率固定ではなかったはず(ソースを見てると画像の大きさはアップした画像を参照して自動で表示のようだし)
テンプレを書き換えていればデフォルトに戻したり、CSSで他の属性と被って記述されていないか確認してみたらどうだろうか?
無事に表示されるようになるといいね >>746
私も縦横比固定困ってたけど
templates>plugins>media_comic>default.html
の114行目付近
width="{$plugin_media_comic_width}" height="{$plugin_media_comic_height}"
を削除したらサイズばらばらでも原寸表示されるようになりましたよー >>747
レスありがとう
結局どれだけいじっても「最初の1枚目」の縦横比が
残り全部に反映されてしまって使い物にならないみたいだ
漫画機能だから当たり前なのかもしれないけど
pixivのなんでもありのweb比率に慣れてると無理だった
今はこっちを試してるんだけど、肝心の複数リンクの貼り方が飛ばされててうまくいかない…
http://cccabinet.jpn.org/customize.cgi?no=21
最初の画像にrel=でくくった複数画像のリンクを貼ればいいのか、
方法を探してるんだけどぐぐっても出てこない
誰かわかる人がいたら教えてくれるととても助かります
自分でも探しているんだけど(;´Д`) >>748
リロードしてなかったです
ありがとうーーーーー!!(T_T)
試してみます!! あ、見落としてたけど149行目辺りにもwidthとheight指定があるのでそっちも削除したほうがいいかもです >>751
出来ました!!
ありがとうありがとう
難しくて凹んでいたけどおかげでちょっと持ち直せました
ゆっくり引っ越してみます 確かにオフ本の再録やきっちり同サイズばかりじゃない、
いろんな表現が出来るのがweb漫画だから、固定されたら不便だね
そのプラグイン入れてみようか迷ってたから試してみようかな
使ってる状態が見てみたかったんだけど… freoは絵描きや漫画描きには嬉しい機能やプラグインがたくさんだけど小説書きにはそれほどでもないところが寂しい
メディア文章表示プラグインも微妙だった
これからもっと小説書き向けの機能やプラグインが増えたらいいなー >>753
freoユーザーリンク集からユーザーさんのサイト廻ると使ってるところ見れるかもです。
>>754
字書きさんにはまだまだコレ!!っていう機能がないですね
文章表示プラグインも前後ページへのリンクが生成されないのが個人的にまだちょっと実用的じゃないかなって思った記憶があります ひと通りぐぐってみたんだけど分からないので書いてみます
上にも出ている
>freoのentry(またはpage)で複数画像をcolorboxで表示する場合
ttp://cccabinet.jpn.org/customize.cgi?no=21
という記事を参考に
colorboxで複数画像を表示するというのをやっているんですが
グループ化した最後のイメージが終わると1枚目に戻って延々とループしてしまいます
最後の画像からポップアップウィンドウを閉じるようにする、
または最後の画像ですというサインを出す方法ってあるんでしょうか?
分かる方いたら教えてくださると助かります!
colorbox自体のカスタマイズもググってみたんですがわからなくて… 756ですが自己解決
適当にloop:falseぶっこんだら出来たみたい
freo便利だけど知識ないとほんと辛い 「最後の画像です」という表示ではないけど
colorboxのスタイルを変更することで
たとえばグループ化した画像が10枚なら 1/10 や 10/10 と表示させることはできるよ freoのギャラリーページで
よくあるフレームサイトのように
左側にメニュー
右側に作品が表示される
みたいなことをしたいのですが
どうすればできるのでしょうか?
freo フレーム風 左にメニュー表示
等色々思いつく限りググりましたがわかりませんでした
gallery.htmlにHTMLでフレームサイトを作るように
<FRAMESET cols="25%,*" border="0" frameborder="0">
<FRAME src="menu.html">
<FRAME src="main.html" name="log_main">
<BODY></BODY>
</FRAMESET>
こうやって記述すれば出来ますか?
それとも別の方法がありますか?
教えて下さいお願いします freoはじめCMSと呼ばれるスクリプトでページ生成するようなものは
だいたいフレームに向いてない
freoでメニューのみ表示するページ作って
freo外にフレームタグ書いたページ作ってそのフレームの中でfreoで作ったページ表示させるとかしないといけないんじゃないかな
cssで疑似フレームなテンプレート作るのが一番現実的かもしれない >>761
まずはやってみてから訪ねてみては?
公式や解説サイトを巡って、まずテンプレートがどの様に書かれているのか、
どこのテンプレートが読み込まれるのかを理解しないと思ったページは作れないよ。 >>761は無事解決できただろうか?
>>762のとおりにフレームではない方法が吉
疑似フレームは「スタイルシート・カラム」というキーワードで検索すると見えてくる
ギャラリーの目次作成はプラグインがあるので公式・配布サイトのリストを眺めるが吉
ユーザーメイドの配布テンプレートも調べ物のとっかかりになるかも
また>>763の「テンプレートが読み込まれる」ということを理解すると前進できる
これは丁寧に教えてくれる解説サイトがある
ガンバレ カテゴリー表示についての質問です
携帯の方でカテゴリーをセレクトメニューで選択できるようにしているのですが、表示が
親カテゴリ名
@子カテゴリ名
@子カテゴリ名
親カテゴリ名
@子カテゴリ名
のようになっています
少しわかり辛いので『@』を変更したいのですが、
カテゴリーに関するどのファイルを見てもよくわからなく困っています
ご存知の方などいたら教えて頂けたら嬉しいです 少し前ですがブログで、やっぱり次郎のエロ日記と言うのが
ありました、。
もてない男のブログですがお腹を抱え笑いました。
動画の情報も載っていたし文章も面白く楽しみにしていたのですが、
もう書いてないようです。
また始めると書いてましたが、
どこかでアップしているのでしょうか???
http://jirou2009.blog84.fc2.com/
ビックなペニスも載ってました。
無料動画より文章や写真がいいです。
どこかでアップしているの知っている人教えてください。 freoのエントリーに曜日も表示したいのですがやり方がわかりません
freo 曜日表示 でぐぐったら公式サイトのPHPを記述するというページが見つかったので
そこに書かれてたPHPプログラム↓
{php}
//曜日を定義
$weeks = array('日曜日', '月曜日', '火曜日', '水曜日', '木曜日', '金曜日', '土曜日');
//今日の曜日を取得
$week = $weeks[date('w')];
//データ表示
echo $week;
{/php}
ってのを
templates/internals/default/default.html
にコピペしたんですけど
全エントリーが今日の日付の日曜日になっちゃうんですよね…
どうしたらいいですか
色々ぐぐったんですけど書いてるサイトが見つからなくてお手上げ状態です
エントリーに曜日を表示する方法
わかる人いたら教えて下さいお願いします >>767
{$entry.datetime|date_format:'%Y-%m-%d (%a)'}
書式は date_format smartyでググってみて
まとめwikiに全テンプレート共通の変数が載ってるから、それを読めば改造のヒントになると思うよ。 >>768
おかげで無事表示出来ました
漢字表記の場合は書き方がまた変わるんですね
本当にありがとうございます!!!!!
感謝してもしきれません freoの記事って、分割インポートできますか?
記事が多いのか(1108記事程)、なんか上手く記事がインポートされなくて困っています(650記事しかインポートされない)
インポート用のファイルは770KB(記事単体のものだと703KB)なので、
転送容量的に引っかかってるわけではないと思います 新着ページ表示プラグインの表示を下→上じゃなく上→下に向かって新しい順にしたいのですがどなたか教えて下さい >>770
返事が来るかはわからないとして、公式ページのログ変換の案内では 途中送信しちゃったごめん
不明な点があったりエラーが表示されたりする場合、メールやTwitterなどでお知らせください。
とあるんだからとりあえず送ってみるかサポート掲示板に書き込んでみたらどうでしょうか。
同じエラーの人の助けになるかもしれないし。そしてもしかしたら解答を待っている間に手動で登録したほうがてっとり早いかも。
>>771
そういうカスタマイズは他の人にも使える物だから、サポート掲示板に書き込んだらどうでしょう?
新着ページを古い順から表示させるのってどういう場面で使うのか気になるので差し支えなければ教えてください。 >>773
んー、エラーが出るわけじゃないんですよね
普通に「656のSQLが実行されました」って出る
ただインポートファイルに記載された記事数よりずっと少ないってだけで
まぁ分割インポート難しいなら公式送った方がいいかもしれないですね
あと400記事手動登録とか前に200記事やった辺りで死にかけたので正直もうやりたくないです
だから無理やりインポート出来る形式にしてインポートしようとしてる実情があったりするので
レスありがとうございました。メールしてみます >>711
freo/libs/freo/plugins/display.page_recently.phpの42行目
ORDER BY datetime DESC LIMIT
を
ORDER BY datetime LIMIT
に変更 >>775
それでもできますけどphpファイルを弄らなくてもテンプレートの編集だけで出来ますよ。
テストしてから書き込みます。