「yomi search」の脆弱性対応

 ①踏み台にされる件

以下のようにrank.cgiを使うと、当該サーバーを踏み台にしたDDoS攻撃が行われる。

なので

・まず設定でランキング処理をやめる。

・サーバーにあるrank.cgiをrank.cgi.oldに変える。

②クロスサイトスクリプティングの脆弱性(CWE-79)

「yomi search」サイトにアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される可能性。これは「yomi search」の問題ではなく、ユーザー投稿コンテンツが表示されるサイト全てに当てはまる。以下「yomi search」での対応。

・「yomi search」での申請において、自動登録は絶対禁止（何しろ自動登録だと、いくらプログラムで弾いても、次々に新しいのが考案され、らちが明かない）

・申請内容を目で見て確認し、その場合、＜script＞〜＜/script＞などの怪しい所が無いか確認。自分でも当該urlなどをセキュリティーの高いブラウザ（chromeなど）で確認する。

参照：https://www.shadan-kun.com/waf_websecurity/xss/

まあ、これで完璧に弾いても、相手先にて やばいページにリダイレクトされれば、元も子もない。そもそも完全には対応不可能。この脆弱性を問題にすること自体が茶番。

何よりも、ユーザー教育、マスコミ教育が大切。

ちなみに、一般的なサニタイジング（無害化）対応cgiスクリプトはこちら。要は表示だけされて実行はしないように変換。ユーザー入力項目について変換処理を加える。

$value =~ s/&/&/g;
$value =~ s/</&lt;/g;
$value =~ s/>/&gt;/g;
$value =~ s/"/&quot;/g;
$value =~ s/'/’/g;

facebookの埋め込みが表示されない → 解決

 「facebook 埋め込み 表示されない」は、特定のｐｃの特定のブラウザで起きているようです。現象は以下の画像が表示され、facebookの埋め込みが表示されないもの。

原因はfacebookのバグだと思われます。facebookにログインしていると起こるよう。しかもすべてのPC・ブラウザではなく、特定のPC・ブラウザでだけ。

対応方法は、facebookから一旦ログアウト。

facebookの作業をしたいときに再度ログイン。すぐログインしてはだめ、しばらく置いてから。

ちなみに、ローカルサーバーでテスト表示を行った場合などに、この現象が現れました。なので一般の人の環境では起こらなくて、ウェブサイトなどの開発を行っている人だけに起こるもの。

2022.12.07

css スマホで右側にチョットはみ出る、その全てを解決する方法を発見。

@media screen and (max-width: 768px) {

  * {max-width: calc(100vw - calc(100vw - 100%));}

}

• 要するに、画面幅より大きくなったとき、画面幅にする。
• calc(100vw - 100%)は、スクロールバーが出たとき、それを引く式（らしい）。Responsive Viewerなどで見たときに効く。
• 各cssの先頭に入れるとよいです。

 追記）

実際に運用してみたら、ポップアップやツールチップなどでおかしな表示になってしまった。なので、:notなどで適用範囲を制限する必要に迫られた。

ffftp v4.9 → v5.7 → v4.9に戻す

2022.12.14

結局、v4.9に戻しておしまい。

ーーー　以下、作業した内容　ーーー

ffftp v4.9 → v5.7 でいろいろあったので書いておく。まあ、以下を設定するとよい。

★必ず、設定の「設定ファイルの保存」を行ってから行う。

「ミラーリングアップロードでフォルダ名に:が付加の件」

・接続＞ホスト設定＞ホスト一覧＞設定変更＞高度＞「LISTコマンドでファイル一覧を取得」をチェック

・接続＞ホスト設定＞ホスト一覧＞設定変更＞高度＞「可能であればMLSDコマンドで一覧を取得」をチェック

「大容量フィルダのミラーリングが途中でとまる」

・接続＞ホスト設定＞ホスト一覧＞設定変更＞暗号化＞「暗号なしで接続を許可」をチェック。下にあるその他のチェックは全て外す。

あと、アップロードで「crlf」が「lf」だけにされるようで、ファイルサイズがほんの少し小さくなる。

×その後、ミラーリングダウンロードでもおかしなことが起こって使えなかった。やっぱり戻す、v4.9へ。

★v4.9に戻しても、正常には戻らなかった。設定の「全設定の消去」を行ってから、設定の「設定をファイルの復元」を行う。

2022.06.10

その後、ffftp起動時にウィンドウが小さくなる現象になやまされた。けど、右上に四角い拡大縮小のボタンがあり、それで縮小にしたときに最大値に拡大しておけばよいのだった。

2022.06.01

ffftp 5.7を試したら、ミラーリングアップロードでフォルダ名に「:」が付加されて大量の削除の憂き目にあった。‥処理前に確認して事なきを得たけど。

なので、ffftp 4.9に戻した。

---以下は以前の書き込み　最新版は上に書きます。--------

追記）FileZillaでゼロファイル探す（最後に追加）2021.03.05

---------------------------------

「ffftp 1.99で」
おそらく、アップロードでエラーになった時にゼロになるのだろう。
（セロにならなくても、半分だけ転送された中途半端なファイルも発見。やっかい）
だいたいは、ミラーリングアップロードでエラーが起き、その後自動で再開されるので気が付かない。
もしかしたら、転送の設定かサーバー側の環境によって起きる起きないがあるのかも。

どうしようかと考えていたら、「ffftp 2.0」や「ffftp 3.5」がいつの間にか出ていたので、「ffftp 3.5」の方に移行。

「ファイルサイズがゼロ」の件は、注意深く見て行きたいと‥。

p.s.
　その後v4.4を使ってみたら、時々エラーで異常終了。その時、ファイルサイズがゼロに。なので、V4.3に戻して使用。こっちの方が安定。
2020.03.23

p.s.2

　v4.7にしてみたら、激しく異常終了したので調べてみたら、ホストの設定画面＞「高度」タブ＞「LISTコマンドで一覧を取得」にチェックを付けるとよい、らしいのでしばらく使ってみようと。→結局、ミラーリングができなくて、v4.3に戻す。

→v4.9で安定するようになりました。2021.06.07

追記）

・画面の半分（ローカル側、ホスト側）が表示されない場合、どちらかが、かぶされている（中心線が左、または右に寄っている）ので、端の枠をドラッグしてみる。

・ffftpを起動したとき、左側（ローカル側）が狭くなっている（何度直しても元に戻る）。この場合、縮小表示（再縮小ではない）したときに、小さいバーだけの表示になっているので、その枠をドラッグして広げ、中心位置を真ん中ぐらいにもっていくと、最大表示でも真ん中になる。

参考：https://howpon.com/13644

-------------

FileZillaでゼロファイル探す

結局、ftpにはトラブルが付き物で、その時のエラーでゼロになる。そのエラー時のファイルが分かっていれば再送すればよいが、見逃したりする場合もあるかも。

そのとき（過去）のエラーを探す方法が「FileZilla（FTPソフト）でゼロファイル探す」。

FileZilla > サーバ > リモートファイルの検索で下記の設定で検索ボタンを押す。

・サイズがゼロのファイル

・ファイル名の最後が.html

PCとスマホ同時表示確認、bliskの対抗馬が現れる。しかも無料。

chromeの拡張機能にありました。
レスポンシブ チェック！
というもの。

https://chrome.google.com/webstore/detail/%E3%83%AC%E3%82%B9%E3%83%9D%E3%83%B3%E3%82%B7%E3%83%96-%E3%83%81%E3%82%A7%E3%83%83%E3%82%AF%EF%BC%81/nblkfiamblkjblenkgajmjfampppmonh?hl=ja

サイズの調整をしたかったら、webサイトにルーラー（定規）を出すブックマークレットで
https://www.kotalog.net/archives/711
※現在は幅を変えると、pxが表示されるので不要に。

2021.10.11

Responsive Viewerが現在ではいい感じです。

https://chrome.google.com/webstore/detail/responsive-viewer/inmopeiepgfljkpkidclfgbgbmfcennb