Ellinikonblue.com Weblog

夢は夢のまま終わらせない…

Ellinikonblue.com PukiWiki | Weblog || Ellinikonblue.net Photolog | Devlosxom|| Turf Watch

« 「 foreshortened プラグインを改造してみた」 | This weblog top | 「 PukiWiki 1.4.5 」 »

MSN Spaces からのトラックバック受信

　当ブログで採用させてもらっている Nest of Snowy Owls 製の writebackplus プラグインに設定をいろいろ変えて、 MSN Spaces 上にある Digital Tale of Dream からのトラックバック受信を試してみました。

　結論を先に言うと、MSN Spaces からのトラックバックを受信するには、 Nest of Snowy Owls 製の writebackplus プラグインを使用する場合、ユーザエージェント、リファラー双方ともチェックなしの設定にしないとだめでした。

　前回、トラックバックの受信トラブル対策として、 Nest of Snowy Owls 製の writebackplus プラグインの設定を変更して、ユーザエージェントおよびリファラーのチェックを外してみたあと、カンガルーオアシスの color99 さんから下記のようなアドバイスいただきました。

スパム対策でリファラチェックで問題になったケースはこれまで無いので、リファラチェックは外さない方がいいと思います。

　このアドバイスをいただいたあと、writebackplus プラグインのユーザエージェント／リファラーチェックの設定の組み合わせすべてに対して、 Digital Tale of Dream の方からトラックバックを送る試験を行ってみたところ、やはり双方のチェックを外さないと受信できないという結果になりました。
　blog.bulknews.net 「 MSN Spaces の Trackback 」 (Aug 27th, 2004) の中でも

CMS から、利用者のブラウザを利用して送信するようになっていて、しかも GET リクエストで、url と excerpt しか送ってきません。 excerpt のマルチバイトは SJIS 丸出し。リファラつき、通常のブラウザなので、例の対策をとるとハマります。

とおっしゃっているので、今回の試験の結果は妥当と言えると思います。
　また、Nest of Snowy Owls の記事の中にも、このユーザエージェント／リファラーチェックの機能を実装した後、特定の方法（ BlogPeople 配布の「ぶろっぐぴんぴん」からのトラックバック）でのトラックバックを受信できない問題が発生して、これに対する例外処理をインプリメントしたという記述も見受けられました。
　同様に MSN Spaces からのトラックバックに対しての例外処理を入れ込む手はありますが、今後このような事が起こるたびに例外処理を増やしていくのは、インプリメントとして美しくないと個人的には思うのです（めんどくさいというのも原因としては多分にあります(^^;> ）。

　幸い当ブログは、現在さほど集客力のあるサイトではないので、これまでスパマーのターゲットになったこともありませんし、やはり当面、writebackplus プラグインの両チェック機能は外した状態で、運用を続けることにしました。
　で、当ブログで問題が顕在化する前に color99 さんからの以下のコメントにあります

因みに私の所では拡張スパムブロッカーというスパム対策プラグインを作って公開していますので、スパム対策にはそれを使っていただくのもいいと思います。

　こちらの方を時間を見て研究させていただきます。
　私の怠慢から先に問題が起こった場合、リファラーチェック、ユーザエージェントチェックの順で対処することにします。

13 comments | 1 trackback

Feb 03, 2005 at 00:10

トラックバック

このエントリへのトラックバック URL ：

このエントリへのトラックバック一覧

ESB v0.37

拡張スパムブロッカー(ESB)を更新し、強力な対策（a tagチェック）を追加しました。最新のバージョンは0.37です。今回の変更内容は、以下の通り。コメント及びトラックバックに対するa tagチェックを追加。カントリーコードチェックでYahooBBからの投稿を弾かない様にした。　（といっても、不完全な事には変わりないので使わない方が良い）デフォルトでスパムでない海外からの投稿を弾かない様にした。今回、a tagチェックという新しい対策を追加しているが、この内容については、次のエントリで説明します。

from カンガルーオアシス at 2005/2/5 00:43:15

このエントリへのコメント一覧

スパム対策について

Nest of Snowy Owls 製の writebackplus プラグインを眺めてみました。
結論から言いますと、リファラとモジラチェックの両方を外す必要があります。
通常、リファラチェックはコメント投稿に対してかける物と思っており、間違った情報を与えてしまいました。
ちなみに、このプラグインでは強制的にコメント及びトラックバックに対して日本語チェックを入れている様ですね。英数字だけのコメントは弾いてしまうみたいですね。
私の所で提供している拡張スパムブロッカーではモジラチェックは含んでいません。
又、リファラはコメント投稿が自分のサイトから行われているかどうかのチェックにのみ使っていますので、トラックバックには影響しません。
コメント投稿については現在９通り、トラックバックについては現在５通りの対策を実装しており、それぞれ個別に有効・無効を指定できます。
デフォルト設定でまず問題なくスパムを弾くと思いますので、何も考えずにプラグインフォルダーに放り込めばいいと思いますよ。
ただ、近日中に対策を１つ追加しようと思っていますので、急がなければそちらがリリースされたらそれを利用されるのが宜しいかと思います。

Written by color99 at 2005/2/3 23:41:17

ありがとうございます

ご丁寧なコメントありがとうございます。
近く ESB の方は試させていただきます。

今後ともよろしくお願いします。

Written by kay （管理人） at 2005/2/4 00:35:24

REFERER と USER_AGENT の対策について

拙作の writebackplus 改造版を使っていただいているようで、恐縮です。
SPAM フィルタの部分は明らかに手抜きをしている(うちに来たSPAM は英文のものだけだったので、とりあえずそれを弾けるようにしています)ので、その部分はもう少しまともに書き換えた方がよいとは思っています...

REFERER と USER_AGENT の対策について誤解のないよう申し上げておきますと、あの対策自体は JavaScript を用いた攻撃(悪意を持った者が、自分のページをみた第三者を操ってtrackback を送信させる)を防ぐためだったはずです。そのために JavaScript が動くブラウザからの trackback および REFERER つきの trackback を排除するように対処しました。最近では Mozilla/3.0 を名乗るブラウザは現状としてほとんど使われておらず、利便性とのトレードオフでBlogぴんぴんのための穴を開けています。

そんな状況なので、単なる嫌がらせとしてこの攻撃を仕掛けられた場合、SPAM フィルタを装備するだけではあまり効果をなさないように思えます。

Written by SnowyOwls at 2005/2/5 01:31:18

恐縮です

当ブログで writebackplus プラグインを使用させてもらっている関係上、一応トラックバックを送らせていただいたのですが、まさかその Nest of Snowy Owls のオーナー様から直接、コメントをいただけるとは恐縮です。

精進します(^^; のでまた、今後ともよろしくお願いします。

Written by kay （管理人） at 2005/2/7 13:06:43

「 MSN Spaces の Trackback 」

MSN Spacesからのトラックバックは、getメソッドで送って来るので、postメソッドで受ける今のブログツールではそもそもまともに受けれないような気がして、実際に実験してみました。
ＭＴでは受けれませんでしたし、BSKではタイトルがトラックバック本文に入ってしまいました（タイトルは無しになる）。
そちらではその後うまく受信出来るようになったのでしょうか？

又、トラックバックの脆弱性対策については、当時弊害が多い事があちこちで問題になっていて、それぞれがいろいろ悩んだのですが、結局、今の所実害が発生していないので、弊害を嫌って対策していないというのが現状と理解しています。
当時、私も宮川さんの当該エントリに何度かコメントを書きましたし、宮川さんも私のブログに書き込みしていただいたりしましたが、残念ながら、私はまだperlを十分理解していないし、mod_rewriteって何？状態だったので、完全には理解出来ていませんでした。今は理解してますけど、実際弊害は大きいので、esbにも今は入れていません。
esbにも弊害が大きいスパムチェックも有ったりしますので、そういう弊害の大きいスパムチェックでも、弊害を実用上問題無いレベルにするにはどうするかというのが次のメジャーバージョンアップのテーマと捉えています。そこでうまい対応方法が出来れば、トラックバックの脆弱性対策もesbに入れてゆく事が出来ます。まだ先の話ですけどね。

Written by color99 at 2005/2/27 22:57:23

MSN Spaces から受信できてるみたいです

　毎度お世話になっています。

　MSN Spaces からのトラックバックですが、writebackplus プラグインのユーザエージェント、リファラの両チェックをはずした状態であれば、受信できています。

　うちはまだスパムの標的にもなったことがないようですので、ESB のお世話にはなっていませんが、はてこの平和がいつまで続くのやら…

　私もどちらかというとウェブで小細工するなら、JavaScript か PHP の方が（どちらかといえば）得意で perl は他力を当てにしている方なので、この問題のためにも、もう少し勉強する必要がありそうです (-o-;>

Written by kay （管理人） at 2005/2/28 10:25:54

不思議ですね

writebackplusもpostメソッドしか受けない構造なんですが…。不思議です。
きっと何か見落としてますね。

Written by color99 at 2005/2/28 23:55:17

受信しているといっても…

受信しているといっても、なんか妙なんですけど…

http://www.ellinikonblue.com/blosxom/Computer/HW/20041123iPod.writeback

Written by kay （管理人） at 2005/3/1 10:04:41

症状同じみたいですが…

タイトルがついてませんね。

「BSKではタイトルがトラックバック本文に入ってしまいました（タイトルは無しになる）。」と書かせていただいてますが、そちらも同じ症状でないですか？

やはり、ｇｅｔメソッドで送られているので、まともに受信出来ないのではないでしょうか？

ｂｓｋのwritebackもwritebackplusもどちらも同じ症状だとしても、ｇｅｔメソッドを不完全ながらも受ける事自体不思議なんですが…。blosxom本体で何か処理しているのかもしれませんが、そちらは確認してませんので、分かりませんけど。

Written by color99 at 2005/3/2 00:20:04

おっしゃるとおりです。

　おっしゃるとおり、トラックバック本文がタイトルになっており、投稿者へのリンクがエントリへの恒久リンクになっています。

　まともには受信できないみたいですね。やっぱり。

Written by kay （管理人） at 2005/3/2 09:57:20

やっぱり

blosxomで不完全ながら受かる方が不思議で、MTの様に受からないのが正しいと思います。
だとすると、MSN Spacesからのトラックバックを受けれないのではなく、MSN Spacesがまともなトラックバックを送れないといのが正しいでしょう。
MSN Spacesが直すべきでしょうね。
writebackを改造して、postメソッドで受ける前にgetメソッドのデータを受け取ってpostメソッドの受け取りデータ後の処理へ回すような改造も出来そうに思いますけど、自分の所だけ受け取れても仕方ないような気がします。

Written by color99 at 2005/3/2 23:44:50