メルマガ Sharebar プラグインを避ける理由

レスキューワークメルマガのバックナンバーを部分的に公開しています。今回は「Sharebar プラグインを避ける理由」9月9日配信です。

皆さん、こんにちは。
水野史土です。

このメルマガは、WordPress に関するセキュリティトピックを中心に配信します。

======================================================================
Sharebar プラグインを避ける理由
======================================================================

Sharebar プラグインは、セキュリティに配慮していない部分が多く有ります。
私が攻撃手法を見つけたのはクロスサイトリクエストフォージェリですが、
他にもクロスサイトスクリプティング(XSS)脆弱性がある可能性が高いです。

ですが、「脆弱性があったこと」自体は、致命的ではないと思います。
完全なプログラムを書く、というのは非常に難しいですから。

判断すべきなのは、「脆弱性があったときに適切に対処しているか」だと思います。
脆弱性に適切に対処しているのであれば、
作者が気づいて改善したのか、
あるいは熱心な利用者がパッチを送って取り入れたのか、
いずれにせよ、長期的に見てそのプラグインが改善される見込みが高い、という判断です。

一方で、脆弱性が報告されていても放置されていたり、不適切な対処をしている場合は、
そのプラグインがセキュリティ面で改善される可能性は低いでしょう。

Sharebar の場合、2013年7月4日に CSRF 脆弱性が報告されています。

http://secunia.com/advisories/52948/

しかし、2ヶ月近くたっても、脆弱性が解消されていません。
なので、このプラグインは使用を避けるべきだと思います。

どうしても使用したいのであれば、フォークして自分でメンテナンスすることになるでしょう。


/**
 * 関数を知る  wp_style_add_data
 */


wp_style_add_data は、スタイルシート出力時に属性を追加します。
古い IE 用のスタイルシートに lt IE 9 を追加する、といったことができます。
WordPress 3.6 で導入されました。

----------------------------------------------------------------------
wp_style_add_data( $handle, $key, $value )
$handle ... (文字列) (必須) スタイルシートのハンドル名
$key ... (文字列) (必須) キー。conditional, rtl, suffix, alt, title から選択
$value ... (文字列/真偽) (必須) 値。「lt IE 9」のように記述する
----------------------------------------------------------------------
// Twenty Thirteen テーマでの利用例
wp_style_add_data( 'twentythirteen-ie', 'conditional', 'lt IE 9' );
----------------------------------------------------------------------

第一引数のハンドル名は、wp_enqueue_styleで登録した名前を指定します。
第二引数はキーをconditional, rtl, suffix, alt, title から選択します。
第三引数は値となる文字列を指定します。

詳細は、includes/functions.wp-style.php および
includes/class.wp-dependencies.php のコードを参照してください。


+-------------------     フォーラムから学ぼう     ----------------------+
アドミンバーにユーザー名を表示したい

http://ja.forums.wordpress.org/topic/24337

ログインしていると、画面上部にアドミンバーが表示されます。
アドミンバーには様々なフックが用意されており、カスタマイズしやすくなっています。

詳しくは wp-includes/admin-bar.php を参照してください。
(wp-admin ではなく、wp-includes の中にあります。)

======================================================================
Q & A
メルマガ読者からの質問を受けるコーナーです。
質問は mizuno@rescuework.jp までどうぞ。


==================     次回のメルマガ予定     ========================
次回は、「settings API」を取り上げます。


+--------------------------------------------------------------------+
  発行: レスキューワーク株式会社
  執筆: 水野 史土
  問い合わせ: mizuno@rescuework.jp
+--------------------------------------------------------------------+

One Response

  1. WordPressセキュリティニュース、購読前の質問回答
    WordPressセキュリティニュース、購読前の質問回答 2014年5月10日 at 10:05 AM |

    […] 過去ログは現時点では公開していませんが、サンプルとしてメルマガ Sharebar プラグインを避ける理由を公開しています。 […]

Comments are closed.