タイトルの件は置いといて。

先日のこの記事のコメントにて、某プラグイン作者様より、「XSS脆弱性(ぜいじゃくせい)」なんて言葉があったので、ちょっと分からない方の為に、簡単に説明してみたいと思います。

XSSとは、"Cross Site Scripting"の略で、それだったら略したらCSSじゃん!となるわけですが、スタイルシートのそれと混同してしまうため、XSSと略称されています。

悪意のある訪問者が、セキュリティ上の「穴」を攻撃(スクリプト混入されたりだとか)されて、個人の情報が漏れたりだとか、恐ろしい結果に繋がるわけです。

昔、携帯サイトの掲示板なんかで攻撃されているのを見かけた事がないでしょうか?例えば、真っ白になって表示されなくなっていたりとか。
あれもXSSの餌食となっていたわけです。
auには効くけど、ドコモには効かないとかいうのもあったなぁ。。。

最近では矢吹さんのLOCOBOARDなどの高機能な掲示板が登場してきて、タグ不可などの機能は当たり前になってきました。

で、PAPALOGが使っているMobile Eye+ですが、コメント表示部分にXSS脆弱性があると指摘がありました。
んなもん私はMobile Eye+を使い始めた瞬間から、それにあたる部分を修正しています。

問題のそれは、Mobile Eye+のプラグインに含まれるfunction.phpの31～32行目の全角英数字カナを半角にする関数で、オプションのaを使っている事が原因なようです。(デフォルトではaskVが設定されている)

全角を半角にすることでの省パケ機能として設定されているもので、管理画面の設定でも使用する・使用しないが選択できるのですが、このmb_convert_kana()のaオプションがちょっと厄介で、英数字だけでなく、ASCII記号までも半角にされてしまうわけで、要は→＞までもが>に変換されるという事態に。。。

で、ワタシは何故即座にここを修正したか。

半角カナが苦手だからというオチですｗ

しかしながら、コメントいただいた某プラグイン作者様、ご指摘ありがとうございます(_"_)
フッターの十六夜.jpへのリンクの件は、確かに気になっていたので、ご指摘どおり修正いたしました。

先日、改装したばかりのPAPALOGですが、予告していたとおり改装いたしました。
もう少し作業が残ってますが、ほぼ完成です。

色使いは、あきさんの言う「レトロ」のそれではなく、メリハリをつけて爽やかな感じにしてみました。ハートを多用しているのは特に意味はありません＾＾
グリーンと白の境目の部分は、いつもなら横一直線ですが、味気なくなってしまうので、少し曲線をつけてみました。

サイドバーの充実という案件は、画像ギャラリーを置く事で少し進展しました。
プラグインは、FotoGraffiでおなじみ「NextGEN Gallery」。もうこれかなり気に入っています＾＾
とりあえずPAPALOGのお決まりという感じで、改装後のスクリーンショットをアップロード。

ここでちょっと微妙に気に入らない部分発生。
サイドバーのサムネイルはこの大きさくらいでいいのですが、記事部分のサムネイルはもう少し大きくてもいいんじゃないかと。
ここいらあたりは設定でどうにかなりそうな感じもするので、あとであれこれしてみようかと思います。

追記：サムネイルの件は解決