*『提案』 添付制限の解除 [#tf94bb36] -ページ: [[談話室/Wiki動作の要望、質問]] -投稿者: 木浦卓治 -優先順位: 普通 -状態: 完了 -カテゴリー: 提案 -投稿日: 2006-04-24 (月) 20:28:15 投稿者: &color(blue){木浦卓治}; 投稿日: &new{2006-04-24 (月) 20:28:15};~ ** メッセージ [#u14d5b71] 私が天敵Wiki管理人をやっていたころに行ったのですが、添付を制限してから長い期間たっています。確かにセキュリティも重要ですが、天敵Wikiの大きな機能制限のひとつとなっていると思います。実際に問題となるファイルが添付される可能性はありますが、そういう事件が起こったときにまた対応を考えることにして、天敵Wiki管理人以外もファイルを添付できるようにしてはいかがでしょうか? ------ ''コメント:''~ +''良いと思いますが'' &color(blue){tea-farm}; -- &color(green){&new{2006-04-24 (月) 20:53:43};}; &br; 鯖(サーバ)サイドでVirus checkできれば、って条件付きですが。 &br;鯖(サーバ)を落とされちゃ敵いませんし。jpg、gif、pdfに制限した上で、フォーマットだけチェックするとか・・(効果薄かなぁ) +''動画ファイルはだめかな?'' &color(blue){苺FUJISAWA}; -- &color(green){&new{2006-04-24 (月) 21:12:02};}; &br; 動画ファイルはだめかな? と思いました。 &br;虫の動いている所を見ると、これがまた分かりやすいと思います。ファイルが大きくなると困ると思うのですが、どのくらいまでならOK? という目安が欲しいです。 +''問題はXSS'' &color(blue){サーバ管理者}; -- &color(green){&new{2006-04-24 (月) 21:19:09};}; &br; でコンピュータウィルスとはちょっと違うのですが、フリーのチェックソフトを用いてウィルスチェックは毎日行っています。書き込まれたときに実行したほうが良いでしょうか?そうするとプラグインに細工をする必要があります。 &br;拡張子制限ですが、拡張子やサーバから返されるMIMEタイプを無視してしまうブラウザが主流の状態では期待薄ではないでしょうか? +''添付ファイルの大きさは'' &color(blue){サーバ管理者}; -- &color(green){&new{2006-04-24 (月) 21:37:35};}; &br; 現在は2MBに設定されておりますが、ある程度まで拡張は可能です。なお、天敵カルテと同じサーバなので、天敵カルテのIPM-ML画像投稿のファイルサイズ制限も緩和されます。逆の質問ですがどの程度必要でしょうか? &br;現在のメモリなどの制限は次のようになっています。 &br;・スクリプトが利用できるメモリ 36MB &br;・ポストできるデータのサイズ 8MB &br;・アップロードできるファイルサイズ 2MB &br;・利用可能ディスク領域 2.6GB &br;どれも拡張可能です。 &br; +''拡張子制限'' &color(blue){tea-farm}; -- &color(green){&new{2006-04-24 (月) 22:48:05};}; &br; フォーマットチェックと書いたのは、単純なファイル擬装チェックのつもりでして・・。対ウィルスでも実効が薄いのは承知の上ですが、無いよりマシかな?と言うレベルの話ですので流して下さい。アプリ固有のファイル形式は困る方も多いとは思いますが、1に付け足してもmpg(系)、ppt、htm(html)位かな? &br;動画の場合方言が多いので、ある程度フォーマットを制限しないと見られない方も多いかも。 &br; &br;ウチは、収容局と収容局の間の都市内IT過疎地ですのでサイズは小さい方がいいな。 +''htmlはご勘弁を'' &color(blue){サーバ管理者}; -- &color(green){&new{2006-04-24 (月) 23:44:07};}; &br; こればかりは、あまりにもという設定になってしまうので... ごめんなさい。 +''移動しました'' &color(blue){木浦卓治}; -- &color(green){&new{2006-04-26 (水) 10:09:23};}; &br; 明らかにWiki動作への要望ですので、こちらに移動していただきました。最初のポストの位置がまずくて申し訳ありませんでした。 &br; +''>6'' &color(blue){tea-farm}; -- &color(green){&new{2006-04-26 (水) 20:43:56};}; &br; やっぱりね。htmlは話の流れからしても、冗談のつもりでしたので、無問題ですよ。 &br;画像系ファイルのアップをOKにする場合、海賊版風のファイル、例えば発表会などでのショットなどの取扱が問題になったりするんじゃないかと思ったりしてます。 &br;対象のCopyrightが本人にある写真などは問題ないでしょうけれど。 &br;他人の著作物が対象だったりする場合の整理が必要じゃないでしょうか? +''前もってダウンロード'' &color(blue){苺FUJISAWA}; -- &color(green){&new{2006-04-26 (水) 22:11:25};}; &br; 動画ファイルは大きいので、目的のページを表示しようとすると時間がかかってしまう事が多くなると思います。 &br; そこで前もって動画ファイルだけは、パソコンの空いている時間にダウンロードなんて事が出来ない物でしょうか? そんな事が出来たら良いなあと思います。 +''>8'' &color(blue){苺FUJISAWA}; -- &color(green){&new{2006-04-26 (水) 22:20:58};}; &br; 今度は、前もってアップロードしてもらう。そして審査をしてから公開する。と、言うことが必要になるのでしょうか? &br; 大変な作業になるけれど、必要な事なのだと思いました。 +''>9'' &color(blue){Sekizuka}; -- &color(green){&new{2006-04-27 (木) 05:11:36};}; &br; 添付ファイルで(表示上で)大きさが問題になるのは画像ファイルだけです。 &br;画像ファイルをrefで本文中に指定しておくと、いわゆる画像として目に見える状態に展開されます。 &br;単なる添付ファイルはファイルネームが欄外に出るだけのようです。 &br;(それをクリックしてダウンロードすれば別ですが) &br;動画ファイルについては、今のところ本文中に「動画として」表示できません。 &br;試してみましたが、refで指定してもiconが出るだけです。 &br;フラッシュ(swf)なども含めて、プラグインを導入すれば可能な様です。 +''>11の補足'' &color(blue){Sekizuka}; -- &color(green){&new{2006-04-27 (木) 05:21:43};}; &br; メモも兼ねて &br; [[○動画(mediaplayer.inc.php):http://pukiwiki.sourceforge.jp/?%E8%87%AA%E4%BD%9C%E3%83%97%E3%83%A9%E3%82%B0%E3%82%A4%E3%83%B3%2Fmediaplayer.inc.php]]&br; [[○フラッシュ(flash.inc.php):http://pukiwiki.sourceforge.jp/?%E8%87%AA%E4%BD%9C%E3%83%97%E3%83%A9%E3%82%B0%E3%82%A4%E3%83%B3%2Fflash.inc.php]] +''>サーバ管理者'' &color(blue){Sekizuka}; -- &color(green){&new{2006-04-27 (木) 05:35:11};}; &br; 以前に話題に出た時はスクリプトを貼りこめてしまうというのが問題だったような。これってまだ(と言うか当分?)未解決ですよね? &br;http://pukiwiki.sourceforge.jp/?PukiWiki%2FErrata [[○動画(mediaplayer.inc.php):http://pukiwiki.osdn.jp/?%E8%87%AA%E4%BD%9C%E3%83%97%E3%83%A9%E3%82%B0%E3%82%A4%E3%83%B3%2Fmediaplayer.inc.php]]&br; [[○フラッシュ(flash.inc.php):http://pukiwiki.osdn.jp/?%E8%87%AA%E4%BD%9C%E3%83%97%E3%83%A9%E3%82%B0%E3%82%A4%E3%83%B3%2Fflash.inc.php]] +''>サーバ管理者'' &color(blue){Sekizuka}; -- &color(green){&new{2006-04-27 (木) 05:35:11};}; &br; 以前に話題に出た時はスクリプトを貼りこめてしまうというのが問題だったような。これってまだ(と言うか当分?)未解決ですよね? &br;http://pukiwiki.osdn.jp/?PukiWiki%2FErrata +''>8,>10'' &color(blue){Sekizuka}; -- &color(green){&new{2006-04-27 (木) 06:09:18};}; &br; 今回の添付ファイルの問題と著作権は直接は関係ないと思います。 &br;何故なら、添付しなくても画像表示できるから。(^^;) &br;refでファイルネームの指定はURLでもokです。つまり、現状でも他サイトの画像を表示できてしまいます。 +''>14'' &color(blue){tea-farm}; -- &color(green){&new{2006-04-27 (木) 21:27:55};}; &br; 確かに。 &br;ただ、余所のファイルは無許可リンクで鯖(サーバ)は外、添付の場合は自鯖(自分のサーバ)。 &br;と言うことは、うっかり犯と確信犯の違い(とは限らないけど)・・・かなり大きな違いだと思いますが如何? +''> 14 そんなはずは...'' &color(blue){サーバ管理者}; -- &color(green){&new{2006-04-27 (木) 22:23:22};}; &br; もしできるとしたら、それは問題です。自サーバ以外は、リンクを張るだけに制限したつもりです。添付を許可したときにも、これは制限する予定でした。 +''> 13 未解決です'' &color(blue){サーバ管理者}; -- &color(green){&new{2006-04-27 (木) 22:32:33};}; &br; いつまでたっても解決されそうにないし、すべてのブラウザでの動作を検証するのは困難です。サーバの管理ポリシーにしたがって添付禁止にしましたが、なかなか解決されないのであればメリットとデメリットを天秤にかけるべきだと考えます。添付の削除は、天敵Wiki管理人しかできないのが問題ですが... +''>16'' &color(blue){Sekizuka}; -- &color(green){&new{2006-04-28 (金) 08:44:39};}; &br; あれ?さっき試してみたらできなくなってますね。 &br;「キク白サビ病」のページを作った時に病徴として外部のURL貼ったら表示できちゃったんですよ。やっぱりやばいだろうと思って、非表示設定にしておいたんですが。。。そっちも表示できなくってるなぁ。 &br;とりあえず、解決って事で良いか。 +''添付制限解除'' &color(blue){サーバ管理者}; -- &color(green){&new{2006-05-01 (月) 19:30:04};}; &br; 特に反対意見がないようでしたので、添付制限を試験的に解除しました。 +''動画ファイルなど'' &color(blue){サーバ管理者}; -- &color(green){&new{2006-05-01 (月) 19:36:37};}; &br; のインラインで表示する機能の追加を急ぎたい場合には、天敵カルテ戦略ルームで機能の追加を提案してください。設定変更と違い作業量が多いのと、不具合の修正ではないのでサーバ管理者にとっては優先事項ではないので、ここで処理するといつになるかは分かりません。 +''>19'' &color(blue){Sekizuka}; -- &color(green){&new{2006-05-08 (月) 09:26:08};}; &br; インターネットオプションの「セキュリティタブ」で「制限付きサイト」をクリック。 &br;そこで出てきた「サイト」ボタンをクリックして出てきた入力欄に「http://wiki.tenteki.org/」を入力すれば天敵Wikiでjava系は動かない &br;で対処方法としては良いのかな? +''>19'' &color(blue){Sekizuka}; -- &color(green){&new{2006-05-08 (月) 12:02:45};}; &br; 要は、添付ファイルの監視の問題だと思います。 &br;現在だとファイルを添付しても、記事の更新にあたらないようです。 &br;実際に、「練習ページ」にtest.txtを添付してみましたが、新着になっていません。 &br;ファイル添付を全て新着扱いにする事は難しいのでしょうか? +''>22'' &color(blue){Sekizuka}; -- &color(green){&new{2006-05-08 (月) 12:04:54};}; &br; あれ?練習ページが上がってきてるぞ。 &br;さっきまでは上がってなかったんだが。。。 +''> 23 時間の問題'' &color(blue){サーバ管理者}; -- &color(green){&new{2006-05-09 (火) 09:47:37};}; &br; でしょうか? +''HTMLファイル添付禁止'' &color(blue){サーバ管理者}; -- &color(green){&new{2006-05-09 (火) 09:55:41};}; &br; 拡張子しかチェックしていませんが、".html"と".htm"ファイルの添付を禁止にしました。本来であれば「原則禁止、許された拡張子のみ添付可能」とすべきですが、どの拡張子を許可するかが明確になっていないのでこの設定になっています。 &br;さて、問題はIEです。デフォルトでは、どんなMIME-Typeを返しても、中身がHTMLであればHTMLとして表示してしまうようです。そこにはスクリプトが埋め込まれていた場合にどういう挙動をするか分かりませんが、圧倒的に多いIEの利用者は''21''の設定をしたほうが良いと思います。 +''>24'' &color(blue){Sekizuka}; -- &color(green){&new{2006-05-09 (火) 15:18:22};}; &br; んが? &br;なんか今日も上がってきてるぞ? >練習ページ +''拡張子フィルタのテストしたので'' &color(blue){サーバ管理者}; -- &color(green){&new{2006-05-09 (火) 21:21:10};}; &br; あがったようです。 #ncomment()