昨日またコメントスパムをありがたくいただいたのです。
対策というのではなくて、「思いつきandいたずら心」で入れていた、damedamespamという文字列が、QUERY_STRINGに見事に仕込まれていました。
敵は何を考えているんだろう?
もしかして、やっぱひとつひとつコメントしてるのかぁ??
たくさんのログを見るのは疲れるのでひとつだけ...。
IPアドレスは211.1.102.67
ホスト名はns.kaichigakuen.ed.jp
....なのだけれど、実在する学校らしいです。
ココをプロキシに設定すると(Portは80)、この学校の中のサイトしか見えなくなります。
#やっぱり偽装だな。
access_logをこのIPでgrepしてみました。
# grep 211.1.102.67 access_log
211.1.102.67 - - [30/Aug/2004:12:37:01 +0900] "POST /mt-comments.cgi?damedamespa
m HTTP/1.1" 500 614 "http://blog.kiyo.com/archives/2004/08/cocosecom.html" "Mozi
lla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Q312461; AIRF)"
あら、ひとつしかない....。
まぁもしかして一発屋さん??(笑)
普通、コメントを投稿すると、そのコメントが表示される画面へ遷移するから、
ACCESS_METHOD=GETでもって、__mode=cmtr_name_jsっていう引数でもいちど呼ばれるはずなんですよね。
それがないんです~~っ!
#それでまたちょこっと仕込みました。
#スパム対策にはなっていないけれど、どうやっているか知りたくて。
formタグに日時とIPアドレスが表示されます。暗号化でもすればよいのかもしれませんが、とりあえず素のままです。(SSIを使っています。)
犯人はどういった偽装をしてくるのでしょうか?きちんとセットしてくるのかなぁ~~
投稿者 megu : 2004年08月31日 00:24
コメント
Mozillaから投稿してみました。
投稿者 megu ![[TypeKey Profile Page]](http://blog.kiyo.com/images/nav-commenters.gif)
: 2004年08月31日 06:41
ogawaさんからメッセージをいただきました。
「Mozilla Firefoxを使っていると、Typekeyで認証した際にmt-comments.cgiにRedirectされたときに「Bad Referer」画面に誘導されてしまうみたいですよ。Firefoxのnetwork.http.sendRefererHeaderはOn(=2)にしているのですけどね。」
ということでした。
実はTypekeyから戻ってきたときのチェックについて、RefererにはTypekeyのURLが入ってくるのですが、呼び出す際の引数にこのサイトが与えられているので、マッチしてエラーにならないと思っていました。
ところがどっこい、Mozillaだと、Typekeyから戻ってくるときRefererがクリアされてしまっているのです。(なぜだ?)
ご指摘いただくまで気付きませんでした。
確かに...私のMozillaはFirefox?じゃなくて1.4.1ですが。
ogawaさん、
いつもどうもありがとうございます。コメント削除してしまってすみません。
手を抜いていたmt-comments.cgiを修正しました。
たぶんもう大丈夫かと思います。
投稿者 megu : 2004年08月31日 06:49
ふと思ったのですが、Typekeyの認証ってhttps(SSL)ですよね。
それでかしら?
Mozillaでも通常のサイトでは、Refererは渡されています。
よりセキュリティが考慮されているので、こういった結果になったのでは?
あたっているかどうかはわからないけれど。
投稿者 megu : 2004年08月31日 08:07
無理言って済みませんでした。
RFC2616(http://www.ietf.org/rfc/rfc2616.txt )の15.1.3には、「Clients SHOULD NOT include a Referer header field in a (non-secure) HTTP request if the referring page was transferred with a secure protocol.」と書いてあります。Mozilla/Firefoxでは、これを実装してあるということでしょうね。
投稿者 (o) : 2004年08月31日 16:34
こんにちは!
いえいえどうも、こちらこそいつも気にかけてくださってうれしいです。
rfc情報ありがとうございます。
MozillaはちゃーんとRFCに乗っ取って作られているのですね。
その前の段のRerefer、From情報を有効/無効設定にできるというのも、IEにはありましたっけ?はて....。
以前はかたくなにNetscapeしか使わなかった私も4.7止まり。
それ以降、WindowsではIEばかり使うようになっていました。
ちょっと考えをあらためようかと思います。
セキュリティの面ででとても気になるので。(っというのをMS製品に対して言うのもいまさら...という感じですが。)
FirefoxはただのMozillaよりも軽くてさらに使いやすくなっているみたいですね:-)
投稿者 megu : 2004年08月31日 22:10
