TADA Tadashi
t****@tdtds*****
2012年 9月 4日 (火) 22:45:24 JST
ただただしです。 このエラーは、CSRFをつかれたから出るのではなく、CSRFをガード したから出るのです。 設定画面で日記のURLが正しいURLであればrefererが一致するのでこ のエラーは出ません。今回、三輪さんの設定したものとは異なる値が 入っていたので、tDiaryはCSRFを感知して停止したのです。 ですので、ここで気にしなければいけないのは、なぜおかしなURLが 指定されていたのか、です。 もっともありえるのは、パスワードがクラックされて更新・設定ページ が乗っ取られた可能性です。ログをみて、自分自身以外のIPアドレス からupdate.rbへアクセスがなかったかどうか、さかのぼってみるべき でしょう。 もうひとつの可能性は、tDiaryに未知の脆弱性があることですが、認 証はtDiaryの機能ではないので、考えにくいです(もちろんBasic認証は 御存知の通りパスワードを平文で流すので安全ではありません)。 いずれにせよ、パスワードはすぐに変更すべきです。 2012年9月4日 22:35 三輪晋( Miwa Susumu ) <miwar****@gmail*****>: > [現象] > 日記を更新しようとしたところ CSRF のエラーが発生しました。 > Expected base URI はたぶん意図していない URI ですよね。 > > <<< > 500 Internal Server Error > > Security Error: Possible Cross-site Request Forgery (CSRF) > > Diagnostics: > - Protection Method is 1 > - Mode is preview > - GET is not allowed > - Request Method is POST > - Referer is another page > - Given referer: > http://www.area51.gr.jp/~rin/diary/update.rb > - Expected base URI: > http://www.communitywalk.com/map/1482956 > - Expected update URI: > http://www.communitywalk.com/map/update.rb > - CSRF key is nothing > (Exception) > > /home/rin/public_html/diary/tdiary.rb:373:in `csrf_check' > /home/rin/public_html/diary/tdiary.rb:301:in `initialize' > /home/rin/public_html/diary/tdiary.rb:388:in `initialize' > /home/rin/public_html/diary/tdiary.rb:452:in `initialize' > /home/rin/public_html/diary/tdiary/dispatcher/update_main.rb:70:in `new' > /home/rin/public_html/diary/tdiary/dispatcher/update_main.rb:70:in > `create_tdiary' > /home/rin/public_html/diary/tdiary/dispatcher/update_main.rb:19:in `run' > /home/rin/public_html/diary/tdiary/dispatcher/update_main.rb:6:in `run' > /home/rin/public_html/diary/tdiary/dispatcher.rb:21:in `dispatch_cgi' > /home/rin/public_html/diary/update.rb:36:in `<main>' >>>> > > > [状況] > tdiary の「設定」を眺めたら以下のようになっていました。 > これは私が最後に設定した内容とは異なります。 > > タイトル: XRrdzDlgbIAPNwIqs > 著者名: buy cialis in maine > メールアドレス: fowhg****@ohszm***** > 日記のURL: http://www.communitywalk.com/map/1482956 > (以下略) -- ただただし - ツッコミは、短く鋭く愛を込めて♪ http://tdtds.jp/ @tdtds