フォーラム

フォーラム » 開発版

[解決済み] 2.6 の wp-config-sample.php が危険 (10 件の投稿)

  1. lilyfan
    メンバー
    1 年前の投稿 #

    現在 WordPress 2.6 がベータテスト中ですが、SVN リポジトリーにある 2.6 日本語版の wp-config-sample.php にある SECRET KEY を生成するサイトへのリンクが不審な URL になっています。正直な話、これは「危険」だと思います。

    // SECRET_KEY を独自のフレーズに変更してください。あとで思い出す必要はないので長くて複雑なものにしてください。
// https://www.grc.com/passwords.htm を訪れればフレーズを生成してくれます。
// もしくは適当なフレーズをご自分でお作りください。

    2.5 日本語版および 2.6 英語版では一貫して「http://api.wordpress.org/secret-key/1.0/」が利用されています。wordpress.org ドメインであり、誰が見ても安心できるサイトだと分かります。しかし、日本語版の trunk で採用した grc.com というのは、おおよそ馴染みのないドメイン名であり、サイトの安全性が確認できません。セキュリティー的に非常にまずいと思います。
    すぐにでも「http://api.wordpress.org/secret-key/1.0/」に戻して頂けないでしょうか。

    2008年7月4日5時15分現在は https://www.grc.com/passwords.htm にアクセスしても、まともにランダム文字列を生成してくれるサイトになっていますが、今後もずっとこの URI が維持される保証はなく、いつ何時悪意ある第三者の手に渡るか分かりません。ことセキュリティーにかかわる設定だけに、「確実に安全性を保証できる」ようなサイトを紹介しなければならないと思います。

  2. mako09
    メンバー
    1 年前の投稿 #

    ご指摘の件、確認しました。
    作業の過程で2.5以前のベータ版か何かのものを持ってきてしまったようです。
    正しくはご指摘のとおり http://api.wordpress.org/secret-key/1.0/ です。
    次の版から訂正します。

    ありがとうございました。

  3. lilyfan
    メンバー
    1 年前の投稿 #

    作業の過程で2.5以前のベータ版か何かのものを持ってきてしまったようです。

    対応ありがとうございます。

    あれ? と思ってよく調べてみますと、2.5 のベータ版ではその URL が使われていたようですね……。Codex (英語版, 日本語版) では、その URL が残っていました。これは Codex の修正も必要になりそうです。日本語版だけ変更しても意味がなさそうなので英語版も変えないといけなさそうです。

    あと、wp-config.php に絡む話なのでついでに書いてしまいますが、Windows の「メモ帳」で UTF-8 のテキストファイルを編集すると BOM がついてしまうという問題があるため、wp-config.php *だけ* Shift_JIS エンコーディングにしてしまいませんか?

    「メモ帳は使ってはいけません」という注意を書いても見落す人は多そうですから、wp-config.php 側で対策を打っておいた方がよさそうです。本当は、Microsoft に「メモ帳の仕様を変更しろ」と要求するのがスジですが、オープンソースプロダクトではないので、そういう要求はなかなか通りませんし……。

    # 個人的には「Windows を捨てるのが一番いい」と考えていますが ;-)

  4. bonops
    メンバー
    1 年前の投稿 #

    wp-config-sample.php のこの URL は、2.5 英語版・日本語版では grc.com の方でしたが、2.5.1 から api.wordpress.org に変わったようですね。
    Codex に載せている日本語版ソースコードは、2.5 日本語版パッケージから私がコピペしたものです。
    2.5.1 のソースを確認していなくて、Codex を更新できていませんでした。申し訳ないです。

    grc.com は、そういう訳で危険な URL とは思っていなかったのですけれど、(状況が変わって 2.5.1 で変更された等)早急に直したほうがよかったり、2.6 のリリース予定が先になりそうでしたら、Codex 英・日版ともすぐに直しますね。
    2.6 が 7月7日近辺でリリースされそうなら、(2.6 でまたコメント文が変わりそうなので)その際に一緒に直そうかと思っています。

  5. lilyfan
    メンバー
    1 年前の投稿 #

    grc.com は、そういう訳で危険な URL とは思っていなかったのですけれど、

    現時点ではまだ危険性はないのですが、将来にわたって安全を担保できない、という意味では「危険」だと思います。trac は未確認ですが、おそらく「ヨソのサイトに頼るのは危険」という指摘があったのでしょう。セキュリティーに多少関心がある人ならば、明らかにまずいと感じますから、指摘がないわけがないと思います。

    # 以下余談モード

    2.6 が 7月7日近辺でリリースされそうなら、

    わたしはまだ時期尚早だと思うんですが、どうなるんでしょうね?? 現状では WP_PLUGIN_DIR 定数の実装は撤回してほしいところですが。

  6. lilyfan
    メンバー
    1 年前の投稿 #

    WordPress 2.6 正式版が出ましたが、wp-config-sample.php の当該箇所は以下のようになっていました。KEY が増えてますね。
    3つも秘密文字列が必要なのか、疑問ではあるんですが……。単に一定時間ごとにセッションIDを変更すれば鍵は1つで済むような ;-)

    // Change each KEY to a different unique phrase.  You won't have to remember the phrases later,
// so make them long and complicated.  You can visit http://api.wordpress.org/secret-key/1.1/
// to get keys generated for you, or just make something up.  Each key should have a different phrase.
define('AUTH_KEY', 'put your unique phrase here'); // Change this to a unique phrase.
define('SECURE_AUTH_KEY', 'put your unique phrase here'); // Change this to a unique phrase.
define('LOGGED_IN_KEY', 'put your unique phrase here'); // Change this to a unique phrase.

  7. lilyfan
    メンバー
    1 年前の投稿 #

    さらに追加。
    いま http://api.wordpress.org/secret-key/1.1/ を試してみましたが、LOGGED_IN_KEY が以下のような結果になりました。なんとランダム文字列にシングルクォート (') が入っていて、PHP 的には文法違反になっています……。

    define('LOGGED_IN_KEY', 'Ab*{6;7 Gbdy\\S7iRb*)sS#B GPP+U8#h5.:\'pCz\\!Wd1B@*)KGltGx9pkdwszDI');

    [追記] 念のため wp-config.php に貼り付けてみると通ってしまいました。よく見ると、バックスラッシュでエスケープされていました。なるほど。
    しかし、日本語のテキストエディターでは、バックスラッシュと円マークの扱いの違いにより、エスケープが正常に働かない場合もありそうなので、「そもそも使わない」のが正解だと思います。

    [さらに追記] また「メモ帳」で編集して BOM がついちゃったトラブルがありました。wp-config-sample.php に「Windows の『メモ帳』でこのファイルを編集していはいけません」という註釈を入れませんか > wpja チームさま
    Shift_JIS にするのは、まさに「バックスラッシュと円マークの違い」が問題になるので、やめた方がよさそうです。Mac OS X でバックスラッシュを Shift_JIS な文書にペーストすると、(円マークがエスケープ文字列なので) エスケープ文字列と認識されず、文法エラーになるかもしれません。ほとんどすべての Mac OS X 対応テキストエディターで発生する事象ですので、Shift_JIS 化を計画しているならば、中止することをおすすめします。

  8. jyoshida
    メンバー
    1 年前の投稿 #

    wp-config-sample.php に「Windows の『メモ帳』でこのファイルを編集していはいけません」という註釈を入れませんか > wpja チームさま

    ふと思ったのですが、この問題、日本語だけではないですよね。
    いっそのこと本家に入れるようにしてもらったほうがよくないですか?

  9. lilyfan
    メンバー
    1 年前の投稿 #

    ふと思ったのですが、この問題、日本語だけではないですよね。
    いっそのこと本家に入れるようにしてもらったほうがよくないですか?

    なるほど。英語版の wp-config-sample.php は US-ASCII だけで構成されているので、notepad.exe (メモ帳) が UTF-8 じゃなくて US-ASCII で開いていて問題が起きてないんですよね。

    他の言語でコメントをローカライズしている場合、notepad.exe が UTF-8 で開く場合がありそうですね。これは trac に投げて調査してもらいましょうか。以前は wordpress.org のどこかで「NotePad を使え」という記述があった気がしますが、今は消えていますね。
    そして、いつのまにやら「テキストエディターの一覧」もあったりします。

  10. bonops
    メンバー
    1 年前の投稿 #

    以前は wordpress.org のどこかで「NotePad を使え」という記述があった気がしますが、今は消えていますね。
    そして、いつのまにやら「テキストエディターの一覧」もあったりします。

    日本語ドキュメントでの言及箇所やテキストエディタ一覧については、下記をご参照ください。なお、日本語Codexで「Notepad」とあった箇所には注釈を入れてあります。

    Glossary(=用語集)のテキストエディタ一覧を日本語環境向けに改訂したり、その他の言及箇所を修正するための情報を求めたのが、上述のフォーラムトピックです。

    二度目の Wiki 反映作業をしたところで止まってしまっているので(ごめんなさい)、後でトピックに説明を書き込んでおきますね。

返信

ログイン しなければ投稿できません。

About this Topic

Tags