てがろぐ - Fumy Otegaru Memo Logger -

お手軽一言掲示板(この辺の文章は「管理画面」の「設定」内にある「フリースペース」タブから編集できます。)

管理用

■フリースペース: 編集

ここは、CGIの設定画面から自由に文章を入力して掲載できるスペースです。スキンを編集しなくてもCGI上から手軽に内容を変更できます(HTML使用可)。
動作サンプルです。◆他のスキン:標準スキン, 昔のツイッターっぽいスキン(ピンク版), 付箋型スキン, シンプル日記スキン, ジャーナル(日誌)スキン, ブログタイプスキン, チャットタイプスキン, 黒板スキンてがろぐCGIの配布ページに戻る

or 管理画面へ

No.4589, No.4588, No.4587, No.4586, No.4585, No.4584, No.45837件]

Icon of admin あどみ とり🐓 308日前(土 09:57:00)
Icon of misaki みさき うま🐎 308日前(金 23:39:51)
Icon of admin あどみ うし🐄 309日前(金 20:54:14)
Icon of admin あどみ >>4585
4584です。
fumycts.plについて詳しく教えてくださりありがとうございます。外部からの攻撃を防ぐための機能なんですね。安易にいじらずお尋ねしてよかったです。
他のXREAユーザーも共有SSLを使っていれば同じss1.xrea.comからのリクエストを送れてしまうので、これを例外許可するとまずいということですよね…

https://ss1〜〜〜tegalog.cgi
のQUICKPOSTからでも同じエラーが出てしまうので、
自分だけhttpを使う方向で考えてみようかと思います。
ありがとうございます!🍹
#感謝 309日前(金 13:36:30)
NO IMAGE にしし たこ焼きを食べました。6個。takoyaki4takoyaki3takoyaki4takoyaki3takoyaki4takoyaki3

🥞Re:4584◆ss1.xrea.com ドメインを使った、お使いのてがろぐのURL(例えば、https://ss1.xrea.com/ ID.SERVER.xrea.com /tegalog/tegalog.cgi 等)にアクセスした状態で、そこに見えているQUICKPOSTから投稿しても、同様のエラーが出ますか?
もしそうなら、お使いの環境では「閲覧者に向けてはhttpsの方を公開しておいて、自分だけはhttpの方を使う」という方法しかなさそうに思います。

---
> FAQの「fumycts.plを書き換える」で解決できるケースでしょうか?
> おすすめではないと書かれている点について、よければ詳しく教えていただけませんか?

お使いの状況では、fumycts.plを書き換える方法で解決してはいけません。(書き換えると、エラーは出なくなりますが。)

これは、フィッシング攻撃や、CSRF(クロスサイト・リクエスト・フォージェリ)攻撃を防ぐ機能の1つだからです。他所のWebサイトに攻撃用のページを作成しておいて、そこに何らかの方法であなた(=てがろぐにログインする権利を持った人物)を誘導した上で、その攻撃用ページから何らかの情報(ログイン情報なり投稿データなり設定変更情報なり)をてがろぐに向けて送信することで、パスワードを盗んだり変更したり、意図しない投稿をさせたり、意図しない設定変更をさせたりする……、というのを防ぐ機能です。
そのために、「そのてがろぐが稼働しているドメイン」ではないドメインから送られてきたリクエストは拒否する仕様になっています。

この機能を無効にしてしまうと、フィッシング攻撃やCSRF攻撃を防げなくなってしまいます。なので、一般のWeb上に公開されているてがろぐでは無効にしてはいけません。無効にする方法を用意しているのは、あくまでも「ローカルで稼働させている」とか「何らかの別のセキュリティで守られた空間で稼働させている」とか、第三者がアクセスすることはないと断言できる場所で稼働させている場合のためです。

なお、「例外のドメインを1つ設定できたら良いのでは?」と思われるかもしれませんが、今回の場合、もし ss1.xrea.com ドメインを例外として許容してしまうと、同じドメインの使用権を持つ他者からの攻撃が防げなくなる問題がありますので、そうはできないのです。
(根本的に解決するには、「自分だけが使えるサブドメイン」でhttpsを使わせてくれるサーバを使う、という手しかないと思います。)
 309日前(金 12:12:12) 回答/返信
Icon of admin あどみ #質問
XREAにて運用していたてがろぐサイトをSSL化するため作業中なのですが、
共有SSLを使ったhttpsの方から投稿や管理画面で何かすると、以下のエラーメッセージが出るようになりました。(IDとサーバー名は伏せてます)

CGIの設置ドメインとは異なる場所からデータが送信されました。リクエストは受け付けられませんでした。
(データ送信元: //ss1.xrea.com /
実行位置: //ID.サーバー名.xrea.com)

XREAの共有SSLのURLは
https://ss1.xrea.com/ID.サーバー名.xrea.com/
非SSLの本体部分?は
http://ID.サーバー名.xrea.com/
にあります。
そのためこういうドメイン違いのエラーが出るのかなと思い、httpの方から試すと投稿や設定は問題なく(今まで非SSLで運用していた通りに)できました。

この状況だと、常にhttpの方から投稿や管理作業をするしか選択肢はないですか?
QUICKPOSTを常用していたので、もしhttpsの方からそのままQUICKPOSTで投稿できる方法があったら嬉しいのですが…
(それか、閲覧者に向けてはhttpsの方を公開しておいて、自分は今まで通りhttpの方を使い続けるのが一番丸いですかね?)

FAQの「fumycts.plを書き換える」で解決できるケースでしょうか?
https://www.nishishi.com/cgi/tegalog/faq/#differentpla...
あまりおすすめではないと書かれている点について、よければ詳しく教えていただけませんか?
何か見落としてる設定とかあったらすみませんがご指摘ください。
よろしくお願いします。
 309日前(金 08:42:45)
Icon of admin あどみ >>4579,4580
4578です。詳しく解説していただきありがとうございます。

DirectoryIndexはそういう仕組みになってるんですね。index.***が複数ある場合はどうなるの?みたいな疑問も解消しました。
(実際には名前が「index」であるかどうかが重要でなく、あくまで)DirectoryIndexで指定されたファイル名と記述順によって表示される対象が決まる、って感じなんですね。
403エラーについては考えも及びませんでした。質問してなかったらここで躓いていたと思います。ありがとうございます。

てがろぐのファイル群とURLはできるだけ触らずに違うページを表示できないかと考えていたので、にししさんに教えていただいたとおりに.htaccessを編集すれば解決しそうです。ありがとうございます!
🍕 #感謝 309日前(金 00:14:32)

初期表示に戻る

全文検索:

動作サンプルです。 ご自由にお試し下さい。パスワードguest管理画面もお試し頂けます。
■いま見ているスキンは「チャットタイプスキン」です。他に、 標準スキン昔のツイッターっぽいスキン(ブルー)昔のツイッターっぽいスキン(ピンク)付箋型スキンシンプル日記スキンジャーナル(日誌)スキンブログタイプスキン(タイトル付きブログっぽくできるスキン)、 黒板スキンがあります。
てがろぐCGIの配布・解説ページに戻る