No.4591, No.4590, No.4589, No.4588, No.4587, No.4586, No.4585[7件]
色々メモとか備忘録みたいなのを自分のてがろぐに流す事が多いので、文字装飾が色々簡単にできるのが大変便利。#感謝
大量のそこそこ長文箇条書きとかも後から読み返すのに読みやすくてとても助かってます。
大量のそこそこ長文箇条書きとかも後から読み返すのに読みやすくてとても助かってます。
by tomoyo. ⌚2024年7月20日(土) 17:34:47〔314日前〕 <97文字> 編集
とり🐓
by admin. ⌚2024年7月20日(土) 09:57:00〔314日前〕 <3文字> 編集
うま🐎
by misaki. ⌚2024年7月19日(金) 23:39:51〔314日前〕 <3文字> 編集
うし🐄
by admin. ⌚2024年7月19日(金) 20:54:14〔315日前〕 <3文字> 編集
>>4585
4584です。
fumycts.plについて詳しく教えてくださりありがとうございます。外部からの攻撃を防ぐための機能なんですね。安易にいじらずお尋ねしてよかったです。
他のXREAユーザーも共有SSLを使っていれば同じss1.xrea.comからのリクエストを送れてしまうので、これを例外許可するとまずいということですよね…
https://ss1〜〜〜tegalog.cgi
のQUICKPOSTからでも同じエラーが出てしまうので、
自分だけhttpを使う方向で考えてみようかと思います。
ありがとうございます!🍹
#感謝
4584です。
fumycts.plについて詳しく教えてくださりありがとうございます。外部からの攻撃を防ぐための機能なんですね。安易にいじらずお尋ねしてよかったです。
他のXREAユーザーも共有SSLを使っていれば同じss1.xrea.comからのリクエストを送れてしまうので、これを例外許可するとまずいということですよね…
https://ss1〜〜〜tegalog.cgi
のQUICKPOSTからでも同じエラーが出てしまうので、
自分だけhttpを使う方向で考えてみようかと思います。
ありがとうございます!🍹
#感謝
by admin. ⌚2024年7月19日(金) 13:36:30〔315日前〕 <270文字> 編集
たこ焼きを食べました。6個。
🥞Re:4584◆ss1.xrea.com ドメインを使った、お使いのてがろぐのURL(例えば、https://ss1.xrea.com/ ID.SERVER.xrea.com /tegalog/tegalog.cgi 等)にアクセスした状態で、そこに見えているQUICKPOSTから投稿しても、同様のエラーが出ますか?
もしそうなら、お使いの環境では「閲覧者に向けてはhttpsの方を公開しておいて、自分だけはhttpの方を使う」という方法しかなさそうに思います。
---
> FAQの「fumycts.plを書き換える」で解決できるケースでしょうか?
> おすすめではないと書かれている点について、よければ詳しく教えていただけませんか?
お使いの状況では、fumycts.plを書き換える方法で解決してはいけません。(書き換えると、エラーは出なくなりますが。)
これは、フィッシング攻撃や、CSRF(クロスサイト・リクエスト・フォージェリ)攻撃を防ぐ機能の1つだからです。他所のWebサイトに攻撃用のページを作成しておいて、そこに何らかの方法であなた(=てがろぐにログインする権利を持った人物)を誘導した上で、その攻撃用ページから何らかの情報(ログイン情報なり投稿データなり設定変更情報なり)をてがろぐに向けて送信することで、パスワードを盗んだり変更したり、意図しない投稿をさせたり、意図しない設定変更をさせたりする……、というのを防ぐ機能です。
そのために、「そのてがろぐが稼働しているドメイン」ではないドメインから送られてきたリクエストは拒否する仕様になっています。
この機能を無効にしてしまうと、フィッシング攻撃やCSRF攻撃を防げなくなってしまいます。なので、一般のWeb上に公開されているてがろぐでは無効にしてはいけません。無効にする方法を用意しているのは、あくまでも「ローカルで稼働させている」とか「何らかの別のセキュリティで守られた空間で稼働させている」とか、第三者がアクセスすることはないと断言できる場所で稼働させている場合のためです。
なお、「例外のドメインを1つ設定できたら良いのでは?」と思われるかもしれませんが、今回の場合、もし ss1.xrea.com ドメインを例外として許容してしまうと、同じドメインの使用権を持つ他者からの攻撃が防げなくなる問題がありますので、そうはできないのです。
(根本的に解決するには、「自分だけが使えるサブドメイン」でhttpsを使わせてくれるサーバを使う、という手しかないと思います。)
🥞Re:4584◆ss1.xrea.com ドメインを使った、お使いのてがろぐのURL(例えば、https://ss1.xrea.com/ ID.SERVER.xrea.com /tegalog/tegalog.cgi 等)にアクセスした状態で、そこに見えているQUICKPOSTから投稿しても、同様のエラーが出ますか?
もしそうなら、お使いの環境では「閲覧者に向けてはhttpsの方を公開しておいて、自分だけはhttpの方を使う」という方法しかなさそうに思います。
---
> FAQの「fumycts.plを書き換える」で解決できるケースでしょうか?
> おすすめではないと書かれている点について、よければ詳しく教えていただけませんか?
お使いの状況では、fumycts.plを書き換える方法で解決してはいけません。(書き換えると、エラーは出なくなりますが。)
これは、フィッシング攻撃や、CSRF(クロスサイト・リクエスト・フォージェリ)攻撃を防ぐ機能の1つだからです。他所のWebサイトに攻撃用のページを作成しておいて、そこに何らかの方法であなた(=てがろぐにログインする権利を持った人物)を誘導した上で、その攻撃用ページから何らかの情報(ログイン情報なり投稿データなり設定変更情報なり)をてがろぐに向けて送信することで、パスワードを盗んだり変更したり、意図しない投稿をさせたり、意図しない設定変更をさせたりする……、というのを防ぐ機能です。
そのために、「そのてがろぐが稼働しているドメイン」ではないドメインから送られてきたリクエストは拒否する仕様になっています。
この機能を無効にしてしまうと、フィッシング攻撃やCSRF攻撃を防げなくなってしまいます。なので、一般のWeb上に公開されているてがろぐでは無効にしてはいけません。無効にする方法を用意しているのは、あくまでも「ローカルで稼働させている」とか「何らかの別のセキュリティで守られた空間で稼働させている」とか、第三者がアクセスすることはないと断言できる場所で稼働させている場合のためです。
なお、「例外のドメインを1つ設定できたら良いのでは?」と思われるかもしれませんが、今回の場合、もし ss1.xrea.com ドメインを例外として許容してしまうと、同じドメインの使用権を持つ他者からの攻撃が防げなくなる問題がありますので、そうはできないのです。
(根本的に解決するには、「自分だけが使えるサブドメイン」でhttpsを使わせてくれるサーバを使う、という手しかないと思います。)
by nishishi. ⌚2024年7月19日(金) 12:12:12〔315日前〕 回答/返信 <1183文字> 編集
Ver 4.4.1(未配布)の動作テスト。
🍵Re:4590◆お役に立っているようで嬉しいです~。(╹◡╹)ノ