[tDiary-users-talk: 0536] Re: CSRF

Back to archive index

三輪晋( Miwa Susumu ) miwar****@gmail*****
2012年 9月 4日 (火) 23:10:07 JST


三輪です。

2012年9月4日 22:45 TADA Tadashi <t****@tdtds*****>:

> このエラーは、CSRFをつかれたから出るのではなく、CSRFをガード
> したから出るのです。
>
> 設定画面で日記のURLが正しいURLであればrefererが一致するのでこ
> のエラーは出ません。今回、三輪さんの設定したものとは異なる値が
> 入っていたので、tDiaryはCSRFを感知して停止したのです。

ありがとうございます。
いろいろ慌てていました。

> ですので、ここで気にしなければいけないのは、なぜおかしなURLが
> 指定されていたのか、です。
>
> もっともありえるのは、パスワードがクラックされて更新・設定ページ
> が乗っ取られた可能性です。ログをみて、自分自身以外のIPアドレス
> からupdate.rbへアクセスがなかったかどうか、さかのぼってみるべき
> でしょう。

パスワードどころか .htaccess が存在していませんでした ('A`)
つまりガラ空きでした。
なんとも情けない。

先日 github の tdiary-core を設置したんですが、
その際に .htaccess を旧環境から移行してくるのを忘れたらしい。

> いずれにせよ、パスワードはすぐに変更すべきです。

念のためパスワードも変更しておきました。

お騒がせしました....

-- 
miwarin




tDiary-users-talk メーリングリストの案内
Back to archive index