三輪晋( Miwa Susumu )
miwar****@gmail*****
2012年 9月 4日 (火) 23:10:07 JST
三輪です。 2012年9月4日 22:45 TADA Tadashi <t****@tdtds*****>: > このエラーは、CSRFをつかれたから出るのではなく、CSRFをガード > したから出るのです。 > > 設定画面で日記のURLが正しいURLであればrefererが一致するのでこ > のエラーは出ません。今回、三輪さんの設定したものとは異なる値が > 入っていたので、tDiaryはCSRFを感知して停止したのです。 ありがとうございます。 いろいろ慌てていました。 > ですので、ここで気にしなければいけないのは、なぜおかしなURLが > 指定されていたのか、です。 > > もっともありえるのは、パスワードがクラックされて更新・設定ページ > が乗っ取られた可能性です。ログをみて、自分自身以外のIPアドレス > からupdate.rbへアクセスがなかったかどうか、さかのぼってみるべき > でしょう。 パスワードどころか .htaccess が存在していませんでした ('A`) つまりガラ空きでした。 なんとも情けない。 先日 github の tdiary-core を設置したんですが、 その際に .htaccess を旧環境から移行してくるのを忘れたらしい。 > いずれにせよ、パスワードはすぐに変更すべきです。 念のためパスワードも変更しておきました。 お騒がせしました.... -- miwarin