Movable Type ユーザーコミュニティにて、 さくらインターネットでtmpディレクトリが見えないというトピックが立っていました。トピ主の問題は解決したようですが、自分なりに調べてみたことの覚書き。

　Tor (トーア、The Onion Router) は、ネットワークの接続経路を匿名化するための規格であると同時に、そのリファレンス実装でもあります。Tor では、P2P 技術を利用し、接続ごとにランダムに選択された複数のノードを経由して目的のサーバへ接続することで、その接続元を追跡されにくくしています。今回、自宅の Debian サーバに Tor プロキシ サーバを建ててみました。

　企業などのセキュリティ ガイドラインで、社内からアクセスするウェブ サービスは毎回ログアウトし、ログイン情報を永続化しないように求められることがあります。使用しているウェブ サービスに XSS や CSRF などの脆弱性があった場合、悪意の第三者が用意したリンクを不用意にクリックして機密情報が漏れたり、ポータブル コンピュータを紛失した際にウェブ サービスを悪用される懸念があるためです。
　MovableType 管理画面のログイン画面にも、ログイン状態を永続化する「ログイン情報を記憶する」チェックボックスがあります。運用ガイドラインなどで「チェックを入れるな」と禁止することはできても、これを完全に防止することはできません。上司が見ていないのを良いことに、ガイドラインを遵守しないユーザが居ないとも限りません。そこで、MovableType のログイン状態を永続化できないようにするプラグインを書いてみました。
　個人ユースではあまり意味がありませんが、厳しいセキュリティ ガイドラインを求められるような運用では使えるかもしれません。

　HTTP(S) 通信で簡易にパスワード セキュリティを実現できる Basic 認証。ちょろっと検索したところでは、セキュリティの問題に加えてパフォーマンスについても問題があるように書かれています。

　.htpasswd ファイルのような、テキストファイルによるユーザー管理は最も手軽ですが、パスワードファイルを上から下へと線形で読むために、実際のところ効率はよくありません。ユーザ数が数 100 単位に増えてきた時に、サーバのパフォーマンスは低下します。

ユーザー認証のパフォーマンス問題 - ミケネコの htaccess リファレンス

　正確に言えば、テキスト ファイルでパスワードを管理する Basic 認証は本当に遅いのか？ということになります。数百ユーザのアカウントを、テキスト ファイル ベースで管理するのもアレだと思いますが、んじゃ、実際のところどれくらいパフォーマンスに影響するのよ？　ってところを調べてみました。

　初期パスワード文字列を生成する Perl の one-liner を書いてみましたが、これってウェブサービスにしちゃった方が楽だよねぇ？　ってことで、10 分で作ってみた。適当な所を適当な長さだけ文字列選択してコピペ、で。

　日本語で言うと、それぞれ、識別(Identification)と認証(Authentication)と承認(Authorization)になりますが、特に Authentication と Authorization はどう違うの？　ということで個人的なメモ。

　twitCipher は twitter のツブヤキを暗号化することで、心無いユーザによる情報漏えいを防ぐための画期的ソリューション(?)です。Blowfishは堅牢で高速処理が可能な、ライセンスフリーの暗号化技術で、投稿者が設定したパスワードを正しく入力しない限り元の文章を読むことはできません。しかし貴方が信頼してパスワードを教えた人が、実は情報漏えいの黒幕であった場合にはどうしようもありません。 人間関係は大切にしましょう。

twitCipher - twitter Cryptographer

　ちょっと所用で使うことになったのでインストール。色々大変だった…　dsniff はハッキングツール、クラッキングツールも含むので取り扱いには注意が必要です。

Gumblar Breaks WordPress blogs and other complex PHP sites
So what happens if both index.php and wp-config.php are infected with the gumblar backdoor scripts? Since Gumblar injects identical backdoor scripts into files on the same site, they’ll have declarations of identically named functions, which PHP doesn’t allow.

　どうやら、PHP で構築された WordPress などのサイトに感染するタイプの Gumblar ウィルスの亜種が出現しているようです。影響を受けるのは WordPress や Joomla, Drupal などの PHP ベースで書かれたシステムの他にも、PHP を複合的に使用しているサイト全てとのこと。MovableType は Perl ベースですが、動的生成処理は PHP で書かれています。また、サイドバーの共通化などのために、PHP ファイルを生成している場合があるので注意が必要です。

　Google Safe Browsing APIは、Google が実験的に提供しているフィッシング詐欺ページやマルウェア配布サイトのブラックリストです。このリストは Google によって定期的に更新されており、URL をこのリストと照合することでそのセキュリティチェックをすることができます。これを用いて、例えばフィッシング詐欺ページへのリンクを含むコメントの投稿を自動的機械的に阻止したりできます。
　今回、このサービスを MovableType のコメント/トラックバックのジャンクフィルタとして利用できるように MovableType プラグインにしてみました。