FC2ブログコメントのパスワードは未入力か複雑に トリップ検索・変換
- 2010-12-20 月 02:24
- FC2ブログ
FC2ブログのコメントにパスワードを入力して投稿すると、トリップが必ず作成されます。
利用中のテンプレートによってはトリップが表示されませんが、FC2ブログには別のテンプレートを適用して閲覧できる機能(これはこれで便利)があるため、トリップを表示する公式テンプレートなどをあててそのブログを閲覧するとトリップが表示されます。
このトリップはパスワードから作成されるので(固定)、トリップからパスワードを特定することができます。
例えば、パスワードに「123」を入れると、トリップは必ず「LkZag.iM」になり、「LkZag.iM」がトリップになっているコメントのパスワードは「123」になります。
このトリップ「LkZag.iM」を検索すると、パスワードが「123」のコメントが検出され、編集や削除ができてしまいます。
「a」「pass」「abc」のような単純なパスワードを利用すると、検索で該当するトリップが多く引っかかります。一度、普段使ってるパスワードのトリップを検索して、他に使用している人がいないかを確認した方がいいかもしれません。
単純なパスワードのサンプル:トリップからパスワードの変換
4桁までの数字などの単純なパスワードであれば表示されるかもしれません。左のテキストボックスにトリップ(8文字)を入れて、[TRIP>PASS]ボタンでパスワードが表示されます。[SEARCH]ボタンは入力されたトリップをGoogleで検索します(別ウインドウ)。
TRIP | PASS |
---|---|
wLMIWoss | aaaa |
mQop/nM. | 1234 |
LkZag.iM | 123 |
d3xRQPUk | 12 |
sSHoJftA | 1 |
※実際にフォームから投稿して確認したわけではないため、間違っているかもしれません。ここで変換されるようなパスワードはパスワードとして機能しません。
閲覧中のFC2ブログにトリップを表示するブックマークレット
閲覧中のFC2ブログにトリップを表示するFC2公式のテンプレートを適用します。
お気に入りに登録して使用します。下記リンクのどちらかを(右)クリックして、リンクをお気に入り(ブックマーク)に追加します。試すだけであれば、ショートカット(URL)のコピーをします。
Bookmarklet : FC2bTRIP or FC2bTRIP2
トリップを表示するFC2ブログの個別ページ(コメントのあるページ:blog-entry-no.html)を開き、お気に入りに追加された上記リンクをクリック(またはコピーしたURLを貼り付けてエンター)すると、トリップありのテンプレートが適用されます。※表示されない場合もあります。
さらにもう一度お気に入りのリンクをクリックすると、トリップの隣に検索リンクが表示されます(コメントの数が多いときは表示までに時間がかかります)。
パスワードが未入力の場合はトリップは作成されず「-」が表示されます。
コメント編集対策
- 単純なパスワードを指定しない。
- トリップを表示しないようにする(テンプレートHTMLから <%comment_trip> を削除)。
- コメントに使用しているパスワードと何らかのアカウントのパスワードが同じ場合はアカウントのパスワードを変更する。
- コメントをバックアップする。管理画面メニューの[データのバックアップ]のエクスポートから、ダウンロード(記事と一緒にコメントもバックアップされます)。
- 絶対に再編集されたくない場合はコメントを削除して、パスワードを入力せずに再投稿する。
- パスワード入力箇所の付近に「英数字4文字以上」などとメッセージを入れて注意喚起する。
- スクリプトなどを利用してパスワードの最低文字数や使用文字の制限を設ける。
- パスワード
パスワードには半角英数字だけでなく、記号や全角文字まで指定可能です。英字と数字を混ぜた4文字以上のパスワードであれば、そうそうかぶることはないと思います。
- パスワードを入力できなくする
パスワードを入力さえしなければ、編集される心配はありません。管理者と訪問者が直接コミュニケーションするような場において、あとでこっそり編集できるような仕組みは必要ないかもしれません。
利用中のテンプレートHTMLからコメントの編集にかかわるコードをすべて削除します。
※あくまでも表面上です。編集エリアページが存在しなくても、編集しようと思えば編集することが可能です。1.「
comment_edit
」で検索すると次のようなコードを発見できます。これを削除します。<a href="<%comment_edit_link>">Edit</a>
公式テンプレートの「business-u1」であれば、次のコードを削除します。
<li><a href="<%comment_edit_link>" title="コメントの編集">編集</a></li>
2.「
[pass]
」または「password
」で検索すると次のようなコードを2か所(コメントエリアと編集エリア)発見できます。これを削除します。<input type="password" name="comment[pass]" size="20" />
<input type="password" name="edit[pass]" size="20" />
公式テンプレートの「business-u1」であれば、次のコードを削除します。
<dt><label for="pass">パスワード</label></dt> <dd><input id="pass" type="password" name="comment[pass]" size="20" /></dd>
<dt><label for="pass">パスワード</label></dt> <dd><input id="pass" type="password" name="edit[pass]" size="20" /></dd>
body要素の直下に not_edit_area 変数を入れてしまう方法もありますが、通常のコメント投稿で禁止ワードやコメント本文未入力の警告が発生した際に何も表示されなくなってしまうので(edit_areaを使用する)、あまり推奨しません。
<body> <!--not_edit_area--> <!--/not_edit_area--> </body>
更新履歴など
- 【更新履歴】
- 2010 12-20 - 公開
- comment
-
大谷 2023-03-24 03:43 No.5347 #-URL
記事がとても参考になりました。そこでご質問させて下さい。
「※あくまでも表面上です。編集エリアページが存在しなくても、編集しようと思えば編集することが可能です。」
これはパスワードが分かれば、編集ボタン等がなくても自ら編集ページを開いて編集できるということでしょうか?
お手数ですがよろしくお願いいたします。
コメント
トラックバック
https://paro2day.blog.fc2.com/tb.php/645-78d4e9a2
- trackback