◇◇　お知らせ　◇◇

サイト移転のお知らせ

新サイト　カンガルーワールド　を立ち上げました。

それに伴い、ブログも移転します。
このエントリがここでの最後になります。

今年はじめからXREAで活動していて名残惜しさは有るし、新しいサイトはまだ十分整備できていないのですが、まあ、やるなら早く移転しちゃった方がいいと思い、早々に移転しちゃいました。

こちらにリンクを貼られていたり、ＲＳＳリーダー等でウォッチされている方は新サイトの方へ変更をお願いします。

　

それでは、新サイトを宜しくお願いします。

サイト移転計画

XREA自体は結構気にいっているのですが、最初から有ったエラー問題がどうしても気になるので、サイトを移転する事にします。

いきなり全てを移転とかいう事は考えていませんが、ここでのブログの更新は近日中に停止して、新しいサイトで始める事にします。

他のコンテンツは徐々に移転する事になると思います。

当面、新しいサイトの準備で忙しくなります。

公開するのって結構大変

つまらない物から公共性の高い物までいろんな物事に興味を持ち、時には自分で何かを改造したり自作したりしているcolor99ですが、何かを作り上げた後、それを公開してゆくというのは、結構大変なのです。

公開するとなるといいかげんなレベルではいけないと思ってしまうので、いろいろと手を加えて完成度を上げようとして追加の作業を繰り返してしまいます。（これは完成度が上がるメリットもあります）

又、（例え、プログラムにコメントを入れるレベルでも）何らかのドキュメントも用意する必要があります。（まあ、これも後で忘れない様にするメリットはあります）

そして、公開してバグ報告が有ったりすると対応が必要です。（これも勉強になります）

公開する事によるメリットも有るのですが、color99のレベルでは中々これが前に進まないのです。

やりたい事が多くて優先度がすぐに変動してしまうと事も有りますが...。

これまで何でも公開に近い状態で進めて来た活動もどこかで制限しないと今後の活動が出来ない状況になってきており、どこまで公開するか基準を考える事にします。

貴方がWWWサーバーに渡す情報

貴方がWWWサーバーに渡す情報というページにアクセスすると、自分のブラウザからサーバーに送られている環境変数の値が表示されます。
そういうようなページとかPERLスクリプトとかいろいろ有るから別にここでなくてもいいのですが、ついでに基礎的な事も書かれていて参考になったりすると思います。

時たまリファラチェックで弾かれてしまう方がいますが、最近はリファラで弾く所も多いと思いますので、

　HTTP_REFERER リンク元のURL

の値はチェックしておいた方がいいですね。

もし、ここに何も入らない様であれば、ブラウザを変えてみましょう。

特定のブラウザのみの問題ならば、そのブラウザの設定を見直しましょう。

どのブラウザでも同じならば、ウィルス対策ソフトかファイアーウォールあたりの設定を見直しましょう。

私自身はどちらの経験も無いのですが、過去スパムで弾いた方の話を総合するとそういう事の様です。

ログ記録制限に問題か？

リファラスパムのログ記録の問題は、サーバーの問題ではなく処理的な問題の様な気がしてきました。
どうもログ記録制限をかけている所の処理を変えなくてはいけないと思います。
今の所、リファラスパムのログだけで症状が見えていますが、通常のスパムのログも同じ症状が起きる可能性が有りそうです。

とりあえず症状が起きている実験ブログのログ記録制限を止めてみました。
これで暫く様子を見てみましょう。

答えはblosxom.cgiに有った

land.toでプラグインがうまく動かない件の答えがなんと、blosxom.cgiにありました。

$url =~ s/^included:/http:/; # Fix for Server Side Includes (SSI)

という行が最初の方にあるんですね。

コメントを見ると、ほー、SSIが影響しているんですねー。

SSIは使っていないので、どういう影響があってこうなっているのか良く分からないのですが、結局、pagingプラグインもこれと同じ物を入れて対策したので、それで良かった様です。

うん、これで少しすっきりしました。

バグかサイトの問題か？

スパムブロッカーをずっとデバッグしているのだが、どうしてもバグが見つけられない状況が続いています。

不具合の症状は、
１）コメント等のスパムが来たときのメール通知を忘れる事が有る。
２）リファラスパムのログが壊される事が有る。（頻度はかなり高い）
の２点です。

１）については、writebackについても起きているし、kentさんの所からいただいてきたＢＢＳでも起きていますので、おそらくサーバー側の問題と思っています。

２）については、バグだろうと思っていろいろ調べているのですが、原因が見つからない状況。でも、現時点ではやはりサーバー側の問題のような気がしています。今はログの記録制限の為に一旦ログをサーバー上のメモリに展開して、記録数の上限を超えていたら、古い物を削除してファイルに書き戻す処理をしているのですが、これがうまく機能している場合も有るが駄目な場合も有るという状況なのです。サーバー上のメモリに展開されている時にサーバー側で何かエラーが出たら展開内容をファイルに書き戻す時に壊れてしまってもおかしくありません。そういう事が起きているのではないかと今は思っていますが、調査出来ない状況です。

うーん、困りました。...。...。どうしましょうかねー。

いずれにしてもすぐに原因を掴んで対策する事は難しい状況です。

仕方ないので、まだ、暫く悩む事にします。

wikieditish改造

.wikieditishページに、p/br replace:というチェックボックスを追加。
ここにチェックを入れて投稿すると、htmlで書かなくても、自動的にp要素とbr要素に変換する様にした。

私の場合、ほとんどp要素しか使っていなかったので、これってかなり便利。

その他に使うものとしては、リンクと文字色とリストと引用くらいですが、これらはあんでぃーさんの所で公開されているHTMLエディターで先に処理しておけばいいのですが、これは今まで通り便利に使っています。

このhtmlエディターではbr要素が使えないので、それもすごく助かりますね。

このチェックボックス無しで常時効かすのでもいいような気がしますが、運用の中で必要なら変えてゆきます。

タイトルバーに現在ページを表示

タイトルバーを少し変更してみました。
現在のパージがどこになるかをサブタイトルの下に表示する様にしています。カテゴリ毎とか編集ページとかに移動しているときに、今がどのページにいるかがそこを見るとわかります。
階層が浅いとなにかもの寂しいですが...。

サイドパネル変更

他の方が当サイトをご覧になる場合には

• 新規投稿
• 最近のリファラ
• 最新のスパム

表示は必要が無いと思いますので、ちょっと細工をしてみました。 私の環境ではいままでと全く同じ表示のままですが、他の方には上記表示を隠す様にしました。

特にリファラはスパム対策で今の所弾けていますが、先回一度すり抜けていますので、一般には非表示にしておく事にしました。

もし、上記内容が見えているとか、表示がおかしいとかあればお知らせ下さい。

Windows デスクトップ表示方法

WindowsXPでデスクトップを表示させる方法です。私の知っている範囲では、以下の３通りですね。

• タスクバーの空白部分で右クリック→デスクトップを表示を選択
• ウィンドウズキー＋Ｄを押す
• タスクバーの空白部分で右クリック→プロパティー→クイック起動を表示するを選択　⇒　タスクバーのスタートボタン横に専用ボタンが表示されるので、そのボタンを押す

沢山ウィンドウを開いている場合には本当に重宝します。

サーバー挙動不審

ここのサーバーはやっぱり変です。 とにかく頻繁にエラーが出るのです。

サーバーのエラーをサーバー上のスクリプトでチェックしているのですが、１日１０回程度エラーが出る。ほとんどはエラー症状も不明。エラーの５回に１回位はカレンダープラグインで引っかかっているが、原因はサーバー側の問題だろうと思う。

今日、スパムブロッカーのエラーログを見ていたのですが、

req_url :Linkとなっているのが正しいが、１件のみ

req_url :a.com/btest/blosxom.cgi/test/t2?gb_page=1となっているのがありました。

何か処理が追いつかない場合が有る様な気がします。

MTでも起きてますので、blosxomの問題という訳ではなく、xreaの問題。他のxreaサーバーをお使いの所でもやはりエラー起きていたりします。

プラグインのチェックをするのに、サーバーの問題なのかスクリプトの問題なのか区別がつかないので困りますよ。まあ、私の所は無料で借りてますので、文句を言える立場では無いですが...。

最近来ているスパマーの場合

コメント投稿ページを開いてから投稿までの間は1-5秒です。

つまり、ページ情報取得　⇒　情報取得　⇒　テンプレートに載せてスパム投稿　を自動的に実行しているという事なんですね。

ダイナミックパスワードでは投稿として許可している時間は可変出来るのですが、デフォルトは１０秒に設定しているから、全て弾いてます。

他のスパマーが同じ手口がどうかは不明です。

ccTLD check

以前、カントリーコードチェックというのを入れていたが、これは.jp以外のトップレベルドメインをスパムとして弾く様にしていたので、.com等も全て弾く為、弊害が大きすぎて仕様から削除しました。

で、今回は、TLDが２文字の物だけをチェック対象とし、かつ、ホワイトカントリーリストに登録されているコード以外をスパムとして弾く様にします。 ですので、.com等の３文字系はスパム対象外となります。

効果はそれなりにあります。実験ブログの方へはマレーシアとかから結構来てますので、これにより弾かれるリファラスパムがかなりあります。

とりあえず、これで今の所追加するスパムチェックは終わりです。

まだもう少し手直ししたいのと、ちょうど最近スパムが活発に来ているので、いいデバッグ環境になっているため、暫くデバッグを続ける事になります。ですので、リリースはまだ先になります。

リファラスパムが...

うーん、遂に公開サイトにもリファラスパムが来てました。 僅か２７秒の間に１００ヶ近くも...。

最新版のスパムブロッカーでも弾けなかった。

スパム対策は、コメントスパム、トラックバックスパム、リファラスパムの順に対策が難しくなります。

でも、最新版にはリファラのキーワードで弾く機能を実装してますので、今回来たサイトは禁止ワード設定したから、次回からは弾くはず。

実験サイトでは、非常に沢山のリファラスパムが断続的に来ていますが、そちらは一度禁止ワード設定したら、その後は全て弾けていますので、禁止ワードはかなり有効だと思っています。

サイドバーを整理

サイドバーがごてごてして来たので、あまり使わない物をこの際整理して減らしました。まだそれでも多いですが...。

mailpostモニター募集

現在、いくつかのプラグインを公開サイトでテスト中だが、mailpost以外はまだ手直ししてたりデバッグしてたり、ちょっと？とか思う所が有ったりします。

mailpostについては、当サイトに設置して使う限り問題なさそうです。

テスト投稿には、にーやんさんとchaliceさんにご協力いただきました。有難うございました。特に問題なく動いておりました。

で、ここからが問題なのですが、そのスクリプトをですね、land.toへ持ってゆくと

　　う、動かないーーー！

のです。

実は、land.toではpagingプラグインも正常に動かないのです。 どうも、CGIモジュールの一部の機能がうまく動かない様です。いや、何か私が悪い事している可能性もありますけど...。

ですので、問題となる場所を環境変数だけを使って代替したバージョンを作り、これをv1.00という事にしました。

しかし、サーバー環境の違いで何か別の不具合が起きる可能性が有るかもしれません。

私の所ではisweb,xrea,land.toの３つの無料サーバーでのみしか確認が取れません。その内、iswebの無料サーバーは確かsendmailが使えないはずなので、実際に動作確認したのはxreaとland.toだけなのです。

そこで、この２つのサーバー以外でsendmailがつかえるサーバーの方各１名づつに実際に設置していただいて問題が無いかどうかのモニターを１週間程度お願い出来ないかと考えております。

ご協力いただける方は、トップページ左下のメールポストより連絡をお願いします。

■追記■

モニターにご協力いただけるかたは、どちらのサーバーでモニターいただけるかを合わせてお知らせ下さい。

「環境変数 リファラ」で１位、え？

ヤフーで「環境変数 リファラ」で検索されてこちらに来られた方がいるのですが、え、ここの特定の記事が　第１位　じゃないですか。お、第３位にも。

なんか嬉しいですね。

mailpost plugin テスト開始

新プラグインmailpostを作り、公開サイトでテストを始めました。（サイドバーの時計の下に設置しました。）

どこにでも有るWEBメールをblosxomのプラグインとして実現しました。 私宛に連絡を取りたい場合は、ここからメールを送って下さい。

webメールの場合、コメントスパムと同じ方法で自動でスパムを書き込まれると、スパムの数だけメールが来る事になり、困ります。

しかし、スパムブロッカーで、本プラグインを登録しておけば、コメントと同じ扱いでスパムを弾きます。

テストで問題が無ければ、他の方にも使える様にしてゆく予定です。

ですが、誰かテストでメールしてくれないと問題見つからないかもしれません。

一人一回だけ、テストしてくれる方を求む。

posthead plugin テスト開始

新プラグインpostheadを作り、公開サイトでテストを始めました。

ＷＥＢ上での新規投稿時はwikieditishプラグインで出来るのですが、カテゴリ名とエントリ名を間違えないようにブラウザのURLに書き込み、更にその後に、.wikieditishまで打ち込まなくてはならず面倒です。

このプラグインは、その面倒な作業の部分のみを簡単に設定して、wikieditishプラグインにジャンプするプラグインなのです。つまり、wikieditishプラグインのフロントエンドプラグインです。

既に有るカテゴリへの投稿ならカテゴリをプルダウンメニューから選んで、「新規エントリ作成画面へ」ボタンを押すと、そのカテゴリにその時刻をエントリ名にして.wikieditishページへジャンプします。後は編集時と同じ感じで新規投稿が出来ます。

エントリ名を打ち込めば指定したエントリ名になりますし、新規カテゴリへの投稿なら新規カテゴリ欄に打ち込めば指定したカテゴリを作ります。

そして.wikieditishページではエントリ投稿の前にプレビューが出来るので、それも便利なのです。

エントリの投稿はパスワードが無いと出来ませんが、その前までの作業は誰でも確認する事が出来ます。すごくいい感じで投稿出来ますので、興味有る方は試してみて下さい。

テストで問題が無ければ、他の方にも使える様にしてゆく予定です。

ダイナミックパスワードをログに記録

ダイナミックパスワード効いてますが、ページ作成直後とページ作成１日後以上のどちらで弾いたか、現状では区別がつきませんので、ダイナミックパスワードをログ記録項目に追加する事にしました。

おそらく、以前に入手したページ情報を使っていてパスワードはついていないような気がしますが...。

次のスパムが待たれます。

急にスパムが来る様になったよ

公開ブログにもチョロッと来る様になりましたね。 実験ブログには又リファラスパマー来てるし。

スパムブロッカーの動作検証には役立ちますね。

バグ報告（２）

スパムブロッカーでいくつか別のバグを見つけたので報告。

ＪＩＳ文字コードのメッセージを弾いた場合、UTF-8への文字コード変換が出来ず文字化け。ＪＩＳでブログやっている人はまずいないと思うので、問題にはならないと思うが...。

ログのコメント部分、改行が余分だった。 ログから復活させる場合、改行から後ろが切れてしまうか？

version1.00より直しておきます。

最近のリファラ表示変更

私の所ではリファラを持って訪問いただいた方（リファラスパマーは除く）を、refererプラグインを使って最近のリファラとして表示させています。 Googlebot等のクローリングロボットはリファラを残さないので、頻繁に来てますが表示されません。

さて、サイドバーでは多くの部分で項目左に■の記号をつけているのですが、refererプラグインではそれが表示されません。何とか他と見た目を合わせたいなと思い、プラグインに手を加え、強引に表示変更。

特に問題起きないとは思うが、様子見ですね。

typoって？

kyoさんが良く使っている　typo　って　type miss　とかいう意味だろうと思っていたのですが、今まで調べた事が無かった。 そこで、ちょっと調べてみたら、はてなにありました。

（ちょっとした）タイプミス、入力ミスのこと。誤字、誤変換。 英語ではMinor Typographic Errorを意味する。

まあ、意味は有ってますね。Typographicなんて単語知らないぞ！

x_double_posting_blocker 0.40　テスト開始

２重投稿防止プラグインである　x_double_posting_blocker　を使っているのに、何故か２重投稿防止機能が効かない場合が有った。

その時はブラウザの表示も白紙状態で何も表示されていないのです。このプラグインではリダイレクトすべき情報を環境変数から拾っているのだが、どうもブラウザから正しい環境変数を送って来ないのではないかと疑っている。

しかし、そういう状況は再現しないので、そう疑ってはいるがはっきりした原因は分かりません。仕方ないので上記の疑いを元に推定対策をしてみた。

推定対策としては、正常時はコメントページへリダイレクトし、コメントページへのリダイレクトに使っている環境変数が無ければ、スクリプトのURL（ブログトップ）へリダイレクトする様にしました。

とりあえず、公開ブログに適用して暫く様子みます。

禁止キーワードチェック改良（２）

禁止ワードとして、前後に'-'を、前だけに'='をつけるのが有効と考えています。例えば、buyを単純に禁止ワードに設定すると、その単語は使えないです。

そこで、　-buy, buy-, =buy　のみを禁止ワードに設定します。 （私の所に来るスパマーは、そのような禁止ワードで十分対応出来るのでそうしていますが、ひょっとしたら一般的では無いかもしれません。） で、同じような禁止ワードをその度に書くのは嫌なので、スクリプトを変更して、buyを登録すると、上記の３つだけを禁止ワードに追加する様に改良しておきました。この処理をせずにダイレクトに禁止ワードを指定する部分はそのまま残っていますので、この処理をしたい禁止ワードを指定する変数を追加したという事です。

って、書いても分からないかも。ごめん。私のメモのようなエントリです。

CPANにチーズケーキ？

CPANのロゴ？が変わったのか、前からそうだったのか？ いや、変わったんじゃないかな？ Ａの所がチーズケーキみたいだし、何故か１０とか書いて有ったりする。

１０周年とか何か有るんですかね？

禁止キーワードチェック改良

禁止キーワードを見直しています。

私が禁止キーワード有効と考えているのは、URLとリファラです。

URLはコメントやトラックバックで投稿されるとリンクを貼る仕様になっていますので、（IPアドレスやリファラを偽造しても）スパマーはここには誘導したい正しいURLを書きますので、ここへの禁止ワードチェックが有効なのです。

リファラは訪問者のリファラを表示するサイトではリンクが貼られる様になっているので、リファラスパマーは、（IPアドレスは偽造しても）リファラには正しいURLを書いて、表示されるリンクから自ブログへ誘導しようとしますので、リファラへの禁止ワードが有効です。っていうか、実際に実験サイトの方へ暫く前からずっと定期的にリファラスパマーがリファラスパムを置いて行くのですが、非常に効果的です。

逆に言えば、他の記入欄への禁止ワードはあまり必要が無い。 やってもいいが、よっぽど多くの禁止ワードを用意しないと効果は薄いし、その弊害として通常投稿を阻害する可能性すら有る。

そこで、URLとリファラ以外では禁止ワード効かなくする設定を可能（デフォルトにします）としました。

おそらく、このバランスで使うのが最もいいと思っていますが、運用の中で変えていくかもしれません。

バグ報告

リファラスパム対策の為に、'referrer' => 1　と初期設定を変え、更に、$notify_mail=1としてメールを送る設定にすると、リファラスパムを捕まえる毎にメールを送って来ます。

おそらく、そういう設定で使っている人はいないと思いますが、一応報告しておきます。

次のSBのV1.00で修正します。

急ぎで直したい方がいるようなら、パッチを公開しますので、このエントリにコメントでオーダー下さい。

changes.xml

changes.xmlに関する説明記事発見。

最近多いスパムとして、エントリ上げたらスパムが来るというのは、スパマーがこういうのを使っているんじゃないかと疑っている。

やっと来ましたスパムさん

昨日、夕方４時半頃から断続的に（といっても８回ですが...）コメントスパムが来ていました。ゲストブックとコメント投稿の２種類の投稿でスパムを送って来ています。

おかげでスパムブロッカーV1.00アルファー版フルチェックでの効果確認が出来ました。

スパムチェックは６種類で引っかかっていました。新しく作ったダイナミックパスワードでも引っかかっていますが、リファラやランゲージ等でも引っかかっています。リファラを偽造しないようなスパマーなので、あまりレベルが高いスパマーでは無さそう。でも、効果は十分ですね。

ｃｃＴＬＤ

一つ前のエントリで書いたドメインの記事を見ると、トップレベルドメイン(TLD)が何かという事が分かりますが、実はいくつか種類が有る。

このリンクから引用します。

ccTLDは、各国/地域に割り当てられたTLDであり、現在248存在しています。ccTLDは、ISO（国際標準化機構）のISO3166で規定されている2文字の国コードを原則として使用しています。

ccTLDは、その登録方針から大きく2つに分類することができます。1つはドメイン名登録を全世界にオープンにしているccTLD（「.tv」「.to」「.cc」など）、もう1つは国/地域内に限定しているccTLD（「.jp」「.au」「.us」など）です。

という事で、これを利用して以前カントリーコードチェックと呼んでいた海外からのスパムチェック対策を改良した物を再度実装予定。

ゲストブックで改行を

ゲストブックで改行出来る様にプラグイン改造してみたが、これでいいんだろうか？ちょっと不安ではあるが、まあ、動いていそうなので、暫く様子見ですね。

ドメイン名

ドメインという言葉を何気に使っていたりするが、正しく理解出来ているかというと、ちと心もとない。こういう時には、JPNICに頼るのがいいですね。 で、ちょっと調べてみたら、有りました。

参考ページはここ。

ルートサーバーがふーん、全世界で13台。内１台が東京にあるのか。とか、勉強になりました。

１周年

え、何の？　って聞かれると思いますが、実は、ESBのv0.10をリリースしたのが、１年前の今日なのです。

最初は簡単な代物でしたね。今思えば。 writebackプラグインの中で実現しているスパム対策を少しづつ拡張していこうという意図で作り始めた物です。で、今はv0.40のつもりだったのですが、その後、頑張って当初計画していた内容は現時点でほぼ実装されています。ライトウェイトなプラグインとしたいので、データベースを参照するような大掛かりな物はやるつもりは無いです。フィルタリングベースでやれそうな事はほとんど実装したつもりです。

今回、スパムチェックをフルに使える様な対応もしているので、その意味でも完成度が高くなっています。 ですので、ここで一旦締めくくって、v1.00としようと思います。 それと同時にspam_blockerと名称変更します。

リリースはまだ少し時間がかかります。 もう一つ対策を実装予定がありますしね。

リファラに禁止ワード追加

公開ブログでも最近のリファラを入れているのですが、はっきりリファラスパムと分かる物は有りません。（怪しい物は全て弾いています。）

ところが、実験ブログの方に海外からリファラスパムがついていました。そして、それはどうも定期的につくようになっている様です。

そこで、リファラスパム対策として、リファラにも禁止ワードを追加しました。これまで来たリファラスパムはこれで全て弾けるはずです。

で、これにより、コメントスパムやトラックバックスパムでもリファラに禁止ワードを効く様になります。この為、投稿内容に禁止ワードが無くても、禁止ワードチェックで弾かれる（リファラにある禁止ワードで弾かれる）という事が起きますので、ちょっと違和感が有るかもしれません。でも、対策が少し強めになるという事でいい方向ですし、特に不具合も無いはずなので、そのままにしておきます。

ブログスパム

コメントスパムや、トラックバックスパムに関する解説記事を発見。 ＭＴ３．２のスパム対策画面なんかも見れる。

コメントスパムとトラックバックスパムは総称して「ブログスパム」と呼ばれている。

「ブログスパム」は始めて聞く言葉ですが、誰か使っているんですかね？

ついついやってしまう

本当はそんな事予定していた訳ではないけど、ついついやってしまうって事ないですか？ はっきり言って、ブログ始めてからずっとそういう感じがする。 そもそも、当初はもっと違うイメージでブログ始めたんだけど...。

スパム対策も海外からスパムが来てそれが防げない場合が有る事から本格的にやり始める事になっちゃった。 でも、ＰＥＲＬの勉強になるしーとか思いながら、どんどん違う方向へ走り続けている。あれどうしようか、ま、後だな。っとこうなる。

いかん、いかん、いい加減にしないといけません。

でも、ついついいいアイデア出るとやっちゃうんですよね。 で、そのうち元々やりたかった事は放置されたままになる。 うーん、どうしたもんだろう。っとか、考えている。

考えても無駄なような気もするが。

並び順変更方法

recentwritebacks_treeをお使いの方が多いと思いますが、投稿者の並び順が新しい物が下になっています。本サイトではこれを新しい物を上になる様に変えています。その変更は簡単ですので、エントリに上げておきます。

foreach my $name (reverse(@names)) {

の行を、

foreach my $name (@names) {

と変更すればいいです。すごく簡単。

TBアドレスに有効期限設定

ＥＳＢのダイナミックパスワードをＴＢにも適用出来る様にしました。 コメント投稿ページのトラックバックアドレスを見ていただければ分かりますが、通常のアドレスの後に？と次の行になってしまっていますが、ダイナミックパスワードが表示されています。

これにより、このページが作成された直後１０秒以内と１日以降にこのＴＢアドレスを使ってＴＢを送った場合、スパムとして弾きます。 これがやりたかったので、暗号化は独自方式を採用しているのです。

cript関数を使ったら、".","/"といった文字に変換される事が有るのが嫌だったのです。

ＴＢアドレスは通常パーマネントリンクページに書かれると思いますが、静的生成とかで静的ページにＴＢアドレスを表示される場合は、このチェックは外さないと、１日以降判定でスパムとして弾かれます。動的生成のblosxomだからこそ出来る対策です。

同一ＩＰからの連続投稿禁止

同一ＩＰからの連続投稿禁止機能を実装してみました。

最初のスパムはこの機能では防止出来ませんが、10秒以内に同一IPアドレスから投稿が有った場合、ブロックします。コメント・トラックバックそれぞれ有効・無効設定可能ですが、当然、今は両方有効にしてあります。

ところで、ここにはスパム来ませんねー。8/31を最後にぱったりです。

有効期限付パスワード使用条件

前のエントリで新しい対策として、有効期限付パスワード機能追加をお知らせしています。これは「ダイナミックパスワード」という名前をつけているのですが、１秒毎にパスワードが変わります。

コメント投稿ページを開いた時にそのページのダイナミックパスワードの値が確定するのがミソです。 これにより使用にあたって条件がついてしまいます。 それは「静的ページには適用不可」という事です。

動的生成のblosxomだからこそ使えるのです。

だから、コメント投稿を静的生成をしたページとか、キャッシュを取ったようなページに適用すると、使えないのです。 コメント投稿ページだけでも動的生成であれば適用可能です。

有効期限付パスワード機能追加

ESB0.40alphaで更にもう１段強力なスパムチェックを追加する事にしました。（昨年末くらいから構想していた対策です。） これはダイナミックパスワードと呼ぶことにしますが、簡単に言えばパスワードなんですが、有効期限が有るのです。しかも、独自方式ですが暗号化しています。

このパスワードをコメント投稿フォームからhidden属性で送る様にフレーバーの変更も必要です。コメント投稿ページを開く（ページをリロードする）毎に、このパスワードの値は変わります。（１秒単位で変わります。） 現在は、このページを開いてから１０秒以内と１日以上経過したページから投稿した場合、スパムとして弾く設定にしています。（この時間はそれぞれ指定可能です。）

これにより、投稿ページをゲットしてすぐに投稿した場合、スパムとして弾く事になります。後日、同一IPからの連続投稿を弾く様にしたいと思っていますので、それと組み合わせれば、２回目からの投稿も弾けると思います。

また、１日以上古いページからの投稿を弾くので、過去にゲットしたコメントページからの投稿も弾かれます。

これは国内からのしつこいコメント投稿にも効果が有ると思いますよ。

ESB0.40alpha test

beta版にすぐに移行するかどうかはまだ検討中なのですが、ESB0.40のalpha版を本サイトに設置してみました。

訪問者側の状況（どうしてもプロキシ経由からとかウィルス対策ソフトでリファラがつかないとか）により特定のチェックで弾かれてしまうケースがあるのですが、今回のバージョンでは、そういうケースでは訪問者のＩＰアドレスで当該チェックを無効にする機能を実装しています。

という事で、現在、ESBの全てのスパムチェックを有効にしてあります。 過去にスパムチェックで弾いた方の中で記録が残っている何名かの方は個別にその時のスパムチェックを無効にしていますので、弾かれる事は無いはずですし、新たな訪問者の方を弾いても次回からは弾かない様にする事が出来ます。

このバージョンが完成すれば、ESBの持つ11種類のコメントスパムチェックと9種類のトラックバックスパムチェックを最大限に活用出来る事になりますので、早く完成させたいですね。

緊急！　スパムメール防止

bskではコメント投稿フォームにURL/E-Mail:欄が有り、URLとメールアドレスのどちらかを記入する事になっているのですが、ここにメールアドレスを書き込むと投稿者の名前に対してリンクが貼られた形でＷＥＢ上に公開されてしまい、メールアドレス収集botに情報収集されてしまい、コメントを投稿していただいた方へのスパムメールの原因となってしまいます。

そこで、writebackプラグインのメールアドレスリンクを貼る部分を改造してスパムに収集されにくくしていたのですが、それでも最近は駄目な様です。（にーやんさんのエントリ経由で知りました。）

結論として、どんなに凝った表記をしても、マウスをポイントして、メールアドレスがブラウザのステータスバーに表示されるようなら、ほとんど収集されてしまうという事です。

そこで、当サイトではwritebackプラグインのメールアドレスリンクを貼る部分を再度変更し、メールアドレス情報を完全に非表示としました。（.wbファイルには情報は残っています）

BSK研究室での対応案１を採用すれば非表示になります。当サイトでは単純に対応案１のままではなく、削除した変数を

• $param{'name'} .= '(with saved mail address)' ;
• $param{'blog_name'} .= '(with saved mail address)' ;

として、メールアドレスの記入が有った事を区別出来る様にしておきました。

（追記： 11/16）

にーやんさんがメールアイコン表示をしていたので、こちらもそれを採用する事ににしました。その場合には、上記２行を下記の３行に変更。

• my $mail_icon_link = qq! <img src="http://$ENV{'HTTP_HOST'}$mail_icon"/>!;
• $param{'name'} .= $mail_icon_link;
• $param{'blog_name'} .= $mail_icon_link;

そして、Plug-in package variables　の最後あたりに、

• my $mail_icon = '/image/mail2.gif'; # root directoryからの絶対アドレス表記（先頭の'/'を忘れずに！）

という様に、メールアイコンを置いた場所を指定。

こんなに回りくどい方法をしなくても、ダイレクトに２行にメールアイコンのリンクを張ってしまえばいいです。

ところで、$param{'blog_name'}の行はトラックバックに対する対応だが、メールアドレスをトラックバックで書いてくるケースは有るんだろうか？とか思ってたりする。

ESBを使っていてUTF-8で無い方へ

ESBの最新版0.39eをUTF-8でなく、shift_JISなサイトに設置したら、スパムは弾くがログ記録出来ないという症状を発見。

理由はイマイチ良く分からないのですが、ESBのコンフィギュレーション部で、

my $charset = 'sjis';

と設置しているブログの文字コードにあわせると問題無くなります。（これが正しい設置の仕方なので仕様的には問題無いのですが、）UTF-8以外のサイトに設置される方はご注意下さい。

そして、この理由が分かる方がいましたら教えて下さい。 Jcodeモジュールの仕様なのではと思うのですが、自信ない。

ESB0.40構想

ESB0.39eで0.3系を終える事になります。 0.3系では新しい対策の追加と機能追加が中心でした。

しかし、使ってみると一部の方を弾いてしまうので、デフォルト設定を無効にせざるをえない物（アクセプトエンコーディングチェックとか）と、デフォルトで有効にしているがやはり一部の方を弾いてしまう物が有ります（リファラチェック）。

0.4系ではこれらの対策をまず利用可能にする事を目的とします。

0.39eでログ記録が取り易い環境を提供する事が出来たので、仮に弾いたとしても復活させる事や投稿者へ連絡を取り、再度投稿していただく等の対応が取り易くなっています。

0.4系では、スパムでないのに弾いてしまうケースで、かつ、相手側で対応出来ないケースでは、弾いた原因になっているチェックを、そのＩＰアドレスだけ無効にする機能を追加する予定です。 この機能を活用すれば、２回目以降は弾かれる事がなくなります。

仮に踏み台にされてスパムを送られるようなケースでも、ＥＳＢは沢山のスパムチェックを持っていますので、他のチェックで引っかかる可能性が高く、こういう対応をしても良いだろうと考えています。

既にかなり実装は出来ていて、それなりに動きそうな所まで来ていますので、そう遠くない時期にアルファー版のテストを始める事になると思います。

最近の＊日付表示変更

Recentwritebacks_treeプラグインの日付表示はプラグイン側で決まっていて表示方法が変えれません。

でも、サイドバーで表示させるなら、横幅に制約が有るし日付表示部分もいろいろ変えてみたいなと思い、プラグインを改造してみた。 いくつかの表示形式をコンフィグレーションで設定可能にしてみた。

今の所、日付表示は、0: mm/dd; 1: yy/mm/dd ; 2: yyyy/mm/dd; 3: mmm dd, yyyy; 4: dd mmm yyyy　の５通り、時間表示は、表示の有無の２通りが、コメントとトラックバックそれぞれ別々に選べる様にしています。もっと、違う表示も有る方が良いかもしれませんが、この程度で十分では無いですかね？

なお、表示例は、旧カンガルーオアシスで見れます。後日、本ブログにも適用予定です。

オンラインカジノ

私の所へ来ている海外からのスパムの大半がカジノ系です。

オンラインカジノも最近は日本語ページまで有って、解説ページまであります。

オンラインカジノは、インターネットカジノ、ネットカジノとも呼ばれていて、インターネットを使って参加するカジノゲームです。 1995年頃に誕生し、現在世界中に1500以上のオンラインカジノが存在するといわれています。

おい、

1500以上

かよ。

禁止ワード例

ESBの最新版では禁止ワードを使える様になっています。 私が一番良いと思っている使い方は、ＵＲＬ欄に書かれたキーワードを禁止ワードに使う方法です。

ＣＭ目的の場合、本文やタイトルにリンクを貼るケースが多いですが、これはaタグチェックで弾けます。そうで無いケースは、URL欄だけをCMに使うケースです。この場合は、必ず誘導したいURLを書くので、IP制限やリファラチェック等で対策する場合と違って、偽造を気にする必要が有りません。 必ずいつもスパマーが誘導したいＵＲＬを書くはずです。

だから、ＵＲＬ欄のキーワードを禁止ワードに使うのは非常に有効だと考えています。そして、そこは通常は英数字で書かれています。単純に英数字の単語を禁止ワードに設定してしまうと、その単語をタイトルや本文に書く事が出来なくなってしまいます。

そこで、ある程度長い文字列にするか、通常使わない文字列を禁止ワードに設定する必要が有ります。 それで、今は

my $inh_word = 'online-|-online|casinos-|-casino|poker-|-poker|shemalestate|extreme-tit-torture';

を禁止ワードに設定しています。これが最適かどうか分かりませんが、参考にして下さい。もっと良い設定有るよとか情報は歓迎します。

MT3.2へのバージョンアップ

既存環境からのバージョンアップはここを参考にすればいいらしい。

MT3.2の設置方法

MT3.2の設置方法を書いたページを見つけました。 MTの設置で困っている方は参考になるかもしれません。

23:21 追記：
Movable Type 3.2 導入手順　が詳しいですね。

MT3.2不具合有り

MT3.2まだ不具合有る様です。

うまくインストール出来ないとかバージョンアップがうまくいかないとかトラブルが出ているみたいですね。

いずれ落ち着くんでしょうが、頻繁にバージョンアップされるＭＴは結構大変ですね。blosxomはバージョンアップされない分新鮮さは少ないですが安定していていいです。え、ちがうか？

ESB0.39eリリース

現在リリースしているベータ版に対して、今の所明確なバグ報告は無いので、拡張スパムブロッカーのversion0.39eをリリースします。

本当はスパムが実際に届くのを私の所で見届けてからにしたかったのですが、8/末から来ないのであきらめました

現在のベータ版との違いは、CGI::Carpモジュールの使用宣言をコメントアウトした事とバージョン名及び日付のコメントを変更しただけですので、ベータ版をお使いの方はバージョンアップの必要はございません。

不具合有れば報告よろしく。

なお、BSK研究室からのリンク先のファイルも0.39eに更新しておきました。

コメント数制限

携帯ページの不具合という以前のエントリで書いていますが、詳細ページでコメントやトラックバックが多い場合、携帯で表示可能な容量を超えてエラーが出てしまいます。

これについては、またまたwritebackプラグインを改造してコメントやトラックバックの表示数を制限する事にしました。少し前から、最新のコメントからコメント及びトラックバックをそれぞれ２つまでに制限しています。 これで多いコメントでも安心です。

CGI&Perlポケットリファレンス

Perlでプログラムを作成する時、いつも参考にしている本が有ります。 小型で使い易く、関数の使い方等を調べるのに、一番良く使っている本です。

CGI&Perlポケットリファレンス
	藤田 郁 三島 俊司 技術評論社 1999-03 売り上げランキング : 37,852 おすすめ平均 重宝しています Perlの標準関数を網羅できるという安心感 便利 Amazonで詳しく見る by G-Tools

PERL考

ブログを始めたのが去年の２月で、PERLは去年の８月位から始めたのですが、やっとそれなりに使いこなしが出来始めたという所でしょうか。

PERLでプログラミングするつもりは最初無かったのですが、スパムがやって来たのでその対策を考える中で少しづつやり始めたのです。

それまでは、#をつけてコメントアウトするという程度しか使ってなかったので、はっきりいって初心者状態です。 今でも本を片手にプログラミングしている状況だから、まだ初級レベルじゃないかなー。

最近思うのは、他の人の書いたスクリプトは良く見えます。変数の命名の仕方やスクリプトの書き方等、良く出来ています。皆さん、きっと素人じゃ無いですよ。

PERLは結構難しいですが、それでも何とかプログラム出来てきてそれなりにアウトプット出せているのは嬉しいです。そして、簡単には達人レベルにいかない奥行きの深さがある。だから、面白いんですね。きっと。

Perl/CGI 職人気質

旧カンガルーオアシスでは一度紹介していますが、Perl 本「Perl/CGI 職人気質」は結構気にいっていて時々参考にしています。

Perl/CGI職人気質 羽田野 太巳 ソフトバンクパブリッシング 2004-07 売り上げランキング : 44,086 おすすめ平均 Amazonで詳しく見る by G-Tools

そうそう、ApacheサーバーやActivePerlの設置方法も付録に書かれています。 私のPCへのApacheサーバーの設置は、この本に書かれた通りに行っていますよ。

MT3.2

MT3.2がリリースされています。

最新版となる　「Movable Type 3.2 日本語版」は、「SpamFighter（スパム・ファイター）」という開発コード名が示すように、迷惑コメントや迷惑トラックバックなどのスパム対策の強化を中心に開発しました。さらに、より多くの方に使いやすい環境を提供するため、数多くの機能強化を実施しました。まず、システムの運用管理機能を向上させたほか、タブ型のメニューを採用するなど、ユーザー・インターフェースを大幅に改善しました。また、新規インストールやバージョンアップに伴うアップデート作業を大幅に簡素化し、１クリックで実行できるようにしました。

という事なので、ＭＴな方はこれでもうスパムに悩む必要は無さそうです。 私の所で公開しているMT-SBももう必要無いんじゃないかな？

ESBの方で今回大幅な改善をしていて、大分使い易くしていますが、MT-SBのバージョンアップはしないかもしれません。MT3.2でスパム対策が不十分とかいう事が有れば、その時に考える事にします。

新手のトラックバックスパム発生装置

止まったみたいですが、新手のトラックバックスパム発生装置が暫く動いていたそうです。検索エンジンで検索したらスパムが飛んでゆくという代物。 うーん、いろいろやるなー。

自宅サーバー

Kentさんが、自宅のマシン (Windows) を WWWサーバする方法を公開されています。

数年前に自宅サーバーを自分のＰＣに設置して、いただいて来たCGIをサーバーに上げる前に、そこで動作確認をしてから、サーバーに上げるというような使い方をしていました。

blosxomやBSKもこれで動作確認してからサーバーにアップするという使い方をしていたのですが、はっきり言って大変です。

自宅サーバーと実際のホスティングサーバーでは、いろいろ設定の違う所が有りそこをいちいち変えるのは大変だし、それによる間違いとか有るんです。

で、結局、BSKを使っているのですがそれを何か変える場合には、自宅サーバーでの事前確認は面倒なので、ホスティングサーバーに直アップして使っています。エラーがいろいろ出たりしますが、CGI::Carpでエラーメッセージをブラウザ上に出してデバッグしてたりします。

でも、自分のマシンがサーバーになると、ネットに繋げない時でもプログラムのデバッグが出来るので、それはやはり便利です。今は自宅サーバーをApacheにしているのですがこれもあまり使っていませんでしたが、最近はやっとPERLスクリプト開発もそれなりに出来る様になって来たので、これからはどこでも開発出来る様に自宅サーバーをもっと使っていきたいと思っています。

２重投稿防止プラグイン正式リリース

２重投稿防止プラグインのベータ版を公開してから暫く時間がたちましたが、特に不具合の報告も有りませんので、正式リリースしておきます。

ＢＳＫ研究室のリンクも更新しておきました。

ベータ版と正式版でスクリプトの変更はございませんが、ドキュメントの方だけ変更・追記しておきました。

FEEDBRINGER

最新のリファラを見ていると見た事の無い新しいサービスを見つける事がありますが、今度は　FEEDBRINGER　というＲＳＳリーダーを見つけました。

FEEDBRINGER.net には次のような機能があります:

• シンプルで見やすいインターフェース
• フォルダ毎に閲読登録をまとめる機能
• RSSフィード自動発見機能
• RSS、Atom形式を含む全ての人気の配信形式のサポート
• 簡単登録機能でブログを簡単に登録

まだアルファー版ですが、ちょっと見た感じすっきりしていてbloglinesよりも使い易そうな印象を受けました。乗り換えるかどうかは正式版が出た時点で考えます。

エントリ表示下部変更

エントリ表示下部を日本語表示に変更してみました。カタカナは半角を使って出来るだけ表示幅を狭くしています。

ここではコメントとトラックバックをwritebackプラグインで分けて表示する様にしているので、フレーバーだけでは変更出来ず、writebackプラグインも変更が必要です。

あれこれ直しているせいでwritebackプラグインの変更多すぎ、だんだん変更内容が分からなくなってきましたよ。

最近の＊表示順序変更

最近のコメントと最近のトラックバックはrecentwritebacks_treeプラグインを使っているのですが、こちらもwritebackプラグインでコメントやトラックバックを最新の物が上になる様に変更しているのに合わせて変更しちゃいました。

こちらも気になっていて、何度かトライした事有るんですが、正しい変更箇所が分からず放置してましたが、久しぶりにトライ。今度は良さそうです。

SPeeNee

新しい検索エンジン経由でこちらを訪問される方がいて気づいたのですが、 SPeeNee(スピーニー)という検索エンジンがあります。

2005年7月現在、日本国内のブログだけでも1日約20万件以上もの記事が投稿されています。 1日は86400秒、1秒間平均で2～3個の記事が生み出されている計算です。 SPeeNee(スピーニー)は、この膨大で新鮮な記事をできるだけ早く検索対象にするようにこだわった検索エンジンです。 URL検索、ソート機能、スコア計算などの余分な機能を省き、検索へ反映されるスピードだけにこだわりました。

早いというのはいいですね。

コメント表示順序変更

ずっと以前から気になって直したかったコメントやトラックバックの表示順序を変更しました。

ブロッサムでは最新のコメントやトラックバックが一番最後になっているので、沢山のコメントやトラックバックがついていると見るのが面倒です。 そこで、writebackプラグインをまたまた改造して、新しいコメントやトラックバックから並べる様にしました。

好みの問題かもしれませんが、私は最新の方から並んでくれた方が好きですね。

ココログでTBスパム表示を消す

ココログでTBスパムの表示を消すJavaScriptが公開されてました。

「JavaScriptでトラックバックスパムを消し去る」というエントリです。

根本的な解決では無いですが、発想が良いですね。

モバイルトップ変更

久しぶりにモバイルページに少し手を加えた。 フレーバーとプラグインをそれぞれ少しづつ変更。 私の所ではモバイルトップは、「最近のコメントと最近のトラックバック」です。 今回は特にこのトップページをすっきりさせました。

具体的には、

• 名前は改行して日時の下にする。
• 全角カタカナは半角カタカナにする。
• コメントとトラックバック各２つづつにする。

の３点です。

これで今までよりかなり使い易くなりました。

(0:50追記)

PCから見た場合には１つ目と２つ目は反映されません。携帯で見た時のみ反映される仕様です。

最近の＊変更

最近のコメントと最近のトラックバックを変更しました。 byとかfromは別にいらないんで、プラグインを修正して削除。 コメントもトラックバックも多くないので、表示数も減らした。

これで少しすっきり。

livedoorもスパムに対応してる

アダルトスパムの送信元としてＦＣ２とライブドアが話題になっているが、ＦＣ２は訴訟も辞さずという強硬な主張をしていて、スパムに真面目に取り組んでいると好感を持っていたのですが、ライブドアも真面目にスパムに対処しているようです。

少しづつでは有るが良い方向へ向かいつつあるような気がします。

ＥＳＢログ記録

今回、ＥＳＢのログ記録関係を大幅に強化しています。 これにより、「最新のスパム」をフレーバーで表示したり、メールで通知（連続スパムの場合はその塊の最初だけ）で、スパムを弾いた事を知る事が出来ます。

これにより、万が一、スパムでないコメントやトラックバックを誤判定して弾いてしまっていても、すぐに気づく事が出来ます。 そして、従来、ログ記録時文字コードを統一していなかったため、違う文字コードからのトラックバックは文字化けしていて、読めなかったのですが、今度は文字コードを自ブログの文字コードに変換出来る様にしたので、使い易くなったはずです。

これで弾いたスパムを復活させる事が少し簡単になるはずです。 これまでは、私でもやりにくかったですからね。

0.4系でもっと簡単にしようと思っていたのですが、0.3系でここまでやっちゃいましたので、これで暫く運用してみてどうするか考える事にします。

ESB0.39e-beta　リリース

拡張スパムブロッカーのversion0.39eの正式リリースに先立ちbeta版をリリースします。特に問題無ければそのまま正式リリースになります。

今回の変更項目は先日のエントリに記述しましたが、その中で特に重要と思われる項目を表現を少し変えて再掲します。

• feedburnerと併用した時に不具合への完全対応
• newentryプラグインへの対応
• ログ記録の大幅な改善
• -　文字コードを統一して記録
• -　記録制限（制限数を超えると古い物から削除）
• -　最新のスパム表示変数追加
• -　メールでのスパム通知機能追加（連続投稿時は最初の１回のみ通知）
• aタグチェック強化、禁止ワードチェック追加

今回は変更量が多いので、バグが残っているかもしれません。 ベータ版として先行リリースしますので、使ってみたい方はどうぞご利用下さい。

不具合に気づいた方は報告よろしくです。

禁止ワードリストの例

最近日本語スパムの対策として、禁止ワードが良く利用されていますが、実際に使われているリストが公開されていました。

禁止ワードをまだ十分準備されていない方は参考にされるといいでしょう。

PythonベースのPyBlosxom

PythonベースのPyBlosxomっていうのが有るんですね。

ESB/MT-SB＋FeedBurnerな方へ -3

進展有りました。

簡単ですが、掲示板のNo.302にコメントしておきました。