back_to_index

Drifting Antigone Frontline

うーむ

2003/03/11 00:44 JST

トラックバックっておくるだけだったら簡単におくれるんだなあ。
<form action="http://example.com/mt-tb.cgi/90165284
” method="POST” enctype="application/x-www-form-urlencoded">
title<input type="text” name="title” value="">
url<input type="text” name="url” value="">
excerpt<input type="text” name="excerpt” value="">
blogname<input type="text” name="blog_name” value="">
<input type="submit” value="TrackBack">
</form>
記載されているアドレスから来たかどうかの認証をしてないのはさすがにどうかと思うけど。
そのへんはMTがMT同士の通信しか考えていなかったということかしらん。

  1. GETメソッドを使って
    http://example.com/mt-tb.cgi/90165284?title=hoge&url=huga&...
    (長いのでちょっと省略)
    でも受け付けられますね。
    TrackBackの受信リストを荒らそうと思えば、簡単に荒らす事ができるでしょう。

    Comment by mash — 2003/03/11 @ 2003/03/11 02:18 JST

  2. http://sheepman.parfait.ne.jp/wiki/pukiwiki.php?TrackBack
    こんな感じですね。

    Comment by jouno — 2003/03/11 @ 2003/03/11 03:45 JST

  3. 現在のTrackBack仕様ではPOSTオンリーになっているはずですよね。MTは(過去互換性のためか)GETでも受け付けるみたいですが。

    >記載されているアドレスから来たかどうかの認証
    ってのはうまい実装方法が思いつかないですよね、URLに含まれるホスト名のIPアドレス=送信元IPアドレスとは限りませんし(複数IPのバーチャルサーバーとか)。
    荒らし対策を機械的にやるとしたら、公開前の人間のチェックを追加するくらいかなー。でもそれでは即時性が失われてしまうんで、ひとまず荒らし対策は、しないですんでいるうちは考えない。ってのは掲示板運営と一緒。

    Comment by ishinao — 2003/03/11 @ 2003/03/11 05:45 JST

  4. まあ、popupの設定だったりしたら、trackbackはそれほど目立たないので、荒らしの意欲はそそられないでしょうね。記事自体がながれてしまうし。(2ch的にいえばつねにsage進行)

    Comment by jouno — 2003/03/11 @ 2003/03/11 06:01 JST