このページは福井県立大学の田中求之が2006年1月まで運用していた Mac のサーバ運用に関する会議室 「Web Scripter's Meeting」の記録です。情報が古くなっている可能性がありますのでご注意ください。

FMP WEBコンパニオンのXML機能を停止するには?

発言者:ChiBi
( Date Friday, September 28, 2001 16:20:43 )


すみません、いつもROMさせてもらってます。

ファイルメーカのWEBコンパニオン+CDMLでサイト立てていますが、
フォーマット指定に「-format=-fmp_xml」などと入れると
データベースの中の表示したくないフィールドの値までダンプしてしまい、
運用上非常に困っています。

データベースの再設計が根本解決とは認識しており、
すでに作業を進めておりますが、数週間以上はかかる見込みです。

取り急ぎ、応急対策としてWEBコンパニオンがXML関連のアクションを
受け付けないように設定する方法がないか、
お知恵を拝借したいと考えております。

どうぞよろしくお願いいたします。

木下@キー・プランニング さんからのコメント
( Friday, September 28, 2001 23:48:38 )

残念ながら、Webコンパニオンの機能をオンにした状態でXML機能をオフ
にすることはできません。これは、Webサーバコネクタを経由した場合も
同様です。

Webコンパニオン標準の機能は「手軽に」という部分がポイントで、細か
い制御(セキュリティを含む)にはあまり向きません。
細かい制御が必要な場合は、JDBC、AppleEvent、ODBC(Mac上では使いま
せんね)等を経由して公開する方が良いと思います。

うちのオンラインショップはJDBC経由でJavaServletを利用しています。

→  https://store.key-planning.co.jp/keyshop/servlet/key.plist

おがわまこと さんからのコメント
( Saturday, September 29, 2001 10:52:37 )

-format=-fmp_xmlに限らず,悪用されると困るようなタグ(リクエスト)は
たくさんあります.
別WEBサーバと連携させて,CGIや Servletで不要なタグをはじくのがよいか
と思います.

ただ,当たり前のことですが,アクセス権のあるフィールドには,xmlを使
わなくてもアクセスできちゃいますので,きちんとアクセス権を設定し,防ぐ
というのが必要です.

ChiBi さんからのコメント
( Saturday, September 29, 2001 12:53:40 )

コメントありがとうございます。

現在、Mac OS X ServerのApache上にウエブサーバコネクタを入れて運用しています。
なんとか、mod_rewriteを使って逃げようとしているのですが、
なかなかうまくいきません。

アドバイスにあるような、CGIやサーブレットのサンプル(有償でも可)
を置いている所はありませんか?
ご存じでしたらご教示ください。

おがわまこと さんからのコメント
( Monday, October 01, 2001 01:23:45 )

下記のページを参考にして,許可するコマンドのみ通すように設定すれば
可能でしょう.

→  ファイルメーカWEBの負荷分散について

ChiBi さんからのコメント
( Wednesday, October 03, 2001 23:49:07 )

おがわまことさん、ありがとうございました。

結局、DBの設計自体に難があったということで、
構造を練り直し、
応急措置としてWEBセキュリティで特定フィールドを不可視にするという
手法をとっています。

Unlimitedの説明書に一言でも上記仕様に付いて触れられていたら
(特に、-Layを省略すれば全フィールドが表示されると言うこと)
最初から考慮した設計をしたのですが。。。

この辺も、ファイルメーカがWEBデータベースとして普及しない一因ではと思います。
(企業は、セキュリティに難があったり、
あれこれあとから必要になるようなものには設備投資しません。
間違いなく、この件が最初から明らかであればうちでも認可下りてないです。。。)

思わぬ徹夜の連続に、ちょっと愚痴でした。

おがわまこと さんからのコメント
( Friday, October 05, 2001 01:30:00 )

WEB公開に関しては,Unlimitedの説明書には情報がないはずです.
ファイルメーカー Developer 5にいくばくかの情報がありますが,
これも難解で,こちらが求めている情報がほとんど載っていません.

> (特に、-Layを省略すれば全フィールドが表示されると言うこと)
に関しては過去にメーリングリストで情報交換されたはずです.

それよりも恐ろしいのは,WEBコンパニオンには CDML リファレンス
に書かれていないタグがあり,それを使うといろいろ悪用できます.
私が知っているのはその一部でしかありませんので,全貌が見えて
きませんので,どこまで悪さされるのかは謎です.

すべての仕様が公開されていないこと,またその仕様がなぜ作られた
のか考えると,
> ファイルメーカがWEBデータベースとして普及しない
方が良いのかもしれません.

→  ファイルメーカのメーリングリスト

竹内 さんからのコメント
( Friday, October 05, 2001 03:29:12 )

ご苦労、お察し申しあげます。

ちょっと反則っぽい(というか根本的な解決法ではない)ですが、
Flashを使うことによってタグの悪用を防ぐ方法もあります。
もしかしてご参考になれば。

http://www.filemaker.gr.jp/fmtokyo/cont/report0106.html#demo1
http://www.edaha.net/cont/e1404.htm


> 企業は、セキュリティに難があったり、
> あれこれあとから必要になるようなものには設備投資しません。

本来こうあるべきなんですが、実際はきちんとした評価が行われないまま
導入されている製品も多い気もします...。
(Code RedやNimdaの騒ぎで一番驚いたのが、IISのシェアがApacheの半分「も」あったことでした...(笑))

ChiBi さんからのコメント
( Saturday, October 06, 2001 12:54:45 )

> すべての仕様が公開されていない

そうなんですか。。。
もちろん、内部処理やアーキテクチャの部分は致し方ないと思いますが、
インターフェースで未公開の仕様があるということは致命的ですね。

過去のMLでも情報交換されていたとのこと、失礼しました。

悪名高き?IISでさえ仕様外のインターフェース(バグ?)が発見された時は
人知れずパッチが公開されます。
設計上のインターフェースについては公開、それ以外のバグについては
パッチの公開を強く望みたいです。
ファイルメーカを選定した理由は、値段ではなく
スクリプト変更等による機能追加が素早くできるから、です。
実際にはDB自体は微々たる金額で、その後のアプリの開発にお金がかかるわけですから。
変更の容易性については現在でも評価していますので
ホントに、強く望みます。

おがわまこと さんからのコメント
( Sunday, October 07, 2001 00:19:41 )

>ホントに、強く望みます。
残念ながらここはファイルメーカ社のオフィシャルサイトではありません。
したがって、ここで要望を述べても伝わらないでしょう。

本気で事態を改善したいなら、ファイルメーカのサポートとか開発者に
意見をいうのをお勧めします。日米どちらのサイトかは忘れましたが、
ファイルメーカ社のWEBで意見を吸い上げるところがあったはずです。

ちなみに、今回問題になっている、こちらで用意したフォーマット
ファイルを無視してデータが表示されるという問題については、
-format=-fmp_xmlを使う以外に2種類の方法があります。