剛剛本機測試站更新時,點開細節看到這段「由於找不到簽章,因此無法驗證 woocommerce.3.9.1.zip 的真實性。」,突然好奇到底是我太久沒注意,還是最近才更新的功能!?
這段程式寫在 wp-admin/includes/file.php 裡的 download_url 方法。 而驗證檔案機制是最近加入的沒錯, v5.2.0 !
對於已經有廣大外掛、主題資源的平台來說,真的滿重要的!
如果是上架 WordPress.org 的話,這些都會處理好,開發者不用煩惱。但如果是自己處理外掛或主題上架且需要整合這個驗證功能的話就要看仔細這方法的實作了~
過去的版本是判斷取回檔案的伺服器回應標頭 Headers 裡有沒有 content-md5 這欄位,有就比對 md5 資訊。
新的驗證機制(舊的還在)則會從指定的驗證伺服器取得驗證資訊,從該伺服器取回驗證資料不得大於 10KB。(或存放驗證碼於 x-content-signature HTTP Header 標頭中)
對於新的驗證加密技術有興趣可以看這個 Sodium Compat 專案來處理。
為什麼不要亂抓來路不明的外掛使用也正是如此,連「官方」都在努力替你把關來源安全性,只要檔案有一丁點不符合,就會跳錯誤訊息出來警示你,當網站中毒了可別說「我不知道」呀XD
盜賣版型外掛的之後變麻煩了
盜賣的本身沒做修改暗藏惡意程式碼是無所謂,但從來源不明的地方安裝就可能會出事。(包含手動自行上傳安裝包)