OSS を育てるために僕らができること|OpenPNEの手嶋屋
開発部の海老原です。 先日、 htmlspecialchars() の文字エンコーディングのチェックが甘く、これを利用して XSS に利用される危険があるということで日本人の岩本さんがパッチを提供しましたが、却下されてしまっていました。 (ただ現時点で、 id:moriyoshi さんにより Subversion 上の PHP では対応済みです。ありがとうございます) この件について各所で議論がされていました。 大まかな流れについては、徳丸浩さんがブログでまとめておられます。 このエントリ中で、「このあたりから、一連の流れが広く知られるようになって、『もっと効果的な訴求方法があるよ』とか、海老原昂輔さんからもバグレポートが投稿されるなどの働きかけが始まっているようです。海老原さんのレポートには私のエントリも英訳されていて、本当にありがとうございます。」という風に述べられているように、僕もバ
外国語ならなおさら、できる限りのことをしないと伝わらない – 秋元
PHPの文字エンコーディングの入力チェックを改善する方法について日本語のブログで議論があり、そのパッチを本家に提案したが、却下された、という話が盛り上がっているようです。 バグレポートされた岩本さん自身や、コメント欄やはてなブックマークでは、 PHPの開発陣がダメだ マルチバイトに理解がない外国人がダメだ 残念だ みたいな意見があまりに大勢をしめているので、そのバグレポートを見てみた上で、思ったことを述べたいと思います。 岩本さんのバグレポートを訳すと、こんな感じです 要約: ------------ セキュリティ的な要件により、htmlspecialchars()はバイト列をもっと 厳密にチェックすべきです。XSSするコードが見つかりました。 http://d.hatena.ne.jp/t_komura/20091004/1254665511 [日] 原始的なパッチを書きました。 htt
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
