「さようなら ImageMagick」の考察 - Qiita

Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article?

[twainy]

「自分はリリースの度に全差分見ているので、怪しいと思ったら更新止めたりしてます。」ひえっ

[kkamegawa]

"ぶっちゃけ画像ファイルを安全に読み書きするのだけでも凄い大変なんです" / わかりすぎる。自分もbmpの読み書きだけでもしんどかった。TIFFの仕様は昔何の冗談かと思うくらいだった。

[gabari]

そもそもコマンドから使うソフトという認識だったからサーバーに導入する時点で違和感ある

[sugawara1991]

リリース後に扱えるコーデック/コンテナ/ファイル形式を減らす判断は難しい(クレームになる)。QuickTimeを止めるまでどれだけかかったことか(しかも完全には止めきれてない)

[yarumato]

“C言語で実装すると脆弱性が入りやすいのは実感していて、Golang なり Rust なりで実装した ImageMagick に代わる決定的なソフトが出てこないかなといった期待はしてます”

[mizchi]

“自分はリリースの度に全差分見ている”

[poliphilus]

PHP でよく使ってる GD にも何か脆弱性あるのかしら…（どきどき）。

[yoya]

policy.xml で画像ファイル形式を絞ればいうほど怖くないよという論調で、サイボウズさんを背中から撃つフォロー記事のつもりがネットの反応を見ると恐怖を助長させちゃってる気がしなくもない。正しく怖がって欲しい。

[Com]

今度、教材化してみよっと

[funnnon]

各ライブラリで実装してみたらわかると思うけど個別ライブラリとか独自実装はまずファイルがなになのか判別が必要でライブラリごとにさらに細かい処理が必要。ライブラリに渡しゃ何でもやってくれると思ったら間違い

[nagaitakeyuki]

ImageMagickに脆弱性があるくらいなので、我々も正当な画像を装ったバイナリに対して対処する必要ありだろう。

[khtokage]

ちょっと画像関係でややこしいの踏んだので久しぶりに見に来た。相変わらず良記事だ。

[moegg]

“policy.xml で読み書き出来るファイル形式を絞れば、いうほど怖くはない ただ、ImageMagick に限らずサーバサイドで動かすのは手間と覚悟が要る Yahoobleed の件でコード品質が信用ならないと言われたら、ごめんなさい”

[tmatsuu]

すばら

[lovely]

コメント欄にmalaさん

[Dai_Kamijo]

「さようなら ImageMagick」の考察 — 上條　大 (@Dai_Kamijo) September 5, 2018 from Twitter https://twitter.com/Dai_Kamijo September 05, 2018 at 02:03PM via IFTTT

[delphinus35]

元記事がふわふわしていて消化不良だったところが丁寧に解説されている。ガチ勢のコメントも大変ためになる。

[nilab]

「ImageMagick でユーザから任意の画像ファイル形式を受け取って処理するのは自殺行為である事を示唆します」

[internetkun]

https://twitter.com/a_o_k_i_n_g/status/1034261934420320256 この記事の言及元の記事を書かれている方の反応は正直かなり残念ですね

[ledsun]

コメントが強かった

[shidho]

毎回毎回アップデートの度に差分読まないと使えない(たぶんそれはImageMagickに限らない)というのはライブラリの意味があるのか、それとも差分だから大したことがないのか……。

[knok]

fuzzingに言及があってよかった

[quick_past]

もう随分長いこと使ってないな・・・。何年も前に自前のサーバで動かすスクリプト書いてるときにちょっと使ってたんだけど。。これからも使うのやめよう

[kfujii]

読んだ。

[field_combat]

たまにしか使わんから、セキュリティ周りは意識してなかった。表に出すのにはほぼ使ったことないしなぁ

[halfrack]

policy.xml 運用知見 / 画像処理に関するあれこれもある

[kamm]

低機能版ImageMagickがあれば需要ありそう

[KoshianX]

大量の形式に対応してるが故に脆弱性も増える、と。policy.xml 知らんかった今度使おう。

[alcus]

“Yahoobleed”

[iww]

『自分はリリースの度に全差分見ているので、怪しいと思ったら更新止めたりしてます。』 そういうマメさが無いとダメなんだろうな

[n314]

すごい覚悟が必要なことはわかった

[wordi]

ImageMagickガチ勢

[t-murachi]

humm...

[cocoasynn]

めっちゃ詳しい

[maruware]

縮小は代替を探せるけど合成の代替みつからない

[progrhyme]

これは良いサポートエントリだ。

[versatile]

jpeglib libtif libpng みたいに全部ライブラリになってるので、そんなに大変じゃないって誤解してた

[sisya]

読み物としても十分面白かった。毎回追っているだけあって、ものすごく詳しいというか、単に詳しいだけでなく経緯を踏まえて説明されるので分かりやすい。

[hedachi]

意味わからんぐらい詳しくてすごい