REXMLのDoS脆弱性
Posted by Shugo Maeda on 23 Aug 2008 Rubyの標準ライブラリに含まれているREXMLに、DoS脆弱性が発見されました。 XML entity explosion attackと呼ばれる攻撃手法により、ユーザから与えられ たXMLを解析するようなアプリケーションをサービス不能(DoS)状態にすること ができます。 Railsはデフォルトの状態でユーザから与えられたXMLを解析するため、大部分の Railsアプリケーションはこの攻撃に対して脆弱です。 影響 攻撃者は、以下のように再帰的にネストした実体参照を含むXML文書をREXMLに 解析させることにより、サービス不能(DoS)状態を引き起こすことができます。 <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE member [ <!ENTITY a "&b;
Ruby on Rails製のSNS·CommunityEngine MOONGIFT
※ 画像は公式サイトデモより Railsアプリケーションの利点でもあり、欠点でもあるのは提供されるソフトウェアの完成度がそれぞれ高く、デザイン面での自由度が低いことだ。提供されるものを殆どいじらず利用せざるを得ないことが多い。 公式サイトデモ その点、プラグインという形で提供されるなら話は別だろう。この場合はユーザ自身で最適な設定を行わざるを得ないはずだ。 今回紹介するオープンソース・ソフトウェアはCommunityEngine、Rails向けに提供されるSNSプラグインだ。 CommunityEngineはプラグインと言っても十分な機能を備えた、SNS機能を提供する。海外で一般的なオープン型のSNSになっており、ユーザ情報などは登録していなくとも閲覧できる。 ユーザページ(プレデター。友人にはシュワルツネッガーがいる) ユーザ管理、ブログ、写真、ブックマークやそれぞれのデータに対するコメ
L'eclat des jours(2008-01-03)Railsは吹き溜まりだね
_ Railsは吹き溜まりだね Rails Is A Ghetto なんとなく読んだので、要約のつもり(いや、誤訳しそうなところはすっ飛ばしたものをさらに要約してるので、おおはずれかも)。 ●Rails Is A Ghetto(Railsは吹き溜まり) 会社や個人を特定してばんばんやるぜ。こいつら寄ってたかっておれのことをこけにしやがった。文句あるなら、リングの上で待ってるぜ。このくそめらめが。 まずはケビンクラークだ。こいつは、おれをサポート扱いしやがったうえに、間抜けあつかいしやがった。 でも、すべての原因は、このばかが、リポジトリ上のconfigureファイルを消しちまいやがったことにある。これじゃ、チェックアウトしてビルドできるわけないじゃん。それをおれが間抜けなせいだといいやがりやがった。 Rails界隈はこんなくずばかりだ。 ●Tied To The Rails(Railsべっ
ZSFA -- Rails Is A Ghetto (2007-12-31)
Latest News >> 2008-10-05 Taking a break from more and more guitar practice I decided to weigh in on the current banking “crisis”.2008-09-29 I read Obie’s most recent post about his intense passion for Loverboy’s quintessential anthem, “Lovin’ Every Minute Of It”. I find the early 1980’s music is inspiring and uplifting and definitely suited to such important things as corporate culture, recruitin
「国内最大規模」,カカクコムがRuby on Railsで月間380万ユーザーの「食べログ.com」を全面再構築:ITpro
カカクコムは10月22日,レストランの口コミサイト「食べログ.com」をRuby on Railsを採用して全面リニューアルしたとことを明らかにした。カカクコムでは,同サイトは月間380万人が利用しており,Ruby on Railsによる国内最大規模のサイトになるとしている。 食べログ.comは,ユーザーの評価に基づきレストランをレーティングするサイト。2005年3月にサービスを開始し,2007年9月末で登録レストラン件数は約13万店,登録レビュー約29万件,登録写真約24万点,月間利用者約380万人,月間約2900万PV(ページビュー)となっている。サイト利用者数で見ると1年前の約3倍と,アクセスが急増しているという。 Ruby on Railsは,生産性が高いとされるRubyで記述されたオープンソースのWebアプリケーション・フレームワーク。カカクコムでは「Ruby on Railsの
MOONGIFT: » Ruby on RailsのWikiエンジン「Groupswiki」:オープンソースを毎日紹介
Webアプリケーションを素早く、効率的に作り上げるフレームワーク、Ruby on Rails。習得したいと思いつつも、何をとっかかりにすれば良いか悩んでいる人はいないだろうか。 そうした方にお勧めなのが、既存のソフトウェアのソースを読む事だ。こちらはおなじみのWikiエンジンなので、やっている事も予想しやすいのでお勧めの素材だ。 今回紹介するオープンソース・ソフトウェアはGroupswiki、Ruby on Rails製のWikiエンジンだ。 GroupswikiはシンプルなWikiエンジンなので、あまりソースの量も多くない。見て覚えるにはちょうどいいサイズだ。とは言え、面白い機能が盛り込まれている。 特に良いのが見たまま編集できる機能だ。WYSIWYG以上とも言える。編集のリンクをクリックすると、その場で編集ができる。そして保存を押せば適用される。画像の挿入もでき、文字を選択してリンクや
Ruby on Railsは万能薬ではない | スラド
本家/.の記事より。O'Reilly Rubyブログに、2 年後私がRuby on RailsからPHPに戻った7つの理由という記事が載り話題に なっている。オンラインCDショップCD Babyの創業者であるミュージシャン兼プログラマのDerek Sivers氏が書い たもので、優秀なRailsプログラマを雇って一緒に2005年から2年間CD Babyのリ ニューアルに取り組んだがうまくいかず、試しに慣れたPHPで書き直してみたら2ヶ月 でローンチできた、という内容。Railsから学んだことも多く、言語として Rubyがダメというわけではないが、古いコードを捨ててRailsに飛びつく前にい ろいろ考えるべきことがある、と結んでいる。
Railsについて思うこと
2007-08-25 に便乗。 現在、炎上Rails案件の消火中。寝る時間も、自分の時間も、何かを楽しく実験するような時間も無い。いろいろなものを失って、これからも失い続ける。もう、何もかも疲れた自分が語るRailsについて。 現在の感想としては、フレームワーク自体は悪くないが、手放しに近い状況で「Rails良い」と煽りまくっているのはいかがなものかと思っている。世の中、Railsが想定していない案件や開発者もたくさん居るんですよと。 結局、Railsについて率直に駄目な点を上げると、 アジャイル勘違いが広まっていること →Railsで作ればアジャイル。アジャイルなら納期半分で、やることちゃんとしなくてもシステム開発が出来ますよ、とか。 そこそこ普通動く本番環境のベストプラクティスが無い 世界中でベンチ大会やっているような感じ。 というところではないかなと。Rails自体はRailsらしく
MOONGIFT: » Railsを見える化「RailRoad」:オープンソースを毎日紹介
Ruby on Railsの素晴らしい点の一つに、テーブル間の関係をプログラム中で定義することで、データを自在に取り出せるようになるという事が挙げられる。 E-R図などでリレーションを定義しても、それが適切にプログラムされているかどうかは分からない。だが、プログラム中で定義し、制御できるRailsであれば適切に処理されるようになる。足りないのはマネージャ向けのE-R図の存在だろう。 今回紹介するオープンソース・ソフトウェアはRailRoad、Rails向けのダイアログジェネレータだ。 RailRoadを使うと、モデルやコントローラーの関係から、Graphviz向けのdotファイルを生成できる。後はSVGやPNGといった形式への変換が可能だ。 モデルであればE-R図が生成され、テーブル間の関係も表現される。コントローラーであれば、メソッドが表示される。どちらも複数人での開発時や、規模が大きく
Rhino on Rails
Steve Yegge / 青木靖 訳 2007年6月26日 なんて日だろう。John Lamに取り上げられると、Slashdotに取り上げられるよりひどいことになるらしい。私のチームのみんなは一日中私のことを笑っていた。どうしてこんなことになったのか見当も付かない。 雪崩のようなメールにいちいち返答するより、一括アップデートしてしまう方が良さそうだ。 しかしその前にだ、いったい今の私くらい当惑している人間が他にいるだろうか? Foo Campで行われた数々の目を見張るような議論の中で、私が即興でしたちょっとした講演——それにはどういうわけか20分前にテントからはい出 してきたばかりみたいな私の写真が添えられていて、二日酔いで道に迷い、どうして自分がセバストポルの真ん中の原っぱにいるのかも分らない様子で写っており、分ったのは どうも前の夜に朝10時の講演を引き受けたらしいということだけとい
新サービスMyITproの裏側を暴露します
ITpro会員向けの新サービス「MyITpro」が本日(2007年5月18日)中にはオープンできる運びとなりました。ここではMyITproサービスを提供しているシステムの構成などについて少し紹介させて頂こうと思います。 複数サーバーで負荷分散,1台がコケてもほかがカバー MyITproのサーバー群は,ITpro本体のシステムとは完全に独立しています。ドメイン名も少し違いますし(ITpro本体はitpro.nikkeibp.co.jp,MyITproはmy.itpro.nikkeibp.co.jp),サーバー・システムを設置しているデータセンターの場所も異なります。 システムの構成は,ユーザーからのアクセスを負荷分散装置(ロードバランサー)が受け付けて,配下の複数のWebサーバーに割り振るところまではITpro本体もMyITproも同じです(図1)。ただし,ITpro本体のシステムはWebサ
Radar - O’Reilly
Now, next, and beyond: Tracking need-to-know trends at the intersection of business and technology AI/ML Few technologies have the potential to change the nature of work and how we live as artificial intelligence (AI) and machine learning (ML). Future of the Firm Everything from new organizational structures and payment schemes to new expectations, skills, and tools will shape the future of the fi
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://www.kbmj.com/~shinya/rails_seminar/slides/
Skip
Ruby on Railsはゲットーだ | スラド デベロッパー
masuidrive on rails » Blog Archive » アジャイルな環境作り - そんなに急いでどこへ行く
ヽ( ・∀・)ノくまくまー(2007-08-20)
http://app.yohasebe.com/translation/RwRoR2/index.html
IBM Developer
六月水無月はぶにっき - 社長モラトリアル