Rails が即死する REXML の DoS 脆弱性について - 2nd life (移転しました)
http://www.ruby-lang.org/ja/news/2008/08/23/dos-vulnerability-in-rexml/ 先日公開された、REXML の脆弱性ですが、「あーそうなんだ、でもうちの Rails のサービスじゃ REXML でパースする処理なんて書いてないから別にいいや」とか思っている方、大変危険です。みんなパッチあてようよ! XML entity explosion attackと呼ばれる攻撃手法により、ユーザから与えられたXMLを解析するようなアプリケーションをサービス不能(DoS)状態にすることができます。大部分のRailsアプリケーションはこの攻撃に対して脆弱です。 REXMLのDoS脆弱性 と書いてある通り『大部分のRailsアプリケーションはこの攻撃に対して脆弱』なのです。たぶん今世の中にある Rails な Web サービスの9割が現状でも、
Flash CS3 のコンポーネントを Flex SDK (Flex Builder) で使う - 2nd life (移転しました)
Flash CS3 には、ボタン、チェックボックス、その他様々なコンポーネントが含まれています。Flex のコンポーネントは利用すると Flash のサイズが超肥大化してしまうため、シンプルなコンポーネントを使いたい場合、Flex SDK 等からも Flash CS3 のコンポーネントを使えると楽になるのですが、やり方が載ってません。適当に Flash CS3 の *.swc をコピーしても catalog.xml にのってないよとかでエラーになってしまいます。 というわけで調べてみたら我らがコリン・ムックが moockblog: How to Use Flash CS3's V3 Components in Flex Builder でやり方を書いていたので紹介。一番簡単な Flash のコンポーネントを含む swc を作るには Flash CS3 を起動し、利用するコンポーネントをドラ
ExportJS - ActionScript3 のオブジェクトを JavaScript にエキスポート - 2nd life (移転しました)
ExportJS (ソース) 通常 flash では、コンパイル済みのオブジェクトの変数やプロパティは外部から弄ることが出来ず*1、パラメータの微調整を行うことや、現在プロパティにどんな値が設定されているかは解りません。ので Firefox の JavaScript から AS3 のオブジェクトを JavaScript にエキスポートして簡単に弄れる ExportJS というライブラリを作ってみました。現在は Firefox の JS 専用です。*2 なにはともあれまずは Demo を。 http://as3exportjs.googlecode.com/svn/trunk/demo/ExportJS_Example1.htm リアルタイムに TextField を変更したり、メインのオブジェクトを弄ったり、shape のパラメータを変えています。Firefox の setter/gett
ActionScript3 でネームスペース使ったキーイベント監視ユーティリティ作りました - 2nd life (移転しました)
AS3 のキーイベント監視でなんかいい方法ないかなー、と考えていたら良い方法が思いついたので実装してみた、らかなり便利な気がするので公開してみます。 http://github.com/hotchpotch/as3rails2u/tree/master 通常のキーイベントの監視では addEventListener(KeyboardEvent.KEY_DOWN, func) で関数を登録して switch で event.keyCode 判別して Shift が押されてるか Ctrl が押されてるかによって云々、でかなりめんどくさいです。でもこの KeyTypeListener を使うと驚き300%(当社比)の方法でキーイベントを定義できます。 // 読み込んで import com.rails2u.utils.KeyTypeListener; import com.rails2u.uti
川o・-・)<2nd life - RubyGems パッケージの作り方 - rubyforge 登録まで
日本語の解説で RubyGems パッケージの作り方や rubyforge 登録までの一連の方法が書いてあるところを見かけたことがないため、エントリーにしてみます。なれると割と簡単です。 優しい RubyGems パッケージの作り方 newgem コマンドでのひな形作成 http://drnicwilliams.com/2006/10/11/generating-new-gems/ perl には module-starter など、CPAN モジュールのひな形を作ってくれる便利なユーティリティがありますが、gem でそれにあたるのが newgem というパッケージです。 使い方は簡単で、 # gem install newgemで newgem をインストールしてから newgem コマンドを実行するだけで以下のようにひな形を作ってくれます。 $ newgem packagename c
Rails の htmlhelp - 2nd life (移転しました)
http://rails2u.com/htmlhelp/rails/ 今まで Rails のマニュアル引きには http://api.rails2u.com/ を使ってたのですが、ネットワークに繋がらない時などにいちいちローカルで動かすのもめんどくさい、と思えてきたので最新の svn head なドキュメントをみんなだいすき*1な htmlhelp にしてみました。 また ActionController や ActiveRecord などを全部入力するのはめんどくさいので AC や AR で引けるようにしています。あとクラスメソッド / インスタンスメソッドの違いがなく、全部 #メソッド名で引けるのは仕様です。 *1:一部の人だけとも言う
川o・-・)<2nd life
Perl での print debug の方法の紹介がブーム(?)だったので、自分がよく行ってる Ruby での debug 方法7つについて書いてみます。 p ご存じの人も多い Kernel#p メソッド。これを使うとオブジェクトの内容を見やすい形で出力してくれます。 >> p ({:foobar => :baz}) {:foobar=>:baz}Object#inspect を使うと、p で出力するときと同じ文字列を String として取得できます。 >> puts ({:foobar => :baz}).inspect {:foobar=>:baz}初心者の頃この p での出力を使う方法がわからなくて困った記憶が…。 pp pp というライブラリを使うと、p より、より見やすい形式で出力してくれます。たとえば >> a = Array.new(10) { {:foobar => :
CSSXSS脆弱性よりもっとヤバイ脆弱性がIEに発見されたようですね の対策 - 2nd life (移転しました)
hoshikuzu | star_dust の書斎#P20060428MHTMLREDIRECT で指摘されているように、現在の WinIE では mhtml スキームを悪用して、クロスドメインの html を取得することが可能になってしまっています。これを利用したはまちちゃんの実証コードを踏んだ人も居るでしょう(実際に WinIE だと情報が抜かれるので、安易に WinIE で見に行かないで下さい)。 この対策として id:hosikuzu:20060428#P20060428MHTMLREDIRECT では以下のような対策方法が提示されています。 そもそも信頼できないページを見ない IE使わない アクティブスクリプトとAxtiveXを切る レジストリでmhtmlスキームのハンドラを殺す この中で一番簡単かつ安心なのは WinIE を使わないことですが、IE コンポーネントブラウザなどを
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
