Ruby on Railsの潜在的なリモートスクリプトインジェクション脆弱性CVE-2016-2098
今年の2月末に、Ruby on Railsに潜在的なリモートスクリプトインジェクションの脆弱性CVE-2016-2098が報告されています。攻撃コード(PoC)も公開されていますが、現実の攻撃が行われているという発表はないようです。この脆弱性の内容と対策について報告いたします。 背景 Hello Worldのような以下のシンプルなアプリケーション(コントローラ)を考えます。 class HelloController < ApplicationController def index render 'hello/hello' end end これに対するテンプレート hello/hello.html.erb は以下だとします。 <div>Hello world</div> ご覧のように、上記テンプレートを指定した場合、Hello worldが表示されます。 次に、以下のテンプレート hel
torのリレーnodeセットアップ
Ruby on Rails, Web Services, Software Development, Startups 概要 Tor browser 6.0がリリースされましたね。 Torはひと言で言えば、Torは「経路が暗号化された多段Socks Proxy」但し、最後のエンドポイントから目的地への通信は平文。 Open proxyは悪意のあるproxyの場合、ダダ漏れだし、スピードも遅い。それに対し、Torのnodeは速いし経路上は暗号化されている。 概念図は以下のようになります。 Torを使った不正アクセスをプロテクションするために軽く実験してみました。専用ブラウザでTorネットワーク経由で確認君を見るとこんな感じ。 セットアップ 公式サイトのセットアップ手順はDebianが前提で書かれています。 このページではMac OS Xでのセットアップ方法を書きます。 % brew inst
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
