mixmonkeyのブックマーク / 2009年9月11日

徳島県がRubyの独自開発CMS「Joruri」でサイトを刷新，OSSとして公開へ

徳島県は2009年10月，独自開発の徳島県CMS（コンテンツ管理システム）を採用し同県のホームページをリニューアルする。徳島県CMSはRubyで開発しており，2009年度中にオープンソース・ソフトウエア（OSS）「Joruri」（ジョールリ）として公開する予定だ。 OSS採用を県の方針に徳島県では，情報システムを新しく導入する際に，なるべくオープンソース・ソフトウエアを採用することを方針としている。狙いはコスト削減，ベンダー・ロックインの軽減だけではない。同時に発注単位を小口化，小企業でも入手しやすいオープンソース・ソフトウエアを使うことで，県内のIT企業への発注を増やすことも大きな目的としている。すでに長崎県がオープンソース・ソフトウエアとして無償公開した「長崎県電子県庁システム」の導入を開始しており，2009年1月から4月にかけて稼働が始まっている（関連記事）。導入したのは「総務事

mixmonkey 2009/09/11

Ruby

リンク

何故かあたり前にならない文字エンコーディングバリデーション

(Last Updated On: 2018年8月8日)私が4年前（2005年）に「Webアプリセキュリティ対策入門」を執筆していた時には、既に壊れた文字エンコーディングなどの不正な文字エンコーディングを利用したJavaScriptインジェクションやSQLインジェクション攻撃は比較的広く知られていました。この問題は当時のスラッシュドットジャパンでも取り上げられていました。/.で取り上げられたので、そこら中のWebサイトとユーザが被害に合うのでは？とヒヤヒヤしたので良く覚えています。不正な文字エンコーディングを利用した攻撃は、文字エンコーディングを厳格に取り扱い、文字エンコーディングをバリデーションすれば無くなります。これを怠ると、システムのどこで問題が発生するか予想できなくなります。つまり、いい加減に文字エンコーディングを取り扱うと安全なシステムは作れないのです。参考：エンジニア向けに