タグ

2009年10月7日のブックマーク (6件)

  • Rails 2系のXSS脆弱性がRuby 1.9では影響なしとされる理由 - 岩本隆史の日記帳(アーカイブ)

    Rails 2系のXSS脆弱性を修正するパッチが先日公開されました。 4日(米国時間)、Ruby on Railsの2系すべてのバージョンにXSSの脆弱性があることがRiding Rails: XSS Vulnerability in Ruby on Railsにおいて発表された。特定のUnicode文字列を使ってチェックをくぐり抜け、任意のHTMLを送り込まれる危険性がある。なおRuby 1.9系で動作しているアプリケーションはこの影響を受けない。 http://journal.mycom.co.jp/news/2009/09/07/048/index.html この件に関して、大垣さんは次のように説明しています。 RoRの脆弱性に関連してRuby1.9では安全、と解説されていますが、それはRuby1.9は不正な文字エンコーディングを受け付けないからです。 何故かあたり前にならない文字エ

    Rails 2系のXSS脆弱性がRuby 1.9では影響なしとされる理由 - 岩本隆史の日記帳(アーカイブ)
    rna
    rna 2009/10/07
    Railsのメンテナはへっぽこちゃう? という話。
    リンク

  • XSS対策パッチを当ててもRailsに残る脆弱性 - 岩本隆史の日記帳(アーカイブ)

    どのような脆弱性か 先日書いた「Rails 2系のXSS脆弱性がRuby 1.9では影響なしとされる理由」という記事に、奥さん(id:kazuhooku)より、下記のブックマークコメントをいただきました。 たとえばブログの場合、誰かに壊れたUTF-8を含むコメントを書き込まれちゃうと、そのブログ全体にアクセスできなくなる(最新コメント一覧に出るから)んじゃないか。XSSが発生しないだけで脆弱性があることは変わらない はてなブックマーク - kazuhookuのブックマーク / 2009年9月26日 まったくおっしゃる通りです。アプリケーションの構成によっては、サービス自体が提供できなくなる可能性があります。 このような脆弱性を何とよぶのでしょうか。すでに統一的な呼称があるのかどうか、私は知りません。サービス不能という観点からは広義のDoS脆弱性といえるのかもしれません。 追記(2009-0

    XSS対策パッチを当ててもRailsに残る脆弱性 - 岩本隆史の日記帳(アーカイブ)
    rna
    rna 2009/10/07
    「「Railsアプリが急にInternal Server Errorになった」という症状があれば、不正データの存在が原因かもしれないという話」
    リンク

  • ちなみに、モニターはこれです。 FlexScan EV2333W-H- 勝間和代公式ブログ: 私的なことがらを記録しよう!!

    リンク: FlexScan EV2333W-H | EIZO 株式会社ナナオ. FlexStandが死ぬほど優秀です。なぜ、このスタンド、他の製品や他社も追随しないのでしょう。すごいです。高さと角度が自由自在。 縦置き、横置きも自由自在、です。 p.s. とここまで書きましたら、再び、私のディスプレイのお師匠さんとなった @tseki さんから追加でツイッターでコメントをいただきました。 ほとんどのモニターはVESAマウンタという、共通規格のマウンタが着いているので、ここにVESAモニターアームを見繕って取り替えてつければ、いいのだそうです。 なるほどーーー、でした。ディスプレイ周りは奥が深いです。

    rna
    rna 2009/10/07
    BenQのモニターとサンコーのアームで十分ですよ (^ ^) by 香山リカ(嘘
    リンク

  • はてなブログ | 無料ブログを作成しよう

    新米と秋刀魚のわた焼き お刺身用の秋刀魚を買いました。1尾250円です 3枚におろして、秋刀魚のわたに酒、味醂、醤油で調味して1時間ほど漬け込み、グリルで焼きました 秋刀魚のわた焼き わたの、苦味が程よくマイルドに調味され、クセになる味わいです 艶やかな新米と一緒に 自家製お漬物 土…

    はてなブログ | 無料ブログを作成しよう
    rna
    rna 2009/10/07
    щ(゚д゚щ)カモーン
    リンク

  • 死滅病棟: 社内で喧嘩しないでください

    2009年10月7日 社内で喧嘩しないでください 社内の IRC に大量の bot がいる。社員が暇潰しに bot を作っては社内各所に存在するサーバーに放り込んでそのままにしてしまう。俺は社内のあらゆるチャンネルに可能な限り入って全てを監視するという暇潰しをしているが、社内の IRC は nick をハンドルにするという規約になっているため一見しただけでは人間と bot の区別が付かず、最早どこにどんな bot がいるのか把握し切れずにいる。そんな中、俺は部署の異動があって第五開発セクションというところに配属されたのだが、このセクションは「#dev5」だの「#裏5セク」だの「#rookies5」だの「#dev4.5」だのと IRC 上に多数のチャンネルを作り、そこに bot を置きまくる全くの異常セクションであり、俺は状況の把握に四苦八苦していた。その中で最も意味のわからない存在が「om

    rna
    rna 2009/10/07
    互いに root 権限持ってたら先手必勝じゃね? /etc/passwd は触れてはならないとかいう戦時国際法でもあるの?
    リンク

  • パクリが横行するSNS業界でグリーが決意した訴訟の波紋:アルファルファモザイク

    ■編集元:ニュース速報+板より「【社会】パクリが横行するSNS業界でグリーが決意した訴訟の波紋」 1 朝から大変ツカちゃんですφ ★ :2009/10/06(火) 16:15:41 ID:???0 SNS(ソーシャル・ネットワーキング・サービス)と無料ゲームを組み合わせた「GREE」を運営するグリーが、ライバルで「モバゲータウン」を運営するディー・エヌ・エー(DeNA)を著作権等侵害で訴えると発表した。 SNSとは、インターネットを介して会員同士が交流するサービスで、GREEとモバゲーは会員数が共に1500万人と大手。携帯電話から利用する会員が多く、無料ゲームを豊富に揃えている点も共通している。 グリー拡大の原動力となったのは「釣り★スタ」というゲーム。同社は、モバゲーの「釣りゲータウン2」がこれに酷似していると訴えている。 じつは、両社の騒動にかかわらず、SNS内のゲームはそっ

    rna
    rna 2009/10/07
    「17: その点、2ちゃんねるはどこのパクリでもない」「28: >>17 ???」
    リンク

お知らせ

もっと読む

公式Twitter

  • @HatenaBookmark

    リリース、障害情報などのサービスのお知らせ

  • @hatebu

    最新の人気エントリーの配信

はてなブックマーク

公式Twitter

はてなのサービス

  • App Storeからダウンロード
  • Google Playで手に入れよう
Copyright © 2005-2024 Hatena. All Rights Reserved.