htmlspecialcharsに関する残念なお知らせ - 岩本隆史の日記帳(アーカイブ)
「htmlspecialcharsのパッチ私案」に書いた件、バグレポートを出してみましたが、「すでに同じバグレポートがあるだろ」という理由により、あえなく却下されました。 せめて先方が「同じ」とみなしているレポート番号ぐらいは示してほしくて、そのようにコメントしましたが、お相手のjaniという人は気難し屋のようで*1、教えてもらえる気がしません。 私なりに探した結果、下記のレポートがくさいように感じました。 PHP :: Bug #43896 :: htmlspecialchars() returns empty string on invalid unicode sequence 「不正なUTF-8シーケンスの場合に空文字列を返すのはおかしい」というレポートで、私のそれとは正反対どころか、Shift_JISにもEUC-JPにも触れられていない別個のものです。もちろん、私はレポート送信前に
XSS対策パッチを当ててもRailsに残る脆弱性 - 岩本隆史の日記帳(アーカイブ)
どのような脆弱性か 先日書いた「Rails 2系のXSS脆弱性がRuby 1.9では影響なしとされる理由」という記事に、奥さん(id:kazuhooku)より、下記のブックマークコメントをいただきました。 たとえばブログの場合、誰かに壊れたUTF-8を含むコメントを書き込まれちゃうと、そのブログ全体にアクセスできなくなる(最新コメント一覧に出るから)んじゃないか。XSSが発生しないだけで脆弱性があることは変わらない はてなブックマーク - kazuhookuのブックマーク / 2009年9月26日 まったくおっしゃる通りです。アプリケーションの構成によっては、サービス自体が提供できなくなる可能性があります。 このような脆弱性を何とよぶのでしょうか。すでに統一的な呼称があるのかどうか、私は知りません。サービス不能という観点からは広義のDoS脆弱性といえるのかもしれません。 追記(2009-0
実名なんて怖くない - 岩本隆史の日記帳(アーカイブ)
ギークたちがTwitterで自分の居場所を発信したりUstreamで私生活の一部を公開していたりする昨今、ブロガー界では実名公開の危険性が訴えられている。 私はギークではないが、実名で活動している。匿名で物を書くと表現に歯止めがかけられなくなりそうだからだ(「実名のすすめ」)。ならば物を書かなければ良いのだろうが、見ず知らずの他人と言葉を交わしてみたいという欲求が抑えられずにいる。 私は、実名公開が危険な行為だとは思っていない。他人の記事をよく批判するので感受性の強い人から恨みを買うかもしれないとは思っているが、そのせいで事件に巻き込まれたり馘首されたり殺されたりしても自業自得だと考えている。 普通の人はそれを危険と呼ぶのだろうけれど、私ごときがそのような目に遭う確率は低いに違いない。あのひろゆき氏が娑婆で暮らしていられるほど、平和な世の中なのだから。 追記その1 id:NOV1975さん
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
