水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 2009年のえび日記 > 2009年6月 > 2009年6月23日(火曜日)

2009年6月23日(火曜日)

XMLを受け取る際は外部実体に注意

公開: 2009年6月24日15時20分頃

XMLをparseするアプリのセキュリティ (d.hatena.ne.jp)」。

以前に書いたXML entity explosion attackの話の最後の方でもちらりと触れましたが、外部からXMLを受け取るとき、パーサが外部実体を解釈するとまずいことになる場合があります。

ということですね。特に後者の場合、ディレクトリ・トラバーサルよろしく、サーバ内の任意のファイルの内容が見えてしまう可能性があるので注意が必要です。

SOAPなどで外部からXMLを受け取るAPIは良くあると思いますが、外部からやってきたXMLをパースする際は、DTDや外部実体は全く読みに行かないように設定しておきたいところですね。

※もっとも、XHTMLを読む必要がある場合は©などの実体参照が解釈できなくなってしまうという問題もありますが……。

関連する話題: セキュリティ / XML

Xbox360版「怒首領蜂 大往生」がPS2版のソースコードパクリだった

公開: 2022年12月4日0時10分頃

Xbox360の「怒首領蜂 大往生 ブラックレーベルEXTRA」ですが、こんなお話が。

Xbox360に移植するに当たってPS2版のソースをもらって……というのなら別に良いのではないかとも思えますが、無断でとなれば話は別。しかし、PS2版のソースコードをパクってXbox360版にそのまま適用できるものなのですかね? その辺りの開発の事情はよく分かりませんが。

発覚の経緯については、アリカの副社長である三原一郎氏が書かれているようで。

この話はなかなか興味深いのですが、ともあれ発見の経緯はこんな感じのようですね。

大往生360のXモードを遊んでみた時にも思ったんですが、びっくりするぐらい『ゲーム中』に『追加』されたグラフィックがない。

(~中略~)

・・・まさかと思うけど、・・・エミュぽいもんにパッチ当ててないか?

以上、Mihara's sub Layer | 今週のファミ通 より

細かくレポートするみたいな事を書きましたが、色々と検討した結果、公開するの止めます。

(追記)

なんでこんなに移植度が低いのか不思議でしたが私の中で推論が出たので。

以上、Mihara's sub Layer | 移植の精度云々に関して より

クオリティの低さが気になって、というのが発端と言って良いのですかね。発売当初から移植のクオリティが低いという話はあって、一部で (クソゲーオブザイヤーなどで (koty.sakura.ne.jp)) 話題になってはいたのですけれどね。

関連する話題: ゲーム / プログラミング

最近の日記

関わった本など