2009年6月23日(火曜日)
XMLを受け取る際は外部実体に注意
公開: 2009年6月24日15時20分頃
「XMLをparseするアプリのセキュリティ (d.hatena.ne.jp)」。
以前に書いたXML entity explosion attackの話の最後の方でもちらりと触れましたが、外部からXMLを受け取るとき、パーサが外部実体を解釈するとまずいことになる場合があります。
- サーバから外部の任意のURLにGETアクセスしてしまうため、踏み台として使われる危険性がある
- 受け取ったXMLの内容を何らかの形で表示している場合、本来外部から見えないはずのリソースの内容が見えてしまう場合がある
ということですね。特に後者の場合、ディレクトリ・トラバーサルよろしく、サーバ内の任意のファイルの内容が見えてしまう可能性があるので注意が必要です。
SOAPなどで外部からXMLを受け取るAPIは良くあると思いますが、外部からやってきたXMLをパースする際は、DTDや外部実体は全く読みに行かないように設定しておきたいところですね。
※もっとも、XHTMLを読む必要がある場合は©などの実体参照が解釈できなくなってしまうという問題もありますが……。
- 「XMLを受け取る際は外部実体に注意」へのコメント (1件)
Xbox360版「怒首領蜂 大往生」がPS2版のソースコードパクリだった
公開: 2025年1月20日0時10分頃
Xbox360の「怒首領蜂 大往生 ブラックレーベルEXTRA」ですが、こんなお話が。
- Xbox 360版「怒首領蜂」、ソースコード盗用で発売元が謝罪 (www.itmedia.co.jp)
- 弊社販売ゲームソフトに関するお詫び (5pb.jp)
Xbox360に移植するに当たってPS2版のソースをもらって……というのなら別に良いのではないかとも思えますが、無断でとなれば話は別。しかし、PS2版のソースコードをパクってXbox360版にそのまま適用できるものなのですかね? その辺りの開発の事情はよく分かりませんが。
発覚の経緯については、アリカの副社長である三原一郎氏が書かれているようで。
- Mihara's sub Layer | 360大往生のこと (mihara.sub.jp)
この話はなかなか興味深いのですが、ともあれ発見の経緯はこんな感じのようですね。
大往生360のXモードを遊んでみた時にも思ったんですが、びっくりするぐらい『ゲーム中』に『追加』されたグラフィックがない。
(~中略~)
・・・まさかと思うけど、・・・エミュぽいもんにパッチ当ててないか?
細かくレポートするみたいな事を書きましたが、色々と検討した結果、公開するの止めます。
(追記)
なんでこんなに移植度が低いのか不思議でしたが私の中で推論が出たので。
クオリティの低さが気になって、というのが発端と言って良いのですかね。発売当初から移植のクオリティが低いという話はあって、一部で (クソゲーオブザイヤーなどで (koty.sakura.ne.jp)) 話題になってはいたのですけれどね。
- 前(古い): 2009年6月22日(Monday)のえび日記
- 次(新しい): 2009年6月24日(Wednesday)のえび日記
