2009年9月9日(水曜日)
どうぶつの森 虫コンプリート/きんのあみ
公開: 2009年9月13日14時40分頃
街へいこうよ どうぶつの森 (www.amazon.co.jp)
というわけで、きんのあみを入手しました。
だいたいひととおりやりつくした感じ?
- 「どうぶつの森 虫コンプリート/きんのあみ」にコメントを書く
関連する話題: ゲーム / Wii / 任天堂 / どうぶつの森 / 街へいこうよ どうぶつの森
RailsのXSS脆弱性
公開: 2009年9月10日15時10分頃
- Rails 2系すべてのブランチに脆弱性、Ruby 1.9ユーザはアップグレード注意 (journal.mycom.co.jp)
- XSS Vulnerability in Ruby on Rails (weblog.rubyonrails.org)
どうも不正なUTF-8で突破されるという話の模様ですが、PoCなどの詳しい情報が出ていないのでイマイチ分からず。
とりあえず手元のいくつかのRailsアプリに不正なUTF-8シーケンスを投入してみたところ、以下のような感じの動作になりました。
- Rails1系……そのままブラウザに出力される
- Rails2系……不正な部分が削除されて出力される(サニタイズ!)
うーん、この手のサニタイズはいろいろ問題になりそうな気がするわけですが、それが実際に問題になったということなのですかね……。
関連する話題: セキュリティ / Ruby / クロスサイトスクリプティング脆弱性
- 前(古い): 2009年9月3日(Thursday)のえび日記
- 次(新しい): 2009年9月15日(Tuesday)のえび日記
