水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > Ruby1.9でRailsのXSS脆弱性が発生しないのは偶然

Ruby1.9でRailsのXSS脆弱性が発生しないのは偶然

2009年9月24日(木曜日)

Ruby1.9でRailsのXSS脆弱性が発生しないのは偶然

公開: 2009年9月24日14時30分頃

Rails 2系のXSS脆弱性がRuby 1.9では影響なしとされる理由 (d.hatena.ne.jp)」。

RailsのXSS脆弱性がRuby1.9で影響無しとされるのは、Ruby1.9で対策されているからと言うより、たまたま例外が出るから……という話。blank? メソッドの実装がたままた正規表現マッチになっているので、たまたま例外が出るわけですね。どう見ても意識した対策ではなくて、たまたま死んでいるだけですね。

たまたまといえば、某所のアプリは私が昔書いたコードの影響で、冗長なUTF-8シーケンスを食わせると "redundant UTF-8 sequence" という例外が発生します。これも、特に意識して対策したわけではなくて、たまたま死んでいるケースですね。

※あくまで偶然な上に例外で死んでいるのですが、いちおう脆弱性の影響は受けないと判断。:-)

関連する話題: セキュリティ / Ruby

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 Webプログラミング

その他サイト