水無月ばけらのえび日記

Ruby1.9でRailsのXSS脆弱性が発生しないのは偶然

公開: 2009年9月24日14時30分頃

「Rails 2系のXSS脆弱性がRuby 1.9では影響なしとされる理由 (d.hatena.ne.jp)」。

RailsのXSS脆弱性がRuby1.9で影響無しとされるのは、Ruby1.9で対策されているからと言うより、たまたま例外が出るから……という話。blank? メソッドの実装がたままた正規表現マッチになっているので、たまたま例外が出るわけですね。どう見ても意識した対策ではなくて、たまたま死んでいるだけですね。

たまたまといえば、某所のアプリは私が昔書いたコードの影響で、冗長なUTF-8シーケンスを食わせると "redundant UTF-8 sequence" という例外が発生します。これも、特に意識して対策したわけではなくて、たまたま死んでいるケースですね。

※あくまで偶然な上に例外で死んでいるのですが、いちおう脆弱性の影響は受けないと判断。:-)

• 「Ruby1.9でRailsのXSS脆弱性が発生しないのは偶然」にコメントを書く

関連する話題: セキュリティ / Ruby