アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり
同じ穴 (スコア:0)
# 最近そういうニュースが耐えないので、つい疑ってしまうのですが
Re:同じ穴 (スコア:0)
Re:同じ穴 (スコア:1, 参考になる)
21世紀にもなってこんなのが見つかるとは泣けて来るよな。
実行環境側での対策 (スコア:2, 参考になる)
何十年たって何世紀になっても、人為的な誤りは無くならないでしょう。
だからこそ、OSやインタプリタという実行環境側の枠組みで
安全性を保障する事が必要だし、それについて試行錯誤が
なされ、発展していくのは望ましい流れ
Re:実行環境側での対策 (スコア:1)
# なお,$SAFE==3ではuntaintが禁止されているのでsystemに渡すことができず,$SAFE==4ではsystemが禁止されている。
irb(main):002:0> Thread.start { url='http://`date`/'.taint; $SAFE=1; system url.untaint }.join
sh: http://2003年: そのようなファイルやディレクトリはありません
=> #<Thread:0x402af2f0 dead>
Re:実行環境側での対策 (スコア:1)
パッチの内容を見ないまま、元コメントの方の「フィルタリング忘れ」と
いう単語を「サニタイズのし忘れ」と読んでしまいました。以後気をつけます。
ということで、今回の件から得られる教訓は…えーと…
「サニタイズとは、
『危険なものを取り除くこと』ではなく
『安全なもののみ残すこと』」
という原則、くらいでしょうか。