アカウント名:
パスワード:
ふせげた?
防げない、実装の問題じゃないしJNDI lookupという機能のせいなので
ログのパースでJNDI lookupを発生させようとする発想のせいだろ。スクリプト言語で言えばログの文字列に対してevalするようなものだ
この機能、何で必要だったんですかね…NOLOOKUPとかいうオプションがあるあたり、作った側も「これ要るの」っていう疑問があったんじゃないですかね…誰かこれなくなると困るひと、コメントお願いします。
致命的なエラーが発生してサーバ自動停止メールかツイッターかなんかに通知みたいなケースでらくできる。ログをリアルタイムないし周期的に監視してものによっては通知を飛ばすどうでもいいのはスルーみたいなツールは多い。それを一歩踏み込んでログをスクリプトかしちまえみたいなやつ。これいるのよりは多機能ロギングより高速動作を優先したい人向けに無効化オプションをつけたんでしょう。
javaって思想がお花畑なんだよなー。インターネットが平和で善意に満ち溢れた理想の世界っていう思想が根っこにある。1.5、1.6ぐらいから後付けでどんどんセキュリティ強化してくんだけど、言語やJREではなくて、エコシステム全体の古参の根っこがお花畑。
最近の言語は、一つ間違えば即死のサザンクロスシティが前提。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
にわかな奴ほど語りたがる -- あるハッカー
Rustさんなら (スコア:0)
ふせげた?
Re: (スコア:0)
防げない、実装の問題じゃないし
JNDI lookupという機能のせいなので
Re: (スコア:3, すばらしい洞察)
ログのパースでJNDI lookupを発生させようとする発想のせいだろ。スクリプト言語で言えばログの文字列に対してevalするようなものだ
Re: (スコア:0)
この機能、何で必要だったんですかね…NOLOOKUPとかいうオプションがあるあたり、作った側も「これ要るの」っていう疑問があったんじゃないですかね…誰かこれなくなると困るひと、コメントお願いします。
Re: (スコア:0)
致命的なエラーが発生してサーバ自動停止メールかツイッターかなんかに通知みたいなケースでらくできる。
ログをリアルタイムないし周期的に監視してものによっては通知を飛ばすどうでもいいのはスルーみたいなツールは多い。それを一歩踏み込んでログをスクリプトかしちまえみたいなやつ。
これいるのよりは多機能ロギングより高速動作を優先したい人向けに無効化オプションをつけたんでしょう。
Re:Rustさんなら (スコア:1)
javaって思想がお花畑なんだよなー。
インターネットが平和で善意に満ち溢れた理想の世界っていう思想が根っこにある。
1.5、1.6ぐらいから後付けでどんどんセキュリティ強化してくんだけど、言語やJREではなくて、
エコシステム全体の古参の根っこがお花畑。
最近の言語は、一つ間違えば即死のサザンクロスシティが前提。