アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall
セキュリティ面は強化なのか欠陥修正なのか (スコア:0)
欠陥修正だったらすぐにでもアップデートするけど、
強化なんだったらサボりたい。
ユーザとしてはそこんとこをまず第一に知りたいんだけど。
サボりたければ読め (スコア:1, 参考になる)
Re:サボりたければ読め (スコア:-1, フレームのもと)
Re:サボりたければ読め (スコア:1)
まさに一番上に書いてあります。
(最初親コメント [srad.jp]が何を希望してるのか意味がわからんかった)
> "今回のバージョンアップの詳細は、以下のようになっています。
>
> 1. セキュリティ面の強化
> * サーバーへ無理な負荷を与える複雑な正規表現検索への対策
> * バッファオーバーフローの可能性がある箇所
脆弱性対応の基本がなってない (スコア:-1, 余計なもの)
リモートから攻撃され得るのか、それとも、
ローカルからしか攻撃され得ないのか、
そんな基本的なことすら、説明されてない。
「ソースコード読め」とか言うわけ?
Re:脆弱性対応の基本がなってない (スコア:0)
「 バッファオーバーフローの可能性がある箇所を修正」って、コードのサニタイズをして
芽が出る前に問題をつぶしましたよ、以上のことはないと思う。
「ローカル」だの「リモート」だのの以前の話だから、ほんとにExploitされるかどうかは知るわけもなく。
まさか、Exploitの方法まで調べて試せ、ってわけじゃないよね。
Re:脆弱性対応の基本がなってない (スコア:1, すばらしい洞察)
「サニタイズ」という言葉の使い方が間違っているよ。
最近何でもかんでも「サニタイズ」と書く似非セキュリティ専門家が増えてるなあ。
> 「ローカル」だの「リモート」だのの以前の話だから、
> ほんとにExploitされるかどうかは知るわけもなく。
開発者にはわりとわかりやすいはず。
開発者意外がソースコードを分析してそれを見極めるのは、開発者がそれを行う場合に比べてきわめてコストが大きい。
Re:脆弱性対応の基本がなってない (スコア:0)