アカウント名:
パスワード:
少なくとも今回はpserver経由の脆弱性だったんで、Anonymous CVSを止めてれば問題なかったんじゃないですかね?確かcommiterはssh経由でアクセスしてるはずだし。
rubyは定期的に最新のソース全体をアーカイブしたsnapshotを公開しているのでAnonymous CVSの必要性は低いし、CVSupやcvswebなどほかの手段でのアクセスも可能なので、いっそAnonymous CVS自体を止めちゃっても良いような気がしますが。
まぁ、CVSの他の部分やCVSupにセキュリティホールが無いという保証は無いんで、今頃こんなこと言っても後の祭りな訳ですけどね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー
Anonymous CVSって必要? (スコア:1, 興味深い)
少なくとも今回はpserver経由の脆弱性だったんで、Anonymous CVSを止めてれば問題なかったんじゃないですかね?確かcommiterはssh経由でアクセスしてるはずだし。
rubyは定期的に最新のソース全体をアーカイブしたsnapshotを公開しているのでAnonymous CVSの必要性は低いし、CVSupやcvswebなどほかの手段でのアクセスも可能なので、いっそAnonymous CVS自体を止めちゃっても良いような気がしますが。
まぁ、CVSの他の部分やCVSupにセキュリティホールが無いという保証は無いんで、今頃こんなこと言っても後の祭りな訳ですけどね。
Re:Anonymous CVSって必要? (スコア:0)
> いっそAnonymous CVS自体を止めちゃっても良いような気がしますが。
ローカルでパッチ作る時には重宝してます。
(cvswebとかではこの用途に使えません)
Re:Anonymous CVSって必要? (スコア:1)
いや面倒だと思いますけどね。