アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲは一日にしてならず -- アレゲ見習い
任意のコマンド? (スコア:0)
Re:任意のコマンド? (スコア:0)
たぶん回答は↓
Re:任意のコマンド? (スコア:1)
これが false だと危険な変数代入やファイル操作をチェックしませんので
ページ書き換えや設定変更 = rubyスクリプトをなんでも実行可能 = 任意のコマンド
ということになるのだと思います。たぶん。
Re:任意のコマンド? (スコア:0)
Re:任意のコマンド? (スコア:1)
サーバに被害を与えるようなことはされないと思われますが、
XSS を仕込まれて困るような Web サービスを提供していても
問題は発生するでしょう。(cookie に依存した何か、とか)
あとは、自分の日記が気づかない間に自分のものでない意見に
書き換わっていたりとか、そういう精神的な被害も考えられます。
こちらのほうが大きいのかもしれません。
バックアップを取っていない分の自分の日記が全部消されてたら
かなりショックです……。