アカウント名:
パスワード:
Mass assignmentは機能の名前です。Rails自身の脆弱性というわけではありません。不用意な使い方をしたアプリに脆弱性が生まれます。とはいえ、ふつうにRailsを使うと紛れ込む可能性は高いのでRailsの問題ではあります。
perlのopen 関数みたいな物か。 [ipa.go.jp]便利ではあるが、注意深く使わないと危険な目に合う。しかも、あんまり意識されてなかったので、初心者がついやってしまう落とし穴と。
Rubyは読み書きできないんで、憶測でものを言うけど、結局fool proofがしっかりしてるかどうかってことでしょ?デフォルト設定で危ないんだったら、その辺は直した方がいいんじゃないかな。
Cの標準ライブラリもバージョン管理して、strcpy()は禁止できればよかったのにな。
C11ではgetsがなくなりましたね。strcpyは依然として存在しますが。
バージョン管理と言えば、GCCだと-stdオプションで似たようなことが実現できていると言えないでしょうか。CではなくC++ですが、-std=c++11などを指定せずにC++11で追加された新しいヘッダをインクルードすると「このヘッダはC++11用だ」とコンパイルエラー(正確にはプリプロセッサ、たしか#error使っているので)になります。
register_globals みたいなものか。attr_accessible とかいうので保護すれば大丈夫らしいけど、それを知らなきゃ即脆弱性に繋がる、脆弱性の温床というわけですね。脆弱性そのものじゃないけど、これを有用なものであるかのように「機能」と呼ぶのもおこがましい。他に何かいい呼び方はあったかな。「問題」っていうのもいまいち深刻さが弱いし。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
普通のやつらの下を行け -- バッドノウハウ専門家
補足 (スコア:1)
Mass assignmentは機能の名前です。Rails自身の脆弱性というわけではありません。
不用意な使い方をしたアプリに脆弱性が生まれます。
とはいえ、ふつうにRailsを使うと紛れ込む可能性は高いのでRailsの問題ではあります。
Re: (スコア:0)
perlのopen 関数みたいな物か。 [ipa.go.jp]
便利ではあるが、注意深く使わないと危険な目に合う。
しかも、あんまり意識されてなかったので、初心者がついやってしまう落とし穴と。
Re: (スコア:0)
Rubyは読み書きできないんで、憶測でものを言うけど、結局fool proofがしっかりしてるかどうかってことでしょ?デフォルト設定で危ないんだったら、その辺は直した方がいいんじゃないかな。
Cの標準ライブラリもバージョン管理して、strcpy()は禁止できればよかったのにな。
Re:補足 (スコア:1)
C11ではgetsがなくなりましたね。strcpyは依然として存在しますが。
バージョン管理と言えば、GCCだと-stdオプションで似たようなことが実現できていると言えないでしょうか。CではなくC++ですが、-std=c++11などを指定せずにC++11で追加された新しいヘッダをインクルードすると「このヘッダはC++11用だ」とコンパイルエラー(正確にはプリプロセッサ、たしか#error使っているので)になります。
Re: (スコア:0)
register_globals みたいなものか。
attr_accessible とかいうので保護すれば大丈夫らしいけど、
それを知らなきゃ即脆弱性に繋がる、脆弱性の温床というわけですね。
脆弱性そのものじゃないけど、これを有用なものであるかのように「機能」と呼ぶのもおこがましい。
他に何かいい呼び方はあったかな。「問題」っていうのもいまいち深刻さが弱いし。