結構致命的な脆弱性なんだけど、そんなに騒がれていないのは何故だろう。まぁ、おかげで攻撃を受ける前に全環境にパッチを当てることができた。商用環境を抱えるとこの辺の動きがどうしても鈍くなる。 まずはRuby公式の発表から。 REXMLのDoS脆弱性 DoS vuln…

前回の続きで、「request_forgery_protection」の問題点について。 GETリクエストをスルーしているため根本的にCSRF対策になっていない 宣言したアクションだけにしか適用されないので開発者の宣言漏れの可能性がつきまとう FORMタグを使う部分は問題ないが…

Rails-2.0がリリースされて半年が過ぎ、既にRails-2.1もリリースされているというのにRubricksはいまだにRails-1.2.6で動いている。というのも、Rubricksが使っているComponentsの仕組みそのものがRails2で消失してしまったため。他の数多のPluginのように外…

▼ 参照サイト ・HowtoChangeSessionStore ・dreammindの日記 ・夜のDiscovery ・くりまるwebつくる ==[RAILS_ROOT/config/environment.rb]==== ... SESSION_CACHE = MemCache.new(['192.168.0.1:11211'], {:namespace => 'rails'}) ActionController::CgiReq…

http://ceo.sourcelab.jp/archives/97 ちょうどRubricksのユーザやグループの読み仮名の仕様を見直している際にこの記事がホッテントリにあったので興味を持った。着眼点はとても素晴らしい。ギミックはありがちと謙遜されているが、自分は今までWEBアプリで…