Namazu-devel-ja(旧)


[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: クロスサイトスクリプティング脆弱性 (ver2.0.10)



<200203260600.PAA03041@xxxxxxxxxxxxxxx>の記事において
raeva@xxxxxxxxxxxxさんは書きました。

>> 4. 新たにAPIを用意して(nmz_warn_fprintf?)、出力先を変えられるよう
>>    にする。namazu.cgiではnmz_warn_printfの代わりにそれを使うように
>>    するが、backward compatibilityのためにnmz_warn_printfは残す。
>> 
>> でどうでしょうか?

  backword compatibility のために自分はこんな方法を考えていました。

* 変数 FILE *nmz_stderr を新設 (初期値は NULL)
* API nmz_set_error_output(FILE *) を新設
  (引数を nmz_stderr に代入)
* nmz_search の先頭で nmz_stderr が NULL の時は stderr を設定
  (デフォルトの挙動を現在に合わせる)
* nmz_warn_printf は nmz_stderr に対して出力
* rcfile.c に新たな directive ERRORFILE を追加

  ちょっと繁雑ですが、いかがでしょう? 頻繁に出力先を変えることがあるの
なら nmz_warn_fprintf を用意した方が良いのかもしれません。

<20020326140806.09DC.TAKAGI.HIROMITSU@xxxxxxxxxx>の記事において
takagi.hiromitsu@xxxxxxxxxxさんは書きました。

>> もしかして、上のメッセージは namazu コマンドの部分が出しているのでしょ
>> うか。だとしたら上の仕様は気持ち悪いですから、namazu.cgi から namazu 
>> を呼び出すときに、stderr をファイルにリダイレクトする、とかできませんか?

  namazu.cgi は command を呼びだすわけではなく、namazu コマンド共々
libnmz を利用しています。
  redirect による対応は namazu-devel-ja#02453, 02455 でなんとかできる
のではないでしょうか。
-- 
野首 貴嗣
E-mail: knok@xxxxxxxxxxxxx
	knok@xxxxxxxxxx / knok@xxxxxxxxxx