Namazu-devel-ja(旧)
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: クロスサイトスクリプティング脆弱性 (ver2.0.10)
- From: knok@xxxxxxxxxxxxx (NOKUBI Takatsugu)
- Date: Tue, 26 Mar 2002 17:52:31 JST
- X-ml-name: namazu-devel-ja
- X-mail-count: 02465
<01bd01c1d499$7c418cc0$550aa8c0@xxxxxxxxx>の記事において
yoshinori-takesako@xxxxxxxxxさんは書きました。
>> > * 変数 FILE *nmz_stderr を新設 (初期値は NULL)
>>
>> → これは、大域変数として static に宣言するということでしょうか?
>> そうだとすると、namazu コマンドや namazu.cgi では、この方法でも
>> 大丈夫だと思いますが、libnmz を使用した Search::Namazu XS モジュール
>> などにおいて、副作用が発生してしまうのではないでしょうか?
Search::Namazu では、Search::Namazu::Search で処理を一気に完了させて、
結果をすべて変数に保存するという形をとっています。その変更が副作用を及
ぼすことは多分ないと思います。他の client がどうかはわかりません。
>> # あと、元々 libnmz がそうなのですが、適切なシリアライズを行わないと
>> # マルチスレッドの要求に対してはちょっと厳しそうですね。
今のコードをベースに reentrant にするのはちょっと絶望的じゃないです
かね... そもそも無理矢理 library 化したものですし。
<200203260820.RAA15113@xxxxxxxxxxxxxxx>の記事において
raeva@xxxxxxxxxxxxさんは書きました。
>> > ... まあ警告が出なければ問題ないからいいのかな。しかし NMZ.slog なん
>> > かもデフォルトでは off ですよね。
>>
>> いや、defaultはONですよ。
覚え違いしてました。ソースをみると確かにそうですね。
>> そういえばLogging directiveって、たしかread-onlyなindexのために設け
>> られたものじゃなかったですか? ならば、NMZ.cgi.warn(仮)もNMZ.slog同
>> 様にLoggingで切替えるようにした方がいいのかも。
では、その方向でゆきましょうか。
--
野首 貴嗣
E-mail: knok@xxxxxxxxxxxxx
knok@xxxxxxxxxx / knok@xxxxxxxxxx