Namazu-devel-ja(旧)


[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: クロスサイトスクリプティング脆弱性 (ver2.0.10)



<01bd01c1d499$7c418cc0$550aa8c0@xxxxxxxxx>の記事において
yoshinori-takesako@xxxxxxxxxさんは書きました。

>> > * 変数 FILE *nmz_stderr を新設 (初期値は NULL)
>> 
>> → これは、大域変数として static に宣言するということでしょうか?
>>    そうだとすると、namazu コマンドや namazu.cgi では、この方法でも
>>    大丈夫だと思いますが、libnmz を使用した Search::Namazu XS モジュール
>>    などにおいて、副作用が発生してしまうのではないでしょうか?

  Search::Namazu では、Search::Namazu::Search で処理を一気に完了させて、
結果をすべて変数に保存するという形をとっています。その変更が副作用を及
ぼすことは多分ないと思います。他の client がどうかはわかりません。

>> # あと、元々 libnmz がそうなのですが、適切なシリアライズを行わないと
>> # マルチスレッドの要求に対してはちょっと厳しそうですね。

  今のコードをベースに reentrant にするのはちょっと絶望的じゃないです
かね... そもそも無理矢理 library 化したものですし。

<200203260820.RAA15113@xxxxxxxxxxxxxxx>の記事において
raeva@xxxxxxxxxxxxさんは書きました。

>> >   ... まあ警告が出なければ問題ないからいいのかな。しかし NMZ.slog なん
>> > かもデフォルトでは off ですよね。
>> 
>> いや、defaultはONですよ。

  覚え違いしてました。ソースをみると確かにそうですね。

>> そういえばLogging directiveって、たしかread-onlyなindexのために設け
>> られたものじゃなかったですか? ならば、NMZ.cgi.warn(仮)もNMZ.slog同
>> 様にLoggingで切替えるようにした方がいいのかも。

  では、その方向でゆきましょうか。
-- 
野首 貴嗣
E-mail: knok@xxxxxxxxxxxxx
	knok@xxxxxxxxxx / knok@xxxxxxxxxx