Namazu-devel-ja(旧)


[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: クロスサイトスクリプティング脆弱性 (ver2.0.10)



<200203260852.RAA12206@xxxxxxxxxxxxx>の記事において
私は書きました。

>> >> そういえばLogging directiveって、たしかread-onlyなindexのために設け
>> >> られたものじゃなかったですか? ならば、NMZ.cgi.warn(仮)もNMZ.slog同
>> >> 様にLoggingで切替えるようにした方がいいのかも。
>> 
>>   では、その方向でゆきましょうか。

  いざ実装しようと思ったのですが、結局 libnmz が file に出力するかどう
かを把握する必要があるので、結局なんらかの大域変数は必要になってしまい
ますね...

  とりあえずこんな感じでしょうか?

libnmz:
* nmz_names にメンバを追加 (warnlog?)
  (デフォルト値は 0)
* util.c に変数 output_warn_to_file を追加
* util.c に nmz_set_output_warn_to_file() を追加

namazu-cgi.c:
* nmz_set_output_warn_to_file(1) を呼ぶようにする

  あとファイルをどのタイミングで open するかも悩ましいところです。slog 
は検索時に一度だけで良いので話が簡単なのですが、nmz_warn_printf はあち
こちにあるので、その都度 open するのはあまり綺麗とはいいがたいです。ま
あ頻繁に呼ばれるものでもないので、それでも良いですかね?
-- 
野首 貴嗣
E-mail: knok@xxxxxxxxxxxxx
	knok@xxxxxxxxxx / knok@xxxxxxxxxx