アカウント名:
パスワード:
Mass assignmentは機能の名前です。Rails自身の脆弱性というわけではありません。不用意な使い方をしたアプリに脆弱性が生まれます。とはいえ、ふつうにRailsを使うと紛れ込む可能性は高いのでRailsの問題ではあります。
Rubyは読み書きできないんで、憶測でものを言うけど、結局fool proofがしっかりしてるかどうかってことでしょ?デフォルト設定で危ないんだったら、その辺は直した方がいいんじゃないかな。
Cの標準ライブラリもバージョン管理して、strcpy()は禁止できればよかったのにな。
C11ではgetsがなくなりましたね。strcpyは依然として存在しますが。
バージョン管理と言えば、GCCだと-stdオプションで似たようなことが実現できていると言えないでしょうか。CではなくC++ですが、-std=c++11などを指定せずにC++11で追加された新しいヘッダをインクルードすると「このヘッダはC++11用だ」とコンパイルエラー(正確にはプリプロセッサ、たしか#error使っているので)になります。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ソースを見ろ -- ある4桁UID
補足 (スコア:1)
Mass assignmentは機能の名前です。Rails自身の脆弱性というわけではありません。
不用意な使い方をしたアプリに脆弱性が生まれます。
とはいえ、ふつうにRailsを使うと紛れ込む可能性は高いのでRailsの問題ではあります。
Re:補足 (スコア:0)
Rubyは読み書きできないんで、憶測でものを言うけど、結局fool proofがしっかりしてるかどうかってことでしょ?デフォルト設定で危ないんだったら、その辺は直した方がいいんじゃないかな。
Cの標準ライブラリもバージョン管理して、strcpy()は禁止できればよかったのにな。
Re:補足 (スコア:1)
C11ではgetsがなくなりましたね。strcpyは依然として存在しますが。
バージョン管理と言えば、GCCだと-stdオプションで似たようなことが実現できていると言えないでしょうか。CではなくC++ですが、-std=c++11などを指定せずにC++11で追加された新しいヘッダをインクルードすると「このヘッダはC++11用だ」とコンパイルエラー(正確にはプリプロセッサ、たしか#error使っているので)になります。