アカウント名:
パスワード:
Microsoftの.Net Framework(ASP.Net)は脆弱性あってもここまで大規模に被害が報告されることが少ないよね?
ただ単に採用例が少ないのか、サーバとはいえ半ば強制的にパッチをあてる仕組みが優秀なのか、GUIぽちぽちクリックするだけでアップデートが完了するのが優秀なのか。
どれでしょう?
Java使いのセンスが悪いだけでしょう
Javaのセンスが悪い…のではなくStruts2の基盤の一つであるOGNLが全ての原因なんですよね。
OGNLとは(ざっくり言うと)文字列をJavaの式として評価できるライブラリです(構文とかは違うけどもやれることは同じ)いわば他言語で言うところのevalにあたるもので、便利な一方で慎重に使わないとセキュリティリスクに直結する非常に危険な代物です。
そんなevalに相当する恐ろしいものがStruts2では設定ファイルを始め(今回問題になった)ログのフォーマットや動的なHTML(JSP)生成に使われたりと広範囲に利用されています。このようにStruts2にはOGNLを基盤に使うという
とどのつまり、Java使いのセンスが悪いって事やね
android...
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond
.Net Framework (スコア:0)
Microsoftの.Net Framework(ASP.Net)は脆弱性あっても
ここまで大規模に被害が報告されることが少ないよね?
ただ単に採用例が少ないのか、
サーバとはいえ半ば強制的にパッチをあてる仕組みが優秀なのか、
GUIぽちぽちクリックするだけでアップデートが完了するのが優秀なのか。
どれでしょう?
Re: (スコア:-1)
Java使いのセンスが悪いだけでしょう
Re: (スコア:5, 興味深い)
Java使いのセンスが悪いだけでしょう
Javaのセンスが悪い…のではなくStruts2の基盤の一つであるOGNLが全ての原因なんですよね。
OGNLとは(ざっくり言うと)文字列をJavaの式として評価できるライブラリです(構文とかは違うけどもやれることは同じ)
いわば他言語で言うところのevalにあたるもので、便利な一方で慎重に使わないとセキュリティリスクに直結する非常に危険な代物です。
そんなevalに相当する恐ろしいものがStruts2では設定ファイルを始め(今回問題になった)ログのフォーマットや動的なHTML(JSP)生成に使われたりと広範囲に利用されています。
このようにStruts2にはOGNLを基盤に使うという
Re: (スコア:0)
とどのつまり、Java使いのセンスが悪いって事やね
Re:.Net Framework (スコア:0)
android...