[symfony]1.1.4リリースですぞ!
Posted by Toc on 10 月 4, 2008 in validation |
symfony1.1.4がリリースされました(きっかけは私のコメントっぽい <- 最近、営業コメントも大事だと実感)。
フォーム関連のXSS脆弱性が修正されています。sfFormでのエラー時に、ユーザの入力値をメッセージに含ませている人は直ぐにアップデートしましょう。
例えば、バリデータを以下のように設定しているとき:
$this->setValidators(array( 'message' => new sfValidatorString(array( 'min_length' => 100 ), array( 'min_length' => 'メッセージ "%value%" は短すぎます。' )) ));
この場合、今まではユーザが100文字以下で入力した場合、その値がエスケープされずに表示されていました。
確か既にどこかで、他のユーザの方がこの脆弱性を指摘していたと思うのですが、一向に修正される気配がありませんでした。そんな中、公式ブログに「セキュリティは真剣に考えなければいけない」という投稿がありました。Railsのformは第一級オブジェクトじゃないから、うんぬんかんぬん、という辺りで、よう分からん、と思ったのですが、いい機会だし、コメントに書いてみようと思い投稿してみました。
そしたら、半日で修正してリリースしちゃうもんだから驚き!ちゃんとコメントした上で。
なお、「セキュリティ・ポリシー」によると、セキュリティに関する問題はメールで送るのが正しい方法のようです。
最後に。上記のブログでRailsに言及しているように、fabienはほぼ毎日、PHP以外の言語で書かれたコードを読んでインスピレーションを得ているようです。また、Djangoには、symfonyのデバッグツールバーが移植されているようです。
symfonyいいよ!
あのコメントはticさんだったんですね。興味深く経緯を見てた一人です。今回のファビアンの行動力は記事の内容もあって早かったんだと思いました。
おおっ!「おやぢ組」のbright.Riverさんからコメントを頂けるとは!!
symfonyを触り始めたときには、brtRiverさんのサイトや翻訳に非常にお世話になりました。いつも、ありがとうございます m(_ _)m
> 今回のファビアンの行動力は記事の内容もあって早かったんだと思いました。
見方によっては嫌なコメントだったのかもしれませんねw