てきとうなメモ

本の感想とか技術メモとか

2014-04-01から1ヶ月間の記事一覧

githubで複数アカウントを利用する

Git

同じPCで複数のgithubのアカウントを使う - 役に立ちそうで役に立たないブログ リンク先はgitプロトコルの場合なのだが、username@hostnameにするとうまくいくっぽい $ git clone https://username@github.com/username/proj ... $ git push Password for 'h…

リフレクションでオブジェクトのプロパティを設定するライブラリは解析対象にしない親クラスを指定すべきな気がする

今回のStruts1の脆弱性の問題は、どちらかというとcommons-beanutilsの問題な気がする。commons-beanutilsはアクセス可能なプロパティは全て設定できてしまうのだが、使う側からすると自分が想定しているプロパティにのみ設定してほしいという要望はあるだろ…

Struts1の脆弱性(CVE2014-0094)はDynaActionFormには影響しないっぽい

DynaActionFormはDynaBeanをimplementsしていて、commons-beanutilsのBeanUtilsBean#setPropertyのコードで別のルートに進む。struts-config.xmlに設定した属性しか設定できないので、セキュリティ的に正しい実装になっているみたい // Calculate the proper…

CVE2014-0094のStruts1のパッチ

パッチというかorg.apache.struts.util.RequestUtils#populateを以下のように修正すれば良さげ。テストちゃんとやっていないので、自己責任で。 public static void populate(Object bean, String prefix, String suffix, HttpServletRequest request) throw…

Struts1にも脆弱性

ラック、Apache Struts 1利用サイトに注意喚起 - Struts 2と同様の脆弱性 | マイナビニュース Apache Struts 2の脆弱性が、サポート終了のApache Struts 1にも影響~国内でいまだ大量稼働するStruts 1利用企業に、直ちに緩和策を~ | セキュリティ情報 | 株…

紙のコミックとKindleコミックで発売日が同じもの 2014年05月分

あわいの庭師 (花とゆめコミックス)作者: 街田シカク出版社/メーカー: 白泉社発売日: 2014/05/02メディア: Kindle版この商品を含むブログを見るお兄ちゃんはオオカミ (花とゆめコミックス)作者: 河口けい出版社/メーカー: 白泉社発売日: 2014/05/02メディア:…

OpenSSLの脆弱性(Heartbleed)

Heartbleed Bug UbuntuのOpenSSLのpatchを見ての推測をてきとうに書いてみる。TLS/DTLSプロトコルにHeartbeatという拡張プロトコルがあって、接続先が生きているかどうかをチェックするために使われたりする。こいつは基本的にechoプロトコルみたいにリクエ…

surround.vim

Vim

囲んでいる何かを編集するためのプラグイン tpope/vim-surround · GitHub インストールは NeoBundle 'tpope/vim-surround' 囲んでいるものを削除するときはDelete Surrounding target ds<target>囲んでいるものを置換するときはChange Surrounding target with repla</target>…