Railsでアプリを作る時には「何はなくともまずh()」というのが大原則で、それはよくわかっているのですが、いざ短時間で大量にコードを書くとなると間違いなく全部に入れきるのは難しいですね。
案の定、いくつか「抜け」が出てjavascriptが走ってしまったというのが、今回の顛末。
それから、インラインエディターライブラリ「super_inplace_editor」もエスケープしていなかったので、Ajaxをフィーチャーした編集機能でjavascriptを入力したら走っちゃった…orz
ということで、抜けをフォローしてライブラリにもパッチ当ててとりあえずこれで大丈夫なのではないかと。
もっとも、Rails2.0はセッション情報にアクセスごとの乱数を入れてジャミング掛けているのでクッキー持ってかられたくらいではセッションハイジャックできない仕掛けになってはいるのですが。
(そのおかげでブラウザの「戻る」ボタンを押すと時として正常に動かなかったりするのですが)
TechCrunch Japanese アーカイブ » Wordpressのセキュリティ問題で大量のハッキングが発生。次はあなたのブログ?
“Wordpressは、ブログのプラットフォームとして人気があるため、ブログを乗っ取ろうとたくらむハッカーの主要なターゲットとなっている。その目的は、自分たちがコントロールする他のサイトの検索エンジン最適化(SEO)やトラフィック変更などだ。近頃、最近発見されたWordpressのセキュリティの脆弱性を悪用した自動化された攻撃が続発している”
やっぱりオープンソース系のブログエンジンは大変ですな。
「新決済手段への制度整備へ 金融審が電子マネーなどで協議」マネー・経済‐金融ニュース:イザ!
“金融庁は16日、金融審議会(首相の諮問機関)の作業部会で、電子マネーやコンビニエンスストアでの公共料金収納代行など、新しい決済手段の発展に対応した制度整備の協議を始めた。 作業部会では、電子マネー事業者やコンビニ、通販大手など現場の声を聞きながら、適切な制度づくりを協議する。法整備や換金の義務化、事業参入の条件を設けるかなど規制の是非についても検討する方針。”
「事業参入の条件」てあたりに何か妙な利権をくっつけたりするんじゃねえか??という疑念は湧きますが、
まぁ金融関係はまるっきり野放しという訳にもいかんでしょうね。
「パブリックコメント」募集は当然してほしいと思います。
アポロンなどにもそのうち絡んでくる問題なので注意してみていかないと…
俺はこういうものをいじらせてもらうと、「設定」をつい変えてしまいます。
ガキの頃からの習性なのか、いじれるところはいじってしまう癖があるんですね。
で、この「WordPress」のパーマリンクの設定も変えてしまって、「.htaccessに書き込んで下さい」とか言われるし…
そのままでは、個別記事に飛べなくなってしまった…
ということで管理者さんに「ftpアカウント」を教えていただき、「.htaccess」をめでたく作成しました。
これで個別記事のパーマリンクもちゃんと俺好みのきれいなリンクになりました。
嬉しいな♪
