2006年9月12日

[Namazu-devel-ja 1217] Re: Namazu 2.0.17 のリリース準備

寺西です。

NOKUBI Takatsugu wrote:
>
> なるほど、了解です。となると、以前あったタブ文字によるXSSへの対応と
> 同様に、ラッパーをつくってqueryからそれらの文字を取り除く、という方法
> が使えそうですね。

その方法が良いのですが、パターンがいろいろありそうで安全に除去できる
置換パターンが思いつきません。
# 漏れがあっては意味がないし。
「"」「/」はフレイズ検索、正規表現検索の区切り記号のためで、かなり
曲者です。

また、namazu.cgi は無限ループになるといっても、CGI の 時間制限
(UNIX では SUICIDE_TIME でも)で打ち切られるので、こちらで制限する
ということでもとりあえずは良いかなと思っていました。
だから、緊急リリースをしていません。
# 認識が甘かったかな?

ところで、

> 緊急回避策としては NMZ.w から「"」「/」を削除して NMZ.wi を再構築
> するツールが必要かもしれません。
> どうせなら、任意の単語の削除ツールを作る方が良いかもしれません。

と書きましたが、これは and 検索の場合でした。or 検索だとインデックス
に 「"」「/」がなくても何らかの文書がヒットします。そうすると
強調処理で、query のトークンの「"」「/」を処理するところで無限ループ
に入りました。
--
=====================================================================
寺西 忠勝(TADAMASA TERANISHI) yw3t-trns@xxxxx
http://www.asahi-net.or.jp/~yw3t-trns/index.htm
Key fingerprint = 474E 4D93 8E97 11F6 662D 8A42 17F5 52F4 10E7 D14E

_______________________________________________
Namazu-devel-ja mailing list
Namazu-devel-ja@xxxxx
http://www.namazu.org/cgi-bin/mailman/listinfo/namazu-devel-ja

投稿者 xml-rpc : 2006年9月12日 14:24
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/45832
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。