改造版 Sage 1.3.6++ の機能強化と修正を行いました

■ 自作ソフト Posted by ひぐま (Higmmer) on 2006-10-03 at 19:45:39

◆共有テーマ: Firefox [コンピュータ]

昨日公開した「Sage 1.3.6++」をバージョンアップしました。現在、こちらのエントリからダウンロードできます。今回の更新内容は以下の通りです。

・HTTPエラー発生時に自動更新が停止することがあったのを修正
・限界オーバーで開かれなかったフィードの数をツリー上部に表示するようにした
・開かれなかったフィードは、次の更新チェック時に優先的に開かれるようにした
・自動更新中に表示されるメッセージを日本語化

ところで、こちらの情報によると、どうやらSageの新バージョン1.3.7がリリースされたようです(拡張機能の自動更新でも表示されます)。但し、現在公式ページがメンテナンス中とのことで更新内容の詳細は不明です(もしかするとスクリプトインジェクションの脆弱性が修正されたのかも? →追記:その通りでした:下記参照)

ちょっと調べて見た上で、うちの改造版Sageにも反映させるかどうかを検討したいと思います。


(追記)

Sage 1.3.7ではスクリプトインジェクションの脆弱性に対する修正がなされたようです。simpleHtmlParserとfilterHtmlHandlerという2つのクラスが追加されており、それによりHTMLのフィルタリングを行っている模様。但しうちの改造版と違って、予め決まった要素/属性のみを除去する方式を取っています。

但し!! 一部対策が不完全な箇所を見つけてしまいました。方法は書きませんが、うちの改造版をテストするために用意しておいたファイルのうちのひとつでjavascriptコードを動作させるのに成功しました。しかも"file://"スキームの除去は行っていないようなので、それらを組み合わせることでセキュリティ上よろしくない問題が発生するおそれがあると思います。

ただ、"simple"と銘打っているだけあってフィルタリング動作自体は軽いという点がメリットといえばメリットでしょうか。うちの改造版を使ってみたけど重すぎてやっとれんという方の次善策としては悪くない選択肢だと思います。

トラックバック

この記事について書く(FC2ブログユーザー)
※言及リンクの無いトラックバックは無効です

PageTop▲

コメント

PageTop▲

コメントの投稿

 
 
 
 
 
 (後で編集・削除したいなら必須)
 
  

PageTop▲