アカウント名:
パスワード:
ふせげた?
防げない、実装の問題じゃないしJNDI lookupという機能のせいなので
ログのパースでJNDI lookupを発生させようとする発想のせいだろ。スクリプト言語で言えばログの文字列に対してevalするようなものだ
この機能、何で必要だったんですかね…NOLOOKUPとかいうオプションがあるあたり、作った側も「これ要るの」っていう疑問があったんじゃないですかね…誰かこれなくなると困るひと、コメントお願いします。
個人的には、「これが要る」と仮定しても、(1)ログライブラリ側で実装する様なやり方は、ログライブラリの機能過剰(機能分散のバランス不良)(2)セキュリティ対策として、信頼できるサーバリスト等の制限が不可欠(多分、ネットワーク設計側(ファイヤーウォール)でアクセスコントロールさせる想定だったと思う。マイクラサーバの様に直接の公開サーバで使われることを想定していなかった(想定が不十分だった)。)ということと思う。
>作った側も「これ要るの」っていう疑問があったんじゃないですかね
これは、筋違いですよ。ふつうに考えて、NOLOOKUPの様なオプションは、デバッグ機能ですから。使う人が少ないけど、デフォルト無効にするべき、とまでは考えなかったんでしょう。(セキュリティ想定が足りなかったんでしょう。)猜疑心にとらわれると思考が嵌りますよ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人
Rustさんなら (スコア:0)
ふせげた?
Re: (スコア:0)
防げない、実装の問題じゃないし
JNDI lookupという機能のせいなので
Re: (スコア:3, すばらしい洞察)
ログのパースでJNDI lookupを発生させようとする発想のせいだろ。スクリプト言語で言えばログの文字列に対してevalするようなものだ
Re: (スコア:0)
この機能、何で必要だったんですかね…NOLOOKUPとかいうオプションがあるあたり、作った側も「これ要るの」っていう疑問があったんじゃないですかね…誰かこれなくなると困るひと、コメントお願いします。
Re:Rustさんなら (スコア:1)
個人的には、「これが要る」と仮定しても、
(1)ログライブラリ側で実装する様なやり方は、ログライブラリの機能過剰(機能分散のバランス不良)
(2)セキュリティ対策として、信頼できるサーバリスト等の制限が不可欠(多分、ネットワーク設計側(ファイヤーウォール)でアクセスコントロールさせる想定だったと思う。マイクラサーバの様に直接の公開サーバで使われることを想定していなかった(想定が不十分だった)。)
ということと思う。
>作った側も「これ要るの」っていう疑問があったんじゃないですかね
これは、筋違いですよ。ふつうに考えて、NOLOOKUPの様なオプションは、デバッグ機能ですから。
使う人が少ないけど、デフォルト無効にするべき、とまでは考えなかったんでしょう。(セキュリティ想定が足りなかったんでしょう。)
猜疑心にとらわれると思考が嵌りますよ。