LINUX.ORG.RU

Mojolicious 9.11 с исправлением уязвимости

 ,


2

2

Mojolicious – это фреймворк для веб-приложений реального времени, написанный Себастьяном Риделем, создателем фреймворка для веб-приложений Catalyst.

Для устранения уязвимости в версии 9.11 была сломана обратная совместимость. Необходимо обновиться!

Суть изменений в отключении автоматического определения форматов. Например, маршруты, которые раньше обрабатывали запросы «/foo» и «/foo.json», впредь будут отзываться только на «/foo». Доступные форматы необходимо явно перечислять.

>>> Ссылка на коммит с исправлением

★★★★

Проверено: Shaman007 ()

Ответ на: комментарий от shimon

Метод render в 9.0 бросает исключение вместо генерирования 404 ошибки. При автоматическом определении форматов, если передать какой-нибудь мусор (в примере было /index.html%231212), render не найдёт шаблон и пожалуется об этом в лог. Соответственно, любой посетитель может целенаправленно генерировать такие ошибки и спамить в лог. Поэтому «we will consider this a security issue, but a fairly harmless».

sjinks ★★★ ()
Ответ на: комментарий от sjinks

Ага, ну я уже думал, что там можно было в бесконечный цикл войти или подсунуть какое-нибудь адское регулярное выражение.

shimon ★★★★★ ()
Ответ на: комментарий от sjinks

Ну и скорее философский вопрос — а как, по мнению лучших собаководов, реагировать на такое мусорное нечто? С одной стороны, ты хочешь ошибку в логе на случай, если ее породил твой же фронтэнд (в силу 100% покрытия тестами я верю примерно как в русалок-единорогов), а с другой стороны, ты не хочешь мусора в логах от запросов какого-нибудь васяна с Burp Suite или чем-нибудь подобным. Чо делать, как жить в общем случае?

shimon ★★★★★ ()
Ответ на: комментарий от shimon

С одной стороны, ты хочешь ошибку в логе на случай, если ее породил твой же фронтэнд … а с другой стороны, ты не хочешь мусора в логах от запросов какого-нибудь васяна с Burp Suite

Включать отладочные логи только на деве и тесте? Это же не бизнесовая ошибка, зачем ее на проде логировать.

Nervous ★★★★★ ()
Последнее исправление: Nervous (всего исправлений: 1)
Ответ на: комментарий от anonymous

Mojolicious is a real-time web framework, which allows a new class of web applications using WebSockets and having long-running requests without blocking.

Ясно, веб-сокеты..

anonymous ()
Ответ на: комментарий от wandrien

Лучше mojolicios пока фреймворка не придумали. Как в плане разработки/дебага, так и в плане развёртывания.

shell-script ★★★★★ ()

кто то ещё пишет на перл в 2021 году? что за проект? в чём прелесть по сравнению с альтернативами?

wtj12 ()
Ответ на: комментарий от perl5_guy

Mojolicious и Minion это отличный стэк, но в этой стране, судя по hh, совсем не востребован.

А в целом Perl на пост-советском пространстве еще шевелится :)

bitnoize ()
Ответ на: комментарий от wtj12

в чём прелесть по сравнению с альтернативами?

Прелесть в том, что даже не возникает желания никому ничего доказывать, просто пилишь себе в удовольствие.

level1 ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.