作者: 藤岡和夫
日時: 2006/6/04(08:04)
藤岡です。早速コメントありがとうございます。

On Sun, 04 Jun 2006 00:14:48 +0900
KIMURA Koichi <kbk@...> さんwrote:

> スクリプトを拝見しました。
> いくつか気になった点がありましたので指摘します。
> 
> ・Perl5.8を対象にするならば open は三引数バージョンを使うべきではないか?

 そうですね。open FILEHANDLE, MODE, EXPR のようにMODEとファイル名を分離
すべきですね。入力なので、MODEはなくてもよいわけですけど、わざわざ付けて
いるから(^^;)

> ・XSS脆弱性がある

 XSS脆弱性については、もう少し勉強してみます。実際のところ、攻撃に晒さ
れる可能性のあるWebサイトに置くCGIについて、何か記事を書くことは大変でしょ
う。デスクトップに置く場合もセキュリティ上の問題をまったく考える必要がな
いということはないでしょうが、基本的にはすべて自分の制御下で行われるので
問題はないのではと考えています。ただ、人の作ったものをチェックせずに使う
のは危険でしょう。スクリプトはすべて見えるので、内容が理解できれば安心で
すね。注意事項として、次回の記事では言及しておこうと思います。

 GoogleのようにWeb検索時にGoogleデスクトップにもパラメータを渡して表示
させるということもできますから、Webからデスクトップにもアクセスできない
わけじゃないです。これはおもしろいテクニックだと思っているのですけど。

> ・使っている気配がないサブルーチンがソースにある

 おっしゃるとおりですね。削除し忘れでした(^^;)

> 2番目のXSS脆弱性は、正確にはそれに繋がるものとすべきでしょうが
> (表に出るCGIではないから)、曲がりなりにもCGIと呼ばれる性質の
> プログラムである以上、やるべきことはやっておかなければ
> ならないと思います。初心者が対象ならなおさらです。
> 
> その点で言えば、CGI.pmを使うことを前提にしたことは良いと
> 思いますが、パラメータを取るためだけに使うのはちょっと
> もったいないです。HTMLデータを吐くところでももっと積極的に
> 使ってよかったと思います。せめてヘッダ部分だけでも。
> 
> まあ使い慣れないとかあったかもしれませんが。

 そうですね。これは私の趣味の問題がありますね。テキストを単に出力したり、
加工するだけの処理に他の方法をわざわざ覚えるのが好きになれないというか。

 今回の場合は、使おうかなと思ったのですが、ヘッダでcharsetを指定したの
で、この場合はどうするのだろうと思って止めちゃったんですね。

> これからを期待しています (^^)

 ありがとうごさいます。

藤岡 和夫
kazuf@...
TS Networkのために http://homepage1.nifty.com/kazuf/