From tsujioka @ m-s.co.jp Wed Oct 7 17:01:04 2009 From: tsujioka @ m-s.co.jp (kunitsuji) Date: Wed, 07 Oct 2009 17:01:04 +0900 Subject: [Usagi-developer 111] =?iso-2022-jp?b?R29vZ2xlTWFwGyRCJE4bKEJBUEkbJEIlUCE8JTglZyVzGyhC?= =?iso-2022-jp?b?GyRCSlE5OSRLSDwkJkJQOnYbKEI=?= Message-ID: <91CA4724514F5Etsujioka@m-s.co.jp> kunitsujiです。 GoogleMapにて、APIバージョンの変更に伴い、既存のソースでマップ表示の際に エラーがでていました。 修正を行いました。 パッチはredmineに添付しています。 http://usagi-project.org/redmine/issues/show/283 今回の対策で変更のあったファイルは、3ファイル gmaps/mapcmd.php googlemapsapi.php js/javascripts/mapset.js となります。 From kenji.uui @ gmail.com Thu Oct 8 09:25:48 2009 From: kenji.uui @ gmail.com (Kenji Suzuki) Date: Thu, 8 Oct 2009 09:25:48 +0900 Subject: [Usagi-developer 112] Re: =?iso-2022-jp?b?R29vZ2xlTWFwGyRCJE4bKEJBUEkbJEIlUCE8JTgbKEI=?= =?iso-2022-jp?b?GyRCJWclc0pROTkkS0g8JCZCUDp2GyhC?= In-Reply-To: <91CA4724514F5Etsujioka@m-s.co.jp> References: <91CA4724514F5Etsujioka@m-s.co.jp> Message-ID: <20091008092548.32702d4f.kenji.uui@gmail.com> Kenji です。 On Wed, 07 Oct 2009 17:01:04 +0900 kunitsuji wrote: > kunitsujiです。 > > GoogleMapにて、APIバージョンの変更に伴い、既存のソースでマップ表示の際に > エラーがでていました。 > > 修正を行いました。 > パッチはredmineに添付しています。 > > http://usagi-project.org/redmine/issues/show/283 不具合が発見され、パッチが更新されています。 新しいパッチは、 http://usagi-project.org/redmine/issues/show/284 に添付されています。 http://usagi-project.org/redmine/issues/show/283 にある古いパッチは紛らわしいので削除しました。 // Kenji > 今回の対策で変更のあったファイルは、3ファイル > > gmaps/mapcmd.php > googlemapsapi.php > js/javascripts/mapset.js > > となります。 > > _______________________________________________ > Usagi-developer mailing list > Usagi-developer @ lists.sourceforge.jp > http://lists.sourceforge.jp/mailman/listinfo/usagi-developer From tsujioka @ m-s.co.jp Thu Oct 8 19:25:05 2009 From: tsujioka @ m-s.co.jp (kunitsuji) Date: Thu, 08 Oct 2009 19:25:05 +0900 Subject: [Usagi-developer 113] =?iso-2022-jp?b?Q0kbJEIkThsoQlhTU19DTEVBThskQiRLJEQkJCRGGyhC?= Message-ID: <94CA48019A6F32tsujioka@m-s.co.jp> kunitsujiです。 現在CIでは、ヴァリデーションでXSS_CLEANを指定した場合、 [remove]等で置き換わってしまいます。 これはMyNETS2でそのまま使ったほうがいいのか、基本的に入力されたものはそ のまま扱ったほうがいいのか、ご意見ください。 ※出力時にはサニタイズする必要がありますが。 From kenji.uui @ gmail.com Thu Oct 8 19:38:45 2009 From: kenji.uui @ gmail.com (Kenji Suzuki) Date: Thu, 8 Oct 2009 19:38:45 +0900 Subject: [Usagi-developer 114] Re: =?iso-2022-jp?b?Q0kbJEIkThsoQlhTU19DTEVBThskQiRLJEQkJCRGGyhC?= In-Reply-To: <94CA48019A6F32tsujioka@m-s.co.jp> References: <94CA48019A6F32tsujioka@m-s.co.jp> Message-ID: <20091008193845.56933e23.kenji.uui@gmail.com> Kenji です。 On Thu, 08 Oct 2009 19:25:05 +0900 kunitsuji wrote: > kunitsujiです。 > > 現在CIでは、ヴァリデーションでXSS_CLEANを指定した場合、 > [remove]等で置き換わってしまいます。 > > これはMyNETS2でそのまま使ったほうがいいのか、基本的に入力されたものはそ > のまま扱ったほうがいいのか、ご意見ください。 一概に言えないと思います。アプリというか入力値に依存するんじゃないでしょうか。 タグを許可する入力の場合は、要検討でしょうか。 私は、勝手に入力値が [remove] などに変わるのは嫌ですし、重いため、基本的には 使いません。 あと、xss_clean がどこまで安全なのかは、よくわかってません。 // Kenji From tsujioka @ m-s.co.jp Thu Oct 8 20:14:23 2009 From: tsujioka @ m-s.co.jp (kunitsuji) Date: Thu, 08 Oct 2009 20:14:23 +0900 Subject: [Usagi-developer 115] Re: =?iso-2022-jp?b?Q0kbJEIkThsoQlhTU19DTEVBThskQiRLJEQkJCRGGyhC?= In-Reply-To: <20091008193845.56933e23.kenji.uui@gmail.com> References: <94CA48019A6F32tsujioka@m-s.co.jp> <20091008193845.56933e23.kenji.uui@gmail.com> Message-ID: <95CA48087D8306tsujioka@m-s.co.jp>  kunitsujiです。 Kenjiさん。 CMSなどではすべて取り除くものもありますね。MyNETSはもともとタグも受け付 けるタイプなので、あえて取り除くのはどうなのかなと思っています。 設定として、タグを受け付けるか受け付けないか、ということで受け付けないと いう設定を持たせて判断するしかないですかね。 受け付ける場合 そのままサニタイズして表示 受け付けない場合 取り除いてしまう。 MyNETSのデフォルトの部分なので、XSS_CLEANの扱いを決めたいと思います。 >Kenji です。 > > >On Thu, 08 Oct 2009 19:25:05 +0900 >kunitsuji wrote: > >> kunitsujiです。 >> >> 現在CIでは、ヴァリデーションでXSS_CLEANを指定した場合、 >> [remove]等で置き換わってしまいます。 >> >> これはMyNETS2でそのまま使ったほうがいいのか、基本的に入力されたものはそ >> のまま扱ったほうがいいのか、ご意見ください。 > >一概に言えないと思います。アプリというか入力値に依存するんじゃないでしょうか。 >タグを許可する入力の場合は、要検討でしょうか。 > >私は、勝手に入力値が [remove] などに変わるのは嫌ですし、重いため、基本的には >使いません。 > >あと、xss_clean がどこまで安全なのかは、よくわかってません。 > > >// Kenji > >_______________________________________________ >Usagi-developer mailing list >Usagi-developer @ lists.sourceforge.jp >http://lists.sourceforge.jp/mailman/listinfo/usagi-developer From kenji.uui @ gmail.com Thu Oct 8 20:26:04 2009 From: kenji.uui @ gmail.com (Kenji Suzuki) Date: Thu, 8 Oct 2009 20:26:04 +0900 Subject: [Usagi-developer 116] Re: =?iso-2022-jp?b?Q0kbJEIkThsoQlhTU19DTEVBThskQiRLJEQkJCRGGyhC?= In-Reply-To: <95CA48087D8306tsujioka@m-s.co.jp> References: <94CA48019A6F32tsujioka@m-s.co.jp> <20091008193845.56933e23.kenji.uui@gmail.com> <95CA48087D8306tsujioka@m-s.co.jp> Message-ID: <20091008202604.9fcea042.kenji.uui@gmail.com> Kenji です。 On Thu, 08 Oct 2009 20:14:23 +0900 kunitsuji wrote: >  kunitsujiです。 > > Kenjiさん。 > CMSなどではすべて取り除くものもありますね。MyNETSはもともとタグも受け付 > けるタイプなので、あえて取り除くのはどうなのかなと思っています。 MyNETS は、タグを受け付けるんですか?今は、受け付けないですよね。 BBCode 使ってますし。 > 設定として、タグを受け付けるか受け付けないか、ということで受け付けないと > いう設定を持たせて判断するしかないですかね。 > > 受け付ける場合 > そのままサニタイズして表示 これは、xss_clean() して終わりということでしょうか? > 受け付けない場合 > 取り除いてしまう。 タグを受け付けない場合は htmlspecialchars() かけるだけで済みます。 // Kenji > MyNETSのデフォルトの部分なので、XSS_CLEANの扱いを決めたいと思います。 > > >Kenji です。 > > > > > >On Thu, 08 Oct 2009 19:25:05 +0900 > >kunitsuji wrote: > > > >> kunitsujiです。 > >> > >> 現在CIでは、ヴァリデーションでXSS_CLEANを指定した場合、 > >> [remove]等で置き換わってしまいます。 > >> > >> これはMyNETS2でそのまま使ったほうがいいのか、基本的に入力されたものはそ > >> のまま扱ったほうがいいのか、ご意見ください。 > > > >一概に言えないと思います。アプリというか入力値に依存するんじゃないでしょうか。 > >タグを許可する入力の場合は、要検討でしょうか。 > > > >私は、勝手に入力値が [remove] などに変わるのは嫌ですし、重いため、基本的には > >使いません。 > > > >あと、xss_clean がどこまで安全なのかは、よくわかってません。 > > > > > >// Kenji > > > >_______________________________________________ > >Usagi-developer mailing list > >Usagi-developer @ lists.sourceforge.jp > >http://lists.sourceforge.jp/mailman/listinfo/usagi-developer > > _______________________________________________ > Usagi-developer mailing list > Usagi-developer @ lists.sourceforge.jp > http://lists.sourceforge.jp/mailman/listinfo/usagi-developer From tsujioka @ m-s.co.jp Sun Oct 11 17:33:07 2009 From: tsujioka @ m-s.co.jp (kunitsuji) Date: Sun, 11 Oct 2009 17:33:07 +0900 Subject: [Usagi-developer 117] Re: =?iso-2022-jp?b?Q0kbJEIkThsoQlhTU19DTEVBThskQiRLJEQkJCRGGyhC?= In-Reply-To: <20091008202604.9fcea042.kenji.uui@gmail.com> References: <94CA48019A6F32tsujioka@m-s.co.jp> <20091008193845.56933e23.kenji.uui@gmail.com> <95CA48087D8306tsujioka@m-s.co.jp> <20091008202604.9fcea042.kenji.uui@gmail.com> Message-ID: <9BCA4A4D754CA5tsujioka@m-s.co.jp>  kunitsujiです。 タグを受け付けるというのは、というタグが入力されたら、それをそのま ま表示するということで、タグ入力を何かに変換するということではないです。 そういう意味では「受付ない」ということですね。 自分がいとしている受け付けないというのは CMSでよくある「取り除く」ということで、MyNETSでは取り除くことはしていま せん。 Kenjiさんのいう「受付ない」ということです。(笑) >Kenji です。 > > >On Thu, 08 Oct 2009 20:14:23 +0900 >kunitsuji wrote: > >>  kunitsujiです。 >> >> Kenjiさん。 >> CMSなどではすべて取り除くものもありますね。MyNETSはもともとタグも受け付 >> けるタイプなので、あえて取り除くのはどうなのかなと思っています。 > >MyNETS は、タグを受け付けるんですか?今は、受け付けないですよね。 >BBCode 使ってますし。 > > >> 設定として、タグを受け付けるか受け付けないか、ということで受け付けないと >> いう設定を持たせて判断するしかないですかね。 >> >> 受け付ける場合 >> そのままサニタイズして表示 > >これは、xss_clean() して終わりということでしょうか? > > >> 受け付けない場合 >> 取り除いてしまう。 > >タグを受け付けない場合は htmlspecialchars() かけるだけで済みます。 > > >// Kenji > > >> MyNETSのデフォルトの部分なので、XSS_CLEANの扱いを決めたいと思います。 >> >> >Kenji です。 >> > >> > >> >On Thu, 08 Oct 2009 19:25:05 +0900 >> >kunitsuji wrote: >> > >> >> kunitsujiです。 >> >> >> >> 現在CIでは、ヴァリデーションでXSS_CLEANを指定した場合、 >> >> [remove]等で置き換わってしまいます。 >> >> >> >> これはMyNETS2でそのまま使ったほうがいいのか、基本的に入力されたものはそ >> >> のまま扱ったほうがいいのか、ご意見ください。 >> > >> >一概に言えないと思います。アプリというか入力値に依存するんじゃないでしょう >> >か。 >> >タグを許可する入力の場合は、要検討でしょうか。 >> > >> >私は、勝手に入力値が [remove] などに変わるのは嫌ですし、重いため、基本的に >> >は >> >使いません。 >> > >> >あと、xss_clean がどこまで安全なのかは、よくわかってません。 >> > >> > >> >// Kenji >> > >> >_______________________________________________ >> >Usagi-developer mailing list >> >Usagi-developer @ lists.sourceforge.jp >> >http://lists.sourceforge.jp/mailman/listinfo/usagi-developer >> >> _______________________________________________ >> Usagi-developer mailing list >> Usagi-developer @ lists.sourceforge.jp >> http://lists.sourceforge.jp/mailman/listinfo/usagi-developer > >_______________________________________________ >Usagi-developer mailing list >Usagi-developer @ lists.sourceforge.jp >http://lists.sourceforge.jp/mailman/listinfo/usagi-developer From kenji.uui @ gmail.com Tue Oct 13 11:17:27 2009 From: kenji.uui @ gmail.com (Kenji Suzuki) Date: Tue, 13 Oct 2009 11:17:27 +0900 Subject: [Usagi-developer 118] Re: =?iso-2022-jp?b?VVJMIBskQj1oTX0kTjJ+TkkbKEI=?= In-Reply-To: <20090925103047.06eacec2.kenji@club.h14m.org> References: <20090925103047.06eacec2.kenji@club.h14m.org> Message-ID: <20091013111727.15261414.kenji.uui@gmail.com> Kenji です。 On Fri, 25 Sep 2009 10:30:47 +0900 Kenji wrote: > たけぴさん作成の以下の URL 処理の改良を trunk にマージしたいと思います。 http://usagi-project.org/redmine/issues/show/289 コミットしました。 // Kenji > <追加/修正内容> > 1. 外部公開日記を公開日記画面で閲覧したときに、日記に記載されている他の日記へのURLを外部公開日記へのURLに変換して表示する。 >  ※ 要望 #29 に部分的に対応。 > > 2. 日記へのリンクの表示文字列を以下のように編集。 >  1) 公開日記画面で閲覧し、かつ、リンク先の日記の公開範囲が「外部公開」以外の場合 >  表示文字列に「【このページの公開は制限されています】」と表示する。 > >  2) リンク先の日記の作成者がログインユーザの場合、表示文字列から敬称(さん)を削除する。 > >  3) ログインユーザが、リンク先の日記の閲覧権限が無い場合(アクセスブロック、または、公開範囲設定) >  表示文字列に「【このページの公開は制限されています】」と表示する。 > >  4) 上記以外の場合 >   従来通りの表示文字列を表示する。 > > 3. トピックへのリンクの表示文字列を以下のように編集。 >  1) リンク先のトピックが属するコミュの公開範囲が非公開('auth_commu_member')で、かつ、ログインユーザが該当コミュに参加していない場合は、 >  表示文字列に「【このページの公開は制限されています】」と表示する。 > >  2)上記以外の場合、 >  表示文字列からトピック作成者名を削除し、コミュ名を追加。 >  ※ 要望 #89 に部分的に対応。 > > 4. イベントへのリンクの表示文字列を以下のように編集。 >  1) リンク先のイベントが属するコミュの公開範囲が非公開('auth_commu_member')で、かつ、ログインユーザが該当コミュに参加していない場合は、 >  表示文字列に「【このページの公開は制限されています】」と表示する。 > >  2)上記以外の場合、 >  表示文字列にコミュ名を追加。 > > > // Kenji > > _______________________________________________ > Usagi-developer mailing list > Usagi-developer @ lists.sourceforge.jp > http://lists.sourceforge.jp/mailman/listinfo/usagi-developer