ついさっき、りすと亭Beta-24を公開しました。
いくつかの小さいバグ取り。実験Webサービスインターフェースの添付。XSS対策。等々……。
やることは盛りだくさんです。しかも、まだやるべき作業が山積しています。これで、本当に正式版をリリースできるのでしょうか。
まあ、やることが多いということは、裏を返せばしっかりとした手応えがあるということでもあります。
もうちょっと頑張らねばなりませんね。
そういえば、XSS対策の件はちゃんと書いていなかったかも知れないので書きます。今回のバージョンでは、添付ファイルをWebブラウザから見るとき、そのままファイル内容を返送しないようにしました。具体的には、plain/text, image/bmp, image/png, imgae/gif, image/tiff以外の場合、Content-Disposition: attachment; filename=……というようなヘッダーを追加して、りすと亭を実行しているホストからファイルを開かないようにしました。これにより、同じホスト上の別のサービスに対して「同じホストからのリクエストだから信用して受け付けなさい」という攻撃をある程度防止したいと考えています。
しかし、1点だけ問題があって、この方法を使うと、どうも自由な文字をファイル名に指定できないようなのです。そのため、US-ASCIIで表現しきれない範囲のファイル名は、システム側が適当なファイル名を付加するようにしています。この仕様が是か非かは良く分かりませんが。ご意見のある方はお寄せ下さい。