[B! seasar] irasallyのブックマーク

StrutsのClassLoader脆弱性はSAStrutsに影響しません - ひがやすを技術ブログ

Struts2に見つかった脆弱性と同様の脆弱性がStruts1系にも見つかりました。 Apache Struts 2の脆弱性が、サポート終了のApache Struts 1にも影響 HTTP(S)のリクエストでJavaのClassLoaderのメソッドが呼び出せてしまうという脆弱性です。もう少し噛み砕いて言えば、リクエストのパラメータをJavaBeansにセットする時に、リフレクションを使い、パラメータ名にaaa.bbb.cccのようなネストした名前をサポートしているフレームワークは同様の問題が起こる可能性があります。パラメータ名をclass.classLoader.xxxのような感じにして、ClassLoaderのメソッドを呼び出す訳です。このような問題を起こすリフレクションフレームワークで最も有名なのは、Apache Commons BeanUtilsです。リクエストのパラメータ

irasally 2014/04/27

このタイミングできちんと情報を出してくれるところが素晴らしい

リンク

Seasar2を新規案件に採用するのはそろそろやめたほうがいい - きしだのHatena

Seasar2の機能追加停止が宣言されてから、すでに6年弱たっています。 Seasar2.4に対する追加要望があれば、もちろん検討します。ただし、大きな変更や追加はもうないでしょう。 Seasar2の今後のロードマップ 2008-01-29 - ひがやすを blog後継になる予定だったSeasar3も開発が中止されて3年たちました。 Seasar3開発中止 2010-08-06 - ひがやすを blogここでSeasar2.5を出す方向で動くということでしたが、実現しませんでした。あのころSeasar2に関わっていた人も、ScalaがメインになったりNode.jsをさわったり、不本意ながらPHPをさわったり、さわってみるとPHPもそれほど悪くなかったり、やっぱりPHP気に食わなかったりと、いろいろな道を進んでいます。DIコンテナ自体の機能も時代遅れ感がでてきており、関連プロダクトも

irasally 2013/11/07

もう6年弱か

seasar
java

リンク

「Seasarの問題点など」にそろそろ一言いっておくか - ひがやすを技術ブログ

2009-01-29 最初に言っておくと、結構いい指摘だと思います。せっかくなので、私のほうでも答えましょう。だから、メンテナンスの不安の問題は、メンテナンスが行われてないということではなくて、メンテナンスが行われているのにメッセージとして発信されていないということだと思う。ひがさんは上にあげた以外にもちょこちょことSeasar2のメンテナンスは続けられるということをブログに書いているのだけど、やはりブログという刹那的な形態ではなく、公式サイトに常設されたメッセージとしてメンテナンスをやっていくよということを書いていないといけないと思う。これは、おっしゃるとおり。ただ、こういう政治的なメッセージは、理事会のほうから出したほうがいいと思います。そういう流れで、打ち合わせも進んでいたはず。私は、プロダクトを作ることに専念するために、理事を辞めたので、プロダクトを作ることに専念したい。そ

irasally 2009/01/30

リンク

2008-09-06

SAStrutsを触る機会があったので、いろいろと書いてみる。そもそもS2StrutsとSAStrutsの違いってなんなの？ってところから始まるわけなんですが・・・ひがさんのブログでは SAStrutsかS2Strutsか既にS2Strutsで開発している案件の追加開発ならS2Struts。 JDK1.4をつかうならS2Struts。それ以外は、SAStruts。とあったが、根本的に何が違うのかがよくわからなかった。私の印象では Strutsで開発をする場合にActionやActoinFormをコンポーネント化できたり、POJOとして開発できるようになったりというStrutsの拡張フレームワーク的な印象がある。 Strutsのラッパーフレームワークで、Strutsをベースにしているが利用者はStrutsを意識して開発する必要がない。︵MVCフレームワークをより単純化したフレー

irasally 2008/09/09

リンク

SAStruts が拡張性に乏しい？ - cypher256's blog

ユースケース毎のクラスで各実行メソッド毎にURLが決まるので、共通処理が書けない。ログインチェック処理とか。（未ログインだったらどこかのページにリダイレクトするとか）ここらへんは拡張に乏しい。 2008-09-06 方法は色々あると思いますが、例えば、PreProcessor の role を処理している部分をオーバーライドすれば、なんとでもできる気がします。URL やパス、パラメーターで判断したり、それがあれな場合は、@LoginRedirect(action = "/hoge") アノテーションみたいなのを作ってアクションで明示的に指定するとか。でもアノテーションはメソッド呼び出しのように、直接処理を追えないので開発者はみんな嫌いですけど。たぶん。特に俺々アノテーションは。関連することとして、前のプロジェクトでは AP サーバの BASIC 認証 (JDBC レルム) 機能を使用しま

irasally 2008/09/09

seasar
*tips

リンク

はてなブックマーク

タグ

関連タグで絞り込む (9)

seasarに関するirasallyのブックマーク (5)

お知らせ

今週のはてなブックマーク数ランキング（2024年7月第2週）

はてなブックマーク透明性レポート（2024年 2月-2024年4月）

今週のはてなブックマーク数ランキング（2024年7月第1週）

公式Twitter

キーボードショートカット一覧

はてなブックマーク

公式Twitter

はてなのサービス