<a class="info_title emj" href="https://togetter.com/li/25323" title="オンラインゴースト(仮)まとめ （その２）">オンラインゴースト(仮)まとめ （その２）

@mik_naruto @couperin @ponapalt @serikaro @mikage 「この門をくぐるもの、全ての絶望を捨てよ」

2010-05-30 12:36:31

@mik_naruto @SekiyaHiroshi サーバ側はAPIとして外部から投稿できるようにしたいので，その投稿用に扱いやすいさくらスクリプトに代わるフォーマットがあったらいいなぁと…．さくらスクリプトだと（実害ないけど）XSSぽいこと起きやすそうですし．

2010-05-30 12:51:14

@mikage @SekiyaHiroshi サーバ側で危険な可能性のあるタグを弾く方法でいいんでないかと…。簡便な記法にしたって結局何らかのパースがいるわけで、\0とか\1とか数種類のタグだけ見るのと何も変わらない気がします。ボトルでそれで問題起きてないし

2010-05-30 12:53:49

@mikage @SekiyaHiroshi 勿論しつこいですが、エンドユーザにスクリプトを見せろという意味ではなく、内部処理のプリミティブなフォーマットはさくらスクリプトでいいのではという意味です

2010-05-30 12:54:53

@mik_naruto @mikage んで、そう言うのがよく分からない、と言う人向けに、里々みたいなのもあるとベスト、と。SARSみたいなものがあれば済むかな？スクリプトが分からない人はSARS的なものを使い、分かる人はスクリプトを直に書く、みたいな。

2010-05-30 12:57:40

@mik_naruto @SekiyaHiroshi サーバ->クライアントアプリはいいのですが，外部ユーザのプログラム->サーバAPI，については大変かなと．外部ユーザがAPI使うたびにさくらスクリプトのタグの処理してくださいというのでは面倒ですし．

2010-05-30 12:58:03

@SekiyaHiroshi @mik_naruto あ，あと，ユーザが画面から入れるのを直接さくらスクリプトにするかは，選べればいいのかもですが．里々タイプかさくらスクリプトか．

2010-05-30 12:58:49

@mik_naruto @SekiyaHiroshi そう考えると，API呼び出しで投稿するときに里々方式が使えれば十分なのかなぁ．．．

2010-05-30 12:59:44

@mikage @SekiyaHiroshi さくらスクリプト以外の表記を使って投稿するようにすると、APIユーザ側にどんな省力化があるんですか? 「\hあああ\uううう\e」以上に簡便な記法は思いつかないのですが

2010-05-30 12:59:51

@mikage @mik_naruto なるさんが以前おっしゃってた、ライブラリ的なものがあれば済むような気もしますが……どうなのかな。

2010-05-30 13:01:10

@mik_naruto @SekiyaHiroshi プログラムで何かをスクリプトの中に差し込もうとしたときに，差し込み内容の中に何らかのさくらスクリプトが入っていないか？というチェックが不要になります．

2010-05-30 13:02:11

@mik_naruto @SekiyaHiroshi ライブラリがあっても，自分の使いたい言語用があるかどうかは…．例えば今のなるさんのActionScriptだったらサーバ側で動かすの大変そうですし．

2010-05-30 13:03:47

@mikage @SekiyaHiroshi ごめんなさい「差し込み」の意味が良く分からないですが、既に構文木寸前状態のものをserializeして送らせようということでしょうか

2010-05-30 13:05:20

@mikage @mik_naruto CGIの設計のまずさを突いて、変なコマンドを実行させられるような感じですか？＜差し込み。SQLなんとか、とか言う脆弱性で良く話題になりますが。さくらスクリプトなら、そこまで神経質にならなくてもいいんじゃないかな、とは思います。

2010-05-30 13:07:41

@mikage @SekiyaHiroshi ええ，構文木状態のものをJSONとかでserializeして送ると解釈に差異が生じない＆コードでの生成が楽じゃないかなぁと．

2010-05-30 13:07:52

@mikage @SekiyaHiroshi　例えばニュースのトピックを検索してトークの中に差し込むbot，みたいなものを考えたとき，ニュースの中に%や\があっても気にしなくていいかなぁと．あ，でも\と%を\\，%%にするだけ？

2010-05-30 13:08:54

@mikage @SekiyaHiroshi 会話の中に「\1,000」とか書いた場合に\\にエスケープし忘れると大変でしょ、とか、そういう話?　それは本当にエスケープするだけのような…

2010-05-30 13:09:20

@mikage @SekiyaHiroshi あれ，でも\は\\，%は%%なのかな．%を\%とかくとどうなるんだろう．（この辺実装で差があったりしないのかな）

2010-05-30 13:09:40

@mikage @SekiyaHiroshi それは10年前から一意に決まっていて「\→\\」、「%→\%」です。

2010-05-30 13:11:47

@SekiyaHiroshi @mik_naruto CGIとかでのそういうやつです．さくらスクリプトでも\![vanishmyself]とかやられたら嫌ですし，SSPでsaori呼び出されたら何が起きるか…

2010-05-30 13:12:54

@mik_naruto @SekiyaHiroshi 確かに差し込みは\と%をエスケープすれば済む話かも．．．

2010-05-30 13:13:45

@mikage @mik_naruto そもそもそう言う危険なタグを最初から実装しない、と言う手も(ぁ

2010-05-30 13:15:01