Исправление ошибки в*движке генерации*НTML для*гипертекстового Фидонета

Mithgol the Webmaster написал(а) к All в Jun 18 03:45:06 по местному времени:


Вечером 27*июня я*с*неудовольствием увидел, как*в*RSS-потоке на*основе моего фидонетовского блога (эхоконференции Ru.Blog.Mithgol) из*сообщения area://Ru.Blog.Mithgol?msgid=2:50/88+5b334ae7 создаётся такой*НTML, в*котором посередине*мусор, и*некоторые строгие читальники (сайт*LiveJournal, например) даже отказываются воспроизводить эту*блогозапись далее*середины.

Уделив несколько*часов отладке, я*убедился в*том, что*моему*движку абстрактных синтаксических деревьев, лежащему в*основе генерации кода*НTML из*фидопочты, недоставало рекурсии, поэтому при*определённых обстоятельствах (впервые*так сложившихся за*много*лет работы над*этой*затеей) специальные символы внутри альтернативного*текста (призванного заменить*собою некоторую*картинку в*случае невозможности показать*её) могли*быть незаэкранированы и*порушить стройность окружающего гипертекста.

Движок я*починил, но*теперь всем*пользователям, использующим какое*угодно из*моих фидонетовских приложений, имеющих*дело с*гипертекстом, предлагаю пренепременно обновиться по*шагам:

1) Скопировать конфигурацию приложения в*безопасное*место.

2) Стереть приложение.

3) Заново установить по*инструкции (файл*README на*сайте*приложения на*GitНub).

4) Заново накатить ранее*скопированную конфигурацию.

Шаги 1 и*4 нужны только в*том случае, когда у*приложения есть*конфигурация, хранящаяся в*файле. (Например, у*Fido2RSS её*нет, а*приложение управляется из*командной*строки.)

Прежде всего необходимость обновления касается пользователей приложений Fido2RSS, PhiDo, FidoEdit, fido2twi и*twi2fido.

Обновление это я*рекомендую совершить с*разумною быстротою, не*откладывая на*целую*неделю, например. На*то есть две*причины.

Первая*причина заключается в*том, что*для*обновления требуется соединение с*Интернетом (а*в*случае с*PhiDo или*FidoEdit ── ещё*и*достаточно хорошее, потому*что скачивать сотни мегабайтов). Между*тем с*1*июля в*действие вступает печально*известный закон*Яровой, во*много-много раз (по*некоторым сведениям ── на*порядки) увеличивающий издержки провайдеров, так*что Сеть*Интернет в*России во*второй половине*года ждёт такое мрачное будущее, которое никто*из*нас, возможно, даже*и*вообразить сейчас не*в*состоянии. Лучше управиться до*этого.

Вторая*причина заключается в*том, что*всякая такая ошибка, которая в*код*НTML позволяет при*некоторых обстоятельствах насовать неэкранированные спецсимволы, способна привлечь внимание пытливых личностей, которые путём ряда*экспериментов могут*попробовать создать уязвимость XSS с*её*помощью. Успех этих*экспериментов я*не*исключаю.

Что*же*касается читателей моего*блога, то*им поневоле пришлось*увидать, что*сообщение от*00:53:08 28*июля содержит несколько тех микроблогозаписей из*Твиттера, которые в*предшествующем сообщении (11:29:26 27*июля) были*уж однажды выложены в*Фидонете. Такое*дублирование было*совершено для*проверки (и*то проверочное сообщение, в*каком у*меня ошибка проявилась вчера, было*среди продублированных), и*проверка показала, что*ранее*обнаруженная ошибка была*мною устранена. Исходному*коду я*также устроил покрытие дополнительными тестами, исключающими её*появление обратно.


* изначально написано в эхоконференцию Ru.Blog.Mithgol
* также было отослано в эхоконференцию Ru.FTN.Develop


Фидонет будет великим и гипертекстовым! [Ru.Mozilla] http://Mithgol.Ru/
Mithgol the Webmaster. [Братство Нод] [Team А я меняю subj]

... Надпись на зеркале: "Другие не лучше". (Александр Дашевский)
--- Эшелону: zipgun налоги TRV ERV rednoise психические военные действия СССР