銀杏の木

rNote-re で使用している XMLRPC サーバ rn_xmlrpc.php を修正し、 ssl での転送に対応した。

fsockopen() に指定する url の先頭に ‘ssl://’ を追加したり、 http となっているところを https に変更したりしただけなので、これで本当に対応できているかはよく分からないが、とりあえずは動作しているようだ。

.Net は、これまでに、 Windows 限定の .Net Framework と、 Linux などのマルチプラットフォームに対応した .Net Core という２系統に枝分かれしていた。

.Net 5 の登場で、この２系統が１つに統合される。（ただし、 .Net Framework は今後もバグフィックス等のメンテナンスは継続される。）

その上で、 .Net Framework から Windows Forms が移植されるという話だ。とは言え、 Windows Forms は Windows 版限定で .Net Core 3.0 にも既に移植されている。

ともあれ、今回は、 .Net Framework と .Net Core が一つにまとめられるという話なので期待したのだが、 .Net 5 での Windows Forms の移植も Windows 版限定となるようだ。

つまり結局、これから先の未来においても、 .Net Framework で作成された Windows 用の GUI アプリケーションの Linux への移植では、 GUI 絡みの動作の部分が丸ごと「使えない」ままということだ。ほぼそのままでマルチプラットフォーラム化できるのは、コマンドアプリのみ、ということになる。

これでは、何のためのクロスプラットフォーム、マルチプラットフォーラム化なのか分からない。

なぜ、OSに強く依存していない部分だけでも、マルチプラットフォーム環境で Windows Forms を実装しないのか。少なくない部分がそうだと思う。フォームと、主に使われるコントロールだけでも実装すればいいのに・・・。

ご丁寧に、

http://red-souls.jp/ichounoki/rnote/software/?d="><script >alert(String.fromCharCode(88,83,83))</script>&p=3

と言う風にアクセスしてくださった方がおられたので、 XSS（クロスサイトスクリプティング）というものの存在に気づいた。

気づいたので対処した。 rNote-re に対処したのだが、 rNote の rnote.php がもっていた問題なので、題名は「 rNote に・・・」とした。

CVE Details に rNote の脆弱性についての記述があった。 GET で取得するパラメータ d と u に、スクリプトを埋め込まれると実行してしまう脆弱性があるとのことだったので、そのあたりを修正し、スクリプトを埋め込まれても実行されないようにした。

まあ、結果的に脆弱性を消すことができたのでよかったのだろうが、わざわざこんな人の来ないようなブログに来て XSS を埋め込んでくるとは、世の中には暇人もいたもんだと呆れた。

table タグの属性 cellspacing="0" cellpadding="0" は、 HTML5 では廃止されているので、スタイルシートを使って、

style="border-collapse:collapse; border-spacing:0px; padding:0px;"

のように記述し代替する。

rNote-re の管理者用のプラグインである、オン書きエディタ（ rnotepad ）を修正した。

エディタの機能を用いて URL のボタンを押してリンクを貼った場合に、リンクとして挿入される　URL に含まれる＆が＆ａｍｐ；に置換されるようにした。（＜、＞、’、”も同様。）

ただし、手書きで URL を打ち込んだ場合や、記事のタイトルに URL を手打ちした場合は、自分で＆ａｍｐ；と入力する必要がある。記事中に文字として＆を入力する場合も同様。

理由は、「投稿」ボタンが押されたら自動的に＆などをエンコードするのであれば、手打ちで＆ａｍｐ；と打ってある＆までエンコードされてしまうし、文字として＜を入力している場合はエンコードしてもいいが、タグの一部として入力されていた場合もエンコードしてしまう。「URL」ボタンでリンクを貼るとき以外に自動エンコードしないのは、これらの場合に自動で判断がつけられないからだ。