【node.js】サーバサイドjavascript 4【io.js】 [無断転載禁止]©2ch.net
■ このスレッドは過去ログ倉庫に格納されています
>>104
そんなもの言われなくても実装して当然ですよ。今どき。 >>105
LL言語でインストーラーなんて聞いたことがないが? どうやったところでXSSを克服できない限りおもちゃ扱いだろ
業務にElectronアプリ使ってXSSで機密情報盗まれましたとか目も当てられんわ >>107
そのアプリで特定のドメインだけに接続するようにすれば
XSSは簡単に克服できるよ まあそれ以前にXSSを克服してないはずの
ウェブがこれだけ世界を支配してるんだけどね。 テキストファイル開いただけでホストの権限取られる脆弱性はウェブにはないわ テキストファイル(例~/.ssh/以下)開いただけでホストの権限取られるからな
ネイティブアプリは こういうバカに騙されないように知らない人に説明すると
ElectronはXSSの仕込まれたHTML開くだけでPC乗っ取られることがバレてから
まともな開発者はElectronから手を引きました
JSだけが拠り所の低能キチガイNode信者の言うことを真に受けないようにしましょう >>106
馬鹿かてめぇは。
言語の問題じゃねぇだろ >>108←セキュリティ問題が各所で指摘されてることもわからないアホ >>107
>>112
>>110
だな。しかしElectron開発者のキモヲタ連中は全く改善しようともしていない。
Node.jsの連中も然りだけれどな。
内紛起こして分裂はするわ、npm停止させて問題起こすわ、このコミュニティは
ちょっと問題ありすぎ。 >>112
横からだけど情報thx
様子見してただけだったが良かった >>117
ま、正直言わせてもらうけれど、サーバサイドやるならNode.jsなんて
やめておいたほうがいいですよ。実用レベルには至っていないから。
特にElectronはね。
Node.jsのほうはコミュニティと開発者連中に頭のオカシイのが多いから
これまでも問題を起こしまくってるしね。いつまた分裂したりnpm止め
られたりするかわかったもんじゃないよ。 何をどうはねっかえりたいかわからん。
electronで外部のHTMLを開くという事を考えつく方がどうかしてる。
いわゆるアプリなら、得体の知れないdllをロードして叩くとか、得体のしれないモジュールをrequireするくらい頭おかしい行為なんだが。
あとは、モジュールを全部持つってのも、別にwebpackかなんかかけちゃえいいんでないの? 前提条件としてElectronを狙い撃ちにしたXSSが仕込まれたサイトを
Electronで見に行けば、任意のコードを実行させられることもありえるよね
という無理筋な話だよね >得体の知れないdllをロードして叩くとか、得体のしれないモジュールをrequire
python良く使うけどimportしただけで個人情報を外部サーバーに送信されるモジュールがあったら確かに怖いな 今eslint 2.9.0をインストールしてます
eslint 2.10が出てたので更新しようと思いnpm update -gを実行してもeslintが更新されません
何で更新されないんですか? 分裂騒ぎで悪いのはjoyentって企業だけどな
それでもjenkins、mariadbと複数の分裂騒ぎ起こして再統合しようともしないoracleよりマシ
最高に頭おかしいoracleが中心に居座ってるjava使うのもやめた方がいいってことだな nodejs作ってる人たちは無給で趣味でやってんの
それともお給料もらってやってんの >>121
そう。
レンダリングエンジンとしてHTML+cssを使ってるのであって、
ウェブページを見るもんじゃないの。
古い時代の素のphpなんかで、HTMLのヘッダ文を出すためだけに自分で書いたhtmlをrequireしたりするじゃん。
そういう物であって、外部コンテンツをそのまま表示させるものじゃない。 わかりやすさのためにHTMLを開くと書いたがテキストをはじめとするユーザー入力を表示するために
パースしてDOMに入れる行為にブラウザと同じくXSSのリスクがあってそれが実行アプリを越えて攻撃できるので危険度激大ということ
ウェブページのようにファイルをHTMLとして解釈させる必要などない
DOMに入れなきゃ表示できないんだからむしろすべてHTMLとさえ言える
VSCodeですらXSSの成功が報告されてて危なくて使えない
はっきり言ってこの程度のアンテナも張れない無能は初心者でもなければ技術者やめたほうがいいよ
こんな赤ちゃんみたいに懇切丁寧に説明されなきゃ理解できないなんてまともなプログラマなら恥ずかしくて死んじゃうぞ cssってスタイルシートですか?レベルのひとらが集まってる感じはします >>126
何言ってんだよ。
DOMにユーザ入力を入れるとか寝言だろ。
phpの、<input ....value="<?=$evi?>">レベルの話。
jQueryなんかでテキトーに組んでる程度の知識しかねえんじゃねえの? もしくはある程度evalしなきゃならんエディタと、普通のelectronアプリ混同してるのかな。 誰かさんもフロントエンジニアはレベルが低いって言ってましたし
仕方ないんじゃないでしょうか!? 低レベルなフロントエンジニアの崇めてるElectronアプリがいかに危険か擁護の低能さからよくわかりますね
HTMLタグに直接埋め込むなんてキチガイ行為がさらっと出てくる人には戦慄を隠せませんわ
この程度のスキルでXSSを防げると勘違いしてるパソコンの大先生がElectronアプリを作ってOSを危険に晒しているのです
みなさんも気をつけましょうね
Fin kik問題ごときで混乱するような連中だもの、程度なんか知れたもんだろ
ここではないどこか他に行くといい
馬鹿が感染っても責任は取れないぞ >>131
何言ってるのかわからん。
HTMLタグに直接埋め込むレベルのアホさを露呈したのはお前じゃねえの?
指摘されてる事に真摯に受け止めたらどうなんだろ。 とりあえずnode.jsできたサイトをXSSでハッキングしてみせてくれ >>131
君が言ってるのは悪意のあるテキストをElectronで開いたら、悪意のあるコードが実行されたってわけなんだけど
なぜ、開いた!ってことなんだよ
(メールで送られてきた)悪意のあるexeを実行したら、悪意のあるコードが実行されたってのと同レベルなわけだよ >>132
その時もここの連中のnpmに依存しない方法すら考えられないアマグラマっぷりには呆れたもんだ
公式で提供されてるのにどんだけ頭悪いんだよ
今回もド素人集団なのを再確認しただけだったな
他の言語だとまだ読めたスレがあるがこのスレはゴミとデマばかりだし捨てるか
初心者向け言語はせいぜい隔離所として役に立ってくれ 殺伐としたスレにシュレディンガーの猫が!
______
/ /|
┃ ̄ ̄ ̄ ̄ ̄┃ ┃< にゃー
┃ ┃ ┃
┃ ┃/
 ̄ ̄ ̄ ̄ ̄ ̄
_人人人人人人人人_
> 生 存 確 認 <
 ̄^Y^Y^Y^Y^Y^Y^Y^Y ̄ むしろ全てHTMLと言える、ってそうなんだけど、
だからといってそれはコンテンツとは地続きではないからな。
余程、こういった類の技術についていけず脅威だと思っているか、もしくは自分がXSSを避けるコーディングが出来ないから、そんなものはあり得ないと思い込んでいるかだろうな。 eslint 2.10.2でeslint-config-airbnbが使いたいので
kidotoyohiko$ubuntu: $ npm -g i eslint-config-airbnb eslint-plugin-import eslint-plugin-jsx-a11y eslint-plugin-react
ってしたんですけど
+-- UNMET PEER DEPENDENCY eslint@^2.9.0
+-- eslint-config-airbnb@9.0.1
+-- eslint-plugin-import@1.8.0
+-- eslint-plugin-jsx-a11y@1.2.0
`-- eslint-plugin-react@5.1.1
ってでました
今の段階ではeslint 2.9じゃないとだめってことですか? >>135
>悪意のあるexeを実行したら、悪意のあるコードが実行された
なんでそんな糞メーラー(=Electron)使ってるっつー話かと >>141
そら、メーラーで防いでも無駄だし、メーラーか防ぐべきもんじゃないからね。 検証もせずライブラリバンバン使ってるだろう性善説盲信者の劣等node民にはお似合い >>142
メーラーはメーラーらしくしてろってことだろう >>144
そうだね、だから、アプリケーションとして、外部のなんかとか、ユーザ入力を実行なんかしないように作らないとね。CSP化とか。 ここで質問しても答えられる奴がいなくて使い物にならねえ >>147
ごくごく当たり前の事だが、
「枠組みでどんなサンドボックスを用意しても割と抜け穴は有る」ので、「サニタイズしてないものを画面に出さない」
それだけ。
自作でも、既存のでも良いけどMVVMフレームワークでも使ってきちんと対応すればいいと思うよ。
vue.jsなんかだと、{{hoge}}で展開されるものは必ずエスケープされてるし、
エスケープされない{{{hoge}}}を使うと使ってるだけで警告出る。 >>147
人類にXSSは止められない
今までも止められたことはない、許されてただけ
だがElectron、てめーは影響範囲的にダメだ そもそも、XSSと言うが、その意図がわからんのだよね。
全然クロスじゃないでしょ、アプリとしてならば。
その中で、Webや信頼出来ないソースからテキトーに取った値を不用意に実行すると死ぬよって凄く当たり前の話。
自分のグローバルIPが知りたいからって言って
$piyo=`curl ..... | awk ....`
を、rootで動くスクリプトで叩くようなもん。 なんで馬鹿が食い下がるときは決まって言葉の定義に難癖つけはじめるんだろうな 序盤の段階でファイル名と行番号付きで指摘すべきだよな >>156
nodejs使いに信頼性を語られると鼻からスパゲティが飛び出しそうになるんですよ
食べてないのに
止めてもらえます? 適当に取ってきたライブラリは信用します
その結果、どこの誰とも知らない奴が癇癪を起こしただけでbabelの塔は崩れました
お見事に御座りまする node.jsに親でも殺されたんだろうか
粘着こわいわあ >>159
色んな言語で色々してるけど、どの言語でもそうだし、信頼性なんか語ってないよw
これを信頼性だというなら、お里が知れる。
最低限するべきこと。
>>160
適当には取らんだろ。
取ってソース読んでから使うよ。 信頼性云々は自分で調べたことないし知らんけど以下推測
node.jsのサーバ性能そのものは利用が進んで突き詰められていくとapacheと同じ様なもんになると思う
速い、大量リクさばける、省メモリ、と今思われているならそれは
今使ってる人が最低限必要なものだけやれるよう頭使って設計がんばってるから
apacheでもnginx(+cgi)でもチューンに精を出して不要なもの省いてどうしても必要ならモジュール開発すれば同じになるんじゃないか
これが正しければ最後にメリットとして残るのはjavascriptで書けるの一点になるだろうけど
いろいろnodeで書いてみた感想としてはめんどくさすぎ氏ねよダボが GoとErlang/ElixerがあるのにサーバーにNode選ぶ理由皆無
ユーザーとライブラリの水準や最低品質の点でも前者のほうが信用が置ける
まあ、JSerをサーバーとクライアント両方でこき使うのには向いてるんじゃないの netflixとかがnode選んでるというのにプププ nodeを速度で選ぶ意義は無いだろうな。
jsで書けるのは凄いメリットだと思うけどね。
手続き型に呪われた言語より余程書いてて納得行く。
>>164
Goはビルドとデプロイめんどい。
どうせビルドとデプロイが面倒ならScalaで書く。 nodeを大がかりに採用してる有名どころ
netflix
uber
airbnb
linkedin
paypal
walmart
groupon
ebay
dow jones
ny times
yahoo
facebook
instagram まともな開発者が使うなら何でもいいんだよ
nodeユーザーは一概にレベルが低いから信頼性の低いライブラリと化学反応を起こして爆発するのだ
今やPHPより酷かろう >>162
ソース読んだって開発者が癇癪起こすかどうかまで判断つきません
サードパーティーライブラリの信頼性とは開発主体の信頼性であり=ソースの信頼性ではない
馬鹿だから仕方ないけどズレた答えを返すものだね ここら辺でnodeユーザーの意識が他の言語の利用者と明らかに異なるってのが分かるよね >>169
バージョンを適当に定義するからでしょ。
バージョン限定で指定するんだよ。
npmに関して言えば、中身を変えるにはバージョン上げる必要があるからね。
お前らの想像してるnode.js使いのイメージがわからん。
ちょっとjQuery書けるから、サーバサイド書いてみました、みたいなアホばかりを想定してるんだろうか。 なんか、サーバサイド長いとこの流れ何度目だろうなって思うわ。
そしてどの言語のコミュニティもこれやるんだなぁ、って。
php3くらいの頃のperl使いのphp叩きとか、phpとruby同士での殺し合いとか。
誰もが自分が使ってる言語が唯一正しい言語だと思ってて、
それ以外は信頼性が無い(と言うか、その言語なりの信頼性の担保の仕方を知らないだけ)と思い込んでて、
んでこういう流れになる。
phpの本家にevalは邪悪じゃないかと言う超長いスレッドあったじゃん。
本家追っかけてたら知ってるとは思うけど。
同じ話してるからね。今。11年もかけて。 node-inspectorもっと軽快にならないの?
それだけじゃなくて
Uint8Arrayの中身見たら固まるとか
デバッガ接続すると終了時にassert失敗するとかもずっと直らない >>171
謙遜しなくていいよ
想定じゃなくてそんなアホしかいねーもん >>174
なるほど、railsででっち上げた「jsonを返すビュー」をjQueryで叩いて、値を画面に表示する、って事しか出来ない方々が流入してるのね。 どんなに有名人が採用してようがあなたの能力で扱えるとは別だということが分からない愚かなnodeユーザ この界隈には自分のバグを他人のせいにする香具師が多い ごめんねjqもまともに書いたことないのにnode module作ったりしてごめんね 煽り屋と餌やり屋の戯れ
野良猫みたいに殺処分と行政処分されねーかなー こういうのが沸くくらいnodeも普及してきたんだな
感慨深い >>180
あれ?そういうスレじゃないの?
ここでガチャガチャやってるうちは、他のスレに迷惑かかんないじゃんw
俺はいろんな言語やったけど、javascript面白いと思ってるよ。ひとによると言語仕様が破綻してると言われかねない仕様も含めて。
プロトタイプベースで、弱すぎる型付けで、nullはオブジェクトで、キャストが強引。
これは逆に他の言語には無い便利さだと思う。 >>181
黎明期は、それこそキチガイ扱いだったから、相手にされる程度に知名度上がったんだろう。
gaucheでcgi作るよりは少しだけ理解できて、かつ、わかりやすいディスりが出来るからね。 >>183
でも現状まだ、ピーエイチピーの牙城を切り崩すというスタート地点には立っていない
と言える。その辺のレンタルサーバのスタンダードモデルでも普通にnode.jsが使えるよ
うになって、はじめてスタート地点だ。 >>185
そりゃ無理でしょ。
phpは、Webサーバのページ代わりにftpて上げれば良いんだから。 ローカルにあるnpmパッケージをインストールしたいんですがなんてコマンドで出来ますか?
C:/packages/hogeがnpmのパッケージのパスです >>177
nodeすら扱えない無能を自覚してるのにこんなところで吠えてる人って・・・
2chがあってよかったね! React.jsとかじゃないの?
フレームワーク無しで作れるスキルは必要だけどフレームワーク無しなんてありえんわ react.jsはコミュ症が妙なアピールしてるせいでヘイト爆買いで好きだと言いづらいのが難 ヘイト爆買いとかいう用語がすらすら出てくる
人生が、キモいw どのレベルをマスターって言うんだ
将棋棋士で例えて ■ このスレッドは過去ログ倉庫に格納されています