【node.js】サーバサイドjavascript 4【io.js】 [無断転載禁止]©2ch.net
■ このスレッドは過去ログ倉庫に格納されています
とりあえずnode.jsできたサイトをXSSでハッキングしてみせてくれ >>131
君が言ってるのは悪意のあるテキストをElectronで開いたら、悪意のあるコードが実行されたってわけなんだけど
なぜ、開いた!ってことなんだよ
(メールで送られてきた)悪意のあるexeを実行したら、悪意のあるコードが実行されたってのと同レベルなわけだよ >>132
その時もここの連中のnpmに依存しない方法すら考えられないアマグラマっぷりには呆れたもんだ
公式で提供されてるのにどんだけ頭悪いんだよ
今回もド素人集団なのを再確認しただけだったな
他の言語だとまだ読めたスレがあるがこのスレはゴミとデマばかりだし捨てるか
初心者向け言語はせいぜい隔離所として役に立ってくれ 殺伐としたスレにシュレディンガーの猫が!
______
/ /|
┃ ̄ ̄ ̄ ̄ ̄┃ ┃< にゃー
┃ ┃ ┃
┃ ┃/
 ̄ ̄ ̄ ̄ ̄ ̄
_人人人人人人人人_
> 生 存 確 認 <
 ̄^Y^Y^Y^Y^Y^Y^Y^Y ̄ むしろ全てHTMLと言える、ってそうなんだけど、
だからといってそれはコンテンツとは地続きではないからな。
余程、こういった類の技術についていけず脅威だと思っているか、もしくは自分がXSSを避けるコーディングが出来ないから、そんなものはあり得ないと思い込んでいるかだろうな。 eslint 2.10.2でeslint-config-airbnbが使いたいので
kidotoyohiko$ubuntu: $ npm -g i eslint-config-airbnb eslint-plugin-import eslint-plugin-jsx-a11y eslint-plugin-react
ってしたんですけど
+-- UNMET PEER DEPENDENCY eslint@^2.9.0
+-- eslint-config-airbnb@9.0.1
+-- eslint-plugin-import@1.8.0
+-- eslint-plugin-jsx-a11y@1.2.0
`-- eslint-plugin-react@5.1.1
ってでました
今の段階ではeslint 2.9じゃないとだめってことですか? >>135
>悪意のあるexeを実行したら、悪意のあるコードが実行された
なんでそんな糞メーラー(=Electron)使ってるっつー話かと >>141
そら、メーラーで防いでも無駄だし、メーラーか防ぐべきもんじゃないからね。 検証もせずライブラリバンバン使ってるだろう性善説盲信者の劣等node民にはお似合い >>142
メーラーはメーラーらしくしてろってことだろう >>144
そうだね、だから、アプリケーションとして、外部のなんかとか、ユーザ入力を実行なんかしないように作らないとね。CSP化とか。 ここで質問しても答えられる奴がいなくて使い物にならねえ >>147
ごくごく当たり前の事だが、
「枠組みでどんなサンドボックスを用意しても割と抜け穴は有る」ので、「サニタイズしてないものを画面に出さない」
それだけ。
自作でも、既存のでも良いけどMVVMフレームワークでも使ってきちんと対応すればいいと思うよ。
vue.jsなんかだと、{{hoge}}で展開されるものは必ずエスケープされてるし、
エスケープされない{{{hoge}}}を使うと使ってるだけで警告出る。 >>147
人類にXSSは止められない
今までも止められたことはない、許されてただけ
だがElectron、てめーは影響範囲的にダメだ そもそも、XSSと言うが、その意図がわからんのだよね。
全然クロスじゃないでしょ、アプリとしてならば。
その中で、Webや信頼出来ないソースからテキトーに取った値を不用意に実行すると死ぬよって凄く当たり前の話。
自分のグローバルIPが知りたいからって言って
$piyo=`curl ..... | awk ....`
を、rootで動くスクリプトで叩くようなもん。 なんで馬鹿が食い下がるときは決まって言葉の定義に難癖つけはじめるんだろうな 序盤の段階でファイル名と行番号付きで指摘すべきだよな >>156
nodejs使いに信頼性を語られると鼻からスパゲティが飛び出しそうになるんですよ
食べてないのに
止めてもらえます? 適当に取ってきたライブラリは信用します
その結果、どこの誰とも知らない奴が癇癪を起こしただけでbabelの塔は崩れました
お見事に御座りまする node.jsに親でも殺されたんだろうか
粘着こわいわあ >>159
色んな言語で色々してるけど、どの言語でもそうだし、信頼性なんか語ってないよw
これを信頼性だというなら、お里が知れる。
最低限するべきこと。
>>160
適当には取らんだろ。
取ってソース読んでから使うよ。 信頼性云々は自分で調べたことないし知らんけど以下推測
node.jsのサーバ性能そのものは利用が進んで突き詰められていくとapacheと同じ様なもんになると思う
速い、大量リクさばける、省メモリ、と今思われているならそれは
今使ってる人が最低限必要なものだけやれるよう頭使って設計がんばってるから
apacheでもnginx(+cgi)でもチューンに精を出して不要なもの省いてどうしても必要ならモジュール開発すれば同じになるんじゃないか
これが正しければ最後にメリットとして残るのはjavascriptで書けるの一点になるだろうけど
いろいろnodeで書いてみた感想としてはめんどくさすぎ氏ねよダボが GoとErlang/ElixerがあるのにサーバーにNode選ぶ理由皆無
ユーザーとライブラリの水準や最低品質の点でも前者のほうが信用が置ける
まあ、JSerをサーバーとクライアント両方でこき使うのには向いてるんじゃないの netflixとかがnode選んでるというのにプププ nodeを速度で選ぶ意義は無いだろうな。
jsで書けるのは凄いメリットだと思うけどね。
手続き型に呪われた言語より余程書いてて納得行く。
>>164
Goはビルドとデプロイめんどい。
どうせビルドとデプロイが面倒ならScalaで書く。 nodeを大がかりに採用してる有名どころ
netflix
uber
airbnb
linkedin
paypal
walmart
groupon
ebay
dow jones
ny times
yahoo
facebook
instagram まともな開発者が使うなら何でもいいんだよ
nodeユーザーは一概にレベルが低いから信頼性の低いライブラリと化学反応を起こして爆発するのだ
今やPHPより酷かろう >>162
ソース読んだって開発者が癇癪起こすかどうかまで判断つきません
サードパーティーライブラリの信頼性とは開発主体の信頼性であり=ソースの信頼性ではない
馬鹿だから仕方ないけどズレた答えを返すものだね ここら辺でnodeユーザーの意識が他の言語の利用者と明らかに異なるってのが分かるよね >>169
バージョンを適当に定義するからでしょ。
バージョン限定で指定するんだよ。
npmに関して言えば、中身を変えるにはバージョン上げる必要があるからね。
お前らの想像してるnode.js使いのイメージがわからん。
ちょっとjQuery書けるから、サーバサイド書いてみました、みたいなアホばかりを想定してるんだろうか。 なんか、サーバサイド長いとこの流れ何度目だろうなって思うわ。
そしてどの言語のコミュニティもこれやるんだなぁ、って。
php3くらいの頃のperl使いのphp叩きとか、phpとruby同士での殺し合いとか。
誰もが自分が使ってる言語が唯一正しい言語だと思ってて、
それ以外は信頼性が無い(と言うか、その言語なりの信頼性の担保の仕方を知らないだけ)と思い込んでて、
んでこういう流れになる。
phpの本家にevalは邪悪じゃないかと言う超長いスレッドあったじゃん。
本家追っかけてたら知ってるとは思うけど。
同じ話してるからね。今。11年もかけて。 node-inspectorもっと軽快にならないの?
それだけじゃなくて
Uint8Arrayの中身見たら固まるとか
デバッガ接続すると終了時にassert失敗するとかもずっと直らない >>171
謙遜しなくていいよ
想定じゃなくてそんなアホしかいねーもん >>174
なるほど、railsででっち上げた「jsonを返すビュー」をjQueryで叩いて、値を画面に表示する、って事しか出来ない方々が流入してるのね。 どんなに有名人が採用してようがあなたの能力で扱えるとは別だということが分からない愚かなnodeユーザ この界隈には自分のバグを他人のせいにする香具師が多い ごめんねjqもまともに書いたことないのにnode module作ったりしてごめんね 煽り屋と餌やり屋の戯れ
野良猫みたいに殺処分と行政処分されねーかなー こういうのが沸くくらいnodeも普及してきたんだな
感慨深い >>180
あれ?そういうスレじゃないの?
ここでガチャガチャやってるうちは、他のスレに迷惑かかんないじゃんw
俺はいろんな言語やったけど、javascript面白いと思ってるよ。ひとによると言語仕様が破綻してると言われかねない仕様も含めて。
プロトタイプベースで、弱すぎる型付けで、nullはオブジェクトで、キャストが強引。
これは逆に他の言語には無い便利さだと思う。 >>181
黎明期は、それこそキチガイ扱いだったから、相手にされる程度に知名度上がったんだろう。
gaucheでcgi作るよりは少しだけ理解できて、かつ、わかりやすいディスりが出来るからね。 >>183
でも現状まだ、ピーエイチピーの牙城を切り崩すというスタート地点には立っていない
と言える。その辺のレンタルサーバのスタンダードモデルでも普通にnode.jsが使えるよ
うになって、はじめてスタート地点だ。 >>185
そりゃ無理でしょ。
phpは、Webサーバのページ代わりにftpて上げれば良いんだから。 ローカルにあるnpmパッケージをインストールしたいんですがなんてコマンドで出来ますか?
C:/packages/hogeがnpmのパッケージのパスです >>177
nodeすら扱えない無能を自覚してるのにこんなところで吠えてる人って・・・
2chがあってよかったね! React.jsとかじゃないの?
フレームワーク無しで作れるスキルは必要だけどフレームワーク無しなんてありえんわ react.jsはコミュ症が妙なアピールしてるせいでヘイト爆買いで好きだと言いづらいのが難 ヘイト爆買いとかいう用語がすらすら出てくる
人生が、キモいw どのレベルをマスターって言うんだ
将棋棋士で例えて バックエンドにnodeを選んだ時点でセンスないなこの記事書いた人
うまくやってるところは大概bffに使ってる
適材適所もできなくてnodeのせいにする無能な人ってこのスレだけじゃなく海外にもいるんだな >>204
> 適材適所もできなくてnodeのせいにする無能な人ってこのスレだけじゃなく海外にもいるんだな
まさかそんなことないとか思ってたわけじゃないだろうな 舶来品崇拝主義なら海外勢全肯定でも別におかしくはない >>203
フォースが使えるようになったらマスターだな 【Win10】 こんな犯罪級OS薦めんなよwww ↓ 【スパイウェア】
この使用許諾契約書には書かれています
”最後にあなたのコンテンツを含む個人データ(例えばあなたの電子メールの内容や―プライベート通信やプライベートフォルダ内のファイル)にアクセスし―開示し保全します”
開示する ここ重要だよ
契約がなければ通常 高度な違法行為になりうることです それはあなたが自分の意思としてこの契約書に同意したのです
https://www.youtube.com/watch?v=ZBwEmgdqB1c
【秘密保護法】 ナチスの手口でサヨクを捕まるんだろ? 早くやってみろよ m9(^Д^) 【緊急事態法】
スノーデン氏→国家秘密法は諜報機関NSAの日本での活動を容易にするために米国が設計して日本政府に導入を要求したもの。
全日本人が調査の対象であり、NSAはあなたの交際関係、信仰等の個人情報を把握している。
https://twitter.com/hopi_domingo/status/740193540529999873
今朝、辺野古で新基地建設に反対するママの会メンバーに対して、機動隊員が「お前たちには汚い血が流れている」などと暴言を吐いたそうです。
自分のやっていることを「だってお金欲しいもん〜」「俺の写真を待ち受けにしろ」とも (顔写真)
https://twitter.com/MothersNoWar/status/690357793702940672
サンマ以降のバラエティ芸人の大半が、暴走族出身で極右思想。原発反対派を「放射脳」と嘲笑する連中。
芸能界極右は石原慎太郎一家を筆頭に、上田晋也 草野仁 津川雅彦 向井理 松本人志 宇多田ヒカル マツコ 春日俊彰 田村淳 北村晴雄
https://twitter.com/tokaia mada/status/630627400552845312 webpackとかでワンソース化するのが
メリットあるのってクライアントサイドだけの話ですよね?
サーバサイドの場合はいちいちwebpack通したりするものですか? koa.jsいいっすね。
generator -> co -> async-awaitの流れを学んだら断然コッチが面白い 今から始めるんだったら
koa.jsとexpress どっちがいいんですか? そろそろサーバサイドもjsでやってもいい頃じゃないかな。
エコシステムも成熟しつつあるし nodeを色々調べるとサーバサイド環境とか非同期処理が特徴とか出るけど、rubyやpythonでよくやるような書き捨てのスクリプト(例えばテキストファイル開いて整形するとか)で使うとしたら使い勝手はどんな感じでしょうか? サムスン、Node.jsの開発企業Joyentを買収
サムスンは、米国でNode.jsの開発企業Joyentを買収することで合意した、と発表した。
今回の買収で、サムスンは、これまでベンダーに依存してきた
ソフトウェア、特にSaaS領域での遅れを取り戻し、モバイル、IoT、
クラウドベースのソフトウェアやサービスなどの大規模な需要に
自社のクラウドプラットフォームで対応できるようになる。
Joyentは、Node.jsの開発企業で、
Dockerコンテナに最適化したクラウドサービス「Triton」と、
オブジェクトストレージを提供するクラウドサービス「Manta」が主力サービスに持つ。
https://news.thepedia.co/article/839/ 宗教上の理由でnodeはNGって言えるようになったわけか node.jsのコアモジュールhttp.request/http.getをつかってWebページ(の文字列)を取得したいのですが、
いろいろ検索してみても、
var http = require('http');
http.get('<url>', function(res) {
res.setEncoding('utf8');
res.on('data', function(body) {
console.log(body);
});
});
こんな感じの、コンソールに表示する例しか見当たらず、
文字列を変数に取り込む方法がわかりません。
他のリクエストやスクレイピングのモジュールを用いることなく、
文字列を変数に取り込んで文字列操作をするにはどうしたらいいでしょうか? 今更かよ
>>221
標準モジュール使ってしこしこ書くしかない
まあ大抵npmに便利なものが上がってるから落として使えばいいけど
しっくりこないと自分で作りたくなって結局時間が飛ぶように消える >>227
コンソール部分の代わりに変数への代入や他の関数呼び出しを行えばいい
そもそも非同期の扱い方がわかってないみたいだから質問スレ行った方がいいよ >>229
レスありがとうございます。
console.log()の部分で変数を代入しても上手くいかず、
returnで外に持ち出すこともできず、詰んでしまいました。
一旦ファイルに書き出して、読みだす方法も、まさに非同期の扱いで難儀しています。
質問スレ、どこがいいんでしょうねぇ。 >>227
コンソールに表示してるbodyに入ってんじゃないの?
取りたいものが決まってて定形なら正規表現で取れば多分一番楽だと思う。 >>230
外で定義した変数に入れれば入るけど、そうじゃない。
eventEmitterでも使って、適当な粒度のイベントにして渡したら疎になって後々使いやすいよ。 >>231,232
レスありがとうございます。
"body" に文字列が入っているのは間違いないと思いますが、
これを、後で関数の外で上手く拾うことができないのです。
たとえば、>>227 の後に "console.log(body);" としてもダメでした。
"body" が未定義となってしまうのです(この結果はなんとなくわかります)。
前もって定義した変数"body2"に"body"を代入しても、この "body2" も空でした。
return を使って、関数の外に出すことも試しましたが、
どのコールバック関数を相手にしても、上手く行きませんでした。
eventEmitter 、調べてみます。ありがとうございます。 ■ このスレッドは過去ログ倉庫に格納されています