discuss_ja@glassfish.java.net

Re: はじめまして

From: Tomonori Shioda <tomonori.shioda_at_gmail.com>
Date: Thu, 10 Jul 2008 13:28:41 +0900

中島さん、こんにちは

GF Wiki アカウントですが、メールしておきました。いつもアカウントを
activate してくれている Paul はどうやら 7/14 までお休みのようで
した。最近 Paul の替わりにやっている Jamey が対応してくれると
良いのですが、今日はもう夜も遅いので今しばらくお待ちください。
せっかくやっていてだけるというのに申し訳ないです。

AM の件ですが、あとはオフラインでやりましょう。もちろんこのメーリング
リストで興味がある方がいれば構わないです。

GlassFish コミュニティとして優等生コメントをすると、ぜひ Tomcat
の替わりに GlassFish を使ってみてくださいというところですかね :-)
OpenSSO のアーキテクチャ的には、この cookie 問題がでるのは
OpenSSO 本体を deploy するサーバーだけで、policy agent
が入る管理される側は一般的には問題ないようです。ただこれも設定
モードによって違いがでるようですが。自分で試したわけではないので
真偽のほどは不明な情報ですみません。

shioda

2008/07/10 1:01 takeshi nakashima <noyak02_at_gmail.com>:
> 塩田さん
>
> お疲れ様です。
> 中島です。
>
>> ありがとうございます。
>> まだアクションはとっていないようですね。
>> おそらく近いうちにメールが来ると思いますが1−2日まってまだ
>> 返事が無いようでしたら連絡ください。こちらから聞いてみます。
>
> ありがとうございます。
> 連絡が来ないようでしたら、よろしくお願いします。
>
>
>> あと、以下の件情報ありがとうございます。社内の人に聞いて
>> みたのですが、=(イコール)に問題があるというのはどういった
>> security fix によるものかわかりますか?
>>
>> http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5333
>
> Tomcat の changelog(http://tomcat.apache.org/tomcat-6.0-doc/changelog.html)の
> このあたり↓のことが該当するようです。
>
> Cookie handling/parsing changes! The following behavior has been
> changed with regards to Tomcat's cookie handling a) Cookies containing
> control characters, except 0x09(HT), are rejected using an
> InvalidArgumentException
> b) If cookies are not quoted, they will be quoted if they contain
> tspecials(ver0), tspecials2(ver1) characters
> c) Escape character '\\' is allowed and respected as a escape
> character, will be unescaped during parsing
>
> このようなHTTPリクエストを送信すると、、
>
> $ telnet localhost 8080
> GET /examples/servlets/servlet/CookieExample HTTP/1.0
> Cookie: aaa=bbb=ccc=ddd
>
> 6.0.14 では、この↓ように1個目の"="以降の文字列を"="を含めてCookieの値として認識していたものが、、
>
> :
> Cookie Name: aaa<br> Cookie Value: bbb=ccc=ddd<br><br>
> :
>
> 6.0.16 では、この↓ような感じで2個目の"="以降が無視されるみたいですね。
>
> :
> Cookie Name: aaa<br> Cookie Value: bbb<br><br>
> :
>
> 本来の glassfish の話とは外れてきましたので、この話題はこの辺で。。(^^;
>