TakesxiSximada TakesxiSximada

PleromaをGCE Allways Freeで使いたい。

まめもま2と名付けたPleromaをタダでつかいたい。

mamemoma2.mamemo.online 、PleromaをGCEのf1-microで動かすメモです。

とりあえず動いた、というところまでです。

CVE-2016-7401

https://www.djangoproject.com/weblog/2016/sep/26/security-releases/
https://hackerone.com/reports/26647
pythonのcookie parserが ; 以外もpairsの区切り文字として解釈するので、google analyticsのreferrer経由でsetされるcookieを使ってCSRF tokenを上書き可能だったという問題。
django側でcookie parser自前で実装、python本体は直ってないようだ https://github.com/django/django/commit/d1bc980db1c0fffd6d60677e62f70beadb9fe64a

多くのcookie parserは、pairsの区切りとして ; と , を許容しているのでdjango以外にも影響がある。ブラウザが使用するcookie pairの区切りは実際には ;

これ相当のことを、サーバーとクライアントでやればいい。

WebRTC スタックについて

sudo vim /etc/postfix/sasl_passwd

HTTP::Cookies と DBI::ProfileDumperを使う
HTTP::Cookies は LWPの依存モジュールで、DBI::ProfileDumperはDBIに付属している。どちらもインストールされている可能性が非常に高い

HTTP::Cookies の autosave 機能で任意ファイルにcookiejarが保存される。 DBI::ProfileDumper もDESTROY時のflushでファイルに書きこむ。存在しているファイルへの追記であれば比較的自由なフォーマットでファイルに書き込み可能。

	// IE polyfills needed by mithril for IE8 and below

	// array.indexOf - https://gist.github.com/revolunet/1908355
	if (!Array.prototype.indexOf)
	{
	Array.prototype.indexOf = function(elt /, from/)
	{
	var len = this.length >>> 0;
	var from = Number(arguments[1]) \|\| 0;
	from = (from < 0)

-;;; auto-remove.el --- Auto remove unused functions in python
-;;; Commentary:
-;; Uses external tool autoflake to remove unused imports from a Python file.
-;;; Code:
-(defcustom python-autoflake-path (executable-find "autoflake")
-  "Autoflake executable path.