26189 2011-08-29 11:12:14 +0400 the need to escape HTML special chars 2011-12-22 16:44:32 +0400 1 1 2 Infrastructure Infrastructure packages.altlinux.org unspecified all Linux CLOSED FIXED P3 normal --- 22555 1 mike icesik oldest_to_newest 124604 0 mike 2011-08-29 11:12:14 +0400 На http://packages.altlinux.org/en/Sisyphus/srpms/lv2core читаю: > More information about LV2 can be found at . Догадываясь про <http://...>, смотрю в пакет: > More information about LV2 can be found at <http://lv2plug.in>. В идеале на сайте ожидаю: > More information about LV2 can be found at &lt;<a href="http://lv2plug.in">http://lv2plug.in</a>&gt;. Насколько понимаю, это может быть XSS vuln через спеки как минимум, что может стать критичным при добавлении аутентификации и особенно r/w действиях через сайт. 124613 1 icesik 2011-08-29 16:26:06 +0400 Подтвержаю. Это XSS. Хотя сами Ruby on Rails должны эскейпить выхлоп. Надо будет написать тесты для такмх случаем, может выяснится что где-то ещё такое есть. 127875 2 icesik 2011-12-22 16:44:18 +0400 В старых рельсах почему-то helper simple_format не экранировал выхлоп. В новых просто вырезает. Заэскейпил, теперь будет нормально. Будет в продакшене чуть позже.