私のエントリが引き金となり、こちらで紹介したような議論が巻き起こり、最終的にはmoriyoshiさんによるとてもきっちりした文字エンコーディングのチェックがなされるようになりました
本件、PHPのバグレポートを書いたのは僕だ。
当時の日記:
- htmlspecialcharsのパッチ私案 (2009-10-05)
- htmlspecialcharsに関する残念なお知らせ (2009-10-06)
- htmlspecialcharsに関する素敵なお知らせ (2009-10-09)
では、いい人ぶって明示しなかったが、「なんで開発者に報告せずに攻撃コードを公開してしまうのよ」と思ったのが、僕の動いたきっかけだった。百歩譲って、攻撃コードが公開されたのは仕方ないとしても、何人ものPHPerがそれを見ているはずなのに、なぜ誰も動こうとしないのか。この辺の気持ち、今はなきWassrでつぶやいていたのだったかなあ。
セキュリティに関わるバグを見つけたら、https://bugs.php.net/report.php にあるように、security@php.net にメールで報告するのがよいだろう。僕がそうしなかったのは、すでに攻撃コードが公開されていたためだ。
報告したらしたで、色々と不快な目に遭うかもしれない。僕は遭った。ただ、そういう不条理を引き受けてでも報告するのがエンジニアのモラルだと今でも思っている。