BEGIN:VCALENDAR
VERSION:2.0
PRODID:-//pretalx//pretalx.coscup.org//coscup-2026//talk//NENUAS
BEGIN:VTIMEZONE
TZID:CST
BEGIN:STANDARD
DTSTART:20000101T000000
RRULE:FREQ=YEARLY;BYMONTH=1
TZNAME:CST
TZOFFSETFROM:+0800
TZOFFSETTO:+0800
END:STANDARD
END:VTIMEZONE
BEGIN:VEVENT
UID:pretalx-coscup-2026-NENUAS@pretalx.coscup.org
DTSTART;TZID=CST:20260808T105000
DTEND;TZID=CST:20260808T112000
DESCRIPTION:2026 年 3 月 23 日，Rails 一次釋出 7.2.3.1、8.0.4.1、
 8.1.2.1 三個版本，修補了多個 CVE，涵蓋 XSS、ReDoS、記憶
 體耗盡、路徑穿越、glob 注入等漏洞，是近年規模最大的
 一次。\n本場演講不會逐一拆解 CVE，而是退一步看：這
 些漏洞之間是否藏著共同的設計陷阱？我會挑出最具代
 表性的幾個，歸納成三類：信任邊界錯置（內部狀態與
 外部輸入混用）、檔案系統 API 接受未過濾輸入（path trav
 ersal 與 glob injection）、以及「修一次不夠」的不完整修
 補。\n每個陷阱會搭配實際漏洞程式碼與修補方式解說，
 並提供可立即套用的檢查清單。聽眾不需要資安背景，
 只要寫過 Rails 應用就能理解。
DTSTAMP:20260713T142149Z
LOCATION:TR514
SUMMARY:從 2026 年 3 月 Rails 安全更新看三個常見的設計陷阱 - Cindy
URL:https://pretalx.coscup.org/coscup-2026/talk/NENUAS/
END:VEVENT
END:VCALENDAR
