水無月ばけらのえび日記

META Refresh に依存したダウンロード

Adobe のサイトで Adobe Reader (旧名 Acrobat Reader) をダウンロードしようとしたら、こんな画面が。

全く意味が分かりませんでした。まだダウンロードしていないのにそう言われても……。そのページからダウンロードへのリンクがあるのかと思いましたが、探しても見つからずに途方に暮れ……嫌な予感がしてソースを解読すると、META Refresh でした。もうね。

というわけで入手できました。JavaScript 無効は考慮しているのに META Refresh に依存しているという詰めの甘さが、ある意味 Adobe らしいというかなんというか……。

• 「META Refresh に依存したダウンロード」にコメントを書く

関連する話題: アクセシビリティ

fieldset

MS03-026 (www.microsoft.com)の HTML には fieldset要素が使われているのですね。

これがまた視覚効果を狙ったとしか思えない微妙な使われ方……というか、よく見たらそれ以前にきっぱり文法違反でしたね。

※実は DTD 的にはフォームコントロールを入れなければならないことにはなっていないのですが、それ以前に li要素の使い方などが致命的に間違っています。

• 「fieldset」へのコメント (3件)

関連する話題: HTML

ミニ雪だるま紛失

一段落したので、ひそかに買っていた「ポポローグ (www.amazon.co.jp)」をちょこっとだけプレイしました。

ポポロクロイスシリーズは「ポポロクロイス物語2 (www.amazon.co.jp)」「ポポロクロイス物語 (www.amazon.co.jp)」「ポポロクロイス はじまりの冒険 (www.amazon.co.jp)」の順にプレイしていたのですが、「ポポローグ」だけ未プレイだったのでした。

開始するとピエトロの部屋なので、速攻で隠し部屋に行って宝箱をあさり、昔のおみやげを回収。未来のおみやげが回収できないのは当然ですが……ミニ雪だるまがありません！

ぽちっとリセットしてメモリーカードを調べてみると、「ポポロクロイス物語」のセーブデータはひとつしか残っておらず、それは第四章の白い村。どうも、ミニ雪だるまを持っているデータは消してしまったようなのです。

おみやげですからゲームの進行には全然関係ありませんが、なんとなく据わりが悪い感じです。取りなおすべきか、取らざるべきか、非常に微妙……。

※どうでも良いですが、雪だるまが溶けずに何年も残っているというのも凄いですね……。魔法かなにかで保存しているのかしら。

• 「ミニ雪だるま紛失」にコメントを書く

関連する話題: ゲーム / ポポロクロイス / ポポローグ

新・タグ使用機能

そんなわけで、解禁された Web フォーラムのタグ使用機能について調査。あんまりちゃんとは調べていないのですが……。

• <script> などは削除されます。
• 属性値リテラルに "javascript:……" という文字列があると "java-script" に置き換わります。これはイベントハンドラのみならず、title属性や alt属性にすら適用されます (見境ないですが、その方が安全ではあります)。
• タグの対応関係は考慮していないようで、<b> とだけ書いた発言をすると b要素の開始タグだけが書かれます (Well-formed になりません)。
• NUL文字があると、そこから後ろはちょん切られます。
• <foo> などの未知タグはサニタイズされる模様です。ホワイトリスト採用？
• 未知属性を含むタグは、属性をすべて削除した上でサニタイズされる模様。削除することの意味が全く分かりませんが、危険はないでしょう。

というわけで、これだけ見ると、HTML の話題に支障が出そうな気はするものの、危険はなさそうです。

しかしながら、Cookie のドメイン問題については特に修正されていないようです。hpcgi1.nifty.com や enter,nifty.com で Cookie が読み取れてしまいます。そこへ来て、

• img要素の src属性に外部のリソースを指定することは可能で、Webバグは使い放題です。

という状態が加わりましたので、Cookie ドメイン問題によるセッションハイジャックの危険性は跳ね上がってしまったのでありました。

• 「新・タグ使用機能」にコメントを書く

関連する話題: Web / セキュリティ / ニフティ