水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 2007年のえび日記 > 2007年3月 > 2007年3月30日(金曜日)

2007年3月30日(金曜日)

MailDwarf脆弱性2題

JVN 公表され系。

今気がつきましたが、ソフトウエア製品の脆弱性だと一緒に届け出ても枝番処理されないんですね……。

ちなみに前者はひたすら良くある XSS で、後者はこれまたひたすら良くあるメールヘッダへの CR+LF のインジェクションですね。ユーザがフォームに入れたメールアドレスが From: の値になるのですが、そこに CR+LF がインジェクションできるという。

関連する話題: セキュリティ / 情報セキュリティ早期警戒パートナーシップ / クロスサイトスクリプティング脆弱性

東京ミッドタウンのリンクポリシー

本ホームページのトップページへリンクを希望される場合は、事務局である東京ミッドタウンマネジメント株式会社のウェブマスター宛にご連絡ください。ただし、公序良俗に反する内容、アダルトコンテンツ、弊社等を誹謗中傷する内容を含むホームページなど、弊社がリンクを不適当と判断する場合には、リンクをお断りすることがございます。

以上、東京ミッドタウン/ご利用上の注意 より

これだけ。トップページへのリンクは事前に連絡が必要としつつ、それ以外のページへのリンクについては特に何も言及していない、というのは珍しいですね。

「バイラル・マーケティング」という言葉が知られるようになって、ディープリンクを禁止しようとする人は少なくなってきたように思いますが……何故トップページへのリンクだけは許可制なのか、これがわからない。前世紀的な「リンク集」からのリンクはチェックしたいけれども、個人 blog から各ページへの直接リンクは許可したいという意図……なのでしょうか。

関連する話題: Web

マンガ買った

いろいろ出ていたので 3冊ほど。

※何故か Amazon の ふたばの教室 2 (www.amazon.co.jp) のページにはまだ画像がないですね。もう出ているというのに。

関連する話題: 買い物 / マンガ

ゆとり教育

興味深いと思ったのでメモ : 「ゆとり教育で学力が向上した ~逆風を追い風に変えた京都の教育改革 (business.nikkeibp.co.jp)」。

中でも京都市の教育改革を一躍全国に知らしめた出来事がある。2002年の、いわゆる「堀川の奇跡」だ。前年度はたった6人だった京都市立堀川高校の国公立大学現役合格者が、2002年にいきなり106人になったのだ。京都大学にも6人が合格した。

少子化で大学の合格率自体が上がっているという話は聞きますが、それにしてもすごいですね。ドラゴン桜を地で行く感じなのでしょうか。

関連する話題: 教育

Windowsアニメーションカーソルの脆弱性

更新: 2007年4月2日

マイクロソフト セキュリティ アドバイザリ (935423) Windows アニメーション カーソル処理の脆弱性 (www.microsoft.com)」。

うへー、これは厳しいですね。

CSS の cursor プロパティで cursor: url(……); という具合に任意の画像を指定できるわけでして。そもそも cursor プロパティで画像を指定できる機能って要らないんですが、無効にする方法なんてあるのでしょうか。あらかじめユーザスタイルシートで cursor を全部指定しておく?

※追記: 「画像」と書きましたがもちろん Win IE 向けには *.ani なファイルが指定できちゃったりします。さらに参考 : 葉っぱ日記 - 「Windowsアニメーションカーソルの脆弱性」@水無月ばけらのえび日記 (d.hatena.ne.jp)

※2007-04-02追記 : *.ani なファイルは favicon としても使えてしまいます (えむけいさん情報ありがとうございます)。回避方法はないですね……。関連: 続・Windowsアニメーションカーソルの脆弱性

関連する話題: セキュリティ

最近の日記

関わった本など