2007年3月30日(金曜日)
MailDwarf脆弱性2題
JVN 公表され系。
- JVN#40511721 MailDwarf におけるクロスサイトスクリプティングの脆弱性 (jvn.jp)
- JVN#08951968 MailDwarf においてメールの不正送信が可能な脆弱性 (jvn.jp)
今気がつきましたが、ソフトウエア製品の脆弱性だと一緒に届け出ても枝番処理されないんですね……。
ちなみに前者はひたすら良くある XSS で、後者はこれまたひたすら良くあるメールヘッダへの CR+LF のインジェクションですね。ユーザがフォームに入れたメールアドレスが From: の値になるのですが、そこに CR+LF がインジェクションできるという。
- 「MailDwarf脆弱性2題」にコメントを書く
関連する話題: セキュリティ / 情報セキュリティ早期警戒パートナーシップ / クロスサイトスクリプティング脆弱性
東京ミッドタウンのリンクポリシー
本ホームページのトップページへリンクを希望される場合は、事務局である東京ミッドタウンマネジメント株式会社のウェブマスター宛にご連絡ください。ただし、公序良俗に反する内容、アダルトコンテンツ、弊社等を誹謗中傷する内容を含むホームページなど、弊社がリンクを不適当と判断する場合には、リンクをお断りすることがございます。
以上、東京ミッドタウン/ご利用上の注意 より
これだけ。トップページへのリンクは事前に連絡が必要としつつ、それ以外のページへのリンクについては特に何も言及していない、というのは珍しいですね。
「バイラル・マーケティング」という言葉が知られるようになって、ディープリンクを禁止しようとする人は少なくなってきたように思いますが……何故トップページへのリンクだけは許可制なのか、これがわからない。前世紀的な「リンク集」からのリンクはチェックしたいけれども、個人 blog から各ページへの直接リンクは許可したいという意図……なのでしょうか。
関連する話題: Web
マンガ買った
いろいろ出ていたので 3冊ほど。
- ドラゴン桜 18 (www.amazon.co.jp)
- すもももももも~地上最強のヨメ 7 (www.amazon.co.jp)
- ふたばの教室 2 (www.amazon.co.jp)
※何故か Amazon の ふたばの教室 2 (www.amazon.co.jp) のページにはまだ画像がないですね。もう出ているというのに。
ゆとり教育
興味深いと思ったのでメモ : 「ゆとり教育で学力が向上した ~逆風を追い風に変えた京都の教育改革 (business.nikkeibp.co.jp)」。
中でも京都市の教育改革を一躍全国に知らしめた出来事がある。2002年の、いわゆる「堀川の奇跡」だ。前年度はたった6人だった京都市立堀川高校の国公立大学現役合格者が、2002年にいきなり106人になったのだ。京都大学にも6人が合格した。
少子化で大学の合格率自体が上がっているという話は聞きますが、それにしてもすごいですね。ドラゴン桜を地で行く感じなのでしょうか。
関連する話題: 教育
Windowsアニメーションカーソルの脆弱性
更新: 2007年4月2日
「マイクロソフト セキュリティ アドバイザリ (935423) Windows アニメーション カーソル処理の脆弱性 (www.microsoft.com)」。
うへー、これは厳しいですね。
CSS の
※追記: 「画像」と書きましたがもちろん Win IE 向けには *.ani なファイルが指定できちゃったりします。さらに参考 : 葉っぱ日記 - 「Windowsアニメーションカーソルの脆弱性」@水無月ばけらのえび日記 (d.hatena.ne.jp)
※2007-04-02追記 : *.ani なファイルは favicon としても使えてしまいます (えむけいさん情報ありがとうございます)。回避方法はないですね……。関連: 続・Windowsアニメーションカーソルの脆弱性。
関連する話題: セキュリティ
- 前(古い): 2007年3月27日(Tuesday)のえび日記
- 次(新しい): 2007年3月31日(Saturday)のえび日記