新生鳩丸掲示板♯

その某対策の新版は方向転換したそうで。

http://www.freeml.com/message/seasurfers@freeml.com/0000303

> ユーザ側の対策としては、スクリプトと ActiveX を無効にすることですかね……。

しかしCSSXSS対策とか称してhiddenフィールドにスクリプトで値を突っ込まれちゃったりなんかするともうあっちを立てればこっちが立たず状態でどうしようもありません。某「正しいCSRF対策」の初版にもそんな方法が書いてあったような。

ていうかスクリプトで任意のRefererを追加できるのですか? ちなみにXMLHttpRequestはクロスドメインで使えないので、攻撃者が攻撃対象のサイトと同じドメインでWebページをホストできるとか攻撃対象のサイトにXSSがあるとか攻撃対象のWebサーバーに侵入してページを書き換えたとかブラウザにバグがあるとかの条件が成立しないと役に立ちません。

どうでもいいですが

>> となるとCSRF対策のひとつの「正しいリファラーは許可する」というアプローチも危険ということになります。

正しいRefererも正しくないRefererもRefererなしも弾けば確かに完璧に安全ですね【謎】。

> ※2006-04-02追記: 上記リンク先は閉鎖されたようです。現時点では該当のGoogleキャッシュ (72.14.203.104) で読むことが可能ですが、それもじき消滅するかと思われます。

復活してます。

http://jvn.jp/jp/JVN%2331226748/index.html

これ関係じゃないですか？

IEBlog : All your <base> are belong to us

http://blogs.msdn.com/ie/archive/2005/08/29/457667.aspx

というわけでIE6以前はbase要素が空要素ではないという謎仕様だったようです。

>「HTTPヘッダ・インジェクション」は聞き慣れないと言えば聞き慣れないですが、

聞きなれないですね。Wikipediaにあたったら出ていました。

http://en.wikipedia.org/wiki/HTTP_Header_Injection

ともだちコード交換しませんか？？？

>>> フレームを使用することのメリットは「簡単にページを増やせる」ということです。

>

>> 意味が分からないのですが、

世間ではどのような説が流布しているのかと気になりまして、「フレーム」「利点」でググってみたところ、トップにあがったのが以下のページでした。

http://www.dspt.net/seo/002/index.html

上記ページから引用します。

[quoted]

フレームを使う利点

フレームを使うことによって、最初用意するページ数は分割数に応じて多くなってしまいますが、このようなページ構成にすると基本的に切り替えるページのみを更新していくだけでよく、それ以外のメニュー等の画面は更新する必要がありません。

一方、フレームを使わない場合、すべてのページにメニューも作成しなければならず、作成段階では非常に手間がかかります。このような理由から、作り手側にとってすべて1ページで構成していくよりも格段に手間が省け、特にページ数が多くなったとき、管理の面から飛躍的にページ作成や更新の効率が上がります。

[/quoted]

「簡単にページを増やせる」とは、このことなのでしょうか。さて、上記ページにはフレームを使った場合のデメリットも併記してありますが…

IE6で言えば、CVE-2004-0719 のframe injection も修正されていませんので、(といいますか修正する気もないようですので)、セキュリティ上においても、まずいとは思います。

>> フレームを使用することのメリットは「簡単にページを増やせる」ということです。

> 意味が分からないのですが、

というか次の行の

> しかし、実際に手打ちでHTMLを書いている場合などはページを増やすのも一苦労ではないでしょうか。

ここでかなり、

ﾊｧ(ﾟДﾟ)?

という感じです。蕎麦じゃあるまいし、手打ちというのはSEO対策以前の問題ではないかと。

ところで、

> 誰かが blog でフレームの中のページを紹介したくなっても、フレームの外側とセットにしてリンクする手段がないわけです。

中のページを紹介したいことはよくありますが、外とセットにしたいことは個人的には滅多にありません。もともとwebというのはページ単位で独立したものと思っているので、セットになっているという思考が欠落しているのかもしれません。

> 「車内で吸わなくても、直前まで吸っていた人が乗ると肺に残っていた煙が吐き出され、粉じん濃度は約４倍になります」

www.asahi.comの記事中のこの部分が気になりした。

禁煙なんとか(禁煙車両とか)を用意するよりも喫煙者を隔離してもらわないと、電車などで隣にたばこ臭い人に座られて……というようなことが解決できないような気がしました。

修復プログラムが報復プログラムに見えました。

>当時の検索仕様だと「-3」を付けないで「X8341」で検索すると見つからないという罠にはまったのではありませんか。

　それかも。

　改善されたのですね。

>>最近っていつからですか? 遅くとも2004/06/20の規格公開の3日後にはすでに読めるようになっていましたが。

>　そうでしたっけ。いや、公開直後しばらく結構頑張って探したのですが、発見できなかったので。

http://pc8.2ch.net/test/read.cgi/hp/1087746643/33

を書いたのが私なので、2004/06/23には確実にありました。

> 単に私の検索能力が低すぎて発見できなかっただけかもしれません。

当時の検索仕様だと「-3」を付けないで「X8341」で検索すると見つからないという罠にはまったのではありませんか。

今検索すると「X8341-1」から「X8341-5」までズラリと表示されますね。

>justsystems.co.jp が空いているように見えるのですが、

>気のせいでしょうか……

　チャンスです。

　ちなみに justsystems.jp はおさえられているようなので、気づいていないのではなく、一組織一ドメインの壁に阻まれたのだろうと思います。

>HTMLにおけるCSSの話でしょうか? XULでよければ

>http://piro.sakura.ne.jp/latest/2004/11.html#d19

>目に見えて速くなったなんて話もあるようです。

　XULで速くなるのは御意なのですが、「一般のWebPageにおいても」あてはまるのかが知りたいところです。

>最近っていつからですか? 遅くとも2004/06/20の規格公開の3日後にはすでに読めるようになっていましたが。

　そうでしたっけ。いや、公開直後しばらく結構頑張って探したのですが、発見できなかったので。単に私の検索能力が低すぎて発見できなかっただけかもしれません。

# 結局規格票はすぐに会社で買ったので、その後あんまりちゃんと探していなかったりもしており。

　とりあえず本文は微修正しておきました。

>justsystems.co.jp が空いているように見えるのですが、

>気のせいでしょうか……

.go.jp以外の属性型JPドメインには一組織一ドメイン名の原則があるので、どのみち取れません。

> 最近では日本工業標準調査会 (www.jisc.go.jp) のサイトで規格の内容が閲覧できるようになっていたりするのですが、

最近っていつからですか? 遅くとも2004/06/20の規格公開の3日後にはすでに読めるようになっていましたが。まさかJISCのサイトで読めることを知ったのが最近なわけではありませんよね?

> ※だいたい、コピー & ペーストもできませんし……。

JIS X 8341「だけ」は、文字情報が付加されて選択はできるようにがコピペはできませんね。「アクセシビリティのための抽出」すら許可されていないようで、何考えてるんだかさっぱりわかりません。検索ができるだけマシだと思えとか。

ていうかJISCの皆さん【誰】はJIS X 8341-3 附属書1の2.4 d)とか本体5.4 e)を読んでくださいと力の限り思いました【謎無】。

> まあ、買ってもらうためにあえて面倒にしているのだろうと思いますが。

こういうことにこそ国費を使ってほしいですね。

justsystems.co.jp が空いているように見えるのですが、

気のせいでしょうか……