新生鳩丸掲示板♯

>Firefoxのインストーラをローカルに保存済みだったのでうっかりしていましたが、

>>hostsに

>>202.181.97.84 download.mozilla.org

>>と追加してからFirefox 1.0.1をインストールして、

>順番逆にしないと偽ホストに繋ぎに行ってしまってFirefoxがインストールできないかも。

自分で仕掛けた罠に自分で引っかかりました【謎】。

とりあえずFirefox 1.5はちゃんとエラーにしてくれることも確認できました。

ユーザが確認したソースとブラウザが解釈しているソースが同一でなければならないので、ソースの確認方法に注意が必要かもしれません。

>ばけらさんが何度も書いてますが、ぜんぜん読んですらいなかったということでしょうか。

確かに仰られるとおりです。よく考えて読んでいませんでした。DOMから(X)HTMLを作り出して出力する仕組みにばかり気がいっていました。(X)HTMLのフォームからDOMにつっこむ際にどうなるかまでについては脳内で曖昧にしていたようです。

今度こそ一生忘れないことでしょう。

ご教示大変にありがとうございました。

心を入れ替えます。

>ということを私は全然知らないわけなのでした。

ばけらさんが何度も書いてますが、ぜんぜん読んですらいなかったということでしょうか。

http://bakera.jp/hatomaru.aspx/ebi/topic/2473

> この日記を処理している hatomaru.dll というプログラムでは、HTML の出力をサニタイズする処理を一切書いていません。すべてが DOM で処理されている (そして InnerXml に値を直接セットしないと決めている) ので、サニタイズを意識する必要がないのです。これは非常に気が楽でした。

とか。

http://bakera.jp/hatomaru.aspx/htmlbbs/article/3321

>　DOM でやってしまうという方法は、こういうことも一切考えなくて良くなるので、その意味でも楽ですね。

とか。

http://bakera.jp/hatomaru.aspx/ebi/topic/397

> 出力 HTML を DOM で扱っているおかげで XSS はないのですが、制御文字系は斬るようにした方が良いかも。

とか。

http://bakera.jp/hatomaru.aspx/htmlbbs/article/345

> ちなみに hatomaru.dll は内容全てを DOM で作っているので、System.Xml 系のクラスにバグが無い限りは安全、なはずです。

とか。

津ツールage

>Newテニスを買ってくる必要があるとか【謎】。

　Newテニス売ってないです……。

　最近は PAR のような RAM イメージの解析ツールがあったりするので、もしあるのだったら判明しそうな気もしますが……しかし DS用のその手の津ツールってあんまり聞かないような気もしますね。

# 私が知らないだけかもしれませんが。

>JavaScriptオフな Fx で　Domいんすぺくたぁで見てみましたが、文字参照がほどけていました。 HTMLってそういうものでしたか… (orz)

　DOM は、HTML や XML のパース結果として得られた DOM ツリーにアクセスする感じのイメージです。文字参照などはパース時に展開していますので、DOM ツリー上に存在するテキストノードの中身にアクセスした時点では、文字参照は既に展開されています。

　というわけで、そういうものだと思います。

　ちなみに DOM でテキストノードに <> 等を入れても、それはタグとしては処理されず、ちゃんと文字列として処理されます。

えぇと…思い込みと結果が異なっていますが、気に食わないわけではなくて、ビックリしたのです。で、思い込みを正すためにもと。

>DOMに値をセットしてHTML出力としてシリアライズしたら自動的に文字参照になる

ということを私は全然知らないわけなのでした。

DOMに値をセットしてHTML出力としてシリアライズしたら自動的に文字参照になる(だから原理的にXSSは発生し得ない)のですから、逆に文字参照を含んだHTMLを解析したら参照が自動的に展開されるのは当然だと思いますが。

何を問題にしてるのかさっぱりわかりません。単に自分の思い込みと結果が異なっていたのが気に喰わないだけですか?

http://www.w3.org/TR/1998/REC-DOM-Level-1-19981001/level-one-core.html#ID-11C98490

あたりによると

|Note that character references and references to predefined entities are considered to be expanded by the HTML or XML processor so that characters are represented by their Unicode equivalent rather than by an entity reference.

だそうです。

JavaScriptオフな Fx で　Domいんすぺくたぁで見てみましたが、文字参照がほどけていました。 HTMLってそういうものでしたか… (orz)

http://www.google.co.jp/search?hs=uU&hl=ja&client=firefox-a&rls=org.mozilla%3Aja-JP%3Aofficial_s&q=happa%3C%2Fa%3E%3Cscript%3Ealert%280%29%3C%2Fscript%3E%3Ca%3E&btnG=Google+%E6%A4%9C%E7%B4%A2&lr=

上のページにアクセスしてソースを見るとtitle要素は

<title>happa&lt;/a&gt;&lt;script&gt;alert(0)&lt;/script&gt;&lt;a&gt; - Google 検索</title>

となっており、文字参照が出現していることがわかります。

ところが、アドレスバーで、javascript:alert(document.title) としてやると、表示される document.title は

happa</a><script>alert(0)</script><a> - Google 検索

となり、せっかくの文字参照が、ほどけてしまっています。WindowsXPwithSP2 で確認しましたが、IE でも Fx でも Opera でも同様でした。

document.title の中身は、【この年になるまで(なぞ)】てっきり

happa&lt;/a&gt;&lt;script&gt;alert(0)&lt;/script&gt;&lt;a&gt; - Google 検索

になるかと信じていました。 文字参照がほどけてしまうのは、標準的な仕様なのでしょうか？ポインタを御教示いただければ幸いです。

●Ref.

http://d.hatena.ne.jp/hasegawayosuke/20060526#1148639450

よろしくお願いいたします。

Newテニスを買ってくる必要があるとか【謎】。

spamの疑いがある投稿の場合は、spamの疑いがあると検出されたとか何とかメッセージを表示して、(名前未入力などの場合と同様に)再投稿を促すというのはどうでしょうか。

まともな投稿がspamと誤検出された場合も、いったんspamとして受け付けられてから修正を依頼したり二重投稿したりするより、その場で内容を修正して再投稿できたほうが親切でしょう。

>最近こちらに出没しているspamなのですが、

　いやー、私も鬱陶しいと思っているのですが、

>それとですね。　15個ほどのごくごく簡単な謎々を用意してですね、投稿する際に答えをひらがなで入れるってのはどうでしょう？　「いぬ」とか「さる」とか。

　ログを見ても明らかに投稿フォームを経由せずに、いきなり POST で爆撃なので、フォームに何かいれるだけで解決できそうではあるのですが、フォームをいちいち動的に吐くとサーバの負荷が面倒なことになったりしますので、そのあたりでちょっと煮詰まっていたりします。

>ていうかスレッド一覧表示が形骸化したりしてマジでウザすぎるので何とかしてほしいですが【謎無】。

更新がなさそうなのに真・もののけ日記ブラウザーであがってくるのが気になるので何とかしてほしいと思いました。

spam書き込みするのなら名前のところはそのまま表示されるからそこにURLを入れておけばとか思いました(謎)。

>というのは今来てるspamって、他にも来襲してるんですが（当然）わざわざ鳩丸掲示板対応に変異してこないって思うのですよ。串切り替えタイプみたいだから。面倒だし、業者にしてみると。

うちの場合【何処】、URLばかり多数含む投稿を弾くようにしてみたらちゃんと【謎】個数を見切った投稿に変化していました。つまりその程度の変異はスクリプトに織り込み済みのようです。

試行錯誤の結果ようやく弾けるようになったみたいですが、URL入りのまともな投稿まで弾かないか微妙に心配なくらいにしないと効果が出ませんでした。

ていうかスレッド一覧表示が形骸化したりしてマジでウザすぎるので何とかしてほしいですが【謎無】。

最近こちらに出没しているspamなのですが、なんとなくですけどbotというよりも多数のプロクシを切り替えながら経由でなんかされちゃっているっぽいのですが。　IPもらったらport80で逆アクセスして串っぽかったらハネちゃうってのは駄目ですか？そうですか…port80とも限らないですけど。

それとですね。　15個ほどのごくごく簡単な謎々を用意してですね、投稿する際に答えをひらがなで入れるってのはどうでしょう？　「いぬ」とか「さる」とか。

というのは今来てるspamって、他にも来襲してるんですが（当然）わざわざ鳩丸掲示板対応に変異してこないって思うのですよ。串切り替えタイプみたいだから。面倒だし、業者にしてみると。

>とか豪語【謎】していても、実はRFC 3986が発行されるまではk16さん【誰】の妄想でした【謎】という前例もあるので、メーってみても損はしないのでは。

最近は(実は昔から)人様の指摘はほとんど鵜呑みにしてます

Skypeなんて話題も振られていて、腰が重いです