新生鳩丸掲示板♯

>要素によるかもしれませんが、この場合はa要素で、

a要素というのを見落としていました。すみません。

a要素と言えば思い出したのが以下の文献。御存知の。「via Internet」談義::すみけんリソース

●HTML「いまどきそんなにあやしい本はないよねー」

http://www.asahi-net.or.jp/~jy3k-sm/i_net/books2005.txt

[quote]

MSが属性をこんなにたくさん拡張していると分かる。

たとえばA。なんだよbeginとかendって。

(snip)

ATOMICSELECTION属性なんて聞いたことも無いのだが、

かなり一般的な共通属性になっている。

[/quote]

XSSとは直接関係ないと信じたいですが、まだ良く読んでいません。駄目すぎ＞私。

>><META HTTP-EQUIV="Link" Content="<http://example.com/xss.css>; REL=stylesheet">

>#でもこれ、属性値に<>が含まれているので、invalidなのでは……?

HTML4では属性値に<>を含めることができるのでinvalidではありません。XHTMLではできませんが、XHTMLならそもそも要素名や属性名が大文字になったりはしないので上記引用部がXHTMLでないことは明らかですね。

><META HTTP-EQUIV="Link" Content="<http://example.com/xss.css>; REL=stylesheet">

Opera 9.0 <http://snapshot.opera.com/windows/w90p1.html>でサポートされるHTTP Link headerというやつですね?スタイルシートをXML文書に結びつける<http://www.doraneko.org/xml/stylesheet10/19990629/Overview.html>に書かれている、"リンク情報をソース文書の中に組み込まないかもしれない"という手法の一つでしょうか。私の記憶では、もう廃案になったような気のせいがしますけれど。

#でもこれ、属性値に<>が含まれているので、invalidなのでは……?

それにしても一日に似たようなXSS脆弱性を二つ見つけるっていうのは、どういう奇遇でしょうか。一つは日本でよく利用されている(らしい)ウェブアプリケーションなのですが、もう一つは国外なので悩ましいところです。もっとも後者にはある意味で普段からお世話になっているし、今後も何度か利用する機会のあるサイトなので、何とかしておきたいところです。

>任意の属性が設定可能なのはどの程度危険ですか?

XSS脆弱性が存在することを意味しています。src属性やhref属性は当たり前として。onclick属性以外には安直に思いつくのがstyle属性です。これ、ユーザの操作が必要なさそうなので。onload属性やonunload属性も。onouseover属性あたりはonclick属性よりも危険度が高いでしょうか。じゃぁonFOO属性全部禁止する！とか思っても、dynsrc属性やlowsrc属性が待ち構えているかもです。ネスケ4あたりですとsize属性などでもスクリプト起動が出来ていたみたいです。

最近びっくりしたのがOperaなんですが、

<META HTTP-EQUIV="Link" Content="<http://example.com/xss.css>; REL=stylesheet">

というのです。これ、知らなんだです。従来知られているのは

<META HTTP-EQUIV="refresh" CONTENT="0;url=javascript:alert('XSS');">

あたりでしょうか。url属性にdata:スキームで直書きするテクもあるみたいです。

はてなで先頃話題になったのは、table要素のbackground属性です。

object要素のdata属性でもスクリプトが…

まだまだたくさんありますが、上記ネタ元の

http://ha.ckers.org/xss.html

あたりを見てください。

一番笑ったのがnemespace属性で拡張子.htcなファイルを呼び出すものです。

というわけで、属性の追加が可能だということは、極めて危険だと思います。

ウェブアプリケーションで<>はエスケープしているけど、"は忘れていて、任意の属性が設定可能なのはどの程度危険ですか?

要素によるかもしれませんが、この場合はa要素で、とりあえずonclick属性をつけられるところまでいったのですが。

>　MakeRelative() されるときにフラグメントIDが消えるようですね。

>　直せたら直しておきます。

　単にオーバーライドした MakeRelative() の中でフラグメントIDを処理していなかった模様。orz

　なおしたつもりです。

>ところで、フラグメントID付きのURLを貼るとフラグメントIDも含めてリンクされて、title要素にもフラグメントIDが付くにもかかわらず、実際のリンク先にはフラグメントIDが付いていないのは仕様ですか?

　MakeRelative() されるときにフラグメントIDが消えるようですね。

　直せたら直しておきます。

>そういえば昔(何時)、fragmentはHTMLでは大文字に変換されるとか、XHTMLでは無関係だけどリンク先がHTMLだったらやはり考慮しないといけないとか、ありませんでしたっけそういうの。bakera.jp内にはHTMLもXHTMLもあるから、一律にfragmentだけ取り除いて、リンクにする仕様?

bakera.jp内ならHTMLかXHTMLかは把握できますから、むしろ適切に対処できるのではないですか。外部リンクのみフラグメントIDが消えるなら話はわかりますが。

そういえば昔(何時)、fragmentはHTMLでは大文字に変換されるとか、XHTMLでは無関係だけどリンク先がHTMLだったらやはり考慮しないといけないとか、ありませんでしたっけそういうの。bakera.jp内にはHTMLもXHTMLもあるから、一律にfragmentだけ取り除いて、リンクにする仕様?

>>旧：http://bakera.jp/html/reference/dataformat.html#coords

>>http://www.w3.org/TR/html401/struct/objects.html#adef-coords

>>http://bakera.jp/html/reference/preformatted.html#xmp

なんかよく見ると「#adef-coords」だけはしっかり付いてますね。

bakera.jp内リンクだとおかしくなる仕様なのでしょうか?

> title要素にも

title属性の間違いです。

>旧：http://bakera.jp/html/reference/dataformat.html#coords

>http://www.w3.org/TR/html401/struct/objects.html#adef-coords

>http://bakera.jp/html/reference/preformatted.html#xmp

ところで、フラグメントID付きのURLを貼るとフラグメントIDも含めてリンクされて、title要素にもフラグメントIDが付くにもかかわらず、実際のリンク先にはフラグメントIDが付いていないのは仕様ですか?

直接ドリームウィーバーで編集することの略かと思った[謎]。

>「直線でもまっすぐは知らず」は「直線でもまっすぐ走らず」の誤変換でしょうか。

　ですです。

　こちらも修正しておきました。

>「お金の出る岩を叩いて設ける」は「お金の出る岩を叩いて儲ける」の誤変換でしょうか。

　ですね。ご指摘ありがとうございます。

　修正しておきました。

>ついでに、旧版サイトをIE7やFirefoxで見ると上部ナビバー【謎】の枠から文字がはみ出している問題にも対応しておいてください。

　position:fixed を試していたころの名残ですね。

　要らない記述を消しておきました。

「お金の出る岩を叩いて設ける」は「お金の出る岩を叩いて儲ける」の誤変換でしょうか。

「直線でもまっすぐは知らず」は「直線でもまっすぐ走らず」の誤変換でしょうか。

>　旧版はどちらかというと放置な感じで行きたいですが、余裕のあるときに対応しておきます。

ついでに、旧版サイトをIE7やFirefoxで見ると上部ナビバー【謎】の枠から文字がはみ出している問題にも対応しておいてください。

高さを「height: 1em」と明示していても内容に応じて勝手に拡張されるというIE6のバグは修正されました。

>%Coords;の解説ですけど、古いのも新しいのも「整数値のピクセル数をコンマで区切って列挙します」とありますが、間違っています。

　ご指摘ありがとうございます。修正しておきました。

>あと旧版のいくつかの内容が文字化けしています。

　旧版はどちらかというと放置な感じで行きたいですが、余裕のあるときに対応しておきます。