新生鳩丸掲示板♯

http://openlab.ring.gr.jp/k16/htmllint/explain.html#near-bgcolor

この界隈【何処】ではみんな【誰】CSSで色付けしていて、物理タグ何それおいしいの? という感じ【謎】だと思うのであまり気付かれていなさげですが、この警告がありえないくらい厳しいです【謎】。もう、ももいろコミューン【謎】に喧嘩売ってるんじゃないかって勢いで洒落にならないくらい減点されます【謎】。いやAHLが減点するから悪いとか言うつもりは微塵もありませんが【謎】。

★2ちゃんねるなどの日本語掲示板の文字絵(text art)は、厳密(正確)には

AA(アスキーアート)ではありません。ＡＡとは、本来、英語圏の文字絵の

ことです。なぜなら、「アスキー」というのが、アルファベットなどの1バイト

文字のことだけを意味するからです。

★モナーなどの文字絵は、漢字なども含むＪＩＳコードで描かれているので、

「ＪＩＳアート（ＪＩＳＡ）」というべきです。

★呼び名を変える理由は、ＡＡとＪＩＳＡとは互換性がないことにあります。

実際、ＡＡを日本語掲示板で再現することはできず、またＪＩＳＡを英語掲示板で

再現することもできません。

■　半角とは、JISコードの中の1バイト文字のことであり、

　　 半角(JISコードの全角の半分)とは、アスキー文字ではありません、と言う意味である。

　　 アスキーには、半角文字と言う概念はありません。

　　 半角とは、JISコードの中の全角の半分の大きさの文字、と言う意味である。

　　 つまり、半角はアスキー(ascii)文字ではありません。

★詳しくは下記webサイトをご覧ください。 AA(アスキーアート)は1バイト文字絵である。

アスキーアート(USA original art)AAとJISアート(Japan original art)JOAの違い↓

http://www1.ryucom.ne.jp/papa/asciiart.htm

||　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 　 　 ｡　　∧＿∧

||　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　＼（´･u ・`）　モナー達解かったっ？

||　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 ⊂　⊂　）旦~

||＿＿＿∧ ∧＿＿_∧ ∧＿＿_ ∧ ∧＿＿ ∧ ∧＿＿＿|￣￣￣￣￣￣￣|

　　　 　 (　 ∧ ∧__ (　　∧ ∧__(　 　 ∧ ∧__(　　 ∧ ∧　 ￣￣￣￣￣￣￣

　　　～（＿(　∧ ∧（　 (　　∧ ∧＿ (　 ∧ ∧＿ (　　∧ ∧ うそ～っ信じられない。

　　　　 ～（＿(　 　,,)～（＿(　 　,,)～（＿(　 　,,)～（＿( ^　^ ) 　この世は間違いだらけ。

　　　　　　 ～（＿__ﾉ　　～（＿__ﾉ　　 ～（＿__ﾉ　　 ～（＿__ﾉ 　地球が回っている訳ないしね。

>タービンを回すだけならどっかの地下で奴隷を使って「もっと光をっ！」って（ぉぃ

発電フィットネスクラブとか。発電量でキャッシュバックされるのです。

キャッチコピーは「お金を貰って痩せる!!」(謎)。

代替取得手段の存在する電気と、枯渇したら代替取得が厳しい石油。

ってことじゃないですか？

タービンを回すだけならどっかの地下で奴隷を使って「もっと光をっ！」って（ぉぃ

太陽電池を作るために石油が必要になる罠。

で、Thunderbird 1.5 日本語版のインストーラには晴れて署名とタイムスタンプが付きました。めでたしめでたし【謎】

IDNはなかなか考えられていますが、RFC2822 の display-name はいろいろ利用できる余地があります。

>パスワードの暗号化ってどうだっけとググッと来たらここを発見したということで今頃書き込むのもアレですが、pop3で接続できるのなら、パケットをモニタしたら一発だったのでは?

　いや、そのとおりです。

　私も後になって気づきました。:-)

パスワードの暗号化ってどうだっけとググッと来たらここを発見したということで今頃書き込むのもアレですが、pop3で接続できるのなら、パケットをモニタしたら一発だったのでは?

AUTH LOGIN とか使っていて簡単には見えないみたいな?

IDNではこういう問題が起きることは予測済みで処理方法もちゃんとRFCに書かれてますね。

5時間チャージ、10分キープ。

労う　戦く　嬲る　弄ぶ　五月蝿い　海驢　海豹　鮫

>>ていうか、

>>http://nogue.cocolog-nifty.com/diary/2004/02/_ihtml.html

>>でも表明してますが、(i-mode実機については確認してませんが)少なくとも「i-modeシミュレータ」という名のブラウザについては、

>>http://www.ne.jp/asahi/minazuki/bakera/html/opinion/ampersand

>>の指示を守ると、かえってトラブルを起こす（カウンタを表示しなくなる）ことがわかっている。

>パラメータは ; で区切ろう！<http://bakera.jp/html/opinion/perl.html>

実体参照が解釈されないブラウザにも対応するために&と;を区切り文字として使用できるようにしようということかなと…

&amp;がampというパラメータが指定されていると解釈できるように。

もちろん;で区切ってもいいですが。

> という必要があるので、状況に応じて危険な文字を削除したり、逆にそのまま使っ

> たりしなければなりません。つまりは意識的に「サニタイズ」しなければならない

> ということだと思うのですが……。これを「サニタイズせよ」と言わなくて済むよ

> うな解決策ってあるのでしょうか。

「入力された値が許容範囲外であることを検出してエラーにする」ことも「サニタイズ」と呼ぶ派のばけらさん相手だと説得力を発揮しないのですが、ほとんどの場合は危険と思われる文字を黙って除去して使用するよりも、明示的にエラーにする方がより適切な対応です。それは値が示すものが変わってしまうような変換や除去処理はなるべく避けるべきだからです。たとえばパス名から ../ を除去すると確実に内容が変わってしまいます。処理後のパス名がたまたま有効なものになる可能性もありますが、それがユーザーの意図したものかどうかは分かりませんし、攻撃者によるものなら間違いなく意図したものではないでしょう。

なので通常はサニタイズは不要なのです。

で、パス名の処理ですが、ファイルシステムのパス名と同等の仕様のものとして扱うから ../ 混じりのパス名は正しいが汚染されているということになるわけです。別途定める仕様のパス名が指定されているとすれば ../ 混じりのパス名は単に誤った形式となるので、汚染された云々という概念が出てこなくなります。そして別途定める仕様のパス名をファイルシステムにマッピングするためのマッパーが「誤った形式」とか「マッピング不能」といったエラーを返すようにすればいいわけです。

といったところが「サニタイズ言うな」キャンペーンの真髄かと。

>そこで全長100Kmの太陽電池衛星ですよ！

　それ一基で足ります?

>電気は石油じゃなくても作れるからじゃないですか?

　まさか、安易に「電気は石油じゃなくても作れる」と思われているわけではないですよね?

　……と書いておくべきでしたね。

電気は石油じゃなくても作れるからじゃないですか?

そこで全長100Kmの太陽電池衛星ですよ！

>ちなみに&に対して何もしないとネスケで任意のスクリプトが実行可能

>ですが、さすがに古すぎて説得力がいまいちのようです。

2002年頃ひろゆきにメールしましたが、納得してくれませんでした。

「特定ユーザーのレベルの話しなので、特定ユーザーのほうで

処理してもらえれば」というお返事でした。。。

>>http://wp.netscape.com/eng/mozilla/3.0/relnotes/windows-3.03.html

>>の「JavaScript Evaluation in HTML」を参照。

>>ネスケ4と言いつつネスケ3のリリースノートですが、ネスケ4まではありました。

>

>　いちおう、HTML4 の仕様でも言及されてはいます。

>

>http://www.w3.org/TR/1999/REC-html401-19991224/appendix/notes.html#h-B.7.1

SGML的にはこういうのってアリなんでしょうか。satoshiiさん【誰】あたりが詳しそうですが。