新生鳩丸掲示板♯

>>ていうか、

>>http://nogue.cocolog-nifty.com/diary/2004/02/_ihtml.html

>>でも表明してますが、(i-mode実機については確認してませんが)少なくとも「i-modeシミュレータ」という名のブラウザについては、

>>http://www.ne.jp/asahi/minazuki/bakera/html/opinion/ampersand

>>の指示を守ると、かえってトラブルを起こす（カウンタを表示しなくなる）ことがわかっている。

>パラメータは ; で区切ろう！<http://bakera.jp/html/opinion/perl.html>

実体参照が解釈されないブラウザにも対応するために&と;を区切り文字として使用できるようにしようということかなと…

&amp;がampというパラメータが指定されていると解釈できるように。

もちろん;で区切ってもいいですが。

> という必要があるので、状況に応じて危険な文字を削除したり、逆にそのまま使っ

> たりしなければなりません。つまりは意識的に「サニタイズ」しなければならない

> ということだと思うのですが……。これを「サニタイズせよ」と言わなくて済むよ

> うな解決策ってあるのでしょうか。

「入力された値が許容範囲外であることを検出してエラーにする」ことも「サニタイズ」と呼ぶ派のばけらさん相手だと説得力を発揮しないのですが、ほとんどの場合は危険と思われる文字を黙って除去して使用するよりも、明示的にエラーにする方がより適切な対応です。それは値が示すものが変わってしまうような変換や除去処理はなるべく避けるべきだからです。たとえばパス名から ../ を除去すると確実に内容が変わってしまいます。処理後のパス名がたまたま有効なものになる可能性もありますが、それがユーザーの意図したものかどうかは分かりませんし、攻撃者によるものなら間違いなく意図したものではないでしょう。

なので通常はサニタイズは不要なのです。

で、パス名の処理ですが、ファイルシステムのパス名と同等の仕様のものとして扱うから ../ 混じりのパス名は正しいが汚染されているということになるわけです。別途定める仕様のパス名が指定されているとすれば ../ 混じりのパス名は単に誤った形式となるので、汚染された云々という概念が出てこなくなります。そして別途定める仕様のパス名をファイルシステムにマッピングするためのマッパーが「誤った形式」とか「マッピング不能」といったエラーを返すようにすればいいわけです。

といったところが「サニタイズ言うな」キャンペーンの真髄かと。

>そこで全長100Kmの太陽電池衛星ですよ！

　それ一基で足ります?

>電気は石油じゃなくても作れるからじゃないですか?

　まさか、安易に「電気は石油じゃなくても作れる」と思われているわけではないですよね?

　……と書いておくべきでしたね。

電気は石油じゃなくても作れるからじゃないですか?

そこで全長100Kmの太陽電池衛星ですよ！

>ちなみに&に対して何もしないとネスケで任意のスクリプトが実行可能

>ですが、さすがに古すぎて説得力がいまいちのようです。

2002年頃ひろゆきにメールしましたが、納得してくれませんでした。

「特定ユーザーのレベルの話しなので、特定ユーザーのほうで

処理してもらえれば」というお返事でした。。。

>>http://wp.netscape.com/eng/mozilla/3.0/relnotes/windows-3.03.html

>>の「JavaScript Evaluation in HTML」を参照。

>>ネスケ4と言いつつネスケ3のリリースノートですが、ネスケ4まではありました。

>

>　いちおう、HTML4 の仕様でも言及されてはいます。

>

>http://www.w3.org/TR/1999/REC-html401-19991224/appendix/notes.html#h-B.7.1

SGML的にはこういうのってアリなんでしょうか。satoshiiさん【誰】あたりが詳しそうですが。

>私は<>&"'は全部変換する必要があると思うのですが、

　まあこれも微妙な話で、たとえば CDATA 区間内では & は変換する必要がなかったりとか、引用符で括られた属性値の中では <> はそのままでも良いとか (しかし XHTML ではやっぱり駄目だったりとか) 、本当はいろいろあるのですよね。でも、「面倒だから」全部変換するという。

　DOM でやってしまうという方法は、こういうことも一切考えなくて良くなるので、その意味でも楽ですね。

>液晶の輝度を上げた上で、シャッタ速度を遅くして(1/8秒くらい)撮影してみては。

　そもそも、DS 本体の液晶のバックライトって調整できるんでしょうか?

　それらしいスイッチや設定項目は見あたらず……。

>復活してますね。

　というか、一時的に見られなかっただけっぽいですね。

>あけましておめでとうございます。

>めったにお目にかかりませんでしたが(謎)、森のおかげで常駐してますね♪

　どうもです。というか、森の話しかして無くて申し訳ない感じですが。

>今年もよろしくお願いします。

　こちらこそよろしくお願いいたします。

>その記事の書いてあるblogの右カラム(?)にある変なJavaも「床屋の満足」の可能性があると思った。まあJavaをoffったので問題ありませんが。

　すみません、そもそもそんなものの存在に気づいていませんでした。

　まあ、気にしない方向で。

>本家の FAQ がリンク切れ?

　というか、本家サイトが消滅しているようですね。いちおう、

http://www.square-enix.com/jp/archive/usaga/

　に商品情報はあるので、歴史の闇に葬られたというわけでもないようですが。

>http://wp.netscape.com/eng/mozilla/3.0/relnotes/windows-3.03.html

>の「JavaScript Evaluation in HTML」を参照。

>ネスケ4と言いつつネスケ3のリリースノートですが、ネスケ4まではありました。

　いちおう、HTML4 の仕様でも言及されてはいます。

http://www.w3.org/TR/1999/REC-html401-19991224/appendix/notes.html#h-B.7.1

本家の FAQ がリンク切れ?

>>ネスケ4です。

>詳細希望。

http://wp.netscape.com/eng/mozilla/3.0/relnotes/windows-3.03.html

の「JavaScript Evaluation in HTML」を参照。

ネスケ4と言いつつネスケ3のリリースノートですが、ネスケ4まではありました。

>>ネスケ4です。

>詳細希望。

>

>ていうか、

>http://nogue.cocolog-nifty.com/diary/2004/02/_ihtml.html

>でも表明してますが、(i-mode実機については確認してませんが)少なくとも「i-modeシミュレータ」という名のブラウザについては、

>http://www.ne.jp/asahi/minazuki/bakera/html/opinion/ampersand

>の指示を守ると、かえってトラブルを起こす（カウンタを表示しなくなる）ことがわかっている。

パラメータは ; で区切ろう！<http://bakera.jp/html/opinion/perl.html>

>ネスケ4です。

詳細希望。

ていうか、

http://nogue.cocolog-nifty.com/diary/2004/02/_ihtml.html

でも表明してますが、(i-mode実機については確認してませんが)少なくとも「i-modeシミュレータ」という名のブラウザについては、

http://www.ne.jp/asahi/minazuki/bakera/html/opinion/ampersand

の指示を守ると、かえってトラブルを起こす（カウンタを表示しなくなる）ことがわかっている。一方で

>しかし、&p を ? などに置き変えてしまうブラウザがあったとしても文句は言えないのです。

文句は言えないかもしれませんが実際にそんなブラウザを確認したことはないので、私はあえて&amp;とは書かないようにしてます。

>ネスケで

ネスケ4です。