新生鳩丸掲示板♯

>私は<>&"'は全部変換する必要があると思うのですが、

　まあこれも微妙な話で、たとえば CDATA 区間内では & は変換する必要がなかったりとか、引用符で括られた属性値の中では <> はそのままでも良いとか (しかし XHTML ではやっぱり駄目だったりとか) 、本当はいろいろあるのですよね。でも、「面倒だから」全部変換するという。

　DOM でやってしまうという方法は、こういうことも一切考えなくて良くなるので、その意味でも楽ですね。

>液晶の輝度を上げた上で、シャッタ速度を遅くして(1/8秒くらい)撮影してみては。

　そもそも、DS 本体の液晶のバックライトって調整できるんでしょうか?

　それらしいスイッチや設定項目は見あたらず……。

>復活してますね。

　というか、一時的に見られなかっただけっぽいですね。

>あけましておめでとうございます。

>めったにお目にかかりませんでしたが(謎)、森のおかげで常駐してますね♪

　どうもです。というか、森の話しかして無くて申し訳ない感じですが。

>今年もよろしくお願いします。

　こちらこそよろしくお願いいたします。

>その記事の書いてあるblogの右カラム(?)にある変なJavaも「床屋の満足」の可能性があると思った。まあJavaをoffったので問題ありませんが。

　すみません、そもそもそんなものの存在に気づいていませんでした。

　まあ、気にしない方向で。

>本家の FAQ がリンク切れ?

　というか、本家サイトが消滅しているようですね。いちおう、

http://www.square-enix.com/jp/archive/usaga/

　に商品情報はあるので、歴史の闇に葬られたというわけでもないようですが。

>http://wp.netscape.com/eng/mozilla/3.0/relnotes/windows-3.03.html

>の「JavaScript Evaluation in HTML」を参照。

>ネスケ4と言いつつネスケ3のリリースノートですが、ネスケ4まではありました。

　いちおう、HTML4 の仕様でも言及されてはいます。

http://www.w3.org/TR/1999/REC-html401-19991224/appendix/notes.html#h-B.7.1

本家の FAQ がリンク切れ?

>>ネスケ4です。

>詳細希望。

http://wp.netscape.com/eng/mozilla/3.0/relnotes/windows-3.03.html

の「JavaScript Evaluation in HTML」を参照。

ネスケ4と言いつつネスケ3のリリースノートですが、ネスケ4まではありました。

>>ネスケ4です。

>詳細希望。

>

>ていうか、

>http://nogue.cocolog-nifty.com/diary/2004/02/_ihtml.html

>でも表明してますが、(i-mode実機については確認してませんが)少なくとも「i-modeシミュレータ」という名のブラウザについては、

>http://www.ne.jp/asahi/minazuki/bakera/html/opinion/ampersand

>の指示を守ると、かえってトラブルを起こす（カウンタを表示しなくなる）ことがわかっている。

パラメータは ; で区切ろう！<http://bakera.jp/html/opinion/perl.html>

>ネスケ4です。

詳細希望。

ていうか、

http://nogue.cocolog-nifty.com/diary/2004/02/_ihtml.html

でも表明してますが、(i-mode実機については確認してませんが)少なくとも「i-modeシミュレータ」という名のブラウザについては、

http://www.ne.jp/asahi/minazuki/bakera/html/opinion/ampersand

の指示を守ると、かえってトラブルを起こす（カウンタを表示しなくなる）ことがわかっている。一方で

>しかし、&p を ? などに置き変えてしまうブラウザがあったとしても文句は言えないのです。

文句は言えないかもしれませんが実際にそんなブラウザを確認したことはないので、私はあえて&amp;とは書かないようにしてます。

>ネスケで

ネスケ4です。

そこで真も日ブのサポート掲示板ですよ【謎】。

mixiやはてなも&を実体参照に変換して出力しないようですが、それらは単に何も考えていないだけのようです【謎】。

http://bugzilla.mozilla.gr.jp/show_bug.cgi?id=4873

2chも(ryですが、それはここ【何処】で説明するには余白が狭すぎる【謎】歴史的経緯からそうなっています。

> 私は<>&"'は全部変換する必要があると思うのですが、

ていうかその意見自体すでにサニタイズ症候群な感じがします。

ちなみに&に対して何もしないとネスケで任意のスクリプトが実行可能ですが、さすがに古すぎて説得力がいまいちのようです。

その記事の書いてあるblogの右カラム(?)にある変なJavaも「床屋の満足」の可能性があると思った。まあJavaをoffったので問題ありませんが。

高木さん自身はサニタイズ症候群とも言ってますが、そのほうが「サニタイズ言うなキャンペーン」よりもわかりやすくていいんじゃないでしょうか。

CGIでHTMLに出力する際'&'は文字参照する必要がないとあるMTのブログに書かれていたので、そんなことない&も&amp;に変換する必要がありますと書き込んら、&も&に変換する必要がありますと表示されてげんなりした思い出があります。

さらにそれではHTMLの文法上正しくならないと突っ込んだら、HTMLが正しいかどうかの記事じゃないとか言われてさらにげんなりしました。私は<>&"'は全部変換する必要があると思うのですが、相手がサニタイズ症候群に陥っていると、その必要性を理解してもらえなくて残念な思いをします。

あけましておめでとうございます。

読んだ時わたしも感想を持ったので転載します。

「ここは攻撃される個所だから補強する」っていう考え方が、プログラマのポリシーとしてどうなのかっていう話なんだ。

「フールプルーフで設計構築しよう」

って考えたらわかりやすくなった。

こういう理解です。

家を建てる時、壁に亀裂が入ったら塗ればいいってものじゃないですよね。

使用中にひびが入らないために工事段階での補強を考えるのではなくて、

構造計算を重視しろという意味だと理解しました。

> 設定ファイルに書かれたものや、管理者の入力したもの

そういうのはブラックボックス化すればいいんじゃないでしょうか？

運用がめんどいですけど

>http://takagi-hiromitsu.jp/diary/20051227.html#p03

>Strutsのtaglibはデフォルトでエスケープされますね。

>もっとも従来の<%= ... %>によるスクリプトレットも使えるので、まずスクリプトレット禁止運動から始める必要がありますけど。

ちなみにStrutsの影響を受けているらしいPHPのフレームワークEthnaもデフォルトでエスケープされるようになってますね。

テンプレートとしてはSmartyを使用していて、デフォルトのmodifierにescapeを指定しているようです。

Firefox 1.5では、httpsなチャネルで別途定めるハッシュ値と比較をしているようです。改竄不可能なことの検証まではしていませんが。

Firefox 1.5ではJPドメインにおけるIDNの日本語表示が復活して、逆変換もしてくれるようになりました。