新生鳩丸掲示板♯

もしかしてWindows Server 2003のデフォルト設定だと使えなかったりするのでしょうか。

サーバーOSだからクライアントの側のインストールには対応していないとか言いそうですが。

>だから

>> CookieやBasic認証のパスワードなどの資格情報を、騙されたブラウザが自動的に送ってくれるというメリット【謎】がいちおうあります。

>って言ったじゃないですかっ【謎】。

なるほど。ブラウザの通信制限機能をsmugglingするわけですか。

捏造したリクエストがサーバで解釈されるときに後続のリクエストを飲み込んでしまうようにすれば――という感じなのですね。

やっと理解できました。

私もprojectServer利用しています。確かにでますね「登録しろ!」というダイアログ。

IEを特定利用しかしていないのと、自分がほしいといった手前、おもわずセキュリティを初期状態にもどして登録してしまいました

こちらの文をみて、現象に納得。そして脅しに屈した自分がすこし恥ずかしい。。。

例えばこんなのでしょうか。花子の日記。

<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01//EN">

<HTML lang="ja-JP">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">

<title>噂話</title>

<link rel="INDEX" href="./index.html">

<link rev="MADE" href="mailto:hanako@mail.example.com">

</head>

<body>

<p>

次郎のブログに書いてあった、

<q>太郎の日記に<q>俺、花子が大好きだ。</q>と書いてあったらしいよ。すぐに消えたみたいだけど。</q>

という話は単なる噂ではないかなぁ。ドキドキ。

</p>

</body>

</html>

…こんな時、私は考えもせずに即blockquote要素を使います。引用したい文がマークアップしてあればなおさら。自分の文全体も書き換えちゃう。

#q要素のスタイル次第では良く判らない見栄えになりますね。

引用先のページを引用する場合、HTMLで長文引用（ブロック）のblockquoteと短文引用（インライン）qを使い、属性のciteで出典URIを記述するのは解ります。

しかし、引用先のページで一部の文章が明らかで、qを使わずに記載している場合、「ページで一部の文章」を

<q>.....<q>----</q>....</q>

にするのでしょうか。

<q>.....----....</q>

でよいのでしょうか。

それとも、長文でもないのに

<blockquote>.....<q>----</q>....</blockquote>

とするのでしょうか。

参照先のciteを使う場面ではないのです。

回答をお待ちしています。

> ああ、なるほど。条件が合うと任意のサーバの Basic 認証のパスワードがとれてしまったりする可能性もありそうで、洒落にならないですね。

だから

> CookieやBasic認証のパスワードなどの資格情報を、騙されたブラウザが自動的に送ってくれるというメリット【謎】がいちおうあります。

って言ったじゃないですかっ【謎】。

警察がまともに動きません

http://gonbe.nobody.jp/sekuharasosyouya.htm

http://gonbe.nobody.jp/minboutoonnna.htm

http://gonbe.nobody.jp/beerbond.htm

http://gonbe.nobody.jp/koumotobougen.htm

http://gonbe.nobody.jp/kyouhakuhouti.htm

http://gonbe.nobody.jp/privacyleakage.htm

http://gonbe.nobody.jp/boutaikeiji.htm

おかしすぎます

http://newsflash.nifty.com/news/keyword/arrest/ts__jiji_27X126KIJ.htm

> 攻撃のリクエストを送るのにわざわざ XMLHttpRequest など利用しなくても、もっと簡単な方法がいくらでもありそうですし。

CookieやBasic認証のパスワードなどの資格情報を、騙されたブラウザが自動的に送ってくれるというメリット【謎】がいちおうあります。

あとうまくやれば捏造したリクエストの結果をブラウザの画面に表示できるようなので、フィッシングにも使えるかもしれません。

> むしろ重要なのは、末尾の "or which share an IP address" という部分かもしれません。

犠牲者のブラウザがプロキシを使っている場合、同じIPアドレスという条件は外れます(プロキシが異なるホストへのパイプラインリクエストをサポートしていればですが)。

> いずれにしても、サーバなりブラウザなりキャッシュサーバなりが HTTP Request Smuggling に対して脆弱でなければ問題ない、という理解で良いのかしら。

脆弱なところがどこにもなければ問題ないのは当たり前だと思います【謎】。

とりあえずFirefox 1.0.6/Mozilla 1.7.11の場合はサーバから見て100%正当なリクエストを捏造できたので、サーバ側が脆弱かどうかは関係ありません。

ただし異なる(バーチャル)ホストへのリクエストを同じコネクションで受け付けないように設定すれば、この攻撃は防げます。

>とするだけで、アドレスまでエンコードされませんでした。空白が必要、らしい。"From: "がエンコードされないのは、ちゃんと空白をはさんでいるから？

　なんと。貴重な情報ありがとうございます。

　RFC2822 では

angle-addr = [CFWS] "<" addr-spec ">" [CFWS] / obs-angle-addr

　なので、空白はあっても無くても問題ないですね。

　空白を入れておくだけで幸せになれるのなら、入れても良いかも。

>もちろん、ゲーム中に発火しないことを祈ることも忘れずに……。

　よく考えてみると、過去にドラクエ8 を 72時間連続起動したりしていましたが、火は出なかったのですよね。

　あるいは連続稼動による過熱なのではなくて、電圧の変化などの外部要因で問題が起きるのかもしれませんが……。

>ようこそこちら側へ[謎]!

　めでたくもあり、めでたくもなし……。

おめでとうございます！

ようこそこちら側へ[謎]!

Jcode.pmのfolding問題ですが、

my $mail = "$name<foo\@example.com>";

を

my $mail = "$name <foo\@example.com>";

とするだけで、アドレスまでエンコードされませんでした。空白が必要、らしい。"From: "がエンコードされないのは、ちゃんと空白をはさんでいるから？

#メールアドレスの正規表現は書き終わったものの、エラーが出てしまい、その原因もわかりません。どうやらコメントを入れ子にするところのようなので、コメント系を無視すればそれでよいのですが、何か気持ち悪いです。先にURIの正規表現完成するかなぁ。。。

発火してもいいように、

・常に視界内にはいる場所にACアダプタ設置

・ACアダプタのまわりから可燃物を撤去

・消火器を用意

という状態にしてゲーム三昧というのはいかがでしょうか？

もちろん、ゲーム中に発火しないことを祈ることも忘れずに……。

>"ActiveX"で1つの単語なのでスペースで区切るのは正しくない気のせいがします。

　くっつけておきました。

> 「および」というのは「または」の誤りではないのでしょうか。

英語版の指示では"or"になってますね。

http://www.macromedia.com/cfusion/knowledgebase/index.cfm?id=tn_15511#install_win

> まあ当然 Active X が無効なのでどうにもならないわけです。

"ActiveX"で1つの単語なのでスペースで区切るのは正しくない気のせいがします。

>「署名付き ActiveX コントロールのダウンロード」を「有効」にせよとかの指示が追加されるのは目に見えているので、あまり高望み【謎】はしないほうが賢明です。

ちなみに、ここにあります。

http://www.macromedia.com/jp/support/flashplayer/ts/documents/pl0156.html

「有効にする」および「ダイアログを表示する」って……「および」というのは「または」の誤りではないのでしょうか。

ver は 8,0,22,0　のはずです。（WindowsXPSP2 の IE で）

#Macromedia Flash Player のバージョンテスト

http://www.macromedia.com/jp/support/players/ts/documents/pl0147.html

では、（日本語版の情報が古いかもですが、よく見ると2005 年 5 月 16 日付けの情報として）

<q>次の表は Flash Player の最新バージョンについての情報を示しています。</q>

<q>7,0,19,0</q>

となっていますので、粗忽者でウッカリしてしまうと２重の危険性があるのかもしれません。

「実はアップデートされていないというアホなことが」

経験があります。