投稿順表示 (131/282)

前のページ 1...126/127/128/129/130/131/132/133/134/135/136...282 次のページ

[3139] Re:ご意見番の「残念な思い(以下略」について

ばけら (2005年8月7日 15時55分)

>1: bakera.jp への移行が出来ているでしょうか？(302.cgi 関連で何がおきているのかなぁと。)

　移行はしていますが (そもそも 302.cgi はニフティに置いてあったので退会と同時に消滅しています)、遷移先は www.ne.jp のコンテンツになっています。

　位置づけとしては、そこに置いてあるのは古いコンテンツのコピーであり、新しいコンテンツはまだ存在しないという状態です。

>2:同ページの最後のリストダウンボックス。IEで閲覧しJavaScriptオンにて、フォーカスがあたっているときマウスのホイールをぐるぐる下にまわすと思いもかけず別ページに遷移します。ビックリしました。

　選択と同時に遷移させると、そういう問題もありますね。あと間違って選択したときとか。というわけで、最近はスクリプトが有効であってもボタンを押させるタイプの方が良いかな、と思っています。

　そのあたりも含めてそのうち書き直そうとは思っているのですが、いろいろなことが追いついていない感じです。

[3138] Re: 不定と不能

ばけら (2005年8月7日 15時52分)

>そもそも 1/0 0/0 など定義できないので不定も不能もくそもないという意見を、現代数学について極めて詳しい人から聞いたことがあります。

　なるほど、不定以前に未定義という解釈ですか。

[3137] 不定と不能

スターダスト (2005年8月7日 13時47分)

そもそも 1/0 0/0 など定義できないので不定も不能もくそもないという意見を、現代数学について極めて詳しい人から聞いたことがあります。 {ax = 0 (a = 0,あるいは a not= 0 )}について考えるのなら許すとか言われました。それはそうと。

Wizの世界では、呪文KATINO で　敵数体の行動を【不能】にすることがありますし、呪文HAMAN で効果が【不定】だったりします。

[3136] Re:ご意見番の「残念な思い(以下略」について

スターダスト (2005年8月7日 13時16分)

「番鳩丸ご意見番 - 残念な思いを致しました(1) - 謎のSELECT要素には残念な思いを致しました。」

http://bakera.jp/html/opinion/zannen1.html

のページを拝見して、以下３点を申し上げます。

1: bakera.jp への移行が出来ているでしょうか？(302.cgi 関連で何がおきているのかなぁと。)

2:同ページの最後のリストダウンボックス。IEで閲覧しJavaScriptオンにて、フォーカスがあたっているときマウスのホイールをぐるぐる下にまわすと思いもかけず別ページに遷移します。ビックリしました。

3:302.cgi、素晴らしいのですが、一面、どこに飛ばされるのか【謎】事前に利用者にわからせる仕組みがないのでセキュリティー面でどうなのかと思いました。

以上となります。項目1と2は御配慮お願い申し上げます。3は適当。

[3135] Re: 「脆弱性を通知された側の対応」

スターダスト (2005年8月7日 13時5分)

Webサイトで会員の個人情報を預かりながらも会員の便宜を図る、とあるサービスがありまして、自社の顧客がその企業でも顧客であるような取引先でした。（資本関係なし）

その昔、同サービスのXSSを探しては担当SEの考え違いを正しつつ数度にわたって粘り強く修正依頼を出し続けたことがあります。とうとう御理解いただいてXSSを全部つぶしきれた時、先方企業の社長からじきじきに電話を頂き、「1：お礼をしたいから直接お会いしたい。そちらの職場に伺いたいがスケジュールはこれでよいか？2：これからもなにかみつけたらどんどん教えて欲しい。」ということでした。社長おでましにビビりましたので丁重にお断りしたところ、大変高額なおいしい羊羹をいくつか頂きました。会社の仲間と一緒に頂きました。

･･･極めて珍しい事例だと思います。…

一般的には、まだまだ個人の資格で通報しても、その通報の意味すら理解できない窓口も多数あります。悪意で無視するのではないのでしょうけれど脆弱性の指摘をしても「わからん。へんなこという奴だ。ほっとけ」みたいな企業は結構あると思いますよ？そういったところへはIPAを通じて報告させて頂くと、脆弱性指摘者としては楽ちんになっております。

[3134] Re: 「信頼済みサイトゾーンを使わせない……?」

ばけら (2005年8月7日 10時14分)

>訴訟が起きるとするなら、真っ先に思いつく相手はブラウザメーカーじゃないでしょうか。

　しかし、それはソフトウェアライセンスの免責事項でカバーされていたするのではないでしょうか。

[3133] Re: どんなにセキュリティ機能を追加してもそれを設定で殺させる虫が湧いてくる

ばけら (2005年8月7日 10時13分)

>いやー素晴らしい【謎】。

　うーむ、これはちょっといろいろな意味でまずいのでは……。

[3132] Re: 「今日の気になる一言」

スターダスト (2005年8月7日 0時6分)

ながいこと（2001年ぐらいから）「人にはダウト」の意味ってなんだろうと不思議に思っていました。やっと本日、『あんたはんもののけでっしゃろ？人ではありまへんやろ？』という【ダウト】のことであろうと気がつきました。　･･･ふぅ･･･　スッキリです。嬉しかったので投稿しました。

[3131] Re: link要素@ばけらの HTML リファレンス(未完成)

えむけい (2005年8月4日 5時50分)

>存在しないfavicon.icoにGETを試みるときも同UAですが、404なのになぜああもしつこくリクエストを繰り返すのか不思議で仕方ありません。

むしろ404だからこそキャッシュが効かないという罠では。

関係ありそうなバグ:

https://bugzilla.mozilla.org/show_bug.cgi?id=116801

[3130] Re: link要素@ばけらの HTML リファレンス(未完成)

かんな (2005年8月3日 21時40分)

>Firefox

むしろMozilla/4.0 (compatible;)。

先読みというか、link要素で指定したリソースに見境なくアクセスしているような感じです。存在しないfavicon.icoにGETを試みるときも同UAですが、404なのになぜああもしつこくリクエストを繰り返すのか不思議で仕方ありません。

[3129] Re: どんなにセキュリティ機能を追加してもそれを設定で殺させる虫が湧いてくる

えむけい (2005年8月3日 21時33分)

http://takagi-hiromitsu.jp/diary/20050802.html#p02

> 「以前のサイトには」って……、あいもかわらずマイクロソフトの翻訳は……本当に人が翻訳してるのかと疑いたくなる。

そこは英語版でも "The previous site might require..." とか表示されるので、そこまでひどい翻訳ではないと思うのは私の英語力が機械翻訳並みにひどいためでしょうか。きっとそうですね【謎】。

そんなことより、もっと重大な問題が例に挙げられている Office Update のサイトにはあります。発行元が 'Microsoft Corporation' であることを確認しろと書かれていない点です。

そもそも、なんで "The previous site" とか「以前のサイト」と表示されるのかというと、ActiveX コントロールのロードに失敗したとき、強制的に別ページへ飛ばすアホサイトへの対策のためです。この場合 ActiveX コントロールが必要なのは、現在表示している飛ばされた後のページではなく、飛ばされる前の object 要素が記述されていたページですから、「以前のサイト」なわけです。そうでなければ "This site"/「このサイト」と表示されます。決して "This site" を機械翻訳にかけてみたら「以前のサイト」になっちゃったわけではありません。

さて、「以前のサイト」の警告は、飛ばされる前のページがどこであろうと(たとえば malicious.example.com であろうと)表示されます。では、たとえば fake.officeupdate.example.net が "Office Update Installation Engine" と名付けて署名した ActiveX コントロールのスパイウェアをインストールさせようとしてこのページに飛ばしたらどうなるでしょうか。目の前の(本物の)Microsoftのサイトには「インストールしろ」と書かれています。

いやー素晴らしい【謎】。

実際に ActiveX コントロールをでっち上げるのは面倒だったので、Shockwave Player で試してみました。