新生鳩丸掲示板♯

>存在しないfavicon.icoにGETを試みるときも同UAですが、404なのになぜああもしつこくリクエストを繰り返すのか不思議で仕方ありません。

むしろ404だからこそキャッシュが効かないという罠では。

関係ありそうなバグ:

https://bugzilla.mozilla.org/show_bug.cgi?id=116801

>Firefox

むしろMozilla/4.0 (compatible;)。

先読みというか、link要素で指定したリソースに見境なくアクセスしているような感じです。存在しないfavicon.icoにGETを試みるときも同UAですが、404なのになぜああもしつこくリクエストを繰り返すのか不思議で仕方ありません。

http://takagi-hiromitsu.jp/diary/20050802.html#p02

> 「以前のサイトには」って……、あいもかわらずマイクロソフトの翻訳は……本当に人が翻訳してるのかと疑いたくなる。

そこは英語版でも "The previous site might require..." とか表示されるので、そこまでひどい翻訳ではないと思うのは私の英語力が機械翻訳並みにひどいためでしょうか。きっとそうですね【謎】。

そんなことより、もっと重大な問題が例に挙げられている Office Update のサイトにはあります。発行元が 'Microsoft Corporation' であることを確認しろと書かれていない点です。

そもそも、なんで "The previous site" とか「以前のサイト」と表示されるのかというと、ActiveX コントロールのロードに失敗したとき、強制的に別ページへ飛ばすアホサイトへの対策のためです。この場合 ActiveX コントロールが必要なのは、現在表示している飛ばされた後のページではなく、飛ばされる前の object 要素が記述されていたページですから、「以前のサイト」なわけです。そうでなければ "This site"/「このサイト」と表示されます。決して "This site" を機械翻訳にかけてみたら「以前のサイト」になっちゃったわけではありません。

さて、「以前のサイト」の警告は、飛ばされる前のページがどこであろうと(たとえば malicious.example.com であろうと)表示されます。では、たとえば fake.officeupdate.example.net が "Office Update Installation Engine" と名付けて署名した ActiveX コントロールのスパイウェアをインストールさせようとしてこのページに飛ばしたらどうなるでしょうか。目の前の(本物の)Microsoftのサイトには「インストールしろ」と書かれています。

いやー素晴らしい【謎】。

実際に ActiveX コントロールをでっち上げるのは面倒だったので、Shockwave Player で試してみました。

というか、2003サーバーにGoogleToolbarを入れる必要性がよくわからないのですが・・・

人にはダウト。

>> 「利便性のためには安全性の犠牲もしかたないじゃないか」だとか、「セキュリティ屋は現実を無視しているだけだ」などと考えて、

>> 「セキュリティ屋は非現実的なことばかりを言うが、みんな平気で使ってるじゃないか」と考えたなら、「どんな設定に変更してもたいして危険じゃないはずだ」

「ブラウザのUIから簡単にできる設定の変更がそんなに危険なはずない」とか思い込んでいるという可能性も見逃せません。

>> こういうのは一度どこかが損害賠償訴訟でも起こされると、ササーっと変わっていくだろう。

訴訟が起きるとするなら、真っ先に思いつく相手はブラウザメーカーじゃないでしょうか。スパイウェア被害にあったのは全然関係ないどこかのサイトで指示された設定変更に従ったせいだとかあまり自然に思いつきそうにないですし、そもそも設定変更したこと自体忘れてても不思議はなさそうですし。

http://www.st.ryukoku.ac.jp/~kjm/security/ml-archive/memo/2005.08/msg00000.html

> ここで証明書を確認してみたらなんと、証明書の有効期限が

> 2005/06/18 になっているではないですか。これは一体どうしたことでしょう。

ヒント: タイムスタンプ

で、Firefoxのインストーラの証明書にはタイムスタンプがないので、期限切れがマジに問題になるわけですが、2005年12月15日以降どういうことになるのか今から楽しみ^H^H^H心配でなりません。

> ※「プリフェッチャが先読みに利用する」などという話もありましたが、そういうプリフェッチャはあるのでしょうか。最近はプリフェッチャ自体あまり見ませんが……。

Firefox

ご参考【謎】:

http://internet.watch.impress.co.jp/cda/news/2005/04/01/7082.html

http://www.google.com/help/features.html#prefetch

http://www.mozilla-japan.org/projects/netlib/Link_Prefetching_FAQ.html

>ところで、RedHatじゃなくてRed Hatでは無いでしょうか。

　おお、そうですね。

　修正しておきましたです。

みんな【誰】警察庁は叩くのに、そもそもその設定を可能にしている元凶【謎】のほうに誰も触れてないのがとても謎です。

高木さん【誰】は昨年7月24日の日記でいちおう触れていますが、

http://d.hatena.ne.jp/HiromitsuTakagi/20040724#20040724fn1

これ以上言っても無駄だと思ってるのでしょうかやっぱり。

そのときはありがとうございました。助かりました。

ところで、RedHatじゃなくてRed Hatでは無いでしょうか。Google先生には"もしかしてRedHat"とかいわれてしまい、残念な思いをしますが。

>旧用語集みたいに「この文書の最新版は『ばけらの HTML リファレンス』に移転しています」とか先頭に入れておくとよさげです。

　御意。入れておいたです。

>気づかなかったと言われてますし。

　ですねぇ。すみませぬ。＞ｐさん

私はよく chkconfig のオプションが分からなくなるので ntsysv で設定しちゃいます。

>　では既に直っており、古い方はスペルミスのまま放置の予定でしたが、一応直しておきます。

旧用語集みたいに「この文書の最新版は『ばけらの HTML リファレンス』に移転しています」とか先頭に入れておくとよさげです。気づかなかったと言われてますし。

ここにも同じ話題が。

http://e-blog.24ne.jp/?eid=251261

サイトの構成がこんなに変わっているとは気づきませんでした

すみません

>いったい誰を想って投げていたのでしょう[謎]。とか思ったり。

　……ひたすら無心で。

　というか、うしろから「セキュリティホールを突け!」とか野次られたのが謎です。そういう変な生活してるつもりないんですが。

>http://www.ne.jp/asahi/minazuki/bakera/html/reference/headmisc/

>のobject要素にdecrareという属性がありますが

>declareのタイプミスということでいいんでしょうか

　はい、そのとおりです。

http://bakera.jp/hatomaru.aspx/ref/html/element/object

　では既に直っており、古い方はスペルミスのまま放置の予定でしたが、一応直しておきます。

いつもリファレンスを参考にさせていただいております

http://www.ne.jp/asahi/minazuki/bakera/html/reference/headmisc/

のobject要素にdecrareという属性がありますが

declareのタイプミスということでいいんでしょうか

>13日の日記までは「以上、○○○ (example.com) より」みたいな感じで引用元が表示されていましたが、この日の日記から表示されていないのはシステムの不具合でしょうか、それとも単に引用元を書くのをサボってるだけでしょうか?

　内部的には bq要素の cite属性や title属性の値が反映されます。

　属性がないと何も出ません。

　要するにサボっているだけです。

　直前にリンクがひとつだけあったりする状況だと引用元が分かるので、あらためて書かないことがあります。blockquote要素に cite属性があった方が良いという話はあるでしょうが、無くてもそんなには困らないと思うので、あまり気にしていません。