新生鳩丸掲示板♯

>　実は無料会員って知らないうちにメールアドレス持たされていたりするんでしょうか。

　なんと、持たされていました。wah59618@nifty.com にメールを送ると私のところに転送されて来ます。ID 総当たりでウハウハですね。

http://www.nifty.com/cs/qa.htm

　には、

>Ｑ @nifty IDをメールアドレスとして利用することはできますか？

> ＠niftyIDをメールアドレスとして利用することはできませんが、セカンドメールでメールアドレスを取得することは可能です。（200円/月(税込210円/月)）

　とありますが、これが虚偽であるということですね。

　今から退会します。

>ニフティアドレスに対してきたspamがニフティサーバで転送されたのでは?

　私、ニフティのメールアドレス持ってないつもりなんですが……。

　実は無料会員って知らないうちにメールアドレス持たされていたりするんでしょうか。

>Received: from mxg501.nifty.com (mxg501p.nifty.com [172.22.128.41])by mail526.nifty.com with ESMTP id j6NBKt3V007325

>for <********@trans.nifty.com>; Sat, 23 Jul 2005 20:20:55 +0900

コレはニフティのアドレス宛に来たメールを外向けSMTPサーバ（mgx***.nifty.com）が受信して、内部のSMTP or mailboxを収容しているPOPサーバ（mail***.nifty.com）に転送しているだけでは？

for のIDが水無月さんのもので、メール転送サービスを利用しているのであれば、これは通常記録されるヘッダのように思えますが。

大手ISPなんだから、第三者中継を許すようなボケはしないでしょう。

>> Received: from nuru.tv (pl448.nas926.a-nagoya.nttpc.ne.jp [210.139.55.192])by mxg501.nifty.com with ESMTP id j6NBKmcT022425

>>for <wah59618@nifty.com>; Sat, 23 Jul 2005 20:20:49 +0900

>

>ニフティアドレスに対してきたspamがニフティサーバで転送されたのでは?

それをニフティが中継しちゃうから問題なのではないですか。よく分かりませんけど【謎】。

通常は有効になっていなくて、データだけあるものが対象になるというなら、

追加料金を払うと、アダルトモードが追加されるようなものも対象になるんだろうか。

アメリカのレイティングはようわからん^^;

> Received: from nuru.tv (pl448.nas926.a-nagoya.nttpc.ne.jp [210.139.55.192])by mxg501.nifty.com with ESMTP id j6NBKmcT022425

>for <wah59618@nifty.com>; Sat, 23 Jul 2005 20:20:49 +0900

ニフティアドレスに対してきたspamがニフティサーバで転送されたのでは?

そうです(謎)。

> ……うわー、前半はともかく後半はホント駄目人間だ……。

人にはダウト【挨拶】。

> あうあう、すみません、XSS の届出が減った真の理由はたぶんこんな感じです。

1日6ヒットの自サイトにアクセス解析を導入してみたらスクリプト無効のブラウザが世間【何処】では90%くらいを占めているという結論に達した現象ですね【謎】。

>1.0.6で修正は入ったはずなのですがまだクラッシュしますね。

https://bugzilla.mozilla.org/show_bug.cgi?id=271716 で、

1.0.7への申請が出ています。

>要はその役割をセキュリティ屋に望むのは筋が違うんじゃないかということです。

>望むのなら開発者にセキュリティ的な問題把握能力を望むべきでしょう。開発者にそれができなかったからセキュリティ屋というのが居るわけで、さらにプログラミングの知識まで頼ってしまったら、開発者としての立つ瀬がなくなってしまうではありませんか。そもそもバグなのですから、それを修正するためにセキュリティ的な知識は要らないのです。

なるほど。そのとおりかもしれません。

最初このキャンペーンを「サニタイズ」と呼ぶことによるミスリードに警鐘を鳴らしている、ととらえたのですが、そこを引っ張りすぎたかもしれません。

あえて自分のほうに引き寄せた表現をすると「サニタイズ言うな」はすべての人に対する呼びかけだが、その本質を理解するのは開発者だけで十分、と。

>>これは穿ちすぎを承知で言うのですが、高木さんの「不満」はIPAに向けられているような気のせいがとてもしています。IPAに「サニタイズって言うな」と。IPAの立場は開発者というよりはセキュリティの専門家でしょうか。

>

>写真のスライドに書いてある文句を読むと対象は開発者という感じがします。

ここで私が言うのは、これが IPA に対する「あてこすり」になっている、ということです。そのような意図があれば、この章全体がわかりにくくなっているのもうなずけるというものかな、と。

「サニタイズしてなかったんだな」というのはまさに IPA の言いそうなことではありませんか。よくは知りませんが。

でもそう考えると逆に、おもての対象は開発者でいいのかもという感じもしますね。

しかしここまで穿つと、りゅうさんが激しく同意した高木さんの「発想」を説くのは別としても、文章の解釈そのものの意義がなくなってしまいますか……。

一応「サニタイズ言う」ことによって開発者をミスリードするのはやめてくれと主張しているのだろう、という点の賛否に関しては存在意義は残ってますか。ばけらさんのまとめにはその観点はないようなので。

>>ちょっと冒険っぽいですが、「伝えていく」というのを「技術を伝承する」というような意味で解釈できないでしょうか。

>>「ここに集ったみなさんも伝承者となったのですからみなさん伝道よろしく」みたいな。

>

>その解釈だと「特に新規にシステムを開発するような局面において」という前置きが無意味になってしまうので駄目っぽい感じがします。伝承は新規開発の時でなくてもできますし。

冒険なのでこだわってもしょうがないのですが、それこそりゅうさんの言われるように深い意味はないと思いますから、「機会をとらえて」というくらいの意味でいいんじゃないでしょうか。

伝承そのものは地道に脈々とおこなわれるべきですが、伝道にはパフォーマンスが期待されますし。

>これにはちょっと違和感があります。

>バグだバグだと言えといっているわけではなく「本来やるべき処理が何かを」「サニタイズ」と言わずに伝えろと言っているのだと捉えられますから。しかもこの文脈において脆弱性をさておく必要は無いわけですし…。

要はその役割をセキュリティ屋に望むのは筋が違うんじゃないかということです。

望むのなら開発者にセキュリティ的な問題把握能力を望むべきでしょう。開発者にそれができなかったからセキュリティ屋というのが居るわけで、さらにプログラミングの知識まで頼ってしまったら、開発者としての立つ瀬がなくなってしまうではありませんか。そもそもバグなのですから、それを修正するためにセキュリティ的な知識は要らないのです。

>これは穿ちすぎを承知で言うのですが、高木さんの「不満」はIPAに向けられているような気のせいがとてもしています。IPAに「サニタイズって言うな」と。IPAの立場は開発者というよりはセキュリティの専門家でしょうか。

写真のスライドに書いてある文句を読むと対象は開発者という感じがします。

>>誰がプログラマにきちんと伝えていくのか明示されていないので謎なのですが、

>

>そうそうそう、私もそこが気になっているのですよ。誰が伝えていくのか。

>ちょっと冒険っぽいですが、「伝えていく」というのを「技術を伝承する」というような意味で解釈できないでしょうか。

>「ここに集ったみなさんも伝承者となったのですからみなさん伝道よろしく」みたいな。

その解釈だと「特に新規にシステムを開発するような局面において」という前置きが無意味になってしまうので駄目っぽい感じがします。伝承は新規開発の時でなくてもできますし。

あ、すいません。

結核の集団検診での、数センチサイズの写真の話でした。

実際に医師に伺った話なんですが。

「あんな小さな写真でわかるはずないよ、ハッハッハ！」との事でした。

そんなものなんですね。

ちなみに彼のお孫さんは、個別に大きめなサイズで撮影してチェックされているそうです。

1.0.6で修正は入ったはずなのですがまだクラッシュしますね。

>>>>>既存のサイトに対して、そのセキュリティ対策として『サニタイズ』を行うというのは、セキュリティ屋の発想としては極めて自然である

>>

>>ところで、これって肯定してますかね？

>>すこし屈曲した表現に見えなくもないですが。

>

>渋々っぽい感じはありますが、だからといって否定しているとは言えないでしょう。

>というかその部分は「開発者的にはなんでもサニタイズで解決という発想はよろしくない。そもそもバグだし」というのの前振りなだけなので、そこにこだわっても仕方が無いような気がします。

御意。

>セキュリティ屋が脆弱性のことをさておいてバグだバグだと言っているというのは存在意義的に変なので、啓蒙の対象とするのはお門違いではないでしょうか

これにはちょっと違和感があります。

バグだバグだと言えといっているわけではなく「本来やるべき処理が何かを」「サニタイズ」と言わずに伝えろと言っているのだと捉えられますから。しかもこの文脈において脆弱性をさておく必要は無いわけですし…。

これは穿ちすぎを承知で言うのですが、高木さんの「不満」はIPAに向けられているような気のせいがとてもしています。IPAに「サニタイズって言うな」と。IPAの立場は開発者というよりはセキュリティの専門家でしょうか。

>誰がプログラマにきちんと伝えていくのか明示されていないので謎なのですが、

そうそうそう、私もそこが気になっているのですよ。誰が伝えていくのか。

ちょっと冒険っぽいですが、「伝えていく」というのを「技術を伝承する」というような意味で解釈できないでしょうか。

「ここに集ったみなさんも伝承者となったのですからみなさん伝道よろしく」みたいな。

ちなみにそう解釈したとしたら「本来やるべき処理が何か」は具体的な仕様とその実装ではなく、たとえば「文字列を扱う仕様に従った適切なエンコードをしなさい」とかいった抽象的なことになりますから、伝道者は設計者である必要はなくなります。

>>>>既存のサイトに対して、そのセキュリティ対策として『サニタイズ』を行うというのは、セキュリティ屋の発想としては極めて自然である

>

>ところで、これって肯定してますかね？

>すこし屈曲した表現に見えなくもないですが。

渋々っぽい感じはありますが、だからといって否定しているとは言えないでしょう。

というかその部分は「開発者的にはなんでもサニタイズで解決という発想はよろしくない。そもそもバグだし」というのの前振りなだけなので、そこにこだわっても仕方が無いような気がします。

>>なので区別されているのはセキュリティ屋と開発者です。

>

>そうなると、サニタイズって言っちゃいけないのは「開発者」に限ってしまうということになるんでしょうか。

セキュリティ屋が脆弱性のことをさておいてバグだバグだと言っているというのは存在意義的に変なので、啓蒙の対象とするのはお門違いではないでしょうか。

>「発想としては極めて自然」というのを限定的に捉えた上で、開発時から(あるいはその前から啓蒙者として)携わるセキュリティアドバイザも含めて関係者全員に「ちゃんと作ろうよ」を呼びかけていると考えるとすっきりするんですが…。

誰がプログラマにきちんと伝えていくのか明示されていないので謎なのですが、バグ、つまり仕様を満たしていない動作を指摘できるのは設計した人なので、私はSEなど設計した人がきちんと伝えていくべきだと解釈しました。もちろん、バグだからちゃんと作りましょうと指摘してくれるセキュリティ屋は良いセキュリティ屋ではありますが、セキュリティ屋にそれを望むのは贅沢な悩みという感じがします。

>　実際にはこのような明確にエスケープが必要なところではなく、たとえば店の ID をデータベースに渡すような微妙なところでインジェクションが発生したりします。そのような場合、必ずしも SQL 文レベルでの「エスケープ」が正しい対処法ではなく、たとえばその前の段階で「指定された ID が不正です」のようなエラーを出すことが適切であることもあるでしょう。この両者の処理を統括する呼称としては、今のところ「サニタイズ」以外に適切なものが思いつきません。

毒が入っているから食べずに全部捨てるというのを無毒化/消毒というのは変と思うのは私だけでしょうか。

毒入りのデータを使って中ったりしないよう、毒の部分を除去したり変化させたりする変換処理のことをサニタイズと言うのであって、変換したりしない場合はサニタイズとは言わないような気がします。

毒入りだったら食べずに全部捨てるというのは入力値チェックとかvalidationとか呼ばれているような気がします。

ちなみに ID など番号の場合でも、数字以外の文字は全部捨てるという事を行えばサニタイズで対処できます。

無意識のうちにこのサニタイズを避けるのは、むちゃくちゃ気持ち悪い動作になるからでしょう。

>メールが届きさえすればそれで良いのではないかと思ったのですが。

"責任ある届出を促すため"だそうですが、自衛の必要がありますから、本名は入力できませんねぇ。

と今気づいたのですが、件名"【IPA#04003329】 届出に関するお願い"と本文"このメールは、取扱い番号 IPA#03343976 に関する連絡です。"で番号が違っているのが謎でした。

例によって蛇足すると、

>それらの対処をひとくくりにサニタイズと呼んでしまうと、りゅうさんの言われるように根本的な問題の解決から離れてしまう、という危惧があるのだと思います。

>本来なすべき事柄が正確に理解されないまま放置されるからです。すなわちここで指摘されているのは「思考停止」です。

これらの文は、

「それらの対処をひとくくりにサニタイズと呼んでしまうと」「思考停止」に陥る結果「本来なすべき事柄が正確に理解されないまま放置されるから」「根本的な問題の解決から離れてしまう」と危惧される、という意味で読んでほしいと思いました(ニュアンスは微妙に異なってしまいますが)。

文章がわかりにくくてすみません。というか私の文章って、論理的なつながりがそもそも期待できないくらいマズいですか？本気で不安です。

>>　実は受理される、に一票。

>というわけで（謎）、めでたく不受理となりました。これはこれで面白い結果なのかも……

　なんと、そうなりましたか。

　ガイドラインには

>匿名の届出でないこと（発見者への連絡が可能であることを確認で

きること）

　という要件があるのですが、どうせメールでしか連絡は取らないのですし、メールが届きさえすればそれで良いのではないかと思ったのですが。