新生鳩丸掲示板♯

>つまりこういうことですね。

>http://piro.sakura.ne.jp/latest/2004/res/12/how_can_i_trust_firefox.html

　そんな感じです。Firefox はインストールできるのにルート証明書はインストールできない、というのはどうなんだろうということで。

　まあ、どちらかと言うと私は Firefox もルート証明書も割とあっさりインストールしてしまう方なのですけれど。

>JVN経由でやり取りしていたのか、NIF直でやっていたのか、どっちでしょ？

　私の場合、ニフティ直でやりとりしてもフォーラム部に転送されたり法務課が出てきて無断で喫煙されたりして不愉快な思いをする可能性が高いので、直やり取りは基本的にしていません。

　そしてこれはウェプアプリケーションの脆弱性なので、JVN とか JPCERT/CC とかは関係ないです。

　まあ要するに IPA 経由ということです。

JVN経由でやり取りしていたのか、NIF直でやっていたのか、どっちでしょ？

つまりこういうことですね。

http://piro.sakura.ne.jp/latest/2004/res/12/how_can_i_trust_firefox.html

なんかMicrosoftの中の人が書いたせいか一部で【何処】FUD扱いされてたようですが【謎】。

あなたが見ている画面の上、表示(C)をクリックして、ソース(V)をクリックすれば

下記の文字が探せるはず、、、この意味は、「この掲示板はsihft-JISで表示します」

又は「この掲示板はどんな文字が入って来てもすべてshift-JIS」に変換します」

と言う意味であるからして、2チャンネルはじめ日本語掲示板に

アスキーアートを掲載することは不可能である。

★META http-equiv="Content-Type" content="text/html; charset=shift_JIS"★

"text/html; charset=shift_JIS"

掲示板の文字(text)は「sift}JIS」と記載してあります。

この意味は、「2チャンネルの文字絵はアスキーアートではなくJISartです」と

言う意味である。

文字絵(text art)に関しての理論は下記URLをご覧ください。

http://www1.ryucom.ne.jp/papa/asciiart.htm↓文字(text) 絵(art)の分類

　　　　　　　　　　　　　　　　　　／　AA（ascii artはISO-8859掲示板のみに掲載出来る文字絵）

　　　　　　　　　　　　　　　 　／　　(AA→アスキーアートは日本語掲示板には掲載出来ない文字絵)

文字絵(text art)の分類－　（AA→アスキーアートとはasciiシングルバイト文字絵のみを指す

　　　　　　　　　　　　　　　　 　 ＼　JISart（漢字かなの文字絵Japan Original art）日本の文字絵

　　　　　　　　　　　　　　　　　　　　＼KSart(全角半角混在文字絵←KSC code韓国の文字絵)

　　　　　　　　　　　　　　　　　　　　　　＼GBart(全角半角混在文字絵←GB code中国の文字絵)

アスキーアート(ascii art←USA original art)AAとJISアート(Japan original art)JOAの違い↓下記web

http://www1.ryucom.ne.jp/papa/asciiart.htm

>AAで馴染んだんだから、もういいじゃん。 テレビでもAAとして紹介された。

>JISアートだなんて、語呂悪いじゃん。

>もう、アスキーアートで定着してるんだし、ＡＡでいいでないの？

そうじゃなくて、、、「この日本語掲示板には英語圏の文字絵、アスキーアートは掲載出来ません」

又は「この掲示板の文字絵(text art)はJISアート(JOA)です」と書いてあるのに、なぜ、

こんな簡単なことが理解出来ないんですか。下記、文字指定タグがその証拠です。

★META http-equiv="Content-Type" content="text/html; charset=shift_JIS"★

アスキーアートが掲載出来る掲示板とJISアートが出来る掲示板のシステムは違う。

あなたが見ている画面の上、表示(C)をクリックして、ソース(V)をクリックすれば

下記のタグ文字が探せるはず、、、この意味は、「この掲示板はsihft-JISで表示します」

又は「この掲示板はどんな文字が入って来てもすべてshift-JIS文字に変換します」

と言う意味であるからして、2チャンネルはじめ日本語掲示板に

アスキーアート(AA)をそのままコピー掲載することは不可能である。

★META http-equiv="Content-Type" content="text/html; charset=shift_JIS"★

高木さん【誰】などむしろ逆変換すべきだと主張していましたね。

http://takagi-hiromitsu.jp/diary/20050212.html#p03

確かに「ASCIIとそれ以外」の見分けは付きやすくなるでしょうが、「ASCII以外同士」で比較することを微塵も考えてないあたりがいかにもアメリカンです【謎】。

なんだかCookieに過剰反応したらURL rewritingが行われるようになってかえって危険になってしまった、みたいな話です。

PSP版ポポロ買いました。

やっと氷の魔王編が終了しました。

エレベータ使ってみようかと思いましたが、最初なのでやめておきました^^;。

　ちなみに、ココログの SSI インジェクションは「セキュリティ上の問題につながらない」ということだそうですので、詳細を近日公開予定です。乞うご期待。

>>ていうか ASP.NET のソースファイルは UTF-8 とかで書けないのですか【ピュア】むらまささん【誰】。書ければ Test1 と同様な手法で簡単に確認できるはずですが。

>VS.NETとかだと、デフォルトではUTF-8なソースになるはずです。

　実は最初は UTF-8 で書いてみたのですが、残念な思いをしたので Shift_JIS にして書き直したのです。

>ていうか ASP.NET のソースファイルは UTF-8 とかで書けないのですか【ピュア】むらまささん【誰】。書ければ Test1 と同様な手法で簡単に確認できるはずですが。

VS.NETとかだと、デフォルトではUTF-8なソースになるはずです。

>> 0xA5 なビット列がそのまんま出力されるようです。

>私の環境だと 0x5C なビット列が出力されているように見えますが

　あらためて確認したら確かに 0x5C でした。

　あるいは何か幻を見ていたのかもしれません。

Windowsサーバーのくせに【謎】bmpには対応していませんか。

ていうか本当に「0xA5 なビット列」が Shift_JIS で「そのまんま」出力されたら半角カナの「・」に見えるはずですがそうなのですか? 【ピュア】。私【誰】の環境では円記号のようなもの【謎】が2つ並んで見えてます。とりあえずスクリーンショット希望。

ご参考【謎】:

http://www.ne.jp/asahi/minazuki/bakera/html/book/site2

> 0xA5 なビット列がそのまんま出力されるようです。

私の環境だと 0x5C なビット列が出力されているように見えますが(Windows 2000 SP4/IE 5.01 SP4)。ていうかサーバ側が送り出すデータの問題だから閲覧環境が関係あるわけありませんか【謎無】。

どういう根拠で「0xA5 なビット列」と判断したのでしょうか【ピュア】。ちなみにこちらでは IE のキャッシュに格納されている response-encoding-test2.aspx をバイナリエディタで覗きました。

ていうか ASP.NET のソースファイルは UTF-8 とかで書けないのですか【ピュア】むらまささん【誰】。書ければ Test1 と同様な手法で簡単に確認できるはずですが。

>ResponseEncoding="Shift_JIS"でU+00A5を吐き出した場合のテストも希望。こちらは日本人にとっても他人事ではないはずなので。

　0xA5 なビット列がそのまんま出力されるようです。

　こんな感じ。

http://altba.com/bakera/bug/response-encoding-test2.txt

http://altba.com/bakera/bug/response-encoding-test2.aspx

ResponseEncoding="Shift_JIS"でU+00A5を吐き出した場合のテストも希望。こちらは日本人にとっても他人事ではないはずなので。

ちなみにこれをASP.NETの欠陥として捉えた場合、修正するにはresponseEncodingへ変換するときにfallbackを禁止することになると思います。変換に使ってるはずのAPIにはその機能があります。

http://msdn.microsoft.com/library/en-us/intl/unicode_17si.asp

http://msdn.microsoft.com/workshop/misc/mlang/reference/ifaces/imultilanguage2/convertstringfromunicodeex.asp

でもこの機能をASP.NETのアプリケーションから指定する方法があるのか、MSがパッチを出さないとどうしようもないのかは知りません【謎】。

>ていうかこれってvalidateRequestに限った問題なんでしょうか【ピュア】。たとえ自分でサニタイズしたとしても、全角文字をサニタイズしていないと出力がwindows-125xのときに喰らう【謎】という話だと思うのですが。

　検証しましたが、これはその通りのようです。

http://altba.com/bakera/bug/response-encoding-test.txt

　の内容を拡張子 .aspx にしたのが以下。

http://altba.com/bakera/bug/response-encoding-test.aspx

　発動してますね。

>ニフティはリンクできないんじゃなかったっけ？

　いちおう

http://www.nifty.com/policy/link_copy.htm

　には、

「アット・ニフティのホームページへリンクする場合は、以下の2点を守っていただくようお願いいたします。」

　というのがあって、私は守れそうに無いので意思を尊重してリンクしないようにしているわけなのですが、co.jp の方は「アット・ニフティのホームページ」ではないので問題ないと思うのですよね。いや、謎なのですが。

　基本的には私もリンクは自由にして良いと思っているのですが、相手のサイトに「リンクしないでくれ」とか「こういうリンクはやめてくれ」などと明確に書いてある場合は、できる範囲で尊重しようと思っています。

　ということなので、意思が明確でない場合はあっさりリンクしてしまうことにしています。