新生鳩丸掲示板♯

>ていうか ASP.NET のソースファイルは UTF-8 とかで書けないのですか【ピュア】むらまささん【誰】。書ければ Test1 と同様な手法で簡単に確認できるはずですが。

VS.NETとかだと、デフォルトではUTF-8なソースになるはずです。

>> 0xA5 なビット列がそのまんま出力されるようです。

>私の環境だと 0x5C なビット列が出力されているように見えますが

　あらためて確認したら確かに 0x5C でした。

　あるいは何か幻を見ていたのかもしれません。

Windowsサーバーのくせに【謎】bmpには対応していませんか。

ていうか本当に「0xA5 なビット列」が Shift_JIS で「そのまんま」出力されたら半角カナの「・」に見えるはずですがそうなのですか? 【ピュア】。私【誰】の環境では円記号のようなもの【謎】が2つ並んで見えてます。とりあえずスクリーンショット希望。

ご参考【謎】:

http://www.ne.jp/asahi/minazuki/bakera/html/book/site2

> 0xA5 なビット列がそのまんま出力されるようです。

私の環境だと 0x5C なビット列が出力されているように見えますが(Windows 2000 SP4/IE 5.01 SP4)。ていうかサーバ側が送り出すデータの問題だから閲覧環境が関係あるわけありませんか【謎無】。

どういう根拠で「0xA5 なビット列」と判断したのでしょうか【ピュア】。ちなみにこちらでは IE のキャッシュに格納されている response-encoding-test2.aspx をバイナリエディタで覗きました。

ていうか ASP.NET のソースファイルは UTF-8 とかで書けないのですか【ピュア】むらまささん【誰】。書ければ Test1 と同様な手法で簡単に確認できるはずですが。

>ResponseEncoding="Shift_JIS"でU+00A5を吐き出した場合のテストも希望。こちらは日本人にとっても他人事ではないはずなので。

　0xA5 なビット列がそのまんま出力されるようです。

　こんな感じ。

http://altba.com/bakera/bug/response-encoding-test2.txt

http://altba.com/bakera/bug/response-encoding-test2.aspx

ResponseEncoding="Shift_JIS"でU+00A5を吐き出した場合のテストも希望。こちらは日本人にとっても他人事ではないはずなので。

ちなみにこれをASP.NETの欠陥として捉えた場合、修正するにはresponseEncodingへ変換するときにfallbackを禁止することになると思います。変換に使ってるはずのAPIにはその機能があります。

http://msdn.microsoft.com/library/en-us/intl/unicode_17si.asp

http://msdn.microsoft.com/workshop/misc/mlang/reference/ifaces/imultilanguage2/convertstringfromunicodeex.asp

でもこの機能をASP.NETのアプリケーションから指定する方法があるのか、MSがパッチを出さないとどうしようもないのかは知りません【謎】。

>ていうかこれってvalidateRequestに限った問題なんでしょうか【ピュア】。たとえ自分でサニタイズしたとしても、全角文字をサニタイズしていないと出力がwindows-125xのときに喰らう【謎】という話だと思うのですが。

　検証しましたが、これはその通りのようです。

http://altba.com/bakera/bug/response-encoding-test.txt

　の内容を拡張子 .aspx にしたのが以下。

http://altba.com/bakera/bug/response-encoding-test.aspx

　発動してますね。

>ニフティはリンクできないんじゃなかったっけ？

　いちおう

http://www.nifty.com/policy/link_copy.htm

　には、

「アット・ニフティのホームページへリンクする場合は、以下の2点を守っていただくようお願いいたします。」

　というのがあって、私は守れそうに無いので意思を尊重してリンクしないようにしているわけなのですが、co.jp の方は「アット・ニフティのホームページ」ではないので問題ないと思うのですよね。いや、謎なのですが。

　基本的には私もリンクは自由にして良いと思っているのですが、相手のサイトに「リンクしないでくれ」とか「こういうリンクはやめてくれ」などと明確に書いてある場合は、できる範囲で尊重しようと思っています。

　ということなので、意思が明確でない場合はあっさりリンクしてしまうことにしています。

>ていうかこれってvalidateRequestに限った問題なんでしょうか【ピュア】。たとえ自分でサニタイズしたとしても、全角文字をサニタイズしていないと出力がwindows-125xのときに喰らう【謎】という話だと思うのですが。

　おっと。そうかもしれないですね。

　暇なときに検証してみます。

>リンクポリシーはnifty.comと同じのようなので、リンク禁止サイトにnifty.co.jpを追加すれば解決【謎】します。

しかし http://www.nifty.com/policy/link_copy.htm を見ると

>アット・ニフティのホームページへリンクする場合は

とあります。http://www.nifty.co.jp/ を見ると、右側(?)に

「アット・ニフティホームページはこちら」

というリンクがありますから、http://www.nifty.co.jp/ は「アット・ニフティホームページ」では無いのではないかなと。

じゃあなんでフッタからそのポリシーにリンクしているのかと言われると謎なのですが。

nifty.comはリンクされないようにチェックしていたけど、ドメインがnifty.co.jpだったという罠なのだと思います。リンクポリシーはnifty.comと同じのようなので、リンク禁止サイトにnifty.co.jpを追加すれば解決【謎】します。

ていうかこれってvalidateRequestに限った問題なんでしょうか【ピュア】。たとえ自分でサニタイズしたとしても、全角文字をサニタイズしていないと出力がwindows-125xのときに喰らう【謎】という話だと思うのですが。

>プログラマが外部入力値をサニタイズしていれば問題ありません。

とか言われても、全角文字まで考慮している欧米人って(日本人すら)ほとんどいないような先入観が【謎】。

まあそのためのNFKCなのですが、Cyrillic small letter aを使ったフィッシング詐欺までは防げません【謎】。

ニフティはリンクできないんじゃなかったっけ？いや、そこまで神経質になるのはどうかなー、とも思っていたので別に私は気にしませんが。

ご参考:

http://www.sal.tohoku.ac.jp/~gothit/webpolicy.html

これ、windows-1251にしか触れてないのは報告者がロシア人だからであって、Windows 2000以降では1バイト系のエンコーディングへの変換はすべて全角→半角のfallbackが入ってるので、同様の攻撃が成立すると思います。確かめてませんけど。

validateRequestが危険なJavaScriptっぽいものまで検査するかどうかは知りませんが、Shift_JISでもU+00A5が0x5cに変換されるってネタがありますね。って前にも似たようなことを書いた気が【謎】。

>　全く何の脈絡もなく「ギャランドゥ」を連想しました。

私は"ウィンドゥ"を連想しました。ご参考（謎）:

http://www.west-mira.jp/javascript/frame/frame1.html

>格安ソフトが手に入るサイトがあればおしえてください

　ここで spam 云々の話をしているのは違法な海賊版を販売する業者の話です。そういうところでソフトを購入することはお勧めできません。

　単に、まっとうな手段で安くソフトを入手したいということでしたら、価格.com などのサイトで調べるのが良いのではないでしょうか。

格安ソフトが手に入るサイトがあればおしえてください

>コマンドゥなら可【謎】。

　全く何の脈絡もなく「ギャランドゥ」を連想しました。

　切腹。

>spam認定された投稿は名前欄も伏せた方がよくないですか。

　とりあえず、該当投稿のみ名前欄を無理矢理改竄しておきました。