投稿順表示 (156/282)
前のページ 1...151/152/153/154/155/156/157/158/159/160/161...282 次のページ
[2589] Re: 「ASP.NET に XSS?」
ばけら (2005年2月20日 13時36分)
>ていうかこれってvalidateRequestに限った問題なんでしょうか【ピュア】。たとえ自分でサニタイズしたとしても、全角文字をサニタイズしていないと出力がwindows-125xのときに喰らう【謎】という話だと思うのですが。
おっと。そうかもしれないですね。
暇なときに検証してみます。
[2588] Re: 「TTYが終了」
ばけら (2005年2月20日 13時35分)
>リンクポリシーはnifty.comと同じのようなので、リンク禁止サイトにnifty.co.jpを追加すれば解決【謎】します。
>アット・ニフティのホームページへリンクする場合は
とあります。http://www.nifty.co.jp/ を見ると、右側(?)に
「アット・ニフティホームページはこちら」
というリンクがありますから、http://www.nifty.co.jp/ は「アット・ニフティホームページ」では無いのではないかなと。
じゃあなんでフッタからそのポリシーにリンクしているのかと言われると謎なのですが。
[2587] Re: 「TTYが終了」
えむけい (2005年2月20日 10時58分)
nifty.comはリンクされないようにチェックしていたけど、ドメインがnifty.co.jpだったという罠なのだと思います。リンクポリシーはnifty.comと同じのようなので、リンク禁止サイトにnifty.co.jpを追加すれば解決【謎】します。
[2586] Re: 「ASP.NET に XSS?」
えむけい (2005年2月20日 10時37分)
ていうかこれってvalidateRequestに限った問題なんでしょうか【ピュア】。たとえ自分でサニタイズしたとしても、全角文字をサニタイズしていないと出力がwindows-125xのときに喰らう【謎】という話だと思うのですが。
>プログラマが外部入力値をサニタイズしていれば問題ありません。
とか言われても、全角文字まで考慮している欧米人って(日本人すら)ほとんどいないような先入観が【謎】。
まあそのためのNFKCなのですが、Cyrillic small letter aを使ったフィッシング詐欺までは防げません【謎】。
[2585] Re: 「TTYが終了」
かんな (2005年2月20日 10時12分)
ニフティはリンクできないんじゃなかったっけ?いや、そこまで神経質になるのはどうかなー、とも思っていたので別に私は気にしませんが。
ご参考:
[2584] Re: 「ASP.NET に XSS?」
えむけい (2005年2月19日 23時47分)
これ、windows-1251にしか触れてないのは報告者がロシア人だからであって、Windows 2000以降では1バイト系のエンコーディングへの変換はすべて全角→半角のfallbackが入ってるので、同様の攻撃が成立すると思います。確かめてませんけど。
validateRequestが危険なJavaScriptっぽいものまで検査するかどうかは知りませんが、Shift_JISでもU+00A5が0x5cに変換されるってネタがありますね。って前にも似たようなことを書いた気が【謎】。
[2582] Re: 「よい子のみんなはクリップボードを公開しよう」
かんな (2005年2月14日 22時36分)
> 全く何の脈絡もなく「ギャランドゥ」を連想しました。
私は"ウィンドゥ"を連想しました。ご参考(謎):
[2581] Re: 「格安ソフトspam」
ばけら (2005年2月14日 15時38分)
>格安ソフトが手に入るサイトがあればおしえてください
ここで spam 云々の話をしているのは違法な海賊版を販売する業者の話です。そういうところでソフトを購入することはお勧めできません。
単に、まっとうな手段で安くソフトを入手したいということでしたら、価格.com などのサイトで調べるのが良いのではないでしょうか。
[2579] Re: 「よい子のみんなはクリップボードを公開しよう」
ばけら (2005年2月13日 23時16分)
>コマンドゥなら可【謎】。
全く何の脈絡もなく「ギャランドゥ」を連想しました。
切腹。
[2577] Re: 「よい子のみんなはクリップボードを公開しよう」
ばけら (2005年2月13日 22時3分)
>「さんま」と試しに入れてみました。
>HTMLコマンド(こんな書き方したらおこられるかな)が
>ずらずら出てきますが。 これも教えてるのですかね。
いまいち意味が分かりませんでしたが、今になって何となくわかったような気がしました。既に何とかされているのかもしれませんが、こちらでも何となく何とかしておきます。
[2576] Re:
ばけら (2005年2月13日 21時22分)
>spam認定された投稿は名前欄も伏せた方がよくないですか。
うーん、確かに。
ただ名前まで伏せると、どれが自分の書いた奴なのか分からなくなってしまうと言う問題があります。
いや、spammer は二度と見ないだろうから問題ないのですが、誤爆の時に「復活させてください」と言おうにも、自分が POST したのがどれだか分からなくなりそうな気が。
現実に誤爆が発生しているので、その辺はちょっと慎重に考えた方が良いのかなと思いつつある今日この頃です。
[2575] Re: 「誰がために」
えむけい (2005年2月13日 16時29分)
> ただ、損害額の算定とか言われても、松下は一太郎の代替あるいは競合となる製品を作っているわけではないですし……
昔はワープロ専用機作ってませんでしたっけ?
http://pc.watch.impress.co.jp/docs/article/20001218/pana.htm
ていうか反訴を防ぐためにもっぱら特許だけ取って製品は作らないで訴訟を起こしまくるというビジネスモデルもあったような。
[2572] Re: 用語「オレオレ証明書」
ばけら (2005年2月12日 16時7分)
>たしか解説の最初のバージョンでは、有効期限が切れている証明書が信頼できない理由も説明されてたはずですが、どうして削除されたのでしょうか【ピュア】。
いや、単に有効期限切れは「オレオレ」ではないような気がしたので。
[2571] Re: %URI; (URI)
えむけい (2005年2月11日 23時2分)
> URI には空の値を指定することもできます。
> 空の URI を解釈できないブラウザもあるようです。
> 空の URI とフラグメントID、という指定も可能です。
相対 URI という用語は廃止されたので、空の URI というものはありえません。URI は必ずスキームを含むはずです。
(RFC 3986より)
|URI = scheme ":" hier-part [ "?" query ] [ "#" fragment ]
もちろんこのような指定ができなくなったわけではないので、「空の参照」とか「フラグメントID のみの参照」とか適宜置き換えればいいでしょう。
[2570] Re: 用語「オレオレ証明書」
えむけい (2005年2月11日 22時37分)
たしか解説の最初のバージョンでは、有効期限が切れている証明書が信頼できない理由も説明されてたはずですが、どうして削除されたのでしょうか【ピュア】。
ていうか別途定めるセキュリティ上の理由【謎】とかで削除したのでもない限り、削除した理由くらいは触れておいたほうが解説の最初のバージョンを読んだ人【誰】とかにとって親切だと思います。
[2569] Re: SGMLの注釈宣言
ばけら (2005年2月11日 14時7分)
>最近「あとで」とか「そのうち」とかいう回答がやたら多いのは、やはりふぃん様の今年の抱負と関係ありますか【謎】。いやまったく問題ありませんけど【謎】。
すんません。単純にすげー忙しかったので。
とりあえずこちらも何とかしたつもりです。
[2568] Re: 「誰がために」
ばけら (2005年2月11日 14時6分)
>特許料は過去の侵害に遡って徴収できたりしませんか。
損害賠償の請求という形で請求することはできるはずです。
特許法
の100条以降あたり参照。
ただ、損害額の算定とか言われても、松下は一太郎の代替あるいは競合となる製品を作っているわけではないですし……どうなるのでしょうね。
前のページ 1...151/152/153/154/155/156/157/158/159/160/161...282 次のページ