新生鳩丸掲示板♯

>>用語「SQLインジェクション」が使われているページ

>>からえび日記のハッシュ版でないURLにリンクしていますが、これも仕様ですか?

>　仕様です。

>　そこは dfn 要素が使用されているリソースの URL を拾っているので、古い URL にアクセスがあると古い URL で追加されてしまいます。

古いURLにアクセスがあったら新しいURLに301で飛ばしたほうがいいと思います。

あと用語に付いたコメントの件数が表示されなくなっています。

>用語「SQLインジェクション」が使われているページ

>からえび日記のハッシュ版でないURLにリンクしていますが、これも仕様ですか?

　仕様です。

　そこは dfn 要素が使用されているリソースの URL を拾っているので、古い URL にアクセスがあると古い URL で追加されてしまいます。

用語「SQLインジェクション」が使われているページ

からえび日記のハッシュ版でないURLにリンクしていますが、これも仕様ですか?

>ていうかこれが有害情報【謎】フィルタだからいいようなものの【謎】場合によってはホゥルになりませんか。

　ありがちです。

　MSIE にも、IPアドレスを 10進数表記に直すとイントラネットゾーンになる……などというホゥルがありましたね。

>今見たら含まれなくなっていましたが、何も直してないということですか?

　直していません。

　とりあえずキャッシュをごっそりクリアしたので、一度なにもない状態になったはずです。

>のリンクがハッシュ化されていません。

　これは投稿時のものが使われています。

　というわけで仕様です。

>というか用語もハッシュ化されたものが正式なURLになるのですか?

　やっぱりポリモーフィズムですよね(意味不明)。

上【何処】にある

> ※これは 鳩丸ぐろっさり (用語集) : 用語「SQLインジェクション」 に対するコメントです。

のリンクがハッシュ化されていません。

というか用語もハッシュ化されたものが正式なURLになるのですか? 日記の場合は日付で保護されていますから現実的に重複の可能性はまず考えられませんが、用語集の場合ハッシュが重複してるというだけの理由で未来永劫登録できない用語が出てくる恐怖れとかありませんか。

> IP アドレス指定なら見られるというのは面白いです。バーチャルドメインだと不利なのですね。

ていうかこれが有害情報【謎】フィルタだからいいようなものの【謎】場合によってはホゥルになりませんか。

>　いや、そもそもそれは dfn 要素としてマーク付けされている単語を見ているので、コメントのページなどは含まれないようになっているはずなのですが。

>　というわけでバグっぽいのですが、原因が謎です。

今見たら含まれなくなっていましたが、何も直してないということですか?

　いや、そもそもそれは dfn 要素としてマーク付けされている単語を見ているので、コメントのページなどは含まれないようになっているはずなのですが。

　というわけでバグっぽいのですが、原因が謎です。

むーん、なかなか厳しげ。

どちらか一方をリダイレクトにした方が良いかしら……。

>普通【謎】のAHLは、LWP::UserAgentを使うようにしてあるはずなので、..を含むURLもきちんと..を使わない形にしてリクエストされるはずです(実験済み)。

ていうかMozillaもそうですが【謎】絶対URLの".."を勝手に取り除いていいのですか【ピュア】。LWP::UserAgentのメソッドを見る限りbase URIとrelative-pathの組み合わせではなく、単一のURIのみを渡す仕様になってるようですが、それなら".."をあれするのはRFC2396的に誤りのはずです。

ファイルシステムではなくデータベースからリソースを取り出す実装のWebサーバとかで意図的に".."を含むURIにアクセスしたいときとかどうするのでしょうか。

>>RFC2396的にはAnHTTPDの解釈はまったく正当で、対応の必要があるのはむしろAHLのほうだったということですね。AHLの手抜き実装を正当化するためにわざわざ同じと言ったのでなければいいのですが【謎】。

>

>普通【謎】のAHLは、LWP::UserAgentを使うようにしてあるはずなので、..を含むURLもきちんと..を使わない形にしてリクエストされるはずです(実験済み)。

>

>httpreq.plを使うと、..がいっちゃうのかな?

>

>1999年頃は、どうだったかよくわかりませんが。

そのための「だった」です【過去形】。

>たとえば古いバージョンのAnHTTPDがそうですね。しかもわざわざAHLのために".."を解釈するようバージョンアップしたっぽいです。

>http://homepage3.nifty.com/cito/namazu/gbold/19990411.html

>RFC2396的にはAnHTTPDの解釈はまったく正当で、対応の必要があるのはむしろAHLのほうだったということですね。AHLの手抜き実装を正当化するためにわざわざ同じと言ったのでなければいいのですが【謎】。

普通【謎】のAHLは、LWP::UserAgentを使うようにしてあるはずなので、..を含むURLもきちんと..を使わない形にしてリクエストされるはずです(実験済み)。

httpreq.plを使うと、..がいっちゃうのかな?

1999年頃は、どうだったかよくわかりませんが。

このコメントのページ内に「サニタイズ」は含まれていないのに、用語「サニタイズ」が使われているページとして参照されています。

って今書いたので含まれるようになりましたが【謎】。

1. 用語「SQLインジェクション」にコメントを書くのリンク先が正常に動作していません。用語のURLはハッシュ化されていないのにハッシュ化したURLがリンク先になっているためと思われます。

2. 用語「SQLインジェクション」が使われているページで、日記の同じ記事が3種類の異なるURLで参照されています。そのわりにハッシュ化したURLでの参照はありません。

>ディレクトリトラバーサル系のホゥルを根絶するために".."なpath_segmentを含むURIは問答無用で弾く設定のWebサーバがあっても不思議はありません。

　御意。おそらく IIS で URLScan をデフォルト設定で使っている場合も撃墜されると思います。

# altba.com はデフォルト設定ではありません。

知らなかった。対応しとこう【謎】。

>> また、こんなことはしないとは思いますが、

>> http://www.uso800.ac.jp/bogus/fake/../index.html

>> と

>> http://www.uso800.ac.jp/bogus/index.html

>> は同じリソースを指すことに注意してください。

全く関係ありませんが【謎】なんで example.org とかを使ってないんだろう。こだわりませんが【謎】。これも既出なんでしょうか【謎】。

>Apacheのデフォルト設定などではabs_path中の".."も解釈しますが、ディレクトリトラバーサル系のホゥルを根絶するために".."なpath_segmentを含むURIは問答無用で弾く設定のWebサーバがあっても不思議はありません。

たとえば古いバージョンのAnHTTPDがそうですね。しかもわざわざAHLのために".."を解釈するようバージョンアップしたっぽいです。

http://homepage3.nifty.com/cito/namazu/gbold/19990411.html

RFC2396的にはAnHTTPDの解釈はまったく正当で、対応の必要があるのはむしろAHLのほうだったということですね。AHLの手抜き実装を正当化するためにわざわざ同じと言ったのでなければいいのですが【謎】。

>　ただ、絶対 URL の中の . や .. がそのまま解釈されるとなると、その URL を相対 URL で表現することは不可能になってしまいます。

%2E%2Eとか。