投稿順表示 (267/282)
前のページ 1...262/263/264/265/266/267/268/269/270/271/272...282 次のページ
[317] Re: 鳩丸ぐろっさり (用語集) : 用語「SQLインジェクション」
ばけら (2003年7月11日 14時53分)
>のリンクがハッシュ化されていません。
これは投稿時のものが使われています。
というわけで仕様です。
>というか用語もハッシュ化されたものが正式なURLになるのですか?
やっぱりポリモーフィズムですよね(意味不明)。
[316] Re: 鳩丸ぐろっさり (用語集) : 用語「SQLインジェクション」
えむけい (2003年7月11日 14時14分)
上【何処】にある
> ※これは 鳩丸ぐろっさり (用語集) : 用語「SQLインジェクション」 に対するコメントです。
のリンクがハッシュ化されていません。
というか用語もハッシュ化されたものが正式なURLになるのですか? 日記の場合は日付で保護されていますから現実的に重複の可能性はまず考えられませんが、用語集の場合ハッシュが重複してるというだけの理由で未来永劫登録できない用語が出てくる恐怖れとかありませんか。
[315] Re: えび日記 : 「有害フィルタ」
えむけい (2003年7月11日 13時51分)
> IP アドレス指定なら見られるというのは面白いです。バーチャルドメインだと不利なのですね。
ていうかこれが有害情報【謎】フィルタだからいいようなものの【謎】場合によってはホゥルになりませんか。
[314] Re: @nifty パレットのセキュリティホール まとめ
えむけい (2003年7月11日 13時47分)
> いや、そもそもそれは dfn 要素としてマーク付けされている単語を見ているので、コメントのページなどは含まれないようになっているはずなのですが。
> というわけでバグっぽいのですが、原因が謎です。
今見たら含まれなくなっていましたが、何も直してないということですか?
[313] Re: @nifty パレットのセキュリティホール まとめ
ばけら (2003年7月11日 13時25分)
いや、そもそもそれは dfn 要素としてマーク付けされている単語を見ているので、コメントのページなどは含まれないようになっているはずなのですが。
というわけでバグっぽいのですが、原因が謎です。
[312] Re: 鳩丸ぐろっさり (用語集) : 用語「SQLインジェクション」
ばけら (2003年7月11日 13時21分)
むーん、なかなか厳しげ。
どちらか一方をリダイレクトにした方が良いかしら……。
[311] Re: 結果の解説
えむけい (2003年7月11日 12時26分)
>普通【謎】のAHLは、LWP::UserAgentを使うようにしてあるはずなので、..を含むURLもきちんと..を使わない形にしてリクエストされるはずです(実験済み)。
ていうかMozillaもそうですが【謎】絶対URLの".."を勝手に取り除いていいのですか【ピュア】。LWP::UserAgentのメソッドを見る限りbase URIとrelative-pathの組み合わせではなく、単一のURIのみを渡す仕様になってるようですが、それなら".."をあれするのはRFC2396的に誤りのはずです。
ファイルシステムではなくデータベースからリソースを取り出す実装のWebサーバとかで意図的に".."を含むURIにアクセスしたいときとかどうするのでしょうか。
[310] Re: 結果の解説
えむけい (2003年7月11日 12時17分)
>>RFC2396的にはAnHTTPDの解釈はまったく正当で、対応の必要があるのはむしろAHLのほうだったということですね。AHLの手抜き実装を正当化するためにわざわざ同じと言ったのでなければいいのですが【謎】。
>
>普通【謎】のAHLは、LWP::UserAgentを使うようにしてあるはずなので、..を含むURLもきちんと..を使わない形にしてリクエストされるはずです(実験済み)。
>
>httpreq.plを使うと、..がいっちゃうのかな?
>
>1999年頃は、どうだったかよくわかりませんが。
そのための「だった」です【過去形】。
[309] Re: 結果の解説
y-Aki (2003年7月11日 12時13分)
>たとえば古いバージョンのAnHTTPDがそうですね。しかもわざわざAHLのために".."を解釈するようバージョンアップしたっぽいです。
>http://homepage3.nifty.com/cito/namazu/gbold/19990411.html
>RFC2396的にはAnHTTPDの解釈はまったく正当で、対応の必要があるのはむしろAHLのほうだったということですね。AHLの手抜き実装を正当化するためにわざわざ同じと言ったのでなければいいのですが【謎】。
普通【謎】のAHLは、LWP::UserAgentを使うようにしてあるはずなので、..を含むURLもきちんと..を使わない形にしてリクエストされるはずです(実験済み)。
httpreq.plを使うと、..がいっちゃうのかな?
1999年頃は、どうだったかよくわかりませんが。
[308] Re: @nifty パレットのセキュリティホール まとめ
えむけい (2003年7月11日 11時54分)
このコメントのページ内に「サニタイズ」は含まれていないのに、用語「サニタイズ」が使われているページとして参照されています。
って今書いたので含まれるようになりましたが【謎】。
[307] Re: 鳩丸ぐろっさり (用語集) : 用語「SQLインジェクション」
えむけい (2003年7月11日 11時44分)
1. 用語「SQLインジェクション」にコメントを書くのリンク先が正常に動作していません。用語のURLはハッシュ化されていないのにハッシュ化したURLがリンク先になっているためと思われます。
2. 用語「SQLインジェクション」が使われているページで、日記の同じ記事が3種類の異なるURLで参照されています。そのわりにハッシュ化したURLでの参照はありません。
[306] Re: 結果の解説
ばけら (2003年7月10日 21時31分)
>ディレクトリトラバーサル系のホゥルを根絶するために".."なpath_segmentを含むURIは問答無用で弾く設定のWebサーバがあっても不思議はありません。
御意。おそらく IIS で URLScan をデフォルト設定で使っている場合も撃墜されると思います。
# altba.com はデフォルト設定ではありません。
[305] Re: 結果の解説
いわい (2003年7月10日 20時3分)
知らなかった。対応しとこう【謎】。
>> また、こんなことはしないとは思いますが、
>> http://www.uso800.ac.jp/bogus/fake/../index.html
>> と
>> http://www.uso800.ac.jp/bogus/index.html
>> は同じリソースを指すことに注意してください。
全く関係ありませんが【謎】なんで example.org とかを使ってないんだろう。こだわりませんが【謎】。これも既出なんでしょうか【謎】。
[304] Re: 結果の解説
えむけい (2003年7月10日 17時41分)
>Apacheのデフォルト設定などではabs_path中の".."も解釈しますが、ディレクトリトラバーサル系のホゥルを根絶するために".."なpath_segmentを含むURIは問答無用で弾く設定のWebサーバがあっても不思議はありません。
たとえば古いバージョンのAnHTTPDがそうですね。しかもわざわざAHLのために".."を解釈するようバージョンアップしたっぽいです。
http://homepage3.nifty.com/cito/namazu/gbold/19990411.html
RFC2396的にはAnHTTPDの解釈はまったく正当で、対応の必要があるのはむしろAHLのほうだったということですね。AHLの手抜き実装を正当化するためにわざわざ同じと言ったのでなければいいのですが【謎】。
[303] Re: 結果の解説
えむけい (2003年7月10日 16時50分)
> ただ、絶対 URL の中の . や .. がそのまま解釈されるとなると、その URL を相対 URL で表現することは不可能になってしまいます。
%2E%2Eとか。
[302] Re: 結果の解説
えむけい (2003年7月10日 16時43分)
> ただ、絶対 URL の中の . や .. がそのまま解釈されるとなると、その URL を相対 URL で表現することは不可能になってしまいます。
> それはちょっと変なので、これは RFC 側の不備のような気もします。
Apacheのデフォルト設定などではabs_path中の".."も解釈しますが、ディレクトリトラバーサル系のホゥルを根絶するために".."なpath_segmentを含むURIは問答無用で弾く設定のWebサーバがあっても不思議はありません。
RFCでわざわざrelative-pathのみと強調してるのは、Webサーバにリクエストが送られる前に相対URIは解決されているはずだからWebサーバがご配慮してやる義理はないという意図があるのかもしれません。
[301] Re: 結果の解説
ばけら (2003年7月10日 15時38分)
>RFC2396では".."や"."は相対URIの場合にのみ解釈されると読めます。
言われてみると確かにそうですね。
ただ、絶対 URL の中の . や .. がそのまま解釈されるとなると、その URL を相対 URL で表現することは不可能になってしまいます。
それはちょっと変なので、これは RFC 側の不備のような気もします。
[299] Re: 結果の解説
yuu (2003年7月10日 15時14分)
>>Mozilla1.4が同じに解釈するから、とか。
>
>それはUser-Agentのバグではないですか【ピュア】。
Mozillaに限ってそんなことは【謎】。
>ていうかMozillaという単語が4.x以前のNetscape Navigatorの意味で使われてるのが今となっては【謎】かなり紛らわしげ【謎】。
それはAHLML【謎】で既出、かつk16さんは直す気がないと豪語【謎】していた気がします。
[298] Re: 電話番号のわかれめ
yuu (2003年7月10日 15時12分)
>電話番号欄が三つに分かれてると携帯電話の番号を書きにくいです。携帯の番号って市内局番に相当する部分ってのが無いですよね。え、実はある? そういえば090の後ろを四桁ずつに区切って書いてる実例を見たことはある(宅急便の伝票の電話番号欄)なぁ。
今は XXX-XXXX-XXXX なんでしょう、きっと。NTT DoCoMoからの請求書中の表記がそうなっているから。
10桁の頃は、XXX-XX-XXXXX という表記だった記憶があります。
前のページ 1...262/263/264/265/266/267/268/269/270/271/272...282 次のページ