投稿順表示 (271/282)
前のページ 1...266/267/268/269/270/271/272/273/274/275/276...282 次のページ
[233] Re: えび日記 : 「サーバ証明書の意義」
ばけら (2003年7月4日 11時53分)
>しかもログイン画面を含めフォームをSSL化していないところが多いのにはびっくりです。
どうも全体的に「成りすまし」に対する危機感は薄いみたいですね。
フォームをポップアップウィンドウにして URL 窓を隠したり、フレームの中に入れてしまっていたりするところが結構ありますが、URL が確認できないと全く関係ない場所にそっくりなフォームを作られても見分けがつきません。
これに限らず、Web アプリケーションのセキュリティは本当にお粗末なところが多くて頭が痛いです。
[232] Re: Cache-Control
ばけら (2003年7月4日 11時50分)
>それより【謎】301のときCache-Control: privateのままでせっかくキャッシュ可能なはずの301をキャッシュできなくなっていることを発見しました【謎】。
あー、public にしておきます。
>ていうかpublicもprivateもno-cacheも吐かないような指示はできないのですか【ピュア】。
どうも Last-Modified を設定すると強制的に Cache-Control がつくらしく、そのデフォルトが private のようです。で、
Response.Cache.SetCacheability(null);
なんてので上書きしようとしても例外が発生して NG。無理げです。
[231] Re: えび日記 : 「サーバ証明書の意義」
平和大通り (2003年7月4日 10時24分)
言われるとおりです。
次のキーワードでGoogle検索してもまともなのはこちらだけでした。
SSL FORM ACTION HTTPS POST
しかもログイン画面を含めフォームをSSL化していないところが多いのにはびっくりです。
[230] Re: Cache-Control
えむけい (2003年7月3日 22時37分)
> あら、POST の応答もキャッシュされちゃいます?
> Auth については RFC2616 に See also と注意書きがある勢いですからキャッシュされると思いますが、これはそもそも使っていないので問題ないです。
|9.5 POST
(略)
| Responses to this method are not cacheable, unless the response
| includes appropriate Cache-Control or Expires header fields.
POSTの説明のほうがこうなってますからキャッシュされるのでは。302 Foundもキャッシュ可能に化けますが302が吐かれるときにはCache-Contorlは付いてないようなので問題なさげです【謎】。それより【謎】301のときCache-Control: privateのままでせっかくキャッシュ可能なはずの301をキャッシュできなくなっていることを発見しました【謎】。
ていうかpublicもprivateもno-cacheも吐かないような指示はできないのですか【ピュア】。できなかったらフィードバックよろしく【謎】むらまささん【誰】。
[229] Re: Cache-Control
ばけら (2003年7月3日 22時2分)
>Cache-Control: publicは通常キャッシュできないもの(POSTへの応答とかAuthorization付きのリクエストへの応答とか)もキャッシュしてよいという意味の指示ですが、本当に大丈夫ですか? 【謎】
あら、POST の応答もキャッシュされちゃいます?
Auth については RFC2616 に See also と注意書きがある勢いですからキャッシュされると思いますが、これはそもそも使っていないので問題ないです。
[228] Re: Cache-Control
えむけい (2003年7月3日 21時48分)
> ということで、
>
>Response.Cache.SetCacheability(HttpCacheability.Public);
>
> を追加して public にるようにしてみました。
> なんでコイツのデフォルトが private になっているのかイマイチ分かりませんが、まあこれで解決かと。
Cache-Control: publicは通常キャッシュできないもの(POSTへの応答とかAuthorization付きのリクエストへの応答とか)もキャッシュしてよいという意味の指示ですが、本当に大丈夫ですか? 【謎】
[226] Re: えび日記 : 「SP4」
ばけら (2003年7月3日 18時17分)
>http://support.microsoft.com/default.aspx?scid=kb;ja;266416
うーん、なんかあんまりやりたくない感じの作業ですね……。
とりあえず放置の方向で。
[225] Re: えび日記 : 「SP4」
yuu (2003年7月3日 16時39分)
Windows Server 2003をインストールした時もそのログが残るようになりますね。
この辺で解決できるかも。
[224] Re: Cache-Control
ばけら (2003年7月3日 13時1分)
ということで、
Response.Cache.SetCacheability(HttpCacheability.Public);
を追加して public にるようにしてみました。
なんでコイツのデフォルトが private になっているのかイマイチ分かりませんが、まあこれで解決かと。
[223] Re: Cache-Control
ばけら (2003年7月3日 11時2分)
>ところで【謎】このサイトからの応答ヘッダにCache-Control: privateが含まれてるのはどうしてですか。
謎です。むしろ Microsoft に聞いて欲しいくらいの勢いですが、ちょっと調べてみましょう。
[222] Cache-Control
えむけい (2003年7月2日 22時33分)
ところで【謎】このサイトからの応答ヘッダにCache-Control: privateが含まれてるのはどうしてですか。何か公開キャッシュに蓄積されると困るものがあるのでしょうか【ピュア】。
[221] Re: えび日記 : 「サニタイズ貫通(XSS大王シリーズ)」
ばけら (2003年7月2日 16時30分)
>>きわめて危険、だとしても、パレットを使わなければ良いのでしょ?
> そりゃそうです。
あー、追記の具合でそうでない風に読めるという話ですか。
ちょっとなおして置きます。
[220] Re: えび日記 : 「サニタイズ貫通(XSS大王シリーズ)」
ばけら (2003年7月2日 16時15分)
>きわめて危険、だとしても、パレットを使わなければ良いのでしょ?
そりゃそうです。
[218] Re: 文書型宣言の読み方
ばけら (2003年7月2日 13時49分)
>そういえば【謎】このサイト【何処】はXHTML 1.1で公開してるのにMIMEタイプがtext/htmlなのはどうしてですか【ピュア】。
application/xhtml+xml にしてもあんまりメリットがないような気がするので。
Accept: をみてネゴシエーションしようかとも思ったのですが、あんまりメリットがなさそうだったので実装してなかったりします。
[217] Re: 文書型宣言の読み方
えむけい (2003年7月2日 13時1分)
> URL との関係が良く分かりませんが、namespace から分かるのは、それが XHTML の要素だということだけで、その文書が XHTML かどうかはやはり分からないのではないかという気がします。まあ、XHTML の要素だけで構成されているのならたいていは XHTML なのでしょうが、あるいはそれは XHTML の断片の寄せ集めかも知れません。
じゃあMIMEタイプでわかるとか。
そういえば【謎】このサイト【何処】はXHTML 1.1で公開してるのにMIMEタイプがtext/htmlなのはどうしてですか【ピュア】。
[216] Re: えび日記 : 「System.Drawing.Bitmapで画像が読めない?」
ばけら (2003年7月2日 10時45分)
>確実に再現する画像があるなら、
あうぅ、もう捨てちゃいました……。
今度発生したら取っておきます。
[215] Re: えび日記 : 「System.Drawing.Bitmapで画像が読めない?」
むらまさ (2003年7月1日 22時57分)
確実に再現する画像があるなら、それをMSにフィードバックすると良いかもしれません。なんなら私がやってもいいですよ。
前のページ 1...266/267/268/269/270/271/272/273/274/275/276...282 次のページ