投稿順表示 (273/282)
前のページ 1...268/269/270/271/272/273/274/275/276/277/278...282 次のページ
[195] Re: えび日記 : 「ロックする?」
えむけい (2003年6月30日 11時11分)
> というか、UNIX 系の環境だと、更新完了までは更新途中のリソースではなく更新前のリソースが取れるような気がするんですが。
それは更新開始前に取得を始めた場合に限られるような気のせいがします。
ちなみにIISでは取得中に更新しようとするとどうなりますか【ピュア】。
[194] Re: えび日記 : 「余計なもの対策」
えむけい (2003年6月30日 11時7分)
その点【謎】ここ【何処】は掲示板側をウォッチしてれば最新のコメントが上がってくるので一目でわかるという点が画期的です【謎】。
[193] Re: えび日記 : 「ロックする?」
ばけら (2003年6月30日 10時58分)
>でも更新中のリソースを読み込めたって壊れたファイルが渡るだけだと思うのですが何かメリットあるのですか【ピュア】。
というか、UNIX 系の環境だと、更新完了までは更新途中のリソースではなく更新前のリソースが取れるような気がするんですが。
[192] Re: えび日記 : 「余計なもの対策」
ありみかさとみ (2003年6月30日 9時58分)
で、上がってたので更新されたと思って来てみると
コメントが1つ増えただけだったりとか
どこのコメントが増えたのか分からなかったりとか
コメント機能付きブ日記はなかなか悩ましいです。
[191] Re: えび日記 : 「ロックする?」
えむけい (2003年6月30日 1時51分)
>
>FTP がロックの原因と判明。
>ダイヤルアップ回線で更新したらその間ずっとロックされてた。:-)
>
>UNIX 系の FTP だと読み込みまでロックされたりはしないと思うんですが……。IIS の FTP 駄目駄目かも。
OSの仕様ですからむしろWindowsが【以下略】。
でも更新中のリソースを読み込めたって壊れたファイルが渡るだけだと思うのですが何かメリットあるのですか【ピュア】。
[190] Re: えび日記 : 「余計なもの対策」
えむけい (2003年6月30日 1時46分)
アンテナで上がってきたら更新されたに決まってる【謎】ので
最新の文書が見たければリロードするのでは。
アンテナ系のアレはログがうざくなるからやめれという声もあったようです【謎】。
[189] Re: えび日記 : 「余計なもの対策」
通りすがり (2003年6月29日 23時10分)
自らリロード作業をしない限りキャッシュを読ませているようなユーザーに対して、最新の文書(謎)を与えるという目的もあるのではないでしょうか。
[188] Re: えび日記 : 「ロックする?」
ばけら (2003年6月29日 21時12分)
FTP がロックの原因と判明。
ダイヤルアップ回線で更新したらその間ずっとロックされてた。:-)
UNIX 系の FTP だと読み込みまでロックされたりはしないと思うんですが……。IIS の FTP 駄目駄目かも。
[187] Re: えび日記 : 「XSSは修正完了?(XSS大王続報)」
えむけい (2003年6月27日 21時38分)
ちなみにその真っ白な画面のソースはこんな感じ。本来はgoCommSiteという名前が付いたフォームが書き出されるのでしょうがどこにも見当たりません。
<html>
<head>
<script language="javascript">
function goCommunitySite() {
document.goCommSite.submit();
}
</script>
</head>
<body onload="goCommunitySite()">
</body>
</html>
[186] Re: えび日記 : 「XSSは修正完了?(XSS大王続報)」
えむけい (2003年6月27日 21時32分)
ログインしようとするとログインフォームの次の真っ白な画面でスクリプトエラーが出てにっちもさっちもいかなくなるのですが私だけでしょうか?
確かにログインできなきゃ最強のセキュリティですが【謎】。
[183] Re: えび日記 : 「XSSは修正完了?(XSS大王続報)」
ばけら (2003年6月27日 18時55分)
>ログインしている間に掲示板以外のサイトに行かなければ大丈夫。
これが基本になるでしょうね。
ただ、Web フォーラム内の発言で他のサイトを紹介するようなことは普通に行われると思います。普通は、ログアウトなどしないでそのまま見ますよね。実際、サーバのログを見ていますと Web フォーラム内からと思われる Referer が結構記録されていますから、皆さん普通に外部サイトへのリンクをたどっているようです。
そんなわけで、普段から用心して絶対に他サイトを見ないようにしていないと、普通にリンクをたどって普通に踏んでしまう危険性はかなり高いと思います。
>ただし、掲示板にimgが貼れるとやばい。
これは、かつては書き込めたので、「修正」後にも書けるようになる可能性は高いですね。修正によって javascript: だとか onclick だとかは書けなくなるのでしょうが、普通に画像が書けるだけで危険ですね。
[182] Re: えび日記 : 「XSSは修正完了?(XSS大王続報)」
y-Aki (2003年6月27日 17時44分)
ログインしている間に掲示板以外のサイトに行かなければ大丈夫。
ただし、掲示板にimgが貼れるとやばい。
iframeは、多分書けないと思うので、大丈夫。
scriptが書けるとアウト(って当たり前か)。
あとは、巡回ツールを信用するとして、巡回ツールを使用とか。
#CMNの最近の版はテキストモード使えるのか(でも、どうだろうか)
[181] Re: えび日記 : 「XSSは修正完了?(XSS大王続報)」
賄い (2003年6月27日 17時27分)
解決していない「さらなるホゥル」の問題はもちろん「Cookie の有効ドメインの範囲」が
諸悪の根源なんでしょうが、それが諸悪の根源になってしまうのは、
「@nifty の会員であれば誰でも・・・任意の CGI を置くことができ」があるからでしょうね?
「Cookie の有効ドメインの範囲」だけなら望ましくないにしてもどこでも有りそうな問題で。
私の仕事の一部にはセキュリティも含まれているんですが、あいにくとWEBアプリが大の苦手なんで
このあたりを私よりももっと普通の人に説明するのがとても大変です。(・_・;)
どうしたら良いんでしょう。
・・・・ようするに解り易く説明する為のヒントは無いかしらと暗に要求。(笑)
各フォーラム側で何らかの対策って取れないもんでしょうかね。
つまり「タグ不可!」「テキストのみ!」にしたらその会議室ではこの危険性は避けられるなんてこと
にはならないんでしょうかね。
いや、この場にふさわしくない思いっきり素人発言で申し訳ないんですが。
NIFTYが他の点を約束通り28日以前に塞いでくれたことは評価しますが、
しかし、この「Cookie の有効ドメインの範囲」+「任意のCGI」問題が実は一番大きいように思えて
フォーラムも含めた何らかの防衛策が無いととてもWEBフォーラムなんて発言できね~ぞ~。
と、ちょっと暗くなっております。今のTTYで発言できなくなるのがもう目前なので。(T_T)
[180] Re: 話題「**」を含むえび日記
ばけら (2003年6月27日 14時1分)
>それでイチオウ解決しますのでそうしてもらえると嬉しいです。
ということでまあ、適当にリンク追加してみました。
[179] Re: 話題「**」を含むえび日記
yuu (2003年6月27日 13時24分)
> コメント表示から掲示板へのリンクがあれば良いですか?
それでイチオウ解決しますのでそうしてもらえると嬉しいです。
が、パンくず本来の主旨/目的との乖離は解決しません【謎】。
[178] Re: 話題「**」を含むえび日記
ばけら (2003年6月27日 12時31分)
>あ、すみません。スレ違いというか誤爆というか。
いやまあ、その辺はこだわりませんので。
コメント表示から掲示板へのリンクがあれば良いですか?
前のページ 1...268/269/270/271/272/273/274/275/276/277/278...282 次のページ
