新生鳩丸掲示板♯

>被害を受けるのはアクセスをした会員で、それもそのときはIDとパスワードを盗まれるだけ。既に盗まれたとしても、その盗まれたIDとパスワードでその会員が実際の被害に逢うのはこれからです。

　これはまったくもって御意。

　何を根拠に実害はないと断定しているのか理解できません。

>「6月28日前後の機能復旧を目指して・・」ってのは我々にとっては「情報」。

　あー、ごめんなさい、私は先週の時点でこの情報は得ていました。

　書いていませんでしたけれど……。

>XHTMLなのかどうかはDTDがなくてもnamespaceでわかったりしませんか?

>http://math.oheya.to/markup/notes/0208#day08-1

　URL との関係が良く分かりませんが、namespace から分かるのは、それが XHTML の要素だということだけで、その文書が XHTML かどうかはやはり分からないのではないかという気がします。まあ、XHTML の要素だけで構成されているのならたいていは XHTML なのでしょうが、あるいはそれは XHTML の断片の寄せ集めかも知れません。

> うーん、微妙ですね……。

まあ、取材した日時と記事で我々が読む間にタイムラグがあることもあるんでしょうが。

私は取り上げてくれた記者さんには感謝したいと思います。NIFTYへのプレッシャーにもなるでしょう。

ただ、この記事の「注意深いユーザーでも騙される」は良いとしても

「ただし現在までに実害はなし」は頂けませんね。多分NIFTY側の言い分だと思うのですが。

言えるとして「まだ露見していない」ぐらいでしょう。

HPが書き換えられちゃったとか、サーバの中の顧客個人情報が盗まれちゃったってな類じゃないんで、サーバ側では実害があったかどうか解らないはずです。

被害を受けるのはアクセスをした会員で、それもそのときはIDとパスワードを盗まれるだけ。

既に盗まれたとしても、その盗まれたIDとパスワードでその会員が実際の被害に逢うのはこれからです。

「6月28日前後の機能復旧を目指して・・」ってのは我々にとっては「情報」。

あと４日ですか。見守りたいと思います。

この記者さんも「その後の状況」をまた出して欲しいですね。

もしかしたら見てらっしゃるかも知れないですが。

http://altba.com/bakera/hatomaru.aspx/yomoyama/doctype

> XHTML なのかどうかも分かりませんが、

XHTMLなのかどうかはDTDがなくてもnamespaceでわかったりしませんか?

http://math.oheya.to/markup/notes/0208#day08-1

>　そのうち見直してみますが、ソース公開した方が早い？

ソース公開希望。

C#はよくわからないという罠がありますがきっと別途定める親切な方【誰】がツッコミを入れてくれるでしょう【謎】。

>Lat-Modifiedバグが再発してませんか?

　実は、そのバグとは別の謎の理由で 2回リロードしないと更新されないときがあります。たぶん Last-Modified のアルゴリズムが根本的におかしいのだと思いますが、どうすりゃ良いのかよく分かっていません。

　そのうち見直してみますが、ソース公開した方が早い？

　Last-Modified まわりは (ていうか他もだけど) 割とテキトーに追加していったところなので、私以外の人、もといもののけが読んで理解できるソースになっているかどうかは分かりませんが……。

>http://altba.com/bakera/hatomaru.aspx/glossary/0040006e0069006600740079

　こっち見てました。

http://www.ne.jp/asahi/minazuki/bakera/hakaba/counter

　用語集の奴のほうが新しいわけで、まあなんというか、良く変わるなぁと。

>>>この掲示板にはURLがあってもリンクしない機能がついていますがわざわざ不完全URLにする理由は何でしょうか【謎】。

>>ttpスキームのURIとしては妥当な構文だと思いますが【謎】。

>直してもらえなかったのはttpスキームのURIでは問題のリソースにたどり着けなかったからでしょうか【謎】。

御意【謎】。

ハイパーさ【謎】に欠けたのだと思われます【謎】。

>http://altba.com/bakera/hatomaru.aspx/glossary/004700490046

>用語「GIF」のほうが修正されていません。

さっきから【謎】投稿してもCtrl+F5を押すまでスレッド一覧が更新されないのですが、Lat-Modifiedバグが再発してませんか?

http://altba.com/bakera/hatomaru.aspx/glossary/004700490046

用語「GIF」のほうが修正されていません。

>http://itpro.nikkeibp.co.jp/free/NC/NEWS/20030623/3/

　うーん、微妙ですね……。

　掲示板の書き込みから捏造ログインフォームに誘導、というシナリオは私の描いたとおりでまあ OK なんですが、他にもいろいろな手があって、ユーザが全く気づかないうちにセッションハイジャックできたりするんですよね。

　しかも、セッションハイジャックの問題はまだ解決していないわけで……。これは私から「一部のフォーラム管理者」に報告しておくつもりですが、直らないんじゃないかなぁ、という気はしています。

http://altba.com/bakera/hatomaru.aspx/glossary/0055006e00690063006f006400650020005700650062002000540072006100760065007200730061006c

> たとえば、スラッシュは ASCII文字ですから、UTF-8 では、単に 00101111 (0x2F) という 1オクテットのビット列で表現されます。従って、ピリオドが危険な文字である場合は、0x2F をチェックして弾く、あるいはサニタイズすれば良いように思えます。

ピリオドなのかスラッシュなのかはっきりしてください【謎】。

http://altba.com/bakera/hatomaru.aspx/glossary/004c005a0057

特許に関する説明のページがリンク切れを起こしています。

新しいURIはこちらの模様。

http://www.unisys.com/about__unisys/lzw/index.htm

http://altba.com/bakera/hatomaru.aspx/glossary/りゅうさん

魔法のほうきのURLが古いままです。

ところで【謎】用語にはコメントを付けられないのでしょうか。ていうか付けたい【謎】。

> hpcgi*.nifty.com の画像を参照しているだけで十分です。

いっそ永続的なCookieだったらサードパーティーとして参照されたときは拒否してくれただろうに、セッション限りのCookieですからしっかり送信されてしまいますね。

>日経ITプロの方に記事が出てますね。

>「@niftyの電子掲示板に「クロスサイト・スクリプティングぜい弱性」，緊急メンテナンスを実施」

>http://itpro.nikkeibp.co.jp/free/NC/NEWS/20030623/3/

Cookieのことは書いてないね。

日経ITプロの方に記事が出てますね。

「@niftyの電子掲示板に「クロスサイト・スクリプティングぜい弱性」，緊急メンテナンスを実施」

http://itpro.nikkeibp.co.jp/free/NC/NEWS/20030623/3/

>>この掲示板にはURLがあってもリンクしない機能がついていますがわざわざ不完全URLにする理由は何でしょうか【謎】。

>

>ttpスキームのURIとしては妥当な構文だと思いますが【謎】。

直してもらえなかったのはttpスキームのURIでは問題のリソースにたどり着けなかったからでしょうか【謎】。

PARAMD だけ盗んでも、なりすまし（発言）ができるようですね。

>この掲示板にはURLがあってもリンクしない機能がついていますがわざわざ不完全URLにする理由は何でしょうか【謎】。

ttpスキームのURIとしては妥当な構文だと思いますが【謎】。