新生鳩丸掲示板♯

homepage1.nifty.com でもスクリプトを使えばおけw

>昔々に、

>

>ttp://securit.etl.go.jp/SecurIT/advisory/cross-site-scripting-1/developer.html#domain

>

>あたり(あるいは同等)のURLをつけておくってやったんだけど、

>直してもらえなかったような。

この掲示板にはURLがあってもリンクしない機能がついていますがわざわざ不完全URLにする理由は何でしょうか【謎】。

http://securit.etl.go.jp/SecurIT/advisory/cross-site-scripting-1/developer.html#domain

昔々に、

ttp://securit.etl.go.jp/SecurIT/advisory/cross-site-scripting-1/developer.html#domain

あたり(あるいは同等)のURLをつけておくってやったんだけど、

直してもらえなかったような。

>正確に言うと、クライアントサイドスクリプトはいらない。

>サーバー(げふんげふん

　なるほど、domain=.nifty.com なんて Cookie が発行されているので、hpcgi1.nifty.com でもこの Cookie が取れるわけですね。

　実際、Webフォーラムにログイン後に

http://hpcgi1.nifty.com/bakera/paramview.cgi

　にアクセスして Cookie が表示されることを確認しました。

　いやー、これは私も本気で気づいていませんでした。

　これはもう、根本的に設計から見直さないと駄目ですね。正直、対処不可能かも……。

正確に言うと、クライアントサイドスクリプトはいらない。

サーバー(げふんげふん

ttp://hpcgi1.nifty.com/y-Aki/envs.cgi

とか^^;

まずかったら消して

>タグがそのまま見えるようになりました（笑）

　20日の19時時点で「緊急措置」を行ったそうです。

　ログインフォームの問題もそれなりに修正されていますが、本当に指摘した点だけしか考慮されていないようで、微妙に問題が残っています。

>Cookieって、アレかな？

>でも、スクリプトを使用せずに盗めるんですけど^^;

　すみません、勉強不足でちょっと方法が想像できないのですが、どうやるとスクリプト無しで盗めるのでしょうか。

　パケット盗聴？

>いつの間にかindex.htm付加義務【謎】はなくなっていたのですね。

　昔の規定は

・リンク先は必ずトップページ（www.nifty.ne.jp）にリンクしてください。

・リンクの際は、必ずウインドウを分けてアクセスさせるようにしてください。

　だったと思いますが、前者が「コンテンツのトップ」という表現になっています。「コンテンツのトップ」の定義がよく分かりませんが、いずれにしてもウィンドウを分けてアクセスさせるなんてことができないので問題ありません。

Cookieって、アレかな？

でも、スクリプトを使用せずに盗めるんですけど^^;

安全にアクセスするには、掲示板を見ている間は、.nifty.comのほかのサイトは見ないことです。

＃掲示板だけに集中 あと画像自動表示はオフがよろしいかと。

いまのところ、自動巡回ソフトで巡回するのが一番安全かも＞ニフティコミュニティ掲示板

私はもうサポート外になってしまった(TT)cm_freeboardを使用しています。

＃これはテキストモードがあるので

＃＃新しいCMNはHTMLモード専用なので移行できません^^;

＃＃ttp://www.nifty.com/forum/fmidi/bbs/tool/cmn/

タグがそのまま見えるようになりました（笑）

現在、「発言」は、できないようですが、

クッキーを盗まれる可能性のある脆弱性については、

修正されていないように見えます。

しばらくは、「善意ある方」にお任せして、

成り行きを見守ろうかと思います。

いつの間にかindex.htm付加義務【謎】はなくなっていたのですね。

そうコロコロとリンクポリシーを変えられると一見【謎】迷惑なのですが【謎】。

TrackBackとは要するに亜空間レス【謎】通知機能ですか。いやー素晴らしい【謎】。

フォームだらけだと繁雑になる可能性もあるので難しいところです。

その記事に言及しているという意味ではここの「コメント」だろうか他者(誰)のblogとか呼ばれたりするものであろうが閲覧者からみれば同様な訳なので。コメントでTrackBack(謎)というのでもよいと思います。真の(謎)TrackBacker(謎)はコメントとTrackBackの違いを気にするかも知れませんが、そういう人は自前で用意すればいいだけですし。

自前で用意できないけどTrackBackを打ちたい年頃(謎)の人は http://iwai.alib.jp/tb/tb.cgi?__mode=send_form を使っていただいても構いませんが、この形態でいつまで置いておくのかまではわかりません(謎)。

>既にあるのかも知れませんが、

　いやー、ありませんとも。わっはっは。

　そういうものを作ろうかとも考えたのですが、だったらわざわざ TrackBack Ping の形式にする必要も無いわけで、普通にコメントを書いてコメントの中に URL を書いておけば良いのではないかと思ったりしたもので。

　まあ、コメントとは別に TrackBack 専用フォームがあると、「書くこと無いけどリンクの通知だけしたい」という人が気兼ねなく使えたりする可能性はありますね……。

既にあるのかも知れませんが、えび日記(何処)に TrackBack ping を打つためのえび日記専用(謎)フォームがあると素敵な気がしました。こう、ping_url が最初から指定されているやつを。

メリットだけしか書きませんが(謎)そのフォームから打つ ping を UTF-8 にしておけば安心です。多い日も(違)。

ただ、Unix だと root はいますので、そのあたりとの絡みで root がいなければ用意した方が望ましいとかそういうことはありそうです。

問題は、僕が Unix の文化に詳しくないのでそれなりに昔から Unix に必ず root がいることを断言できないのが辛いところ(謎)。

>root は聞いたことないです。

　うーん、やっぱり私の勘違いっぽいですね。

　ありがとうございます。

>ユーザスタイルシートに

>img { behavior: url(pngbehavior.htc) }

>とか書くと、なぜかhtmlと同じ場所からpngbehavior.htcを持って行こうとします。

　おお、なるほどー。

　ってそれだったらユーザスタイルシートに書く意味ないような。

>どうもこれはセキュリティ対策っぽくて、

　御意。クロスサイトで実行できないようになっているわけですね。

>例によって勇気はないですが(謎)、ping 打つ際に UTF-8 とかに変換できるような実装にしてみました。

　おお、ありがとうございます。大丈夫ぽいですね。

　ていうかホントは受け側で自動判別すべきなのでしょうが。

>データとは?

>飛んでないように見えるのですが。

　別記事で書きましたが最近のデータがなくなってます。

　キャッシュが生きてるのかも。