新生鳩丸掲示板♯

CIWの試験を受けたことがありますが、まさにこのレベルの問題が出てきます。「正しいこと」ではなく「どこかの誰かが正しいと思いこんでいる(が間違っている)こと」を推理して答える必要があり、非常に難問です。

CIW JapanのXHTMLは…

http://validator.w3.org/check?uri=http%3A//www.ciw-japan.com/

一時期IEに含まれていた特許対策の仕様変更のせいで、スクリプト無効だとFlashを見られない確率がますます高まりましたしね。

Silverlightは完全にスクリプト前提になってます(攻撃者はロード用の.jsを解析して手でタグを書くこともできるでしょうけど)。

>このCIW資格というのは、一体どういう知識を身につけさせたいものなんでしょうね。

　公式サイト(?)を見ると、「サイトデザイナー」というのがあって、

>CIWサイトデザイナーシリーズでは、制作とスクリプティング言語、コンテンツ作成と管理ツール、デジタルメディアツールを使って、ハイパーテキストベースのサイトのデザイン、実装、メンテナンスへのヒューマンファクター原則の適用について学習します。

　……とあり、

>10. HTMLの標準規格とその順守

　なんてのがありますね。

　しかしまあ、この問題を見る限りでは駄目でしょうね……。

このCIW資格というのは、一体どういう知識を身につけさせたいものなんでしょうね。

>>りゅうさんが買ったら遊びに行きますのでよろしく（謎）。

>　買うように申しつけておきます。:-)

スペランカーは買うのでどなたか本体をお願いします(謎)。

>詳細な記述無しに「○○というサイトは脆弱だ」とだけ書くことが一般的に

>なってしまったら、なんかそれこそ名誉毀損というか業務妨害というか、

>濡れ衣だ～！とサイト運営者が悲痛な叫びをあげることも出てきてしまうかも。

　確かにそうですね。

　実際、そんなような話が過去にあったような気もします。

　そのための釘でもあるのでしょうね。

>企業の場合は、6ヶ月経っても修正が行われる気配がなかったら、IPAが

>その企業が所属する業界団体に通知するようにするとか。（冗談ｗ）

　まともな企業なら、割とふつうに対応してくれるので問題ないのですけれど……。

　最近悩みの種なのが「大量に脆弱性を生み出しており、既に攻撃も受けているのに改める気配が全く感じられない個人」というパターンで、これがいちばんやっかいかもしれないと思っております。

セキュリティ/脆弱性についてちゃんと理解している人の場合や、あるいは、

XSSのように脆弱性の存在が誰にでも明白に判断できる場合は、

「○○というサイトは脆弱だ」と言ってしまうのもアリかも知れません。

でも、世の中には、セキュリティ/脆弱性についての中途半端な理解のもと、

例えば、入力→確認→完了の、確認→完了で、hiddenを使って値を引き継いで

いました！これは脆弱です！というような届出だってあるかも知れません。

例えば、アンケートフォームがhttpsではありませんでした！脆弱です！

という届出もあるかも知れません。

詳細な記述無しに「○○というサイトは脆弱だ」とだけ書くことが一般的に

なってしまったら、なんかそれこそ名誉毀損というか業務妨害というか、

濡れ衣だ～！とサイト運営者が悲痛な叫びをあげることも出てきてしまうかも。

# ま、「受理」になってから、書けば良いのかも知れませんが、、、

　＊＊＊

どうすれば修正してもらえるんですかねぇ。

企業の場合は、6ヶ月経っても修正が行われる気配がなかったら、IPAが

その企業が所属する業界団体に通知するようにするとか。（冗談ｗ）

>>しね

>　最近はこういうのを書くと殺害予告とみなされて警察に通報されたりするのですかね?

>　リモートホストの 122.30.48.144 は OCN ですね。とりあえず OCN に連絡してみますかね。

　あー、Yahoo! でポケモン関係の単語を検索してたどり着いてますね。

　それで目的の情報が得られなかったからキレたのか。

　小学生かなー。

　警察なんかより親に連絡したいところですが、難しいですね。

>りゅうさんが買ったら遊びに行きますのでよろしく（謎）。

　買うように申しつけておきます。:-)

>しね

　最近はこういうのを書くと殺害予告とみなされて警察に通報されたりするのですかね?

　リモートホストの 122.30.48.144 は OCN ですね。とりあえず OCN に連絡してみますかね。

しね

正直なところ、初めてPS3が欲しいと思った。アイレム的にPS3以外の選択肢はないだろうし。りゅうさんが買ったら遊びに行きますのでよろしく（謎）。

>>とは言っても、無条件にオススメしたりはしませんし、私も今のところ実践するつもりはないのですが。

>このやり方が、なぜオススメできない感じなのか、実践しない感じなのか、

>その理由が明らかになるといいと思います。

「無条件にオススメしたりはしない」と言っているのは、「変換処理が重くなるかもしれない」「実装が面倒かもしれない」「結果出力されるデータのサイズが大きくなる」といったデメリットがあるからです。そういったデメリットが気になる場合は採用したくないこともあるでしょう。

　また、これはまだ思考実験の段階なので、他にもデメリットがあるかもしれませんし、メリットも実は小さいのかもしれません。

　実践しないと言っているのは、単に私が基本的に「全部DOM」派だからです。DOM操作だけでXHTMLを作る場合、文字参照への変換は出力時に自動的に行われてしまいますので、このような処理を書く余地がありません。

>しっかり実例もあるようです。

>http://slashdot.jp/~alp/journal/454573

これですか。

http://www.massangeana.com/mas/charsets/cjk-c.htm

> 行の始めが "zW" (7A 57) で始まっていると, そこから行末までを GB だとみなします。実際には改行は無視されます。 GB の後の改行を無視されたくない場合は行末に "#" (23)をつけます。その他, GB 行の途中に 1文字だけ ASCII を使いたいときは, たとえば "?" (3F) なら " ?" (20 3F) のように頭にスペースをつければよいなど, いくつかの工夫があります。

かなり古いエンコーディングのようで、さすがにウェブブラウザは対応していないようですが、iconvがさりげなく対応しているようです。

＞とは言っても、無条件にオススメしたりはしませんし、私も今のところ実践するつもりはないのですが。

このやり方が、なぜオススメできない感じなのか、実践しない感じなのか、

その理由が明らかになるといいと思います。

仕様に基づいたことなのか、たまたま解決する他の問題を気にしなくなることがかえって将来のリスクにつながらないか、

とかそんな感じでしょうか。

> 注釈に「ASCII非互換でものすごく変な文字符号化方式があったりしたら分かりませんが……」とある通り、そのホワイトリストでは想定外の挙動が起こらないことが保障できていません。

しっかり実例もあるようです。

http://slashdot.jp/~alp/journal/454573

>そうするとホワイトリストの出番がなくなってしまいますので。:-)

確かに ... :-) もしかして、地雷を踏んでしまったかな!? m(_ _)m