投稿順表示 (44/282)
前のページ 1...39/40/41/42/43/44/45/46/47/48/49...282 次のページ
[5033] Re: 「Ajaxセキュリティ」
りゅう (2008年10月6日 11時53分)
> だから元記事では冗長だと言っているのでは? そうなるとRFCに「無意味」な例が載せられていることになるので妙と言えば妙ですが。
そこまでRFCを読み込んでいるなら曖昧なRFCの方を批判しそうな気がしますが、「悪いのはMS」脳になっているのかもしれません。
> 「*/*」だけが指定されたときとかそもそも指定されていないときとかも決定できないと困りますから、優先順位の同じものが並んでいたら別途定める決定方法を採用してもかまわないのだと思います。
別途定める決定方法の採用が可能であれば、RFCのあの部分の内容は、特定のタイプに対応するqvalueの決定方法というだけの事になるので、qvalueのみで採用するタイプを決定しなければならない訳ではないということになるかと思います。
ちなみにRFCから察する限り、優先順位は一次元配列内の位置として表されるので、同じ優先順位のものが存在することはないはずです。
> 詳細度やqvalueの高いMIMEタイプ指定を後に行うことも可能なので明らかに記述順は優先順位と異なるでしょう。RFCの例もそうなっています。
「Media ranges can be overridden by more specific media ranges or specific media types.」とあるので、詳細度によってオーバーライドされるべき元々の何かがあるはずです。オーバーライドされた結果起るのが優先順位の変化ということは、何らかの方法で元の優先順位が定義されるはずですが、恐るべきことにそれは明示されていません。それに使える情報は記述順くらいしか無いので、察する限りまあそういうことではないかと。
[5032] Re: 「Ajaxセキュリティ」
えむけい (2008年10月6日 2時2分)
> 意図的に低いqvalueを指定していない限り */* と同位になってしまって決定できないので、優先順位も加味しないとうまく行かない感じがします。
だから元記事では冗長だと言っているのでは? そうなるとRFCに「無意味」な例が載せられていることになるので妙と言えば妙ですが。
> とはいえ最終的なメディアタイプの決定方法が仕様として明示されていないのであれですが。
「*/*」だけが指定されたときとかそもそも指定されていないときとかも決定できないと困りますから、優先順位の同じものが並んでいたら別途定める決定方法を採用してもかまわないのだと思います。
> そもそも記述順=優先順位ということすら明示されていないような。
詳細度やqvalueの高いMIMEタイプ指定を後に行うことも可能なので明らかに記述順は優先順位と異なるでしょう。RFCの例もそうなっています。
[5031] Re: 「Ajaxセキュリティ」
りゅう (2008年10月5日 20時3分)
>ただ、この直後に続く文章と併せて読むと、"precedence"はクライアントが好むMIMEタイプの優先順位ではなく、qvalue決定のためにリストを検索する順序の決定に用いられるものであるように読めるのが気になるのですが…。
最終的なメディアタイプの決定にqvalueだけを使用すると、意図的に低いqvalueを指定していない限り */* と同位になってしまって決定できないので、優先順位も加味しないとうまく行かない感じがします。とはいえ最終的なメディアタイプの決定方法が仕様として明示されていないのであれですが。そもそも記述順=優先順位ということすら明示されていないような。
[5030] 政治に扇動ってつきものだなぁ。
http://d.hatena.ne.jp/Itisango/20081005/1223174289 (2008年10月5日 11時43分)
某大臣の舌禍事件といい、アメリカ大統領選といい、平壌放送といい、政治と扇動って切って切れない関係にあることを痛感しますね。
[5029] Re: 「Ajaxセキュリティ」
えむけい (2008年10月4日 9時43分)
> 優先順位の指定ができることを理解していないことは明らかです。
「qvalueを使わなくても」と言っておかないと「優先順位の指定ができるのにやってないMicrosoftのことですね、わかります」とか早とちりされそうな気のせいがします。
http://www.ietf.org/rfc/rfc2616.txt
> Media ranges can be overridden by more specific media ranges or
> specific media types. If more than one media range applies to a given
> type, the most specific reference has precedence. For example,
>
> Accept: text/*, text/html, text/html;level=1, */*
>
> have the following precedence:
>
> 1) text/html;level=1
> 2) text/html
> 3) text/*
> 4) */*
ただ、この直後に続く文章と併せて読むと、"precedence"はクライアントが好むMIMEタイプの優先順位ではなく、qvalue決定のためにリストを検索する順序の決定に用いられるものであるように読めるのが気になるのですが…。
[5028] Re: 「Ajaxセキュリティ」
りゅう (2008年10月3日 20時6分)
> ※が、どこかの脚注に「IEのAccept:は長すぎて無駄」みたいな記述があり、コンテント・ネゴシエーションがイマイチ理解されていない気配も……。
これですね。
P.287より
> Internet Explorer 6が送信するAcceptヘッダで、許可されるMIMEタイプのリストを長々と記述したあげく最後に */* を付けるのは、奇妙というしかない。*/* という値は、任意のMIMEタイプを受け付けるということを意味する。したがって、「image/gif, image/jpeg, ... , */*」というリストはばかげていて冗長である。「無限大+1」といい勝負である。
優先順位の指定ができることを理解していないことは明らかです。
それはそれとして、個人的には今話題の「ホワイトリスト形式の入力チェック」が連呼されている方が気になります。
[5027] Re: 「DS Lite 本体スピーカー死亡か?」
アソパソ (2008年10月3日 14時58分)
1年以上前の記事なので、あれなんですけどワタシも今同じ症状になって検索でHITしました(w
同じくヘッドホン端子抜いても音でなくなり、壊れた~!と思っていたら
何度か刺しなおしたり、つまようじでイジったら音出ました(w
ちなみに旧DSです。
いやー、焦りますね(w
では(w
[5026] Re: 「楽天メールマガジンの変更画面から情報漏洩」
mogi (2008年10月3日 3時56分)
Googleならば、当然の如くリファラも記録しているのではないでしょうか?
ソースはありませんが、以前自分だけが使用していたWebページが
Googleからの検索にヒットするようになり驚いたことがあります。
特に認証等は設けておらず、また(当時はありませんでしたが)オンラインブックマークサービスや、
URLを別のWebサイトに載せることもしていませんでした。
考えてたどり着いたのが、そのWebサイトにリンクとして載せていた
Google検索ページのURLでした。
[5025] Re: 「Ajaxセキュリティ」
えむけい (2008年10月2日 22時15分)
某所では「クライアント側でやってるのと同じチェックをなぜかサーバ側でもやってる。まったくの無駄」とかいう会話が隣の席から聞こえてきて、めまいがしてきます。
[5023] Re: 「楽天メールマガジン情報漏洩の話・続き」
みつかさ (2008年10月2日 18時42分)
ATOK使っているのであれば「きょう」で変換するとかどうでしょう?
# MS-IMEは対応していたか忘れました。
[5022] Browser Object Model (was:re: ぐろっさりへの項目追加についての要望です)
スターダスト (2008年10月2日 11時44分)
> なるほど、Browser Object Model ですか。
> 暇を見て追加しておきます。
ありがとうございます!(汗
[5021] Re: 「楽天メールマガジン情報漏洩の話・続き」
ばけら (2008年10月2日 1時23分)
>「2006-10-01追記」となっているようですが、「2008-10-01追記」ではないでしょうか。
はぅ、おっしゃるとおりです。ありがとうございます。
修正しておきました。
[5020] Re: 「論理少女」
えむけい (2008年10月2日 0時53分)
> ……結論としては、このマンガは面白いということですよ!
思わず買ってしまったではありませんか。おもしろかったです。Web上の書評につられて本を買ったのは初めてかも。amazonアソシエイト経由ではなくて申し訳ありませんが。
[5019] Re: 「楽天メールマガジン情報漏洩の話・続き」
TK (2008年10月1日 23時6分)
「2006-10-01追記」となっているようですが、「2008-10-01追記」ではないでしょうか。
[5018] Re: 妥当なHTMLとXSS
nanto_vi (2008年10月1日 21時50分)
>http://bakera.jp/ebi/topic/2738 の下のほうでしょうか。
それですね。私の探し方が悪かったようです。ありがとうございました。
[5017] Re: ぐろっさりへの項目追加についての要望です
ばけら (2008年10月1日 18時50分)
>鳩丸ぐろっさり(用語集)には、すでにBOMに関する記述があります。byte order mark としての BOM の他に、object model としての BOM もあろうかとは思うのですが、もしよろしければ、記事の追加をお願いできませんでしょうか。
なるほど、Browser Object Model ですか。
暇を見て追加しておきます。
[5016] Re: 「楽天メールマガジン情報漏洩続き」
優 (2008年10月1日 17時12分)
WebプログラマーはURLは公開情報である。(それは例えSSLであっても)と、意識して欲しいと思います。
ちなみに、3年前から固定URLだったというコメントが/.に出ています。
slashdot.jp/security/comments.pl?sid=420884&cid=1429623
# 日曜Webプログラマだけどセキュリティホール情報にアンテナを張って保守を頑張ってるのでID
[5015] ぐろっさりへの項目追加についての要望です
スターダスト (2008年10月1日 12時57分)
鳩丸ぐろっさり(用語集)には、すでにBOMに関する記述があります。byte order mark としての BOM の他に、object model としての BOM もあろうかとは思うのですが、もしよろしければ、記事の追加をお願いできませんでしょうか。 ひょっとしたらぐろっさりの範疇外かもしれませんけれども、その際には上のお願いは撤回いたします。
以上、よろしくお願い申し上げます。
[5014] Re: 妥当なHTMLとXSS
ばけら (2008年9月30日 23時50分)
>以前このサイトで「常に妥当なHTMLを出力するようにすればXSSの9割は防げる」というような発言を見たような気がするのですが、日記を検索してもぐろっさりをたどっていってもそのような文章が見つかりません。
http://bakera.jp/ebi/topic/2738 の下のほうでしょうか。
