投稿順表示 (45/283)

前のページ 1...40/41/42/43/44/45/46/47/48/49/50...283 次のページ

[5038] Re: 「楽天メールマガジン情報漏洩の話・さらに続き」

ばけら (2008年10月6日 14時58分)

>あとで調べてみたら3年前ではなく2年以上前、三年未満でした(3年ほど前って書くつもりでした)。

>>Date: Thu, 9 Feb 2006 13:25:35 +0900

>>Subject: 【楽天市場からのお知らせ】メルマガ登録情報の確認・変更・配信停止について

　情報ありがとうございますー。

　まあ、いずれにしても事実上無期限ということですよね……。

[5037] Re: 「出力をホワイトリストで処理することを真剣に考えてみる」

ばけら (2008年10月6日 14時43分)

>「なんでもエスケープしとけ、念のため」という考え方を突き詰めていくと「0-9A-Z」をなぜ文字実態参照しない?

>という事にはなりますね。

　そうですね。それらも文字参照にしてしまっても問題ないと思います。

　が、そうするとホワイトリストの出番がなくなってしまいますので。:-)

# 元々、「出力にホワイトリストっていうのはどういうことだろう?」というところからスタートした思考実験ですので、「ホワイトリストを使う」という前提で調整しています。

[5036] Re: 「楽天メールマガジン情報漏洩の話・さらに続き」

AC (2008年10月6日 13時49分)

うわあ。私のコメントが引用されている^^;

あとで調べてみたら3年前ではなく2年以上前、三年未満でした(3年ほど前って書くつもりでした)。

>Date: Thu, 9 Feb 2006 13:25:35 +0900

>Subject: 【楽天市場からのお知らせ】メルマガ登録情報の確認・変更・配信停止について

[5035] Re: 「出力をホワイトリストで処理することを真剣に考えてみる」

sanaki (2008年10月6日 13時31分)

これは金床さんの「ウェブアプリケーションセキュリティ」P72 の "過剰なエスケープ" というものですね。

話変わって、

「なんでもエスケープしとけ、念のため」という考え方を突き詰めていくと「0-9A-Z」をなぜ文字実態参照しない?

という事にはなりますね。

そもそも論として、

"[ホワイト|ブラック]リスト" という言葉を出力時に持ち込むのはどうか、と思いました。

タブーをなくすために議論する、という目的であれば、有効だとは思いますが。

[5034] 未承認メッセージ (投稿元:202.247.41.168)

homeofsyufu (2008年10月6日 12時40分)

(この記事は承認されていないため、管理者が許可するまで公開されません。)

[5033] Re: 「Ajaxセキュリティ」

りゅう (2008年10月6日 11時53分)

> だから元記事では冗長だと言っているのでは? そうなるとRFCに「無意味」な例が載せられていることになるので妙と言えば妙ですが。

そこまでRFCを読み込んでいるなら曖昧なRFCの方を批判しそうな気がしますが、「悪いのはMS」脳になっているのかもしれません。

> 「*/*」だけが指定されたときとかそもそも指定されていないときとかも決定できないと困りますから、優先順位の同じものが並んでいたら別途定める決定方法を採用してもかまわないのだと思います。

別途定める決定方法の採用が可能であれば、RFCのあの部分の内容は、特定のタイプに対応するqvalueの決定方法というだけの事になるので、qvalueのみで採用するタイプを決定しなければならない訳ではないということになるかと思います。

ちなみにRFCから察する限り、優先順位は一次元配列内の位置として表されるので、同じ優先順位のものが存在することはないはずです。

> 詳細度やqvalueの高いMIMEタイプ指定を後に行うことも可能なので明らかに記述順は優先順位と異なるでしょう。RFCの例もそうなっています。

「Media ranges can be overridden by more specific media ranges or specific media types.」とあるので、詳細度によってオーバーライドされるべき元々の何かがあるはずです。オーバーライドされた結果起るのが優先順位の変化ということは、何らかの方法で元の優先順位が定義されるはずですが、恐るべきことにそれは明示されていません。それに使える情報は記述順くらいしか無いので、察する限りまあそういうことではないかと。

[5032] Re: 「Ajaxセキュリティ」

えむけい (2008年10月6日 2時2分)

> 意図的に低いqvalueを指定していない限り */* と同位になってしまって決定できないので、優先順位も加味しないとうまく行かない感じがします。

だから元記事では冗長だと言っているのでは? そうなるとRFCに「無意味」な例が載せられていることになるので妙と言えば妙ですが。

> とはいえ最終的なメディアタイプの決定方法が仕様として明示されていないのであれですが。

「*/*」だけが指定されたときとかそもそも指定されていないときとかも決定できないと困りますから、優先順位の同じものが並んでいたら別途定める決定方法を採用してもかまわないのだと思います。

> そもそも記述順＝優先順位ということすら明示されていないような。

詳細度やqvalueの高いMIMEタイプ指定を後に行うことも可能なので明らかに記述順は優先順位と異なるでしょう。RFCの例もそうなっています。

[5031] Re: 「Ajaxセキュリティ」

りゅう (2008年10月5日 20時3分)

>ただ、この直後に続く文章と併せて読むと、"precedence"はクライアントが好むMIMEタイプの優先順位ではなく、qvalue決定のためにリストを検索する順序の決定に用いられるものであるように読めるのが気になるのですが…。

最終的なメディアタイプの決定にqvalueだけを使用すると、意図的に低いqvalueを指定していない限り */* と同位になってしまって決定できないので、優先順位も加味しないとうまく行かない感じがします。とはいえ最終的なメディアタイプの決定方法が仕様として明示されていないのであれですが。そもそも記述順＝優先順位ということすら明示されていないような。

[5030] 政治に扇動ってつきものだなぁ。

http://d.hatena.ne.jp/Itisango/20081005/1223174289 (2008年10月5日 11時43分)

某大臣の舌禍事件といい、アメリカ大統領選といい、平壌放送といい、政治と扇動って切って切れない関係にあることを痛感しますね。

[5029] Re: 「Ajaxセキュリティ」

えむけい (2008年10月4日 9時43分)

> 優先順位の指定ができることを理解していないことは明らかです。

「qvalueを使わなくても」と言っておかないと「優先順位の指定ができるのにやってないMicrosoftのことですね、わかります」とか早とちりされそうな気のせいがします。

http://www.ietf.org/rfc/rfc2616.txt

> Media ranges can be overridden by more specific media ranges or

> specific media types. If more than one media range applies to a given

> type, the most specific reference has precedence. For example,

> Accept: text/*, text/html, text/html;level=1, */*

> have the following precedence:

> 1) text/html;level=1

> 2) text/html

> 3) text/*

> 4) */*

ただ、この直後に続く文章と併せて読むと、"precedence"はクライアントが好むMIMEタイプの優先順位ではなく、qvalue決定のためにリストを検索する順序の決定に用いられるものであるように読めるのが気になるのですが…。

[5028] Re: 「Ajaxセキュリティ」

りゅう (2008年10月3日 20時6分)

> ※が、どこかの脚注に「IEのAccept:は長すぎて無駄」みたいな記述があり、コンテント・ネゴシエーションがイマイチ理解されていない気配も……。

これですね。

P.287より

> Internet Explorer 6が送信するAcceptヘッダで、許可されるMIMEタイプのリストを長々と記述したあげく最後に */* を付けるのは、奇妙というしかない。*/* という値は、任意のMIMEタイプを受け付けるということを意味する。したがって、「image/gif, image/jpeg, ... , */*」というリストはばかげていて冗長である。「無限大+1」といい勝負である。

優先順位の指定ができることを理解していないことは明らかです。

それはそれとして、個人的には今話題の「ホワイトリスト形式の入力チェック」が連呼されている方が気になります。