新生鳩丸掲示板♯

> jarを使った攻撃手法

これも既知で、少なくともFirefoxではだいぶ前に対策済みです。

MFSA 2007-37: jar: URL スキーマによる XSS 問題

http://www.mozilla-japan.org/security/announce/2007/mfsa2007-37.html

国民からランダムに選ばれた審査員で構成される検察審査会の議決に「国民の期待」がとてもよく表れていますね。

>たまたま動くだけで仕様じゃないから攻撃者は悪用しないでくれるし対策不要なわけではないので。

　全くおっしゃるとおりで……。

　というわけで本日、WASFカンファレンスにて、その「たまたま動く」XMLHttpRequestの脆弱性が公表されました。

　徳丸さんは「2件公表する予定」と言いつつ結局1件しか公表されなかったので、まあ何というか……いろいろあるのでしょうとしか言えませんが、知らないうちに実装されている、というのはなかなか怖いなと思う次第です。

>811SHや830SHではたまたま動きますが、それらは「仕様」としてサポートされているわけではありません。

　ありがとうございます。なるほど、今までは非公式だったのですね。

　それはそれで怖い。

　実は、今日のWASFで徳丸さんが発表された内容でも、

「端末がひっそりとAjaxに対応した……と思ったら、同じメーカーの次世代の端末では何故かまたひっそりと機能が無くなっていた。何があったのか」

　みたいな話がありました。

　セキュリティに関係してくる機能が、非公式に (全く知らされないうちに) 追加されたり削除されたりするのは、正直ちょっと怖いと思うわけです。

たまたま動くだけで仕様じゃないから攻撃者は悪用しないでくれるし対策不要なわけではないので。

それに、それを言ったらケータイの端末IDって何かの仕様で保証されているのでしたっけ。iモードIDはドコモ自らかんたんログインで使えると広報しつつ安全な使い方が誰にもわからないようですが。

811SHや830SHではたまたま動きますが、それらは「仕様」としてサポートされているわけではありません。

944SH 等の SoftBank/2.0 端末で採用される新仕様 (ウェブコンテンツ開発ガイド[ブラウザ機能拡張(500k対応)編]) では仕様としてサポートされるという話です。

http://creation.mb.softbank.jp/more_update.html の「2010/5/21 更新情報」

タブブラウザ機能も少なくとも816SHにはありました･･･。

間違った情報を長年垂れ流す行為は犯罪だ。分ったか、日本人諸君、、、。

￣￣￣∨￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣

　　　　 ∧＿∧

　　　　<丶｀∀´> 　　 　∧＿∧

　　　 ／ 　　　 ＼　 　（´Д｀；） 何か変なのがいるぞ

.＿＿|　|　　　 .|　|＿　/ 　　 　 ヽ

||＼　￣￣￣￣　　 ／ .|　　　|　|

||＼..∧＿∧　 　　(⌒＼|_＿./ ./

||.　 （ ；　　）　　　　 ~＼___＿_ノ|　　 ∧＿∧

　　/　　　ヽやばいな 　　　　 ＼| 　 （　　　；）　目あわさない方がいいぞ

　　|　　　　　ヽ　　　 　　　　　　　＼/ 　　　 ヽ.

　　|　　　　|ヽ、二⌒) 　　　　 　　／ .|　　　|　|

　　.|　　　　ヽ　＼∧＿∧　　　 (⌒＼|_＿./　/

>「音ゲーが唐突に始まって自衛隊に撃ち落とされる」これもDoDですね。

　ですね。厳密に言うと音ゲー部分で死ぬとゲームオーバーなので、エンディングの一部ではないと思いますけれども……いきなり新宿で、突如として今までのルールと全く違う事が始まるので印象は強いですねぇ。

# 噂では、PS3の「ニーア レプリカント」がDoDのEエンドの後日談に当たり、これまた独創的なエンディングがあるのだとか。やってみたい気もしますが……。

「音ゲーが唐突に始まって自衛隊に撃ち落とされる」これもDoDですね。なんというか、インパクトの強さがわかります。

ほんとうに、ほんとうにありがとうございました

よって鳩丸はセキュアである【違】。

>そういえばウチのPCにはNISを入れてるのですが、最新版にして以降、定期的にCookieを削除しているようです。週一かな？その都度実施レポートが表示されます。

　なるほどです。こんな記事も発見しました。

http://petagon.blog.eonet.jp/puti/2008/08/tracking-cookie.html

>（ちゃんとやったよ、褒めて褒めて！、と言われてるような感じです）

　基本的にアンチウィルス製品は「何も動作しない」のが正常動作なので、それでは効果が実感してもらえないから、ということなのでしょうかね。

「Tracking Cookie」の検出は、正直言って検出数の水増しだと思うのですが……。

　高木さんも4年前にこんな記事を書かれていますね。

http://takagi-hiromitsu.jp/diary/20060312.html

# その点、yaraiは動作していることが全く分からないぞ! :-)

やはり、8ターン耐えてクリアが普通ですよね。

(クリアしないという選択肢を除けば。)

でも、なかには、ここまでやってしまう人もいるんですよね……。

http://www.uri.sakura.ne.jp/~saga/sf2/smt/chapter6.html

そういえばウチのPCにはNISを入れてるのですが、最新版にして以降、定期的にCookieを削除しているようです。週一かな？その都度実施レポートが表示されます。（ちゃんとやったよ、褒めて褒めて！、と言われてるような感じです）

>サウスマウンドトップの戦いは、クリアしたのでしょうか……？

　なんとか8ターン耐えました。

サウスマウンドトップの戦いは、クリアしたのでしょうか……？

最近Webkitの開発チームが動き始めました。

https://bugs.webkit.org/show_bug.cgi?id=21945

デュエルは新しい技を探すためにしか使っていませんでした。

ステータスアップの観点からはデュエルのメリットって分かりませんでしたので。

そのあたりは楽しみ方次第なんじゃないかなと思います。