新生鳩丸掲示板♯

bakera.jp > 新生鳩丸掲示板♯ > 投稿順表示 (86/282)

投稿順表示 (86/282)

[4189] Re: 「脆弱性の呼称」

徳丸浩(ockeghem) (2007年4月28日 17時52分)

徳丸です。いつも丁寧なコメントありがとうございます。

コメントを以下に書きましたのでご笑覧ください。

http://d.hatena.ne.jp/ockeghem/20070428/1177750243

[4188] 未承認メッセージ (投稿元:124.33.208.240)

精力剤の激安販売! (2007年4月28日 13時44分)

(この記事は承認されていないため、管理者が許可するまで公開されません。)

[4187] 未承認メッセージ (投稿元:59.56.78.146)

アデナ専門のTo-rmtです (2007年4月27日 15時46分)

(この記事は承認されていないため、管理者が許可するまで公開されません。)

[4186] Re: 「crossdomain.xml の DTD」

ばけら (2007年4月27日 11時50分)

>それは XML 宣言ではなくてテキスト宣言というやつです。

 あー、そうなのですね。なるほど。

 XML の DTD はほとんど扱ったことが無いので、素で知りませんでした。

 ありがとうございます。

[4185] Re: 「crossdomain.xml の DTD」

satoshii (2007年4月27日 1時11分)

> 先頭が XML 宣言になっていてびっくり。

それは XML 宣言ではなくてテキスト宣言というやつです。

http://www.w3.org/TR/REC-xml/#sec-TextDecl

> External parsed entities SHOULD each begin with a text declaration.

なので、むしろ書いてある方が好ましいのですが。

# でも W3C 自身全然使ってないという。

[4184] こんにちは!

サリ (2007年4月23日 18時22分)

ともだちコード339392025711です

[4183] Re: 「この RSS は脆弱かも」

Kジカたん (2007年4月22日 2時12分)

RSSおかしいよって言おうと思ってて毎日わすれてました。

なおってよかた。

[4182] Re: 「この RSS は脆弱かも」

ばけら (2007年4月20日 1時25分)

>「415 Unsupported Media Type」あたりでしょうか。

>HTTP/1.0では定義されていませんが、知らない4xx系のエラーコードは400とみなすことになっていたはずなので大丈夫です。たぶん。

 とりあえず 415 を吐くようにしてみました。

 しかし、エラー画面もちゃんと作りたいですね……。

[4181] Re: 用語「オブジェクト参照がオブジェクト インスタンスに設定されていません。」

とん子 (2007年4月19日 16時3分)

当方も、HPのプリンタを接続しており、アップデートを行ってPCを再起動したらそのような現象に。。。(◎-◎;)

(対処は、一度タスクマネージャで稼動中のタスク(名前忘れた。。。)を終了させ、HP ソリューション センター(HP ドキュメント ビューワーでも可かも)を起動。すると、CD-ROMを要求されてきたので、プリンタに付属されているCD-ROMを挿入し、msiファイルを指定してやれば問題は解消しました。。)

上の方法を読み、プリンターに付属していたCD-ROMを、恐る恐る挿入してみたところ、メッセージが出なくなりました。何日も悩んでいたのが嘘の様に、解決しました。\(●^▽^●)/有り難う御座いました。m(_ _)m

[4180] Re: 「この RSS は脆弱かも」

えむけい (2007年4月19日 15時11分)

> 500 応答するのはおかしいかも。

「415 Unsupported Media Type」あたりでしょうか。

HTTP/1.0では定義されていませんが、知らない4xx系のエラーコードは400とみなすことになっていたはずなので大丈夫です。たぶん。

[4179] Re: 「この RSS は脆弱かも」

ばけら (2007年4月19日 12時56分)

>って、multioart/form-dataってナニ?

>Googleで検索しても英文ページが一件ひっかかるだけ。

 ぐはー。multipart/form-data ですね。この辺参考されたし。

 HTTP/1.1 であっても HTTP/1.0 であっても、リクエストの Content-Type が multipart/form-data でない投稿は蹴ってしまいます。これはそういうふうにしているのですが、500 応答するのはおかしいかも。

[4178] Re: 「この RSS は脆弱かも」

のぐー (2007年4月19日 2時31分)

って、multioart/form-dataってナニ?

Googleで検索しても英文ページが一件ひっかかるだけ。

[4177] Re: 「この RSS は脆弱かも」

のぐー (2007年4月19日 2時11分)

HTTP1.0な自作ブラウザから投稿しようとしたらこんなのでました。

500 Internal Server Error

Type: System.Exception

Message: 認識できない投稿です。multioart/form-data でない POST リクエストは認識できません。

Source: hatomaru

TargetSite: System.Xml.XmlElement ArticlePost()

StackTrace:

場所 Bakera.HatomaruPageBase.ArticlePost()

場所 Bakera.HatomaruPageBase.Post()

場所 Bakera.HatomaruPageBase.Make()

場所 Bakera.Hatomaru.Post(String targetUrl)

場所 Bakera.Hatomaru.Page_Load(Object source, EventArgs e)

[4176] Re: 「この RSS は脆弱かも」

ばけら (2007年4月19日 1時29分)

>今のところHTTP/1.0でもアクセス不可にはなっていないようですが。

 HTTP/1.0 でも OK な場合は OK なのですが、特定の場合にだめだったりします。ログを見たところ、

Yeti/0.01+(nhn/1noon,+yetibot@naver.com,+check+robots.txt+daily+and+follows+it)

 という名前の UA が残念な思いをしていたようです。

 ……って、これ NAVER の新ロボみたいですね。期せずして NAVER 避けになってしまったようです。

[4175] Re: 「この RSS は脆弱かも」

えむけい (2007年4月18日 21時6分)

> まあ HTTP/1.0 は捨てでも良いかなと……。

IE6でプロクシを経由した場合のデフォルトはHTTP/1.0なのに大胆ですね。

今のところHTTP/1.0でもアクセス不可にはなっていないようですが。

[4174] Re: 「Smarty のいろいろなところで任意の PHP コマンド」

りゅう (2007年4月18日 20時7分)

SmartyでPHPコードが実行できる部分にはまだあって、modifierのregex_replace でeオプションを指定した場合というのに最近気が付きました。

$security_settings の説明通りだと、その部分は制御できないような気がしますが、どうなんでしょうね。

[4173] Re: RSS

ばけら (2007年4月18日 13時8分)

> 直しますが、根が深いのでちょっと時間かかるかも。

> 直るまでは脆弱なままで運用しますのでご注意ください。

 とはいえ放置もアレなので、対症療法的なことをしておきます。

 ちょいテスト。

[4172] Re: RSS

ばけら (2007年4月18日 12時30分)

>>RSSの記事とかのURLのホストがIPアドレスになってるような

> あれー、ホントですね。ご指摘ありがとうございます。

> ASP.NET 2.0 への移行時にこうなったのかな……。

 原因分かりました。昔から存在する問題でした。恐ろしいことに、外部から RSS 内の URL を任意のホストに書き換えられるというとんでもない脆弱性が存在します。

 直しますが、根が深いのでちょっと時間かかるかも。

 直るまでは脆弱なままで運用しますのでご注意ください。

[4171] Re: RSS

ばけら (2007年4月18日 12時20分)

>RSSの記事とかのURLのホストがIPアドレスになってるような

 あれー、ホントですね。ご指摘ありがとうございます。

 ASP.NET 2.0 への移行時にこうなったのかな……。

 調べておきます。

[4170] RSS

y-Aki (2007年4月18日 8時4分)

RSSの記事とかのURLのホストがIPアドレスになってるような

最近の日記

関わった本など