新生鳩丸掲示板♯

って、multioart/form-dataってナニ？

Googleで検索しても英文ページが一件ひっかかるだけ。

HTTP1.0な自作ブラウザから投稿しようとしたらこんなのでました。

500 Internal Server Error

Type: System.Exception

Message: 認識できない投稿です。multioart/form-data でない POST リクエストは認識できません。

Source: hatomaru

TargetSite: System.Xml.XmlElement ArticlePost()

StackTrace:

場所 Bakera.HatomaruPageBase.ArticlePost()

場所 Bakera.HatomaruPageBase.Post()

場所 Bakera.HatomaruPageBase.Make()

場所 Bakera.Hatomaru.Post(String targetUrl)

場所 Bakera.Hatomaru.Page_Load(Object source, EventArgs e)

>今のところHTTP/1.0でもアクセス不可にはなっていないようですが。

　HTTP/1.0 でも OK な場合は OK なのですが、特定の場合にだめだったりします。ログを見たところ、

Yeti/0.01+(nhn/1noon,+yetibot@naver.com,+check+robots.txt+daily+and+follows+it)

　という名前の UA が残念な思いをしていたようです。

　……って、これ NAVER の新ロボみたいですね。期せずして NAVER 避けになってしまったようです。

> まあ HTTP/1.0 は捨てでも良いかなと……。

IE6でプロクシを経由した場合のデフォルトはHTTP/1.0なのに大胆ですね。

今のところHTTP/1.0でもアクセス不可にはなっていないようですが。

SmartyでPHPコードが実行できる部分にはまだあって、modifierのregex_replace でeオプションを指定した場合というのに最近気が付きました。

http://smarty.php.net/manual/en/language.modifier.regex.replace.php

$security_settings の説明通りだと、その部分は制御できないような気がしますが、どうなんでしょうね。

>　直しますが、根が深いのでちょっと時間かかるかも。

>　直るまでは脆弱なままで運用しますのでご注意ください。

　とはいえ放置もアレなので、対症療法的なことをしておきます。

　ちょいテスト。

>>RSSの記事とかのURLのホストがIPアドレスになってるような

>　あれー、ホントですね。ご指摘ありがとうございます。

>　ASP.NET 2.0 への移行時にこうなったのかな……。

　原因分かりました。昔から存在する問題でした。恐ろしいことに、外部から RSS 内の URL を任意のホストに書き換えられるというとんでもない脆弱性が存在します。

　直しますが、根が深いのでちょっと時間かかるかも。

　直るまでは脆弱なままで運用しますのでご注意ください。

>RSSの記事とかのURLのホストがIPアドレスになってるような

　あれー、ホントですね。ご指摘ありがとうございます。

　ASP.NET 2.0 への移行時にこうなったのかな……。

　調べておきます。

RSSの記事とかのURLのホストがIPアドレスになってるような

>（Wikipediaが正しいかはわかりません）

　SGML の用語と HTML の用語と XML の用語は微妙に違うので混乱を招きやすいのですが、どれを見ても文字参照と実体参照ははっきり区別されています。それぞれの仕様書ないし規格書を読んで確認していただければと思います。

　ちなみに HTML は SGML アプリケーションなのですが、用語は微妙に揺れているので注意が必要です。HTML の仕様には「数値文字参照」「文字実体参照」という語が出てきますが、JIS X 4151「文書記述言語SGML」では、それぞれ「文字参照」「一般実体参照」と呼ばれています。

　余談ですが、SGML では短縮参照という仕組みも使えるようになっていて、これも実体参照の一種ということになっています。しかし HTML ではSHORTREF NO なので短縮参照は使えません。ですから、実体参照には文字実体参照 (一般実体参照) とパラメータ実体参照 (引数実体参照) の二種類しかないと考えてしまって良いです。

　いずれにしても、数値文字参照は実体参照とは別物です。

Wikipediaの「実体参照」の項によると、

その定義はXMLの話で、

HTMLとSGMLでは、数値文字参照と文字実体参照を合わせて実態参照と呼ぶ

と言うふうに書かれてます。

（Wikipediaが正しいかはわかりません）

>ご参考 <http://d.hatena.ne.jp/hasegawayosuke/20070313/p2>

　情報ありがとうございます。

　脆弱性云々というより、印刷に不具合があること自体がけっこう厳しいことになるわけでして、IE7 でいろいろ良くなったなぁと思いきや……。

# 印刷は昔から鬼門なのです。

ご参考 <http://d.hatena.ne.jp/hasegawayosuke/20070313/p2>

実際にはほとんど存在しないinnerHTMLのコピーくらいしか、危険な状況を想定できないのですが、なんだか薄氷の上を歩いているようで非常に気持ち悪いです。

>ATOK2007が「XXが本来の意味」というXXが、本当に「本来の」意味かどうか、(たとえば大辞林の記述から)理解された上で、それでも「特に問題ない」と主張されているのでしたら、これ以上申し上げることはありません。

　うーん、良く分からないのですが、もし、意味の派生は一切認めないという立場でおられるなら、私はそういう立場はとりませんので、おそらく議論は成立しないと思います。

　そうではなくて、単に「本来の」という表現が良くない (「一般的な」などにするべき) という主張をされているなら、個人的にはそれは些末なことのように思います。が、気になるようでしたらジャストシステムに報告してみてはいかがでしょうか。

>それなら、あらゆる尊敬語はお客様への自分の動作として用いるには不適であり、あらゆる謙譲語(II種)はお客様自身の動作として用いるには不適ですから、全ての尊敬語・謙譲語(II種)に警告を出すといいですね。

　すみません、「不適ですから」の前まではその通りだと思うのですが、どうしてそれが「全ての尊敬語・謙譲語に警告を出すといい」という結論になるのかが理解できませんでした。

　いずれにしても、何か修正してほしいようでしたら、ジャストシステムにフィードバックしてはいかがでしょうか。ここで議論してもあまり意味がないように思います。

>大辞林もこの用例が誤用であるとする立場ではないように思います。特に問題ないのではないでしょうか。

ATOK2007が「XXが本来の意味」というXXが、本当に「本来の」意味かどうか、(たとえば大辞林の記述から)理解された上で、それでも「特に問題ない」と主張されているのでしたら、これ以上申し上げることはありません。

>　同僚に対する発言であればそれほどおかしくないのかもしれませんが、

「それほどおかしくない」というか、実にまっとうな敬語ですが。

>お客様に対する発言だとしたらおかしいですよね。警告されたほうが良いのではないかと思いますが……。

それなら、あらゆる尊敬語はお客様への自分の動作として用いるには不適であり、あらゆる謙譲語(II種)はお客様自身の動作として用いるには不適ですから、全ての尊敬語・謙譲語(II種)に警告を出すといいですね。

＞通りすがりの者さん

>ジオトラストのクイックSSLは、O= がホスト名になる。会社名は入らない。

なるほど。

でも、ホスト名でも「らしい」ものぐらい簡単にできますね。

たとえば、高木先生が「常陽銀行のリニューアルに期待したがその期待は裏切られた( http://takagi-hiromitsu.jp/diary/20070408.html )」というのを書かれていますが、

CN = www.inb.joyobank.chance.co.jp

O = Regional Banks and Information Technology Solution Co. Ltd.

というのと

CN = joyobank-information-service.com

O = joyobank-information-service.com

というののどちらが常陽銀行のもの「らしく」見えますか？という話になる訳で。

O=fs219.xbit.jpみたいなのだと、確かに「こんな値では運営者が誰なのかさっぱりわかりません。」なんですが、O=joyobank-information-service.comだと「運営者が誰かわかったような*気がする*」のではないでしょうか。

>>＜セルダン＞

> GeoTrustだと「らしい」名前ならいくらでも・・・

それは違うよ。

ジオトラストのクイックSSLは、O= がホスト名になる。会社名は入らない。

そういうのを実在証明なしのSSLと言うんだ。ベリサインだと class 1 と呼んでいるね。

> ってか、whoisなんて好き勝手な事が書ける訳で、

> 「oobank information service Inc.」とか勝手に書いておけば

ジオトラストが whois を引くのは、ドメイン管理担当者メールアドレスを取り出すためとリンク先に書いてあるじゃん。

> O= という値が Organization すなわち組織を表しますので、そこにイー・アクセスのものらしい名前が出ていれば大丈夫です。

GeoTrustだと「らしい」名前ならいくらでも・・・

という話は無いですか？(^^;

ってこのネタ前に書いたな↓

http://seldon.cocolog-nifty.com/petapeta/2006/02/ssl.html

>ですがこんな罠もあります。

>http://www.oiwa.jp/~yutaka/tdiary/20050418.html#p01

　ああ、そういえばそんな話ありましたね。

　これ、実際のところどうなんでしょう。深刻な状況なのでしょうか……。

> フィッシング犯が自分で法人を作るなどして、正規の手順で証明書を取得している可能性もあるからです。

もっと閾値は低いです。ジオトラストのSSL証明書はドメインさえ持ってれば個人でも取れます。実際取ったことありますし。

> ※参考 : “本物”のSSL証明書を持つフィッシング・サイト出現 (itpro.nikkeibp.co.jp)

の事例もジオトラストでした。

> IE7 であれば、アドレスバー横のアイコンをクリックして「証明書の表示」をして、「詳細」タブの中の「サブジェクト」を見ます。O= という値が Organization すなわち組織を表しますので、そこにイー・アクセスのものらしい名前が出ていれば大丈夫です。

ですがこんな罠もあります。

http://www.oiwa.jp/~yutaka/tdiary/20050418.html#p01

> まれに O=fs219.xbit.jp のようにドメイン名が入っていたりするケースがありますが、こんな値では運営者が誰なのかさっぱりわかりません。この場合もフィッシング犯が取得した証明書である可能性が否定できませんので、信用すべきではありません。

ジオトラストだからね【コペ】。