新生鳩丸掲示板♯

＞「個人情報を第三者に提供、委託いたしません」という説明をしておきながら、第三者の管理するサーバに個人情報を送信させている

これについてはもっと深刻で、『個人情報の保護に関する法律』第二十三条に違反しています。

http://law.e-gov.go.jp/htmldata/H15/H15HO057.html

で、事前であれば、表記を修正すればＯＫですが、

一度情報を収集してしまった以上、不正利用となってしまった事や第三者に委託する点について、もう一度本人に確認が必要になります。

># mod_rewriteでけっこう複雑なルールを設定していたようではあります。ケータイサイトは複雑なリライトルールを設定している場合が多いように思います。

あぁ、mod_rewriteがらみですか。了解です。

ありがとうございました。

>ばけらさんのブクマコメントを見て、私もModSecurityのルールの中に「数値IPアドレスをエラーにする」というのを見つけたのですが、それ以外に、同様の設定になる条件をご存じであれば教えていただけないでしょうか。当然ながら、差し支えなければということですが。

　すみません、弊社でApacheの設定をしていた事例ではないので、詳しくは分からないのです……。

# mod_rewriteでけっこう複雑なルールを設定していたようではあります。ケータイサイトは複雑なリライトルールを設定している場合が多いように思います。

　何か分かったらお知らせしようと思います。

>これは「かんたんログイン」と組み合わせることにより発動するわけですから、PCからアクセスできるならその時点ですでに脆弱性ではないでしょうか。

　それはそのとおりなのですが、「ログインが必要なページだけIPアドレス制限している」というサイトも多いと思います。その場合、/ がログイン不要なページであれば、このツールで調査できるはずです。

　全てのサイトで使えるかと言われると微妙ですが、役に立つ場合もあるのではないかと思います。

# もっとも、ログイン必要なページでだけ Host: の扱いが違うという可能性が否定できないという罠が無くもないかも。普通は無いと思いますが……。

えむけいさん、そのとおりですよ？

太田さんが、元記事に、「確認方法の例としては、wfetchやfiddlerのようなHTTPリクエストを作る・改変するツールを使って通常と違うHost:を送ってみるという方法がありますし、……ただし、これらの方法はPCからアクセスできる場合にしか使えません。」と書かれており、この前者を実現するツールです。

また、http://yamagata.int21h.jp/tool/hostchk/hostchk.cgi において、「DNSリバインディング問題を確認するツール」だとは全く書いていません。Host:ヘッダの利用状況を見るためのツールです。

Wizardryではないですが、エルミナージュⅡはいかがでしょうか？

忍者以外はLv1万超えますしダメージもLvに応じて上がりますよ。

ばけらさん、補足ありがとうございます。

ばけらさんのブクマコメントを見て、私もModSecurityのルールの中に「数値IPアドレスをエラーにする」というのを見つけたのですが、それ以外に、同様の設定になる条件をご存じであれば教えていただけないでしょうか。当然ながら、差し支えなければということですが。

>PCからアクセスできるサイトに限りますが、ツール作ってみました：

>http://yamagata.int21h.jp/tool/hostchk/hostchk.cgi

これは「かんたんログイン」と組み合わせることにより発動するわけですから、PCからアクセスできるならその時点ですでに脆弱性ではないでしょうか。

http://takagi-hiromitsu.jp/diary/20100221.html#p01

PCからアクセスできるサイトに限りますが、ツール作ってみました：

http://yamagata.int21h.jp/tool/hostchk/hostchk.cgi

> ※昔はJavaScriptでステータスバーを改竄される可能性もありましたが、最近は難しくなってきていますね。

最近のブラウザだとそもそもステータスバーそのものが(少なくともデフォルトでは)表示されなくなってますね。アドレスバーが必須になった分表示面積を稼ぐためでしょうか。ChromeやSafari 4はすでにそうなってますし、Firefox 4もそういうデザインを採用する予定だとか。

>「面倒でも頑張ってURLを確認する」

頑張って確認してもこれではねえ…。

https://takagi-hiromitsu.jp/diary/20100320.html#p01

フォームのポスト先はステータスバーでは確認できないのを忘れてますよね、リンク先を確認とか言っている人。

>もしくはAmazonは基本的に買う物が本で、楽天と違うから間違わなかったと推測。

　楽天側も楽天ブックスなのですけどね。

　楽天とのシームレスさ(?)が裏目に出たのでしょうか。

>URLのドメインが気になるのですが、1年経ったらフィッシングサイトに化けていそうなドメインでしょうか。それとも会社が存続している限りそういうことは起きそうにもないドメインでしょうか。

　sega.jp のサブドメインですね。

URLのドメインが気になるのですが、1年経ったらフィッシングサイトに化けていそうなドメインでしょうか。それとも会社が存続している限りそういうことは起きそうにもないドメインでしょうか。後者でもセガがセガサミーになったりすることは平気であるので油断禁物ですが。

単なるopenIDとして利用するなら害は無いのですけれどねー……。

きっと購入層の頭の出来が違うと推測。

もしくはAmazonは基本的に買う物が本で、楽天と違うから間違わなかったと推測。

> このような場合、「JavaScript をサポートしているが VBScript をサポートしていない」ブラウザでは、先の noscript の中身は無視され、後の noscript の中身だけが表示されることになります。そのはずですが、多くのスクリプト対応ブラウザは「スクリプト機能がオンかオフか」だけを考慮して、言語の種類までは見ないようです。

ちなみにHTML5ではこの仕様は廃止され、多くのスクリプト対応ブラウザの実装に仕様が合わせられました。

＞＞dispkay:inline を指

これは投稿時のtypoです。

スクリプト無効の設定をしている IE8 において Standards Mode であると、noscript要素の内容が表示されないというウワサがあります。　

そのウワサでは、noscript要素のstyleとして、dispkay:inline を指定してあげるといいということです。

…が、手元の環境では…　このウワサは本当ですか？

初めまして

最後の敵が倒せません(キンオブゴッド)

お勧めの菌は有りますか？