新生鳩丸掲示板♯

>>いや、IE捨てで良ければcontentをいじれば良いだけなんですが、実務上まだなかなか……。

>contentも禁止されるんじゃないですかね。

　アローは:visitedだけにつけるわけではないので、

a:before{content: "\25b6";}

　とか

a:link:before,a:visited:before{content: "\25b6";}

　というようなスタイルでつけることになります。

　この\25b6の色が変わるだけなので問題ないかと。

　……しかし、実際やってみたら\25b6のフォントがかなり汚くて残念な思いをしました。orz

しばらくこれなくてすんません。

ぴよりきんさん、たぶん、スクリウムか、エクストリウムだったような気がします。多分、ですよ？

キンオブゴッドオォ！さん、ぼくは、クリスターリア９９レベと、コアクマニア９９レベで勝ちました。

参考になりました？

>いや、IE捨てで良ければcontentをいじれば良いだけなんですが、実務上まだなかなか……。

contentも禁止されるんじゃないですかね。

中味の量によって外側の要素の大きさが変わるのでレイアウト攻撃に弱くなります。

>正確にはIE6/7捨てですね。実務上はともかく鳩丸でも無理でしょうか。

　このサイトでは、という話であれば問題ないです。

　ソースに書くことにしても良いですし。

# そもそもアロー要らない説も。

> いや、IE捨てで良ければcontentをいじれば良いだけなんですが、実務上まだなかなか……。

正確にはIE6/7捨てですね。実務上はともかく鳩丸でも無理でしょうか。Webセーフカラーのときには「すべての環境で同じように見える必要はない」と断言していらっしゃいましたが。

http://bakera.jp/ebi/topic/169

>アロー程度ならU+25B6を使うとか。

　それだとHTMLソース中に書かないと駄目なのがちょっと……。見た目を変えたい感じなので、できればスタイルで付けたいのです。いや、IE捨てで良ければcontentをいじれば良いだけなんですが、実務上まだなかなか……。

>> Panasonicのサイト (panasonic.co.jp)

>リンクを踏んでみたら、一瞬エイプリルフールがまだ続いてるのかと思ってしまいました。

>該当製品すべての改修か回収が完了するまであのままなんでしょうか。

　おそらくそうだと思います。

　ちなみにこのページ、ただ漠然と残されているのではありません。実はサイトのデザインリニューアルのたびに、このページのデザインも変更されています。コストもかけて存続させているわけで、明らかに信念を持って残しています。

アロー程度ならU+25B6を使うとか。

> Panasonicのサイト (panasonic.co.jp)

リンクを踏んでみたら、一瞬エイプリルフールがまだ続いてるのかと思ってしまいました。

該当製品すべての改修か回収が完了するまであのままなんでしょうか。

スターダストさんが言っていたFLOATwitterの件も同様ですね。

http://d.hatena.ne.jp/hoshikuzu/20091221#p4

> せっかくそういう機能があるのですから、活用してほしいですよね。

そもそも↓こんな状況なので、仮にOAuthを知っていたとしても活用しようという発想すら出てこないのでは。

> https://takagi-hiromitsu.jp/diary/20100320.html#p01

Twitterだとケータイからの利用者も多そうだし。

> twitterにはOAuthという仕組みがあるのだから、

は蛇足でしょう。

> http://wing.softbankhawks.co.jp/ で、twitterとは縁もゆかりもないドメインです。

の時点で

> まともなサイトがこんなことをするはずがない。これはフィッシングサイトに違いない

と考えれば十分です。

> ※逆に利用者としては、「twitterにはOAuthという仕組みがあるのだから、まともなサイトがこんなことをするはずがない。これはフィッシングサイトに違いない」などと考えるべきなのでしょう。

TwitpicがOAuthに対応してないとか、Q&AなうはOAuthに対応してるけど、単にフォローするだけじゃダメなのかとかいう話もあるようです。

ファンになりました。小説にも興味があり、購入し拝見たいです。

鳩丸倶楽部のサイトを拝見してとても勉強になりました。

HTML、CSSが好きになりました。

源氏物語はすでにコミカライズもアニメ化もされてる件

「太陽の季節」を、原作に完全に忠実に、作画してコミックスとして出版するという作戦はいかがでしょうか。

アンケートページでは「第三者に提供、委託いたしません」ですが、個人情報保護方針の方では、「第三者に提供することはありません」と「第三者に委託する場合があります」とあって、つまり委託については異なる2つの説明がされているんですね。

消費者庁の解説

第三者提供制限の仕組みについて

http://www.caa.go.jp/seikatsu/kojin/kaisetsu/pdfs/daisansha.pdf

（http://www.caa.go.jp/seikatsu/kojin/kaisetsu/index.html 内）

によれば、委託は第三者提供に当たらないそうなので、第三者提供の点では何にせよ問題なさそう？な気もしますが、説明が不確実ということで、

「第十七条　個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。」

に違反気味ということになるんでしょうか。

単純な記述ミスといえば、そうなんですが。

＞「個人情報を第三者に提供、委託いたしません」という説明をしておきながら、第三者の管理するサーバに個人情報を送信させている

これについてはもっと深刻で、『個人情報の保護に関する法律』第二十三条に違反しています。

http://law.e-gov.go.jp/htmldata/H15/H15HO057.html

で、事前であれば、表記を修正すればＯＫですが、

一度情報を収集してしまった以上、不正利用となってしまった事や第三者に委託する点について、もう一度本人に確認が必要になります。

># mod_rewriteでけっこう複雑なルールを設定していたようではあります。ケータイサイトは複雑なリライトルールを設定している場合が多いように思います。

あぁ、mod_rewriteがらみですか。了解です。

ありがとうございました。

>ばけらさんのブクマコメントを見て、私もModSecurityのルールの中に「数値IPアドレスをエラーにする」というのを見つけたのですが、それ以外に、同様の設定になる条件をご存じであれば教えていただけないでしょうか。当然ながら、差し支えなければということですが。

　すみません、弊社でApacheの設定をしていた事例ではないので、詳しくは分からないのです……。

# mod_rewriteでけっこう複雑なルールを設定していたようではあります。ケータイサイトは複雑なリライトルールを設定している場合が多いように思います。

　何か分かったらお知らせしようと思います。

>これは「かんたんログイン」と組み合わせることにより発動するわけですから、PCからアクセスできるならその時点ですでに脆弱性ではないでしょうか。

　それはそのとおりなのですが、「ログインが必要なページだけIPアドレス制限している」というサイトも多いと思います。その場合、/ がログイン不要なページであれば、このツールで調査できるはずです。

　全てのサイトで使えるかと言われると微妙ですが、役に立つ場合もあるのではないかと思います。

# もっとも、ログイン必要なページでだけ Host: の扱いが違うという可能性が否定できないという罠が無くもないかも。普通は無いと思いますが……。

えむけいさん、そのとおりですよ？

太田さんが、元記事に、「確認方法の例としては、wfetchやfiddlerのようなHTTPリクエストを作る・改変するツールを使って通常と違うHost:を送ってみるという方法がありますし、……ただし、これらの方法はPCからアクセスできる場合にしか使えません。」と書かれており、この前者を実現するツールです。

また、http://yamagata.int21h.jp/tool/hostchk/hostchk.cgi において、「DNSリバインディング問題を確認するツール」だとは全く書いていません。Host:ヘッダの利用状況を見るためのツールです。

Wizardryではないですが、エルミナージュⅡはいかがでしょうか？

忍者以外はLv1万超えますしダメージもLvに応じて上がりますよ。

ばけらさん、補足ありがとうございます。

ばけらさんのブクマコメントを見て、私もModSecurityのルールの中に「数値IPアドレスをエラーにする」というのを見つけたのですが、それ以外に、同様の設定になる条件をご存じであれば教えていただけないでしょうか。当然ながら、差し支えなければということですが。