- 悪意・危険性
- 2007/07/20 (Fri) 00:58:32
紅堂幹人 馬鹿者は「imgタグ,on~(JavaScriptハンドラ),script,styleといった危険な文字列を置換・除去してるから大なり・小なり記号,2重引用符をデコードしなくても安心さ!」というかもしれないが、それは間違いである。MSIE/Firefox/Operaといった標準ブラウザでは『image src=』と書いても『img src=』と同じように表示されてしまうし、『input type=image src=』といった感じにしても画像等が表示されてしまう恐れがある。つーか、一々noscript/noframes/noembed/commentといった文字列,applet/objectとかも禁止する、とか書いてたら長くなるしPerlやPHPのようなインタプリタでは馬鹿らしいからタグ禁止にした方が手っ取り早いのである。タグ閉じとかも判定しなきゃならないのは面倒だし、やはりBBCodeのように基本的な物を開始・終了タグずつに置換してタグ利用可能にしてやるのが一番効率的にも安全面でも良いのだ。ブログ等『自分が投稿する』など利用者特定型であればHTMLエンコードなどせずに済むのだが。何故わからないかな、とか思ったり? ああ、コレで大学内のWebサイト大会に文章メインで投稿しちまうかな。それが楽か。どうせ受賞系公表は同意しないし、”提出した”という事実さえあれば事済んでしまうのだから。
「サイトを作ろう!」と思い立ってHTML辞典等を購入する層がどれくらい居るのだろうか。それは不明だが、大抵は本代をケチって、まず検索エンジンから『ホームページの作り方』なんて馬鹿らしいキーワードで探してしまうのだろう。それから配布CGIもPerl等スクリプトなんて禄に読まずに設置してしまうから厄介なのだ。『ホームページ』という誤用が罷り通ってしまう『Webサイト・Webページ』に関してだしねぇ。大人しくブログでも借りていれば良いのに。ブログだけで大抵の事柄できてしまうだろう、という。ページのデザイン以外。本日の読了⇒仮面の島
- カテゴリ:æ¥è¨ / この記事のURL / コメント(0)
- 消化昇華唱歌
- 2007/07/19 (Thu) 03:31:30
紅堂幹人 一気にラノベとか消化。今年中に30冊以下にしたいので頑張ってます。てか20冊以下にしたいんよ? マジ。で、大学行って前期最後のゼミ出てきました。もう夏休みですかい。時間はあっという間に過ぎていく。それが、何か嫌だなと感じる今日この頃。と、水樹奈々のアルバム聞いてたら気分晴れてる今日でもあったり。奥井雅美も聞くかな。
本日の読了⇒ビギニング・クリムゾン,とある魔術の禁書目録 SS,キネティック版ポリフォニカ赤の3・4話に付いてきた小冊子,空ノ鐘の響く惑星で 外伝-tea party's story-……残:42冊
- カテゴリ:æ¥è¨ / この記事のURL / コメント(0)
- 防衛の為の教えと、攻撃の為の教え
- 2007/07/18 (Wed) 13:31:21
紅堂幹人 ちょいと、『荒らし』についてのコラム(っていうか駄文)書こうかな、とか思って資料漁ってたわけですが、色々と荒らしの為のツールとかも出てるのねぇ、とか思ったり。チューリングテスト付の掲示板(投稿時に画像で文字列が表示されてそれを入力しない限り「人間」だと判別されず投稿不可能になるアレ)が一番有効なのだろうけれど、簡単なそれを解析してしまう物もあるとか。『こういう方法で荒らされるかもしれないから、この荒らしにはこういう対処を』というコラムにしようと思うのだけれど、HTML・JavaScript・Perl/PHP等の実例を挙げて防衛のコラムを書くのは逆に攻撃者にとっても読み物になりえるわけで。そうなると、問題だよね。04WebServer+Perl/PHPとか入れてローカル内で試してください、とか書いておくかな。広く配布された物は危険である、てな感じで。掲示板でもチャットでも何でもそうだけど、Perl製のスクリプトって『getでも投稿可能』なの多いから悪意持った人に攻撃されたら弱いかもしれない、っていう。PHPだったら『$_POSTでしか受け付けない』とか普通だろうけど、それでも『無関係の人を罠に嵌めてJavaScript用いてPOST投稿を誘導』されたらアウト。『実際に攻撃をし掛けようとしている人』以外にも、『攻撃をし掛けようとしている人に”利用された人”』も攻撃者になりえるのだから。優しい人は利用された人を被害者だと弁護するだろうが、現実を良く考えてほしい。セキュリティの甘い掲示板やチャットに訪れているとして、そこから他のサイトに攻撃するよう誘導物が張られていたとしたら、利用者はその掲示板やチャットにアクセスしてはいけないのだ。その誘導物を除去するなり危険です、とアナウンスする管理者の手腕が問われる事になるわけだが……。結局は掲示板荒らしの対策なら、Referer/Cookieの有無,禁止ワードの導入とかで対策するしかない。チャットであればログが流れるから、無視Filterで利用者側が荒らしを無視できるような物を導入するとか、PHPでSession使ったりするとか。DoS攻撃は荒らしというよりは既に”攻撃”の域に達しているのでサーバ管理者の範囲で。それでもプログラム名をリネームする等でインタプリタCGIスクリプトの実行を防ぐ事は可能だったりするのでアカウント所持者も最低限の対策をしなければならなかったりする。紅堂は『チャットの裏口』とか使ったりするのだけれど、MSIEだとJavaScriptでbase hrefの内容をid指定書きかえれるので同じタイプのチャットであれば1つの裏口で複数のチャットにアクセス可能だったりする。FirefoxやOperaでは動作しないし、HTMLの仕様上もbaseにid名を置く事は正しくないのだが、MSIEだと緩くてできてしまう、とか。攻撃の方法を知らなければ防御の方法もわからない、てな感じでコラム書こうかなぁ、と。考え中。ある程度、質の高いCGI等を普及させたい為のコラム、っていう取り方でいいんだけどね。
本日の読了⇒九鬼鴻三郎の冒険2 ヴァンパイヤー風雲録 疾風のヴァンパイヤー,九鬼鴻三郎の冒険3 ヴァンパイヤー疾風録 雷鳴のヴァンパイヤー,バッカーノ! 1705 The Ironic Light Orchestra
- カテゴリ:æ¥è¨ / この記事のURL / コメント(0)
- 緩やかな崩壊/ネガティヴ就活
- 2007/07/17 (Tue) 03:04:40
紅堂幹人 いやな夢を見て、掠れた声を上げて目を覚ました。それにあわせるように、人間関係は緩やかに変わろうとしていくようだ。いつまでも続く関係など存在しない。関係が一時的な物であるとわかっていながらも、自分の楽園の崩壊をただ見守る程の日和見主義でもない。後に壊れる物とわかっているのであれば自分で壊してしまおうか。今までもそうしてきたのだから。同じ場に留まる葛藤は誰にでもあって、自分だって北海道を離れなければならないかもしれない。何の為に残り続けるのか。居続けるのか。環境が合えさえすれば良いのだ。来る者は選別し、去る者は追わずが丁度良い。■のティアラを被る人よ、アナタは、……。ああ。ああ。いやな夢。
……ていうかね、書いてて『楽園パレードへようこそ』とかじまんぐボイスで思い浮かんだのですが。来る者は拒んだりするのでアレとは逆ですけど(滅)。何か自分が実家に居るのですよ、夢。で、玄関の外に誰かが居る影が見えて、ドアフォンで見たらそれが4人組の怪しい男たちで。鍵は施錠してあるはずで、2つ目の鍵も閉めているのに開けられて、それで目を覚ました。男たちの顔はどうでもいい。知らない人だったと思う。何だろう。
自分は悪人で良いのだ。恨まれるくらいで丁度良い。それだけの事をしてきたし。けれど、償おうとは思わない。それが間違いだったとしても。ネガティヴ就職活動真っ最中である。昼過ぎから活動開始、と思い部屋を出たら自転車の後輪がパンクしていて最寄り駅まで徒歩で移動したり、会場直前で小雨がポツポツと降ってきたり。ネガ方向にしか思考が行かない。東京の内定で良いかな、とかそっち方向に思考持っていきそうな感じ。それならもっと本気で就職活動すればよかったな、とか更にネガに考えていく。ポジにはなれそうもないです(死)。
メロンブックスとアニメイトで今月分購入。で、AppleStore寄って店員さんと話したり色々。Macは好きなんけどね。
えきスタの前通ったら人が多い。で、モニターにはSIDの文字。今日のR advance RAD'Sはシドがゲストということで、アパート帰ってから聞いてたり。マオとしんぢが来てたとか。17時前ごろ通ったんだけど、やっぱ見物客、雰囲気が違ったんよ(滅)。んで、電車に乗ってから17時直前にブラック企業のセミナーにドタキャン電話してみたり。連絡しないよりはマシでしょ、綺麗事しか言わん所だし(ぁ)。
ZIGGYが3人で活動中(ライブ活動再開?)とかラジオで知る。ベース不在だしなぁ。8年前はおいちゃん居たメンバーでだったし、ダスボンと並行してやったらなぁ、とか思った。無理か。ダスボンの方が好きだし、ZIGGYにおいちゃん居てもZIGGYぽくはなるだろうけどダスボンにはならないんだから。小説:所持1510+購入6=合計1516冊/未読:42+購入6=48冊
・9S<ナインエス>8 『ADEM』編(完結編) 葉山透/山本ヤマト 電撃文庫 初版/\610 2007.07.10
・とある魔術の禁書目録 SS 鎌池和馬/灰村キヨタカ 電撃文庫 初版/\510 2007.07.10
・バッカーノ! 1705 The Ironic Light Orchestra 成田良悟/エナミカツミ 電撃文庫 初版/\570 2007.07.10
・私立! 三十三間堂学院6 佐藤ケイ/かみやまねき 電撃文庫 初版/\570 2007.07.10
・悪魔のミカタ14 666 スコルピオン・レッドアイ うえお久光/藤田香 電撃文庫 初版/\650 2007.07.10
・空ノ鐘の響く惑星で 外伝-tea party's story- 渡瀬草一郎/岩崎美奈子 電撃文庫 初版/\570 2007.07.10
・九鬼鴻三郎の冒険3 ヴァンパイヤー疾風録 雷鳴のヴァンパイヤー 笠井潔/武内崇 講談社文庫 1刷/\619 2007.07.15- カテゴリ:æ¥è¨ / この記事のURL / コメント(0)
- 祝日?
- 2007/07/16 (Mon) 20:44:39
紅堂幹人 寝起きが6時。大掃除して、本読んだり。ていうか、今日海の日だったんね。半夏休み突入しちゃってるから休日・祝日とか気にしてなかったよ(滅)。
本日の読了⇒ヴァンパイヤー血風録 九鬼鴻三郎の冒険1 鮮血のヴァンパイヤー
- カテゴリ:æ¥è¨ / この記事のURL / コメント(0)
- 休
- 2007/07/15 (Sun) 02:29:40
紅堂幹人 紅堂は割りと音楽DVD…というかライブDVDは買ったりする。PV集とかはいらんけど。で、cali≠gariの休も当然のように持ってるわけで。DVDは繰り返し見てたんだけど、DVDからmp3にリッピング。特にメニュー部分のグッド・バイのオルゴールメロディが好きなのでそれは個別にWAVE出力から抜き取って保存したり。
本日の読了⇒ストラングル・クリムゾン
- カテゴリ:æ¥è¨ / この記事のURL / コメント(0)
- 整理
- 2007/07/14 (Sat) 23:45:36
紅堂幹人 色々とHD内整理。いつ死んでも良いように(うわぁ、ネガティブ)。
本日の読了⇒スパーティング・クリムゾン
- カテゴリ:æ¥è¨ / この記事のURL / コメント(0)
- ショック!
- 2007/07/13 (Fri) 21:14:51
紅堂幹人 最寄の本屋が1ヶ月以上前に潰れてた!(マテ・何で今まで気づかないよ) 中央区まで出る方が多かったからなぁ……。
Perlではシステムコマンドでも実行できてしまうサーバでも、PHPではセーフモードでやっている、という所が多い。そのわけあって、Perlの方が何でもできる、っていう場合もあったりする。telnet.cgiとかあるのもやっぱりPerlだしねぇ。PerlとPHP並行して勉強中です。まだまだ未熟者の紅堂でした。あと、Linuxコマンド系も勉強中で。- カテゴリ:æ¥è¨ / この記事のURL / コメント(0)
- グロッキー
- 2007/07/12 (Thu) 13:10:54
紅堂幹人 グロッキー。中括弧の方が早いようです。2,000,000回for掛けたらコロン構文の方が早かった気がするんだけど。まぁ、そこまで違いでるもんじゃないしなぁ。preg_replace云々ならきちんと調べた方が良いだろうけど。
本日の読了⇒まじしゃんず・あかでみいVIII 学園閉鎖!?
- カテゴリ:æ¥è¨ / この記事のURL / コメント(0)
- ふと/突発!6000円ジャンボパフェミニオフ会
- 2007/07/11 (Wed) 04:21:11
紅堂幹人 気になった。PHPでif:~elseif:~else:~endifって風にコロン構文で書いてて、{と}の中括弧で囲むのとどっちが早いんだろう、って。文字数的には中括弧だし、Perlなら中括弧が普通なんだけど、VBとかならIf~Then~Else~Endifとかやし。括弧無くてインデントで云々な物もあったりするわけで。後でやってみようかなぁ。コロン構文でも中括弧でもそこまで変わらないなら今度からコロン構文で書いた方が可読性高まる気がしてきたので。
昼の12時に起きて合同企業説明会行くとかいうローテンションで始動しました。4時半に一度起きたりしたからなぁ。で、コンタクト入れようとしたら右目の裏に入って「ヤベェ!」てな感じで角膜傷つけないか心配しながら取ったけどメガネで出陣。天気が曇り空でテンション下がるな、と思いながら最寄り駅行ったら調度電車来てて良いタイミングで乗れたり。で、合説で4社回って1000円分の図書カードゲット。17時頃から雪印パーラー本店でジャンボパフェオフしてきました。最初1人で食べてて、18時にギブアップ。その後2人で食べてたけど途中で援軍呼びました。惨敗です。計3人で食べきって全額紅堂払い。財布が軽くなりましたorz んな感じで19時に食べきってから21時まで喋ってました。
- カテゴリ:æ¥è¨ / この記事のURL / コメント(0)
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200 201 202 203 204 205 206 207 208 209 210 211 212 213 214 215 216 217 218 219 220 221 222 223 224 225 226 227 228 229 230 231 232 233 234 235 236 237 238 /前へ/次へ