- 神か悪魔か - GNU の見えざる手 (目次) | Kazuho Oku's Weblog (跡地)
連載の目次: 1. GPL v3 (対特許ウィルス) (2005/1/2 記載) 次期バージョンの GPL が検討されていること。ライセンシーの特許行使を制限する条項の追加が検討されていること。全ての GNU ソフトウェアをカバーする特許のクロスライセンス条項を主張している有力者もいること、について述べている。 2. GPL は独禁法違反となるのか (2005/1/4 記載; 1/7 追記) 全ての GNU ソフトウェアをカバーする特許のクロスライセンス条項が GPL に追加された場合に、独禁法に違反するか論じている。また、同条項が追加された場合の影響について論じている。 3. オープンソースの支配者 (ライセンスに潜む危険) (2005/1/5 記載) 前2項を具体例として受ける形で、 GPL で一般的な「バージョン2以降」というライセンス手法に異を唱えている。(CPL や MPL の同
Kazuho@Cybozu Labs: String::Filter っていうモジュール書いた - 続: (Twitter の XSS 脆弱性に関連して) 構造化テキストの正しいエスケープ手法について
先のエントリ「(Twitter の XSS 脆弱性に関連して) 構造化テキストの正しいエスケープ手法について」の続き。 弾さんが「404 Blog Not Found:DHTML - 構造化テキストは構造化するのがやっぱ正しい」で示されているような DOM ベースの操作を行えば、原理的に XSS 脆弱性を防ぐことができます。ただ、クライアントサイド JavaScript によるレンダリングはウェブの構造を破壊するという点で筋が悪い(テーブルと FONT タグを利用したページレイアウトが批判されていた頃を覚えていらっしゃいますでしょうか。JavaScript によるレンダリングはウェブのリンク構造も破壊するので一層たちが悪いというのが自分の考え)ですし、サーバサイドでの DOM 操作は重たいので、できれば避けたいところです。 構造化テキストの HTML への変換は、よほど複雑な記法でない限り
Kazuho@Cybozu Labs: (Twitter の XSS 脆弱性に関連して) 構造化テキストの正しいエスケープ手法について
昨日の Twitter の XSS 騒ぎは、まだ皆さんの記憶に新しいことと思います。いい機会なので、ツイートのような構造化テキストのエスケープ手法について触れておきたいと思います。 Twitter のメッセージは、単なる平文(プレインテキスト)ではなく、「@英数字」のような他のユーザーへの言及と「http://〜」のような URL を自動的にハイパーリンク化する構造化テキストです。 このような複数のルールをもつ構造化テキストを HTML 化する際には、どのようなコードを書けばいいのでしょう? まず「@〜」をリンク化してから、URL をリンク化すればいいのでしょうか? それだと、@〜 のをリンク化した A HREF タグの中の URL がさらにリンク化されていまいますね。 では、URL をリンク化してから @〜 をリンク化すればいいのでしょうか? それだと、@ を含む URL があった場合に
pathtraqの新着サイトランキング
ちょっと前からフィードを購読しているのだけれど気になることがあったのでメモ http://pathtraq.com/newsite←ここ 時々"LinkBucks.com - Get your share!"というタイトルの新着サイトが流れてくるのだけれど、 クリックするとAdページに飛ばされる。 たとえば、 2009年01月04日には http://0b7f90f4.realfiles.net/ 2009年01月09日には http://41c2ed5b.viraldatabase.com/ http://966f4bb8.linkbucks.com/ 2009年01月12日には http://aeefbd01.viraldatabase.com/ 2009年01月13日には http://9f771cce.thesegalleries.com/ http://571e8c62.ubuc
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
