MT で nofollow プラグインを無効にすると危険 | 水無月ばけらのえび日記
セキュリティホールmemo (www.st.ryukoku.ac.jp)より、「Movable Type Security Bug (www.zackvision.com)」。MT 3.3 にクロスサイトスクリプティング脆弱性があるそうで。 MT に詳しいりゅうさん (rryu.sakura.ne.jp)に聞いてみたのですが、どうも設計に問題があるようですね。 MT では、コメントの設定で「HTMLの利用を許可」することができるようになっています。そのときは任意の HTML が書けるわけではなくて、ホワイトリストに無いタグを全て除去するというサニタイズが行われます。 ※ホワイトリストは自由に設定できますが、デフォルトでは a, b, i, br, p, strong, em, ul, ol, li, blockquote, preが許可されています。 ところが、その処理は何故か本体ではなく
非常識なお問い合わせフォーム | 水無月ばけらのえび日記
「監修 日本常識力検定協会 いまさら人には聞けない 大人の常識力トレーニングDS (www.amazon.co.jp)」がちょっと気になったので、日本常識力検定協会のサイト (www.josikiryoku.com)を見てみたのですが、お問い合わせフォーム (www.josikiryoku.com)が凄いです。 まず、郵便番号、住所、電話番号の入力が必須です。返答にこれら全てが必要とは思えないのですが、これらの情報をどのように利用するのかは何処にも書かれていません。また、トップページには「セキュリティSSL対応」と書いてあるにもかかわらず、フォームはSSL保護なし。いちおう送信先は HTTPS のようですが、全く別のドメインになっているという……。ついでに言うと、スクリプト無効環境では送信できないというおまけ付きです。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
dynabookのサイト直った | 水無月ばけらのえび日記