2008-07-14
浅学なので不正確の極みなのでしょうけれど…HTMLを作成することの原初的かつ本源的な意味合いって、まず最初にテキストありき、からスタートすべきだと思っています。 ここにテキストがある。適切な形式でweb上でパブリックにしたい。そのためにはマークアップが必要だし便利だ。というわけ。 マークアップするに先立って、マークアップに必要な記号と元のテキストの文の符号とがぶつかってはまずいので、プレ処理として「一種のエスケープ」が必ず必要。HTMLの世界では文字参照というやりかたでテキストを前処理しておき、マークアップに備えるということですよね。 だから、いわゆる「適切な文字参照でXSSを防ぎましょう」というのは、本当のところオカシナ話なんですよね。XSS以前に適切な文字参照は必要なのであって。なんとならば、テキストそのままではマークアップできないからで。 HTMLについて以上のような勘所を知っていれ
眠り姫問題 - 2008-05-07 - hoshikuzu | star_dust の書斎
はじめに 眠り姫問題について私はずいぶんと長い期間考えてきました。しかし決定的な解を得られないままになっています。私なりの考えそのものは一段落しましたが、依然として頭の中がスッキリしないままです。一見簡単な確率問題のようですし場合によっては暗算で回答可能のようですので、皆さんのお知恵を拝借したいと思い、日記にアップしてみます。なお、皆さんの回答ないしご説明に当たっては、おそらく当日記のコメントごときでは書き足らないケースも出てくると思います。その場合にはどこかにアップしておいてリンクなりトラックバックなりをして頂けるとすごく嬉しいです。 なお、以下の問題文は、分析哲学者である三浦俊彦先生によるものです。できるだけ瑣末な余計なことを考えないですむように問題文を最適化してあるようです。 眠り姫問題 日曜日に、ある実験が始められる。まず、あなたは眠らされる。そのあとフェアなコインが投げられ、表か
2008-01-29 私はウイルスを作ったことがある - hoshikuzu | star_dust dairy
今後はヘタをするとウイルス作成者は全員逮捕対象になるのだろうか。へんなものだ。実際に悪用した者のみが犯罪者であるべきはずだ。(感情論かもしれないが) 私がウイルスを作った経緯は次のようなものだった。 当時私が所属していた民間の会社内で、海外が起源のとある新しいタイプのExcelのマクロウイルスが大感染状態になった。会社ではなにかにつけてExcelで文書交換をするのが常であったのでほとんどすべてのパソコンが感染してしまっていたのだった。会社の方針でウイルス対策はもっぱらNECさんにまかせてしまっていて油断していたこともたしかだったが、しかたがない、後付で対策をとることになった。NEC製の独自のメールボックスを使っていたので圧縮が独特、したがってアンチウイルス製品が使えない事情もあり、かといってメールボックスをクリアするには時間もかかる(必要なメールは前もってサルベージしなければならないからだ
■ - hoshikuzu | star_dust の書斎
■所謂CSSXSS脆弱性の現況および注意点 いわゆるCSSXSS脆弱性にはSecurityUpdateが出ている CVE-2005-4089の、いわゆるCSSXSS脆弱性は、既にMS06-021によってFIXされています。ユーザが通常の使い方をしているのであるならば、ほぼ安全であると考えられます。 本日若干調べたところ、若干の懸念材料が発見されましたのでご報告申し上げます。但し、以下に説明することがらは、通常の使い方をする限りにおいては発生せず安全であり、脆弱性にはあたらないものと考えられます。 MS06-021パッチ後のIE6の挙動で注意すべき点 私の手元の環境でしかTESTしていませんので、念のために、実験ページを提供させて頂きます。なお、手元の環境は、IE6 on XPsp2 全パッチです。 実験ページをアクセスするにあたって、あらかじめ、 http://stardust.s2.xr
解放の神学 - hoshikuzu | star_dust の書斎
■解放の神学 私にとっての教会 私はキリスト者ではありません。クリスチャンではありません。ただしイエスには非宗教者としては珍しいほど強い関心を持ち続けています。非宗教者にしてしかし最も敬虔でありたいと願っています。(宗教や哲学に望みを持てないがゆえに、「神への唯物論的接近」を図ろうと、物理学者を目指したこともあります。当時は理神論者あるいは汎神論者だったかもしれません。) 高校の頃カソリックの同級生の少年に誘われて教会に遊びに行きました。するとそこには高校生の少女がひとりいて、教会備え付けのオルガンでなにかの聖歌を奏でていました。少女はそれまで見たこともないぐらい清楚で美しく内面からの優しさが周囲に満ちているようでした。黒髪のストレート。紺のワンピース。私を誘った同級生の少年は彼女に私を紹介しました。彼女はとてもかろやかな笑顔で私にようこそと挨拶をしてくれました。彼女の気をちょっとひきたく
■ - hoshikuzu | star_dust の書斎
■はてなダイアリー本体のXSS脆弱性 background 属性の XSS 脆弱性について::はてなダイアリー日記 あれ?いつからはてなダイアリーではHTMLの意味でのbackground属性が使えるようになったのでしょう。background属性でXSS脆弱性が発見されたようですけれど。 はてなダイアリーはHTML4.01を採用しています。background属性はbody要素でのみ有効なはず。はてなダイアリーでは当初、background属性など許可されていなかったはずです。だって、スタイルシートが使えるのが売りですしね。background属性など必要ないでしょう。悲しみながら調べてみます。 更新履歴-はてなダイアリー利用可能タグとは::はてなダイアリー 更新履歴-はてなダイアリー利用可能タグとは::はてなダイアリーから引用すると、どうも以下のようです。 ■更新履歴 (snip) 利
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
