いしなお! - テーマカスタマイザー (11:28) , ファイルダウンロード処理時のIEの仕様に関する注意点 (13:55) , もしかしてrecent～って (22:36)

2002|01|02|03|04|05|06|07|08|11|12|

2003|01|02|03|04|05|06|07|08|09|10|11|12|

2004|01|02|03|04|05|06|07|08|09|10|11|12|

2005|01|02|03|04|05|06|07|08|09|10|11|12|

2006|01|02|03|04|05|06|07|08|09|10|11|12|

2007|01|02|03|04|05|06|07|08|09|10|11|12|

2008|02|03|04|07|

2005-05-20 [長年日記]

_ テーマカスタマイザー (11:28)

昨日の思いつきネタをもうちょっと考えてみる。

基本的には、digital_gadgetsみたいな差し替えやすい背景画像を使ったテーマをベースにして、色味を合わせた好きな画像に変更しやすくしてやるというアプローチ。CSSの解釈順序を考えると、単にそのテーマを選択した状態で、HTML側に記述するCSSで背景画像指定を上書きしてやればそれで済みそう。

背景画像が一番オリジナリティを出しやすいポイントになるが、文字色、背景色等のパターンとして、ベースとなるテーマの色味に対して「ちょっと明るく」「そのまま」「ちょっと暗く」等を指定できるようにしてやると、さらにカスタマイズが効くようになる。こちらも、HTML側でCSS定義を上書きしてやればそれでいいだろう。

あとは、現在選択されているテーマを解析し、背景画像が使われているかどうか、調整可能な要素の色指定要素、などを抜き出して、それらを差し替えるためのインターフェースを用意してやればいい。

って実はすでにそういうのあったりして。

Tags: tDiary テーマ

_ ファイルダウンロード処理時のIEの仕様に関する注意点 (13:55)

昔どこかのWikiに関連ログがあったはずだけど、ググってみても見つからないんで、念のためここでまとめておこう。Wikiに添付ファイル絡みの脆弱性が発見された絡みの情報として。

IEはセキュリティ設定の「拡張子ではなく、内容によってファイルを開くこと」を無効にしておかないと（デフォルトでは有効）、content-typeや拡張子よりもファイルの内容の方を優先して処理を行う。

だから、添付ファイルなんかを出力する際に、text/plainとかapplication/octet-streamとかのcontent-typeを使っても、.txtとか.binとかの拡張子をつけても、データ自体にスクリプトが含まれていた場合は、実行されてしまう。具体的には、「テキストデータの先頭からnバイトまでの間にHTMLタグらしきものが見つかったら、HTMLとして解釈する」なんて感じの挙動。

以下のサンプルファイルをIEで開いてみれば、どうなるのかわかる。

test1シリーズは単に「<script>alert('test');</script>」ってだけの内容。IE以外のブラウザでは、.htmlの拡張子のもの以外は、スクリプトが実行されないはず。だけどIEでは、.txt（text/plain）、.bin（application/octet-stream）、.jpg（image/jpeg）という拡張子＋content-typeはすべて無視されてスクリプトが実行される。

test2シリーズは、test1の内容の前に無駄なテキスト（数値）を247バイト（改行分は1バイトと数える）つけている。これでもtest1シリーズと同様にIEではスクリプトが動作する。

test3シリーズは、スクリプトの前につけるテキストのサイズを248バイトにしている。こっちはIEでもスクリプトが発動しないはず。おそらくIEは247バイトまでにHTMLタグらしきものが見つからない場合は、text/plainとして扱っているってことなんでしょう。

ただこの境界となるバイト数は、たまたま今手元で試してみた数値ってだけで、ちゃんとした根拠がある数値ではないので、あまり信頼しないで欲しい。

（※追記@2005/5/23 このバイト数に関しては、y-Akiさんのコメントをはじめとする追加情報があります）

というわけで、IEでは正しいcontent-typeをつけても拡張子をつけても、内容としてスクリプトが発動するようなデータだった場合は、スクリプトが発動してしまうので、注意が必要。

ちなみに

Content-Disposition: attachment; filename="foo.txt"

なんてヘッダを指定して、強制的にダウンロードさせる（ダウンロードダイアログを出させる）って手は使えるかもしれないけど、どうも上記指定によるダウンロードって、Windowsのシェル設定（txtのハンドラーを何にするか、とか）によって挙動が変わるっぽいんで、それほど信頼できない気がする。ってのには特に根拠はなく、前にそんなことがあった気がする、程度の情報。

Tags: 添付ファイルセキュリティ Wiki

このセクションに対するはてなブックマーク

2007年09月04日 TAKESAKO 2005年の頃の議論
2006年05月14日 morobitokozou
2005年05月23日 hibitch
2005年05月20日 stella_nf

_ もしかしてrecent～って (22:36)

makerssのデータを使って最近のcommentとかtrackbackを得ているのか？　RSSにcommentやtrackbackを出さないようにしようと、makerssのそれっぽいところを削ったら、recent～に出てこなくなったっぽい。あとコメント後にエラーも出ているな。ひとまず元に戻しておこう。

Tags: tDiary RSS

今日のメモ powered by 1470.net

# 2005/05/20 00:00 ishinao
セキュリティ kakaku.com
価格.comサイトが不正アクセス被害で閉鎖中 edit res
- URL 価格.comサイトが不正アクセス被害で閉鎖中 →1 links
  http://slashdot.jp/comments.pl?sid=255839&cid=735814
『元中の人から言わせると、自業自得です。』
# 2005/05/20 00:00 ishinao
予 OpenID シングルサインオン認証
OpenID: an actually distributed identity system edit res
- URL /openid/ →2 links
  http://www.danga.com/openid/
あとで調べる。
# 2005/05/20 00:00 ishinao
KONFABULATOR ツール
KONFABULATOR:2 edit res
- URL KONFABULATOR:2, 掲載依頼メールの正しい書き方, tDiary: テーマの改造 - ただのにっき(2005-05-20) →1 links
  http://sho.tdiary.net/20050520.html#p01
Sing that iTunes!を試すために入れてそのまま放置していたんだけど、ちゃんと使ってみようかとレジストしてみた。
# 2005/05/20 00:00 ishinao
Netscape
FirefoxとIEのエンジン使い分ける「Netscape 8.0」リリース edit res
- URL ITmediaニュース:FirefoxとIEのエンジン使い分ける「Netscape 8.0」リリース →1 links
  http://www.itmedia.co.jp/news/articles/0505/20/news018.html
なるほど、今までView This Page in IEを使って明示的に操作していたことが、単体で自動的にできるようになるのか。それはなかなか実用的な機能かも。
# 2005/05/20 00:00 ishinao
セキュリティ携帯
asahi.com：ＴＢＳ携帯サイトで個人情報流出か　第３世代に未対応?-?社会 edit res
- URL http://www.asahi.com/national/update/0520/TKY200505200163.html →1 links
  http://www.asahi.com/national/update/0520/TKY200505200163.html
『システムが第３世代携帯電話に対応していなかったため、最新機種で会員登録画面にアクセスすると、他人の登録情報が誤って表示されるようになっていた』。詳細が知りたい。何がどうなったんだ？
# 2005/05/20 00:00 ishinao
乳幼児事故死因
＜不慮の事故＞乳幼児の死因トップ　厚労省全国調査 edit res
- URL http://headlines.yahoo.co.jp/hl?a=20050520-00000068-mai-soci →2 links
  http://headlines.yahoo.co.jp/hl?a=20050520-00000068-mai-soci
昔と比べてどうなんだろう？　昔からそういうものだったけど少子化のせいで目立っているって話なのか、それとも最近になってそういう事故の割合が増えてきているって話なのか。
# 2005/05/20 00:00 ishinao
flickr
Welcome to Flickr - Photo Sharing edit res
- URL Welcome to Flickr - Photo Sharing →73 links
  http://flickr.com/
ん？　Flickrおちてる？　Flickr Blogへの誘導があるのに、特に何も書かれていないけど。
# 2005/05/20 00:00 ishinao
子供事故厚生労働省
子どもの事故防止支援サイト：一般用　＞　事故についての一般情報 edit res
- URL http://www.niph.go.jp/jikoboshi/general/infomation/index.html →1 links
  http://www.niph.go.jp/jikoboshi/general/infomation/index.html
なるほど、医療が進歩して病気等が原因の死亡率が減った分、事故等の死亡率が目立つようになってきた、って感じなのね。
# 2005/05/20 00:00 ishinao
Blog livedoor
[blog]Blogニュースの謎というか、そういうもの edit res
- URL Blogニュースの謎というか、そういうもの - Moleskin Diary 2.0 →2 links
  http://d.hatena.ne.jp/moleskin/20050520/p3
ミーハーな話題性の有無と本質的な違いの有無を並立させた上で、『「何が行われた」ではなく「誰が行ったか」のほうが重要になってきているのだろう』まで言わなくても、「ライブドアはまだ元気だな」で十分なんじゃ。

本日のツッコミ(全6件) [ツッコミを入れる]

_ 岩月 (2005-05-20 16:32)

実際どこまで対応すべきかというのが難しいですね。ここまでやっておけばWikiエンジン側の対応としてはオッケー(?)という線引きも難しそうですし。私はこのへんの知識や経験が足りないので対応しながら勉強中です。

_ ishinao (2005-05-20 17:25)

ファイルアップロード関連は、Wikiに限らず、プログラム側で本格的に対策するのはかなり大変なんで、
・デフォルト無効
・クローズドなネットワークでの利用を推奨
・公開ネットワーク上で使用する場合は、権限認証と併用することを推奨
とかした方が無難かもしれません。「FTPアカウントを渡すのと同じように考える」というか。

_ y-Aki (2005-05-23 12:41)

http://support.microsoft.com/default.aspx?scid=kb;ja;828625
256バイトをスキャンするみたいなので、＜script＞が256バイトの中に入るかどうかが境目になっているのでは?

_ y-Aki (2005-05-23 12:43)

http://msdn.microsoft.com/library/default.asp?url=/workshop/networking/moniker/overview/appendix_a.asp
こっちのほうがよいか^^;

_ ishinao (2005-05-23 12:55)

おお、そんなところに正確なバイト数が。FindMimeFromDataなんてAPIがあったのか。

そうなると、255バイトまでにHTMLタグらしきもの（開き-閉じタグの組をチェック？　既知のHTMLタグをチェック？）が見つかった場合（＆バイナリではなかった場合）、text/htmlと解釈するって感じかなー。

_ ishinao (2005-05-23 13:06)

いろいろ試してみたんですが、いくつかのタグの辞書を持っていて、そのパターンを検索しているっぽい気配。<a>とか<em>とかじゃ発動しないけど、<html><head><script>とかHTMLの最初の方に出てきそうなタグだと発動する。あと単純文字列一致でチェックしているっぽいんで、正しいタグじゃなくてもいいみたい。たとえば<htmlllll>とかでも発動するし。

ツッコミ・コメントがあればどうぞ! E-mailアドレスは公開されません。

[TrackBack URL: http://tdiary.ishinao.net/tb.rb/20050520]