yosのコメント: tesuto (スコア 1) 1
てすと
yosの日記: 久しぶりにログインしたが 2
日記 by
yos
ユーザー情報のハンドル名という項目の意味が判らない
yosの日記: tesuto 1
日記 by
yos
よろちくび
yosの日記: Neuros
日記 by
yos
まあ、今じゃ珍しくも無い携帯MP3プレーヤーなんですが、誰か日本で売ってるトコ知りませんかねぇ。
そもそもなんでコレが気になるかというと、最近Ogg Vorbis 対応のファームウエアがアップロードされたらしく(β版だけど)、メーカーが公式に発表した中では最初のOgg Vorbis対応のプレーヤーという事で海外ではそれなりに話題になってる製品らしいのですよ。
そろそろ携帯プレーヤー買ってみようかと物色してみたものの、根がヒネクレてるんでみんなが持っている物とは違うものが欲しい、そーいえばOgg Vorbis対応のプレーヤーって出てたっけ?、と探してたらコレを発見した訳で。でもググってみても出てくるのは海外のサイトのみという有様。日本じゃ売ってないのかなぁ。
yosの日記: XSSについて
日記 by
yos
ちょっと現実逃避。
最近ではだいぶXSS の認知度も上がってきたようで、きちんと対策されてるところも多くなってるようですな。まあ、ダメなところはとことんダメだったりしますがヽ(´Д`)ノ
そんな中で結構みんなが見落としてるXSSをハケーンしましたので報告。
Webメールサービス、結構使っている人いると思います。その中のサービスっていうか、通常使うメールの機能の一部としてファイル添付があります。
メール本文や、Fromアドレス、サブジェクトあたりは結構XSS対策バッチリぽいですが、添付ファイルのファイル名に関しては対策してないところが幾つかあることを見つけたのですよ。
んーと、つまり、
<script>alert('test')</script>.txt
というファイル名で添付するとスクリプトが動く、という事です。通常そんなファイル名はWinでもUnixでも付けられないはずだけど、そこはまあ、いくらでも方法はあるわけで。
最近ではだいぶXSS の認知度も上がってきたようで、きちんと対策されてるところも多くなってるようですな。まあ、ダメなところはとことんダメだったりしますがヽ(´Д`)ノ
そんな中で結構みんなが見落としてるXSSをハケーンしましたので報告。
Webメールサービス、結構使っている人いると思います。その中のサービスっていうか、通常使うメールの機能の一部としてファイル添付があります。
メール本文や、Fromアドレス、サブジェクトあたりは結構XSS対策バッチリぽいですが、添付ファイルのファイル名に関しては対策してないところが幾つかあることを見つけたのですよ。
んーと、つまり、
<script>alert('test')</script>.txt
というファイル名で添付するとスクリプトが動く、という事です。通常そんなファイル名はWinでもUnixでも付けられないはずだけど、そこはまあ、いくらでも方法はあるわけで。
yosの日記: @policeその後
日記 by
yos
以前書いた@policeの脆弱性(?)はひそかに直されてた模様。
現在はちゃんとエスケープ処理されてますね。
自分とこの脆弱性情報には書かんでよいのか?ヽ(´ー`)ノ
つかこのサイト、検索システムにNamazu使ってるみたいなんですが
どこにもそれが表記されてないっぽいんですよ~
これってまずいんじゃないの~?
まあ、Namazuと書いていない以上、Namazuに似た何かかもしれない可能性も無くは無いですが。
yosの日記: 期待したい
日記 by
yos
以前/.Jで銀塩からデジカメへ/技術進歩による世代交というネタがあったんだけど、
その中で「シグマSD9ってどうよ?」ってコメントしたら「シグマはレンズがアレだからダメなんじゃない?」とレスをいただいたんだけど、
その時カメラ初心者なオレが思ったのは「なんでレンズのマウント方式が各社で違うんじゃ」って事でした。
とか言ってたらカメラ業界も考えてたみたいで以下のような規格が発表された模様。
デジタル一眼レフカメラの新規格「Four Thirds System(フォー・サーズ・システム)」の採用で合意
あとは他メーカがこの規格に賛同して製品をいっぱい出してくれればいいんだが……
(DVDみたいになっちゃイヤン)
yosの日記: あ~もう 3
日記 by
yos
オレの文章は日本語がなってませんナ。
精進します、はい。
yosの日記: とりあえず
日記 by
yos
書いてみるテスト。