# Force the User Space area to contain only known-good HTML tags. Unfortunately the cookie login model makes it just too risky to allow scripts in here; CSS's steal passwords. There are no known vulnerabilities at this time, but a combination of the social engineering taking place (inviting users to put Javascript from websites in here, and making available script URLs for that purpose), plus the fact that this could be used to amplify the seriousness of any future vulnerabilities, means it's way past time to shut this feature down. - Jamie
ほぅ…参考になりますね~。
というか、こういった情報は FAQ になりそうので、まとめておいたほうが本番環境を移行した時に同じ対応を何度もしなくて済みそうですね。 Slashdot Japan Wiki [osdn.jp] を活用する時が来た!って感じですか。
あ、言い出しっぺの法則が…書かせていただきます。
ユーザスペースに iframeタグをいれると消えてしまう (スコア:1)
これは新システムでの仕様なのでしょうか?
(iframe に起因する脆弱性への対策とか)
iframe が使えるといろいろ便利なので使えるようにして欲しいのですが…
具体的には
ユーザ設定>トップページ
Re:ユーザスペースに iframeタグをいれると消えてしま (スコア:1)
現状、ユーザスペースになんらかの情報を入力しているユーザが312人。そのうち、もっとも影響のありそうなiframeタグを使っているのが24人、scriptタグを使っているのが6人、inputタグを使っているのが6人います (重複もあり)。
他の場所とおなじタグのみに限定する方向を基本に、あえて特定のタグを許すメリットがどれだけあるのか考えてみる必要がありますね。
Re:ユーザスペースに iframeタグをいれると消えてしま (スコア:1)
回答ありがとうございます。
やはり仕様変更でしたか。
自分の日記へのコメント一覧を表示するために iframe で別ページを表示していたのですが、新システムでは日記へのコメントがメッセージング対象になるので不要になる人は多いでしょう。
「自分とACのコメントはメッセージング対象にならない」という話もありますが…
Re:ユーザスペースに iframeタグをいれると消えてしま (スコア:1)
「自分と、自分が AC でコメントした(コメント時に“AC でコメントする”チェックボックスをチェックした)場合はメッセージングの 対象にならない」ですね。
別 ID で AC コメントした場合にはきちんとメッセージングされました。
# ログインしてない場合は確認してません。
mobile ID portable_NoGood [slashdot.jp] 併用中
Re:ユーザスペースに iframeタグをいれると消えてしま (スコア:1)
witch さんの日記コメントうぉっちのために使っているので、日記へのコメントメッセージングが正しく機能していれば ということで良いんじゃないかと思います。
ただ、先程念のため確認したところ、「日記へのコメント」だけがなぜかウェブによるメッセージングでは処理されていないようです。
メールによるメッセージングは処理され、機能しています。
# メールの文面では日記にコメントがついたということが判断出来ませんが。
度々意見を翻して申し訳ありませんが、メッセージングの処理になんらかの不具合があると思われます。
対処のほう宜しく御願いします。
mobile ID portable_NoGood [slashdot.jp] 併用中
orz (スコア:1)
mobile ID portable_NoGood [slashdot.jp] 併用中
Re:ユーザスペースに iframeタグをいれると消えてしま (スコア:1)
バグレポート、ありがとうございます。
すいませんが新たなる問題が… (スコア:1)
私の方でも動作を確認しました。
以下別件ですが、タレコもうかと思いましたがこの場を借りて報告させていただきます。
私の環境のせいかもしれませんが、「人間関係の変化」メッセージングが機能していないようなのです。
これは FoF の状態変化に応じて発送されるメッセージですよね。
「メッセージ無し」「メール」「ウェブ」のいずれでも、FoF の変更を行ってもメッセージングされていません。
どなたか「ワシんトコでは動いとるでぇ~」という方はコメント下さい。
もう一件あります。こちらはあまりクリティカルではないのですが、二つの ID 間で頻繁に Friend/Neutral/Foe の変更を繰り返すと内容の反映が追いつかなくなるのか、相手側での表示(Fans/None/Freaks)が追いつかなくなります。
具体例が portable_NoGood の Fans [srad.jp] です。NoGood との間で設定変更を繰り返したので、双方 Neutral に戻したのですが Fans にエントリが残ってしまっています(Fan のアイコンが無いので異常な状態であることが御解り戴けると思います)。
portable_NoGood の側で NoGood に関する人間関係の変更を行うと正しい状態に戻るので、排他制御とかそのあたりが原因じゃないでしょうか(根拠なし)
度々すいませんが対処のほうよろしく御願いします。
mobile ID portable_NoGood [slashdot.jp] 併用中
Re:すいませんが新たなる問題が… (スコア:2)
FoFの変化に関してはFriend/Foeは設定している人間に対して効くものなので即時に反映されますが、Fan/Freakの変化はバッチ処理で定期的にまとめて処理しているので、どうしてもラグが発生します。御了承ください。
ちょっと技術解説すると、おおもとのデータはDBのpeopleというテーブルにuserA->userBの関係ごとに一行として入っているのですが、コメント表示時などにいちいち処理してたら重いので、普段は一人のユーザの人間関係をすべて集計した、いわばコンパイル済ともいえる、コンパクトなハッシュのデータを使ってます。
で、Friend/Foeを設定した場合はこのハッシュが即時にリビルドされます。一方、対象者でFan/Freakに変化があったユーザにはpeople_status="dirty"なフラグが立つだけです。
Re:すいませんが新たなる問題が… (スコア:1)
というか、こういった情報は FAQ になりそうので、まとめておいたほうが本番環境を移行した時に同じ対応を何度もしなくて済みそうですね。
Slashdot Japan Wiki [osdn.jp] を活用する時が来た!って感じですか。
あ、言い出しっぺの法則が…書かせていただきます。
mobile ID portable_NoGood [slashdot.jp] 併用中
Re:すいませんが新たなる問題が… (スコア:1)
不具合じゃなくて処理が遅いだけかもしれません。
FoF の設定なんてこういう機会でもないとそうそう頻繁に変更するものではないので、気にしないということで…申し訳ありません。
# 再現性の確認に二時間もかけたのに…(T_T
mobile ID portable_NoGood [slashdot.jp] 併用中
今頃になってメッセージングがどばっと来ました。 (スコア:1)
しかし、現在もやっぱり自分のコメントはメッセージングされない(人間関係のチェックはしてません)ように見えるので、処理が遅いか、定期的にしか処理しないような状態に思えなくもないです。
# 今は作業中の Oliver さんへというより、ココを後で見に来た人の為にコメント
mobile ID portable_NoGood [slashdot.jp] 併用中
Re:今頃になってメッセージングがどばっと来ました。 (スコア:2)
投函されたメッセージ自体は毎時0分をのぞき、5分間隔でバッチで発送しているので、9時頃になってからドバドバっと届くのは本来はないはずです。投函はコメント系なら投稿の瞬間、人間関係の変化は一時間に一度のバッチ処理時です。なぜ9時5分に一度にメッセージが発送されたのかは正直いって謎です。ログによると8時55分のバッチ処理時には未配送なメッセージが残ってなく、9時55分には33個のメッセージが配送されています。この間にUTCベースで日付を越えた事が関係あるのかもしれません。もうすこし観察してみます。
Re:今頃になってメッセージングがどばっと来ました。 (スコア:1)
AC コメントが配送されない件に関しては 5 分間隔という具体的な再現性確認手順が判明したので、私の方でも確認してみます。
9:00 過ぎにまとめて配送された件ですが、正確には人間関係の変化のメッセージは一つだけでした。内容に履歴がずら~っとならんでいました。
まとまっているのは時刻が時刻だけに UTC/GMT と JST が混ざっているのでは?と直感的に予想されますが…
mobile ID portable_NoGood [slashdot.jp] 併用中