パスワードを忘れた? アカウント作成

yosさんのトモダチの日記みんなの日記も見てね。 スラドのストーリを選ぶための補助をお願いします。

385035 journal

yosの日記: Neuros

日記 by yos

Neuros

まあ、今じゃ珍しくも無い携帯MP3プレーヤーなんですが、誰か日本で売ってるトコ知りませんかねぇ。
そもそもなんでコレが気になるかというと、最近Ogg Vorbis 対応のファームウエアがアップロードされたらしく(β版だけど)、メーカーが公式に発表した中では最初のOgg Vorbis対応のプレーヤーという事で海外ではそれなりに話題になってる製品らしいのですよ。
そろそろ携帯プレーヤー買ってみようかと物色してみたものの、根がヒネクレてるんでみんなが持っている物とは違うものが欲しい、そーいえばOgg Vorbis対応のプレーヤーって出てたっけ?、と探してたらコレを発見した訳で。でもググってみても出てくるのは海外のサイトのみという有様。日本じゃ売ってないのかなぁ。

つかこのネタ、本家じゃしっかりタレコまれてたけど、こっちではまだタレコまれてないみたい。……ん~、Ogg Vorbis人気無いのか?

誰もタレコんでないのなら初タレコみやってみるか……

674007 journal

yosの日記: XSSについて

日記 by yos
ちょっと現実逃避。

最近ではだいぶXSS の認知度も上がってきたようで、きちんと対策されてるところも多くなってるようですな。まあ、ダメなところはとことんダメだったりしますがヽ(´Д`)ノ

そんな中で結構みんなが見落としてるXSSをハケーンしましたので報告。

Webメールサービス、結構使っている人いると思います。その中のサービスっていうか、通常使うメールの機能の一部としてファイル添付があります。
メール本文や、Fromアドレス、サブジェクトあたりは結構XSS対策バッチリぽいですが、添付ファイルのファイル名に関しては対策してないところが幾つかあることを見つけたのですよ。
んーと、つまり、

<script>alert('test')</script>.txt

というファイル名で添付するとスクリプトが動く、という事です。通常そんなファイル名はWinでもUnixでも付けられないはずだけど、そこはまあ、いくらでも方法はあるわけで。

一応、いくつか見た中で対策してたところは MSN、発見した当時は問題があったが現在は対処済みが Yahoo、NAVER あたり。
ほかにも幾つか見てますがいまだに問題ありのままのところもありますヽ(´Д`)ノ

コレ、考えようによっては結構ヤバいXSSと思うんですが。添付ファイル開く前に実行されちゃうし、ページ構成によってはメール一覧画面を表示しただけで動いちゃうかも。

とりあえず、開発者の方々には頑張ってもらって早く直してもらいたいもんです。
688077 journal

yosの日記: @policeその後

日記 by yos

以前書いた@policeの脆弱性(?)はひそかに直されてた模様。
現在はちゃんとエスケープ処理されてますね。
自分とこの脆弱性情報には書かんでよいのか?ヽ(´ー`)ノ

つかこのサイト、検索システムにNamazu使ってるみたいなんですが
どこにもそれが表記されてないっぽいんですよ~
これってまずいんじゃないの~?
まあ、Namazuと書いていない以上、Namazuに似た何かかもしれない可能性も無くは無いですが。

707339 journal

yosの日記: 期待したい

日記 by yos

以前/.Jで銀塩からデジカメへ/技術進歩による世代交というネタがあったんだけど、
その中で「シグマSD9ってどうよ?」ってコメントしたら「シグマはレンズがアレだからダメなんじゃない?」とレスをいただいたんだけど、
その時カメラ初心者なオレが思ったのは「なんでレンズのマウント方式が各社で違うんじゃ」って事でした。
とか言ってたらカメラ業界も考えてたみたいで以下のような規格が発表された模様。
デジタル一眼レフカメラの新規格「Four Thirds System(フォー・サーズ・システム)」の採用で合意

あとは他メーカがこの規格に賛同して製品をいっぱい出してくれればいいんだが……
(DVDみたいになっちゃイヤン)

typodupeerror

人生unstable -- あるハッカー

読み込み中...