[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[stalk:01390] Re: [FYI] 解法? IE の con tent-type無視問題
- To: <security-talk@xxxxxxxxxxxxxxxxxxxx>
- Subject: [stalk:01390] Re: [FYI] 解法? IE の con tent-type無視問題
- From: "K-IM" <k-imaiz@xxxxxxxxxxxxxxxxx>
- Date: Fri, 11 Oct 2002 15:04:42 +0900
------------------------- infoseek ML Sponsor --------------------------
■■■■■■■■ キャッシングならキャッシュワン ■■■■■■■■■
┏━━┓┏1.入会金・年会費・ATM手数料一切不要!━━━━━━━━┓
<特徴>┃2.実質年率15.0〜18.0% 1万円からのキャッシング ┃
┗━━┛┗3.【今なら5万円商品券も当る!10月1日〜11月30日まで 】━┛
東京三菱キャッシュワン ⇒ http://www.p-advg.com/?bid=11321
------------------------------------------------------------------------
Tea Room for Conference 10月11日 12時33分 ( No.1094 )
[ http://www.office.ac/tearoom/noframe.cgi#No.1094 ]
にて office氏による速報がありました。office氏は現時点でメール環境がないので
掲示板にての速報だとのことです。
<引用>
MoonWolf 氏が「XSS text/plain問題」を
http://rwiki.moonwolf.com/rw-cgi.cgi?cmd=view;name=XSS+text%2Fplain%E5%95%8F%E9%A1%8C
で公表されました。
</引用>
素晴らしい仕事です。
私なりに感想を申し上げると、花文字などのダミー文字を先頭に出力する対策は
Operaには通用しないことがわかって意外でした。Operaユーザは設定変更によ
って自衛することを強くお勧めしたいところです。もっかのところ、plaintext
タグを先頭に出力することが最善との結論のようです。
Opera6.05(日本語)においては、plaintextタグを先頭においたときに、文字コード0
が存在していると、以後、表示されない現象があり留意が必要。
Opera5.01(English)では、Content-Dispositionヘッダは無視、これも要注意。
なお、<plaintext>と各ブラウザの挙動との関係については以下が詳しい。
http://www.blooberry.com/indexdot/html/tagpages/p/plaintext.htm
日本語における<plaintext>の説明は以下が判り易い。
http://www.ne.jp/asahi/minazuki/bakera/html/reference/basic#plaintext
上の参考文献にもあります通り、「この要素は終了タグのない空要素として定義さ
れていました。恐ろしいことに、多くのブラウザはこのドラフト仕様のままの(手
抜きの)実装をしています。よって、終了タグを書くとそのまま表示されてしまっ
たりします。」という特殊な性質があります。実は、これがミソです。
このアイデアは、office氏から教えてもらいました。
ブラウザが正しい挙動を示すようになるまでの、便法として使っていければと
思います。
以上です。
--------------------------
今泉克美
k-imaiz@xxxxxxxxxxxxxxxxx
--------------------------
--
- このメイリングリストに関する質問・問い合せ等は
- <security-talk@xxxxxxxxxx>までお知らせください
--
------------------------------------------------------------------------
★豪華賞品が呼んでいるぅ〜。『あなたのプロバイダーはなぁ〜にぃ〜?』
http://ap.infoseek.co.jp/navi.html