よこいまさる日記

■ [Misc] 右腕復活

昨日、病院に行って晴れてギプスが外されました。ただ右腕の筋力はかなり劣ろえているため、重いものを持つといったことはまだでないが、食事のときにお箸をつかうといったことができるようになって、かなりらくになった。

■ Blog の比較 その後

昨日書いていた blog 書き方の比較のはなしの続きっす。 セキュリティについては... の話です。

livedoor Blog にセキュリティ上の問題があると私は思うのですが、livedoor blog ではセキュリティ上の問題として処理する節がないので、公開します。

楽天広場の日記とか livedoor Blog とかだと、HTML のタグを書いてそれをWebページ表示できる、ということろで、セキュリティ問題とかおきやすいかもね って思ったんです。 最近のクロスサイトスクリプティング問題の例で、URL とか POST するデータに JavaScript になるような文字列を入れて、それがそのサイトに属するスクリプトとしてクライアントサイドで実行されたら、そこにはクロスサイトスクリプティングの問題がある、っていう検証方法がある。 んでこれらの blog のやりかただと、HTML として記述すると、それがある程度の検証を通って、その文字列がクライアントに渡されているんだろうとヤマを読んで。そのヤマから妄想してクロスサイトスクリプティング問題のように、blog の書きかた次第では JavaScript を実行できるんじゃないかって思ったわけ。

この検証ということで、楽天と livedoor の blog の日記を書くフォームに、JavaScript が動きそうな ある文字列を書いてみた。 (再現方法は一応非公開にしてみます) 楽天は tag の attribute の値を評価しているみたいで、この文字列に対し「正しくない」といった表示を行ない、記事のコミットができないようになっていた。 livedoor は そのまますり抜けた。 「クロスサイトスクリプティングと同じようなことが」なんて思っていたのが、そのまま起きていた。

このことに夜中に気付いて、livedoor blog の質問フォームに書いてタレ込んだのです。 仕事の早い livedoor さんは今日の夕方には返事をくれたのですが、「javascript の書き方次第では可能ですが」 「livedoor で使用する cookie は livedoor.com のみで有効」で「blog は livedoor.jp 」で、この JavaScript の問題で cookie をパクることはできない、という回答でした。 たしかにタレ込み文の書き方がわるくて、cookie パクれるかもしれない と書いたけど、JavaScript が実行させることができるっていうことには対して問題意識ないみたいです。 それなりに経験豊富なはずの Web 構築屋なんだから、それなりにクロスサイトスクリプティング問題に多少なりともピリピリしているかと思ったんですがねぇ。 なんか認識の違いかもしれませんが、ボクはこの点にセキュリティ上の問題があるかと思いますが、livedoor のご回答をくださった方は、この点にセキュリティ上の問題があるとかそういうフレーズはありませんでした。 彼らがセキュリティ上の問題だと思っているという感触がなく、対処するから待っていてくれみたいな対応もないので、この問題をここに書いておきます。

各 blog サービスでどのような書式で日記記事をユーザに書かせているか調べて、イイところを HNS に取り入れてみようなんて思ったのだが、調べ始めて数十分でこんな問題がみつかってしまったわけで。 なんだか寄り道しすぎ。 ってか高木浩光さんのマネする気はないんだけど

■ 今日

近所の自動車教習所に中型二輪の教習の申込 というか 入校手続きをしにいく。 自転車で 20分ぐらいで行けそうな距離。

その後、多摩市から吉祥寺まで自転車で行ってみた。 往路は 鎌倉街道 - 東八道路 - 人見街道 - 吉祥寺通り。 吉祥寺では適当な駐輪場が見当らなかったため、そのまま帰ることに。 復路は、吉祥寺通り - 調布 - 鶴川街道 - 府中側の多摩川沿い- 鎌倉街道 で帰宅。

クルマを売却したため、駐車場が空いた状態に。 駐車場の解約をしたところ、明渡しの2週間前に通知するというふうになっていて、6月3日までは契約したままになっている。 置くものがないから、ひとまず自転車置いてみた。

BRCLEAR

■ 飲みすぎには気をつけましょう

飲みすぎには気をつけましょう、って思うことが最近多いのですが。なんとなく終電気にせずに飲めるような場所に引っ越したせいか、朝まで飲むとか平気でやってしまう。しかも2週連続。

昨日2つ目に行ったお店の隣の席の人たちが話している内容が聞こえてしまったのだが、昔お世話になっていた某社がホゲホゲとか言っていて、なんとなく中の人じゃないとわからないようなネタをしゃべっていたわけで。　なんつーか、外で飲食中とかはどこに耳があるかわからないので、社名とかの固有名詞つかうときには要注意って感じ。

■ 悪趣味クロール

なんとなく集めてみるか、とか思って ココログの Ping を取ってきて XML::Parser で URL を pick して、各ページから RSS/Atom の URL を HTML::Parser 使って pick して、RSS/Atom をひたすら get するとかいう crawler を書いてみたのですが。　とりあえず 7,061 個 (536MB)とかの RSS/Atom をゲットできるみたいなので、それなりにオッケーっぽいすな。　で、ping から RSS/Atom を取れるようになったんだけど、それをどう料理しようかと考え中ー。

ひたすら RSS/Atom を取ってきて「あら 2GB 超えちゃいますよ旦那」っていいながら、Xserve G5 とか AMD64 とか Itanium とか SparcV9 とかの 64bitマシンに 16GB ぐらいのメモリ積む口実作ろうとか思ったのですが、まだまだ修行が足りないようで。

■ お買い物

食糧仕入れに品川シーサイド

(21:17)

■ サイクリング

久しぶりにサイクリング。　半年以上乗っていなかったかも。

コースは、初台→甲州街道→環七→世田谷通り→和泉多摩川→二子玉川→246→環七→甲州街道→初台 で33kmほど。　天気がよかったので和泉多摩川の河川敷でバーベキューしていた人いましたよ。

多摩川と東名高速の交差するところの、警視庁の練習所のところでバイク練習しているひとたちがいた。　コースを見ると、「く」の字に曲がった一本橋や、しかも段差のついた一本橋とかがあって、あんなの俺通れないよって感じのコースでした。

ついでにデジカメでとった動画を YouTube にアップロードしてみた

■ オフィスレイアウト変更

オフィスのレイアウトを変更した。　新しく来たルミナスラックを組み立て、そこにPC類を設置。　ルミナスラックの引出、引っ張り出しても棚の半分しか出てこない構造なので、机として使うにはちと狭い。　もうちょいいろいろ考えてみようっと。　左側の縦になったモニターは 21インチのモニターを90度回転させて使っています。　そうすると縦に 1680 なデスクトップになるので。

マルチモニターにしてみたところ、こんな感じに。　広々デスクトップ。　左側のモニターに Web ブラウザ、真ん中のモニターでプログラム書くとかできて良い感じです。