Hatena::ブログ(Diary)

交差点でコーヒーを

2014-09-15 お引越し 広告ないとこ 探したよ このエントリーを含むブックマーク このエントリーのブックマークコメント

http://harupuxa.blogspot.jp/移住しましたー。

トラックバック - http://d.hatena.ne.jp/harupu/20140915

2014-06-19 ひさびさに 見に来てみたら 2年前 このエントリーを含むブックマーク このエントリーのブックマークコメント

最後に書いたの2年前くらいだった。

はてなに出てくる広告でも(というかGoogleAdがいけないのか)「Download」とかの偽装バナーのやつがいるのですね。あれ、AdWareとかうっかりダウンロードする人がいるので悪質だからやめてほしい。。。

そして、また、広告を消したいので書くべ、って思ったら、消えない説??

出てもいいけど、悪質な奴は出ないでほしい。

そして、消せたけどこれ怒られるパターンかな?今時はどこに移住するのが流行なのだろうか。

トラックバック - http://d.hatena.ne.jp/harupu/20140619

2012-06-14 広告が かなり邪魔だよ 消したいよ このエントリーを含むブックマーク このエントリーのブックマークコメント

それだけなのですけれど。消したいのです。

消えたぜ!!

トラックバック - http://d.hatena.ne.jp/harupu/20120614

2011-08-05 夏風邪が 長引いてるよ 2週間

[]私はいかにして脆弱性を発見したか 私はいかにして脆弱性を発見したかを含むブックマーク 私はいかにして脆弱性を発見したかのブックマークコメント

id:hasegawayosukeさんとこに、私はいかにして様々なブラウザの脆弱性を発見したかってあったので、真似してみた。

基本、「こうあるべき」、「こうなってるはず」を理解したうえで、「挙動がおかしい」とか、「こうあるべきだけど、実際作ること考えたら難しい or 無理」ってのを調べてる感じでしょうか。

まあ、要するに、てきとーです。

マルチバイトを使ったXSS

テキストフィールドに入れた「%E3%81%82」とかをデコードする簡単なWebアプリ作って、作業してた時にコピペミスした。

そしたら、半端なマルチバイトの状態になってレイアウトが崩れたので、この崩れ方はあり得んって思って調べたらXSSできた。

Apacheのエラー画面(?)上でのXSS(今でも健在かな)

書き方違反したらどうなるんだろ?って思って書いたらXSSが動作した。

けど、IPAに報告したら書き方違反してるんだからその出力をする方が問題、ってことで却下された。

Webアプリの出力+ブラウザの処理方法(FireFoxのみで発動)+Apacheのエラー画面(?)の仕様、の3つが合わさる話なので、3つともの挙動を把握しておく必要はあり。これ面白いんだけどな〜。

CVE-2007-6245:Flash Player において任意の HTTP ヘッダが送信可能な脆弱性

前に同じような問題があったから、きっと対策が中途半端だろうと思っていろいろやったらできた。

CVE-2007-6243:Flash Player におけるクロスドメインポリシーファイルの扱いに関する脆弱性

Webサーバクライアントとの間でURL等の解釈が異なるのは常なので(というか、クライアント側でサーバ側の解釈を網羅するのは大変なので)、異なる解釈をするパターンを入れたらいけた。

ただ、許可設定をさせたいので、ブログなど許可設定を書ける場所のを読めるといいなと思ったので、XMLじゃないのでもいけんじゃね?ってやってみたら、HTMLの途中に書いてもいけた。

レスポンスを細工するとこで、以降Webサーバアクセスをしても常にエラーになる感じのブラウザの汚染

Webサーバクライアントの間で解釈が異なるのは常なので〜。

ブラウザに一回細工が通ると以降常にエラー画面に。青モップ全盛期の時はやりたい放題だったはずだけど、まあ、多分知られてなかったのもあり、被害とかはないでしょうね。

IPAに報告したけど、仕様なので〜的な。これも面白いと思うんだけどなー。

複数ユーザ間で同じ認証情報を送信してしまうブラウザ

そんなのが他でもあったので、どうせ同じだろうと思って見てみたら、やっぱ同じというかそれよりダメな感じだった。

IPAに報告したけど、サーバ側で対処すべきで却下された。

実際に、このブラウザが広く使われ始めたら影響大きいと思うのですが、影響があるかないかは関係ないみたいな感じでした。

ここら辺で、IPAに報告してもどうなの?って思い始めた。影響大きい脆弱性とかも何年か放置状態だし。

Androidでの制約回避

複数のアプリ作って違うものを複数検証してる時に、制約のとこ見てて、これが動かないのにさっきのはなんで動いてたんだ?って思って見てみたら、制約回避できた。

Googleに報告するも別の脆弱性といっしょくたにされてうやむやに。

後でソースコードとかちゃんとみたら、なるべくしてなってるしこれはこれで個別に対応しないと無理な挙動だよね、って感じなのでどうしたものか。

挙動としてちょっと難しめだし、幅広めな知識がないと見つけられなさそうなとこだから、ほっといても大丈夫かな?

見る限り、XX months agoって書いてあるから手入れてないだろうし。

-------------------

変わったところだと、このくらいだっけ?IPAで止まってるやつは書いたら駄目だろうし。意外と少ない気もするな。

最近は報告してもあれだしちょっと飽きてきたので、変な挙動見つけても確認するだけしてまあいいかなで過ごしてます。

[]ミニヒマワリ ミニヒマワリを含むブックマーク ミニヒマワリのブックマークコメント

最終的に、植えるのが遅かったからなのか、このくらいのサイズまでしか大きくならんかった。一応種は取れそうだし、来年はもうちょい早めに植えよう。

f:id:harupu:20110806000055j:image

f:id:harupu:20110806000156j:image

トラックバック - http://d.hatena.ne.jp/harupu/20110805

2011-07-18 まきびしを 撒いてにゃんこを やっつけろ

にゃんこ用おもちゃ「まきびし」の作成 にゃんこ用おもちゃ「まきびし」の作成を含むブックマーク にゃんこ用おもちゃ「まきびし」の作成のブックマークコメント

食いつきがいいという噂のまきびしを作ってみました。

猫用手作りおもちゃです

結構簡単に作れます。

掃除してて、Yシャツ捨てようと思ったのですけど、せっかくなのでリサイクル

・用意するもの

5cm×10cmの布と紐っぽいもの。

紐っぽいものは、Yシャツの裾のとこの折り返してあるとこを切ったものです。

f:id:harupu:20110718181511j:image

袋っぽく縫います。どうせ見えないので、ミシンとかでテキトーに縫えばよいです。

f:id:harupu:20110718181512j:image

ひっくり返して袋にします。

f:id:harupu:20110718181513j:image

綿つめまーす。

f:id:harupu:20110718181514j:image

半分くらいまで縫って、また綿つめまーす。

f:id:harupu:20110718181515j:image

最後のほうまで来たら、紐を巻き込んで縫い終わります。

f:id:harupu:20110718181516j:image

できあがり。簡単。

f:id:harupu:20110718181517j:image

にゃんこにのせておしまい。 かわいい。

f:id:harupu:20110718181518j:image

トラックバック - http://d.hatena.ne.jp/harupu/20110718