あえてXSS方面でFUDを書いてみる


How to defend Apache/CGI against multibyte XSS attacks - Yoshinori TAKESAKO (takesako)

snip

  • HTMLをサニタイズ->escapeしてもだめなケース
  • マルチバイト文字をブライザが誤って解釈してXSSになる場合.
  • IE6でshift-jisの文字列をeuc-jpとして表示させると,マッピングのない文字が誤解釈されて"となる
    • これを応用して,以下のvalueのところにその文字列を入れるとスクリプトを入れることができる
      snip
    • '<>'は表現できないのでinputの下にscriptの閉じタグがなければならない

TAKESAKOさんが概略、上のように講演なさっていたとするならば、敵を過小評価しているきらいがあると感じます。mod_waffulにおける対応はどうなるのかについて興味があります。
大人の事情がありますのでFUDを書いてしまいました。。

5/21追記

TAKESAKOさんはけして過少評価をしていないことが判明しました。安心です。よかったぁ。ということは、mod_wafful、おおいに期待ですね。ひとつの強力な解になりそうですから。

狗奴国はどこにありますか

狗奴国の場所について思わぬ発想を得てしまいました。私に力があれば関連情報とつなげて綺麗にまとめられるのに。 狗奴国は、ずばり、四国全体。 倭人伝の読み方に矛盾しません。 倭人伝にいう傍国(ぼうこく諸国)は、中国地方。遠絶の地とみなします。中国地方の傍国群の南に狗奴国があるのだと考えます。(従来説ではヤマタイの南と読んだがそのようには読めません。)傍国群には出雲や吉備を含んでいることでしょう。 また、魏人伝にあるように女王国の東に倭種ありとありますが、これも狗奴国と比定します。従来から狗奴国と女王国の間には倭人伝に国境記述がないことから間に水域があるのではという説もありましたが私の説もこれにならいます。すなわち、女王国は南九州全域となります。女王の都するところ=ヤマタイは、おそらく隼人たちが跋扈していた地域の中央でしょう。
勢力図としては、九州全体と中国地方全体が女王に統括されており、近江や尾張東海から四国にかけて連合体があり、その盟主が、瀬戸内海覇権をになっていた狗奴国となります。この両勢力の大激突でもって卑弥呼は死んだのでしょう。

伝説では天照大神が岩戸に身を隠したときに、すなわち、卑弥呼が死んだときに、出雲から筑紫まで太陽がなくなったとされています。これがすなわち、女王国の勢力版図だったのですね。

狗奴国は結局、ヤマタイを滅ぼし、トヨを傀儡にして覇権を握ります。 その後の東遷により、四国以外の地を平定しつつ主勢力は近畿に流れていきます。