■
■ 近況
近況
自作機のadministratorのパスワードをMEMOしていたものを紛失中。わはは。
プロバイダとの契約でメールアドレスとパスワードが決まっているはずなのですけど、紛失しています。メール環境作れません。わはは。
とりあえずavast! Antivirusは突っ込んだのだけどスパイウェア関連をまだなんともしていないんですよねぇ。明日しよう。どこを調べれば有用な情報があるかは知っているし。
私ははてなダイアリーの編集でははてな特有の省略記法を使っていません。理由:難しくて覚えられないから。変ですか、そうですよね。HTMLを直(ぢか)に書いています。使うマークアップが僅少なのでなんとかなっているのかも。ずっと簡単。
というわけで【謎】、ときおりHTMLの例なぞこの日記に書くことがあるので文字参照の解決は必須。私は、ml-entを使っています。妖精現実さん謹製。激しく素敵。ぐっと便利。なので即インストール。ml-entはDOS?っぽく動くんだけどGUIは32bitでwindows風に。変な理解だったらすみませんがそういうことで。window抜きでGUIを使えているだけなんだけどこんなの珍しいと自分では思います。爽やかな感じがするんです。よく使う道具はこうでないと。で、ml-entを実行するためにorchisというランチャを使っています。これも快感。orchisはml-entの為だけに使うという邪動作かげん。さっそくorchisもインストール。そうすれば、ctrlキー連打とaキー押下でクリップボードにあるコードの中で最小限文字参照すべきものが変換されます。素敵。なにかはてなで編集したいコードがあったら選択してコピー。ctrlキー連打とaキー押下。ペイスト。グッジョブ!その昔とある著作業の中の人が、文字参照に置き換えるのまんどくせぇと言っていたけど(その人はHTMLで入稿していた)私にはそんな苦労は無縁なのであった。苦労するほど物を書いていませんけど。日記だけだし。
orz まだパスワードが見つからないヨ。
ネット上で公開している文書やファイルの中の隠しデータ
やばいゆ。やばいゆ。フォレンシックネタでもあるし個人情報保護ネタでもあるゆ。デジタルカメラで写真を撮る。で、トリミングしたり見せたくないところにモザイクいれたりする。で、ネットで公開する。これ、やばいゆ。jpegの中に隠されたデータ領域があって、加工前のオリジナル画像のサムネイルが入っているゆ。やばいゆ。上半身だけのJPEG公開したら下半身モロバレだったりするゆ。他人様のjpegをパクってもサムネイル見れば盗作バレバレだから著作権違反でタイーホ、ならば、まだまし。オイラ、はてなのベータバージョンの頃、一時期、自分の顔写真をこの日記に貼っていただなぁ。もちろん加工してだけど。自然風景のように見えるやつ。でもサムネイルにしっかりオイラの鼻毛が写りこんでいるんだな。やばいゆ。早めに撤去しておいて正解だゆ。jpegばかりがやばいわけではなくてPDFやらほげやらふげやら。あちこちに隠されたデータが。詳しくは以下の資料。激重PDFなり。
- http://md.hudora.de/presentations/forensics/HiddenData-21c3.pdf
画像対策:顔出しはしない。猫の写真はアップしない。なにかのおまけ情報削除ツールを探す。googleにキャッシュされてたら交渉すゆ。
近況(2/15)
まだ作業中。環境整わず。インストールしなおそうかなぁ。。。という状況なのに上のようなオバカなことをしている始末。
XP2 SP2がどんなものなのか
自作機の XP2 SP2がどんなものなのか、よくわかっていません。安くタタキ売りしていたチョコをほうばりながら、脆弱性を検査してくれるサイトをうろついていました。とあるカウンターを見る限りでは有名どころ?の英語なサイト3箇所でそれぞれXSSを発見。なんだこりゃ。英語でメールだしたら1件返事が返ってきました。クロスサイトスクリプティング脆弱性って何?たいそうに細かくexploit書いてくれたけど、俺はさっぱり意味わからんぞぉ!?変なこと言うな。
という趣旨の返事でした。セキュリティやらプライバシを守るためのテストサイト運営している人からそんな返事が来るとは思ってもみませんでした。こんな時のチョコはほろにがいです。ちなみにこんなの。
<a href="http://humidai.tld/index.html?"/style='background:url(javascript:alert())'">
上で強調部分がyowayowa.tldのページのコンテンツに挿入された部分。humidai.tldからのリンクでやられてます。iframe使うともっと効果的。そういやなんでalertが怖いんだよ
と返事にあったなぁ。やっぱりDOMでもいじりたおして完璧な偽装でもしてあげたほうが良いのでしょうか。そうそう、上のコードでstyle=の前にスラッシュがはいっていますでしょ?これ面白いですよね。WindowsIEで有効なんですけど。
近況:2/19 国際化ドメイン名についてのメモ
覚書。IEにおけるIDN対応はなし、とかいうことを過去の日記に書いてあるはず。後で調べて訂正しておかなくてはいけないのだろうか。手に余りそうではある。以下をIEで見ること。
