マリナーズのイチロー選手、古畑任三郎に犯人役として出演

イチロー選手写真

マジですか。次のお正月、古畑任三郎の3回連続のシリーズがあるけれど、そのうちの第2回目にイチロー選手がゲスト出演決定との報道がありました。通常、ゲストは必ず犯人役ですから、どうなりますことやら…。寡黙なイチロー選手だけに口を開けば発言に重みがあるというもの・・・どのようなドラマになるのでしょう?

イチローが演じるのは「マリナーズイチロー」。過去に同シリーズに本人役で登場したのはSMAPだけ。台本はまだ仕上がっていないが、同ドラマのこれまでのコンセプト通りゲストは犯人役。メジャーを代表するスターが誰かを殺害して完全犯罪に挑むが、刑事・古畑に追いつめられていくことになる。

早く見たい早く見たい早く見たい早く見たい早く見たい早く見たい

本日のウェブアプリケーション脆弱性関連情報

先日以来ひとりで騒いでいるIPAさんへの報告の最後の1件を只今終了しました。今回報告分の件、日本では影響範囲が広いのでもっと早く行えれば良かったかも知れません。色々あって逡巡していたのです。…これでたまっていた報告ネタの棚卸は終わったはず…なのですけれど。

RSSでCDATAどうするんだろうとか疑問に思った

一部のRSS出力でCDATAの取り扱いやらが他のものと毛色が違うのがありまして、なんだか<>などもそのまんま出ているわけですが、本当はどうあるべきなのだろうと心配になって来ました。

うろうろしているうちに、とある特定サイトで古典的な手法で穴が開くXSS発見。Anchor要素のURLの返り値で【"】とかを【\"】とかにエスケープしていても、XSS回避にはなりません。属性の挿入が許されるからです。style属性が一番簡単。無論、backgroundプロパティからURL()でjavascript擬似スキームにもっていくわけですけれど。SQLインジェクションとは防衛手法が違います。…なんだか最近、超、アンテナが感度良いのですが…さっそく直接そのサイトに御報告。ちょっと影響力ありそうなので見つけたら早めに、ということで。

19日午前1時過ぎ追記分:メールしたのが18日23:00頃。翌19日01:30には修正完了ですよ。凄い。凄い。凄い。さすが…脱帽。

なお、CDATAの取り扱いとかは本当にわけわかりません。うわああぁん。本来の目的を忘れてしまいました。生産性悪し。

真神偽神乱神パズル

まだしつこく考えています。とりあえず、「(あなたにこの質問を尋ねたらdaと答えますか)系」。