困った^2……

只今ASP(Active Server Pagesの方)におけるXSS対策で1つ困り中。

誰か良い情報をお持ちの方がいればお答え頂ければ幸いです。m(_ _)m
---
(Q)
VBScriptで書かれASP(Active Server Pages)上で動作する、ある既存のWebアプリにてSJISのマルチバイトによるXSS(※)対策を行いたいと思います。
(マルチバイト以外の代表的なXSS対策や、SQL Injectionなどの他の攻撃手法への対策は一応できているものと仮定して下さい。)

ただし諸事情により、以下の対策は採用できません。

ISAPIフィルタの導入

ASP.NETへの切替、Webアプリの作り直し

PerlやPHPなどの他言語への切替・移植

IIS以外の他のWebサーバに切り替える
(要は『大人の事情』によりサーバ(OS、Webサーバソフト)側には全くと言って良いほど手を加えられないって事です。(T_T))
---
(※)@ITの以下の記事を参照の事。
http://www.atmarkit.co.jp/fsecurity/rensai/hoshino10/hoshino01.html

年末年始遊戯録(2006-2007)

基本的にはゲーセンに入り浸りの日々……つーかだめだめ過ぎ＞自分 orz
---
12/30は野暮用で東京へ……特に特筆すべき点はなし。

12/31は未明から有明の冬祭りw(※1) へ。隣の人と鉄分(※2)豊富な会話で盛り上がる……うーん、これもopenmya MLの鉄分担当な人達のメールの賜物と感謝(違フ)。

入場後、某大手サークルの列に並んでいたんですが……あまりの寒さにガクブルしてました。会場の中の暖かい事^2(笑)。
お昼過ぎに友人のサークル(ゲームソフト)の処に行ったら……何も無い……あれ、もしかしてもう撤収した？　つーか完売したとしても最後の方までデモ位は流していようよ(売れたから撤収ってのは、折角訪ねてくれた人達に対して非常に失礼な行為だと思います)。

で、お昼過ぎには無事脱出。地元の蕎麦屋で年越し蕎麦を食す。
一旦自宅に帰り、風呂→夕食を済まし、古いお守りを鞄の中に入れてゲーセンへ出撃。ゲーセン仲間に「良いお年を」と挨拶しつつぼちぼち遊んでから、日が変わる前に地元の氏神様が祭られている神社へ。

神社には初詣の列が出来ていましたが、少なくとも有明の冬祭りの列に比べたら非常に可愛いもの。日付が変わり30分後には参拝する事ができました。
古いお守りをお炊き上げ所に預け、新しいお守りを購入、で帰宅。

年が変わって1/1～4まではゲーセン仲間に「明けましておめでとう」と挨拶しつつ、これまたのんびりと遊ぶ。

……こうやって改めて振り返ると、本当にだめだめな年末年始だったような。o... rz
---
(※1)言うまでも無くコミケの事。
(※2)「Fe」の事じゃなく、鉄道系のネタの事。

Adobe ReaderはVer.8に上げましょう

[WEB SECURITY] Universal XSS with PDF files: highly dangerous
上野先生のところ経由。

正月早々イヤなお年玉ですが、Webページ上にPDFファイルが置いてある場合、ちょっとハイパーリンクの部分をごにょごにょする事で、クロスサイトスクリプティング(XSS)など(※)のトラブルを発生させる事ができるという脆弱性が報告されました。

リンクを踏むだけで発動っ!!、って感じなので非常に危険です。

対応策は……

(必須)Adobe Reader(旧:Acrobat Reader)を、最新の「Ver.8」にアップデートする(インストールする)。

(推奨)PDFを開く時は、面倒でも(IE6の場合)「右クリック」→「対象をファイルに保存(A)...」を選択し、パソコン上に保存してから開く。
……です。
---
(※)XSSの他にも、ブラクラや任意のスクリプトを実行(cookieの中身を引っこ抜かれたり、ウイルスを送り付けられたり...etc...)などのいやーな事ができてしまいます。いずれにしても、まずはAdobe Readerを最新のモノにする事からですね。

新年明けました(ヲ

新年明けました(ヲ。今年もよろしくお願いいたします。
ココは相変わらずのらりくらりゆるりと行きたいと思います。

画像は友人・知人に送った年賀メールの画像(携帯版・大サイズ)です……正月なので巫女さんにしたんですが、安直ですかそうですか。orz
(PCメール版はこれより1周り大きいサイズ(427*640)です。)

左は朱理、右は瀬里奈です。ちなみに朱理の方がお姉さんだったりします(瀬里奈に甘えるような構図になっていますが)。