アカウント名:
パスワード:
そもそもWebにおけるセキュリティがかなり不確かな多数の仮定とバッドノウハウの上になんとか成り立っていて、こういった「想定外」の仕様変更に脆弱であるというのが今回の問題の本質でしょう。JPRSの考慮不足を責めるのは簡単だけど、そろそろWeb自体のセキュリティのフレームワークをどうにかするのが生産的だと思いますけどね。
こういう事例をみるにつけ、どこかGlobalな場所にチェックリストなんか無いのかなと思ってしまう。識者を呼び入れても考慮漏れは発生し得るわけだし、でもそういうリストがあると識者はご飯の種が減っちゃうのかな。独自ではそういったリストを持っているのかも知れないが。
ま、あっても見ないけど。
どっちも詳細は分かってないけど、SPF 【Sender Policy Framework】のごとくDNSに実装してしまう方がましだったのかしら、とは思う。
当時からそうすべきという指摘はされていますね。mozillaが手作業で集中管理してブラウザにハードコードで埋め込んでバージョンアップ時に更新とか有りえんだろう、と。これに対してmozillaは「Firefoxはバージョンアップ早いから大丈夫」と押し切ってしまっています。あたまわるい
SPF方式にすると80番しか通さないProxyの裏にいるとフィールドが取得できない問題がありますが、SPF方式にしてProxy問題は別途救済方法を考えるとした方が事態は簡単だったでしょうね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生unstable -- あるハッカー
JPRSの考慮不足を責めるのは簡単だけど (スコア:0)
そもそもWebにおけるセキュリティがかなり不確かな多数の仮定とバッドノウハウの上になんとか成り立っていて、こういった「想定外」の仕様変更に脆弱であるというのが今回の問題の本質でしょう。JPRSの考慮不足を責めるのは簡単だけど、そろそろWeb自体のセキュリティのフレームワークをどうにかするのが生産的だと思いますけどね。
Re: (スコア:0)
こういう事例をみるにつけ、どこかGlobalな場所にチェックリストなんか無いのかなと思ってしまう。
識者を呼び入れても考慮漏れは発生し得るわけだし、でもそういうリストがあると識者はご飯の種が減っちゃうのかな。
独自ではそういったリストを持っているのかも知れないが。
ま、あっても見ないけど。
Re: (スコア:2)
どっちも詳細は分かってないけど、SPF 【Sender Policy Framework】のごとくDNSに実装してしまう方がましだったのかしら、とは思う。
Re:JPRSの考慮不足を責めるのは簡単だけど (スコア:0)
当時からそうすべきという指摘はされていますね。
mozillaが手作業で集中管理してブラウザにハードコードで埋め込んでバージョンアップ時に更新とか有りえんだろう、と。
これに対してmozillaは「Firefoxはバージョンアップ早いから大丈夫」と押し切ってしまっています。
あたまわるいSPF方式にすると80番しか通さないProxyの裏にいるとフィールドが取得できない問題がありますが、SPF方式にしてProxy問題は別途救済方法を考えるとした方が事態は簡単だったでしょうね。