Internet Week 2004の12月1日の プログラムにある、 「セキュリティホール memo BoF」で、「適法な脆弱性発見とは」と題して 少しお話しさせていただく予定。30分ほど話してあとは議論を。
内容は、こんな感じにする予定。
「Moleskin Diary」の24日のエントリ「見えざるツッコミ」 で、この日記の11月21日のところに、ツッコミが入れられていることが指摘 されていた。
11月12日の日記「おやくそく」に
ツッコミ機能(コメント機能)は使わないことにします。隠してありますので、 仮にツッコミが書き込まれても、私も目にすることはないでしょう。
と書いたように、ツッコミ機能は使わないことにしている。使えないようにし たわけではなく、使わないことにしたのであり、スタイルシートで隠していた だけなのだ。なので、スタイルシートを無効にする*1だけで、 ツッコミ機能のための入力フォームは画面に現れる状態だった。
書き込まれた内容が見えない状態であれば誰も書いたりしないだろうと思って いたが、RSSを生成するプラグイン「makerss.rb」が、 tDiaryのツッコミ設定における「ツッコミの表示」を「非表示」にしている 場合でも、ツッコミ内容をRDFファイルに書き出してしまうというバグがあっ たため、書き込まれたツッコミの文章が、RSSリーダなどに表示されるという 事態となったようだ。
というわけで、makerss.rbを改造して、ツッコミを書き出さないようにした。 また、14日の日記「tDiaryへの移転でつまづいたところ」にトラックバックを頂いた、 diary.yuko.netの「コメント入力欄を消す方法」にしたがって、設定をした。
これでスタイルシートを無効にしても、コメント入力欄は現れないわけである が、依然として、直接所定のURLに所定のパラメータで POSTすれば、突っ込み は書き込める状態にある。tdiary.rbを改造して、それさえできないようにす ることは可能そうだが、書いても見られないのだから、今のところそれはして いない。
*1 たとえば、Bookmarkletを使う方法や、Mozilla/FirefoxならばExtensionを使う方法などがある。