2003-01-01から1ヶ月間の記事一覧

プライベートモード

プライベートモードの際には、自分以外が閲覧した場合にスタイルシートが表示されないように変更しました。

はてなダイアリー利用可能タグ

掲示板でご要望を頂いておりましたので、form,input,select,option,textareaタグを利用可能とさせて頂きました。ただし、この追加についてはあくまで暫定的なものと認識頂ければと思います。これらのタグについても、しばらく安全性の検証を行なえればと考え…

はてなアンテナ

すでにお気付きの方もいらっしゃるかと思いますが、はてなアンテナでは現状ではてなダイアリーほどXSS対策が進んでおりません。これは、こちらのはてなダイアリーである程度の方針を立ててから、アンテナの方へ反映させていきたいと考えていることと、実際問…

XSS脆弱性について7

hoshikuzu様。詳細なレポートを頂き有り難うございました。さきほど、スタイルシートの解析方法を変更しました。 今後の安全性確保のために、現時点で、はてなダイアリーがXSS対策として行なっている処理を、はてなダイアリーXSS対策として公開したいと思い…

スタイルシートの解析について

スタイルシートの解析に不備があり一部のページが表示できなかったようです。大変申し訳ありませんでした。さきほどから、設定画面で指定頂いているスタイルシートの扱いについて、何度か変更を行っておりますので、その都度見え方などが変化しているかと思…

スタイルシート亜種

みなさん色々とテーマを設定いただいているようですが、何処かでご指摘いただいておりました(だんだん分からなくなってきました)hatenaテーマのヘッダの色に合わせたバリエーションについては、こちらで近いうちに作成したいと思います。

XSS脆弱性について6

HTMLタグに続きまして、さきほど、スタイルシート内の対処を行いました。スタイルシート設定において、@importを用いて外部ファイルを取り込むことはできません。また、背景画像などで外部のファイルを参照する場合に、不適切なURLは(HTMLタグのhrefやsrcと…

使えなくなるタグ

具体的に一番使えなくなっているケースが多いと思われるのが、<div>,<span> 内などでの style 属性かと思います。これまで style="..." というご指定をされていた方、大変ご迷惑をおかけします。 この場合は、設定画面の「スタイルシート」欄で div.hoge (hogeは適当な</span></div>…

はてなダイアリー利用可能タグ

固有名詞なのか、どうなのか、という疑問がありますが、これ以上に管理・公開が便利な場所もなくキーワードにしております。

XSS脆弱性について5

先日より続けてまいりましたXSS脆弱性についての対策ですが、本日、日記文中、及びヘッダ、フッタでご利用いただけるHTMLタグを限定する措置を行いました。これまで入力頂いておりました一部のタグは表示されませんが、安全性の確認できる範囲で随時利用可能…

XSS脆弱性について4

awacs様をはじめ、様々な方のご指摘により、はてなダイアリーの抱える種々の脆弱性が明らかになっております。(皆様、重ね重ねお礼申し上げます)今後、こうしたセキュリティーホールを虱潰しに塞いでいくのか、あるいはより低レベルでの対策を行うのか現在…

XSS脆弱性について3

日記、メール等でたくさんのご意見を頂きました皆様、誠にありがとうございます。これまでのスタンスとして、日記文中、及びヘッダ、フッタで自由に表現を行って頂けることを守りつつ、危険のある箇所を排除するという考え方で対策を行ってまいりましたが、…

日記削除機能

日記削除機能に一部不具合があり、削除ができない場合がありました。(STARSCREAMさん、ありがとうございました)さきほど修正を行いました。日記編集画面の「この日を削除」を押すと、その日の日記を消すことができます。

XSS脆弱性について2

先日の対応で漏れていた脆弱性について、ishinao様、accessmania様にご指摘いただいて随時対処しております。お二方、誠にありがとうございます。引き続き、危険性のある箇所についてご指摘頂ければと思います。

ベータテスター追加募集

はてなダイアリーベータ版をご利用いただける方を、200名追加募集させて頂きます。詳しくは、トップページのお知らせをご覧ください。

最近更新のキーワード

トップページのキーワードですが、固有名詞だけを、新しく編集された順に表示しています。どこにも案内が無くすみません。

リンクの区別

キーワードのリンクと通常のリンクの区別についてですが、まず、この日記のシステムの「テーマ」はtDiary向けに開発されたテーマ(スタイルシート)を利用しています。さらに、キーワードのクラス(a.keyword)は、はてなダイアリーの独自拡張クラスです。そ…

トップページの更新履歴

トップページの各日記の更新履歴ですが、リンク先をアンテナの形式に合わせました。主なブラウザでは、既読、未読が色の変化で分かるようになりました。

アンテナアクセス時のモジュールの動作

試行錯誤をして頂いておりますが、「Hatena Antenna」がアクセスしてきた時は、モジュールが動作しないよう設定を行ないました。これで、antennaモジュールによって表示された文字列の変化をアンテナが拾ってしまうということはなくなると思います。(複雑で…

携帯端末への対応

携帯メールアドレスを登録されている方は、コメント登録通知メールの送信先に携帯のアドレスも登録できるよう変更を行いました。また、携帯から日記ページへアクセスした際に、ゲストでもコメントが書ける日記については、携帯画面よりコメントの入力ができ…

コメントのメール通知機能

日記にコメントが登録された際に、メールで通知する機能を追加しました。設定画面から設定を行って頂きますと、ユーザー登録して頂いているメールアドレスに通知します。掲示板ほかでご意見いただいた皆様、ありがとうございました。 最近のコメント一覧表示…

キーワード属性の継承について

子キーワードは、親キーワードの属性を継承するように変更を行いました。例えば現在の状態を例に取りますと、「千と千尋」の属性 作者:宮崎駿 監督 年:2001 URL:http://www.ntv.co.jp/ghibli/sennokami/index2.html は、「千と千尋」の編集画面で登録され…

携帯端末の自動判別

昨日から開始しています携帯電話端末用ページですが、携帯端末からアクセスした場合は自動的にその画面が表示されるよう変更を行いました。 PC同様、http://d.hatena.ne.jp/ からアクセスいただけます。

携帯用画面

更新だけできて閲覧ができなかった携帯電話端末ですが、携帯用画面を作りました。 http://d.hatena.ne.jp/ユーザー名/mobile でアクセスして下さい。 日記作者の設定に関わらず、1日ごとに表示されます。USER_AGENTによる自動画面切り替えなどは行っていませ…

リンク元の記録

リンク元の記録についてですが、リンク元は現在、該当する(閲覧された)日付の日記に対して記録されるのではなく、既に記録されている中で最新の日記を探して、その日記に対して記録を行っています。 恐らく、未来の日記を書かれてからは、そちらに全て記録…

XSS脆弱性について

続いてこれもawacsさんにご指摘いただいた点ですが、XSSの脆弱性に関連して、タグ中でのイベントハンドラの使用を禁止する対処を行いました。 引き続き、ご指摘頂ければと思います。

他人が投稿したコメントを削除できてしまう不具合を修正しました。awacsさん、ご指摘ありがとうございました。

1ページの表示日数

1ページに表示する日数を設定画面で指定可能にしました。metalgreyさん、ありがとうございました。

続antennaモジュール

antennaモジュールについて、 表示件数 日付の書式 タイトルの最大長 グループIDを指定頂けるよう変更を行いました。 詳しくはヘルプに書きましが、このページのアンテナでは現在、<hatena name="antenna" listlimit="50" dateformat="%e %H:%i:%s" titlelength="20">という書式で表示を行っています。 また、antennaモジュールの速度ですが、</hatena>…

URLの自動リンク

不要な文字がリンクとならないよう変更しました。ご指摘ありがとうございました。Perlメモは参考になりましたが、正規表現は自作簡易判定です。