[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:33026] Re: [FAQ] /usr/share/doc/ の日本語 html 文書と apache (>=1.3.12)



こんにちは。松田陽一@PAL-NET三鷹です。

From: INOUE Hiroyuki <dombly@xxxxxxxxxxxxxxxx>
Subject: [debian-users:33024] [FAQ] /usr/share/doc/ の日本語 html 文書と apache (>=1.3.12)
Date: Mon, 20 May 2002 11:39:23 +0900

> [Q] /usr/share/doc/path_to_doc/ 以下に apache 経由で
>     http://localhost/doc/path_to_doc/ のようにしてアクセスすると,
>     日本語の文書が文字化けします。

実は、一昨日からこの問題について調べ直しているところです。

> [補足]
> 
> * セキュリティ上の理由から,apache (>= 1.3.12) のデフォルトでは
>   httpd.conf の中で AddDefaultCharset on と設定されています。
>   このため apache は META タグを無視して Content-Type ヘッダに
>   誤った文字コード charset=iso-8859-1 を送出してしまいます。
> 
> * といって,AddDefaultCharset を切ってしまう (出現行をコメント
>   アウトするとか off にするとか) のは **危険** です。
>   Cf. http://httpd.apache.org/info/css-security/

上記 apache の web page には、何故 charset を送出しなければならない
のか、についての説明はないと読み取りました。
charset を出す必要性については

   リンク名 CERT/CC Understanding Malicious Content Mitigation For Web
          Developers
        URL: http://www.cert.org/tech_tips/malicious_code_mitigation.html

に書いてあります。

が、ここに書いてあることが理解できません。
恐らく、書いてあることは

「 128個以上の文字コード体系(マルチバイトコード体系)の中には、
ISO-8859-1 にある特殊文字、例えば < > & 等を含むものも存在する。
これらが charset を誤って解釈されることにより、予想し得ないクロス
サイトスクリプティング攻撃ができる可能性がある。」

ということじゃないかと読み取りました。

# この時点で間違ってたらご指摘願います。

ただ、これだけで <script> 等の文字列に誤解釈できる可能性って、
本当にあるのでしょうか?
--
夜に帰るため夜に帰るため夜に。
松田 陽一(yoh)
mailto:matsuda@xxxxxxxxxxxx
http://www2.palnet.or.jp/~matsuda/index.htm