[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:33026] Re: [FAQ] /usr/share/doc/ の日本語 html 文書と apache (>=1.3.12)

From: MATSUDA Yoh-ichi / 松田陽一 <matsuda@xxxxxxxxxxxx>
Subject: [debian-users:33026] Re: [FAQ] /usr/share/doc/ の日本語 html 文書と apache (>=1.3.12)
Date: Mon, 20 May 2002 12:37:50 +0900
X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-users-ctl@debian.or.jp; help=<mailto:debian-users-ctl@debian.or.jp?body=help>
X-ml-name: debian-users
X-mlserver: fml [fml 3.0pl#17]; post only (only members can post)
X-moe: ハッピー船橋こと[天才]磯部さちよ; 宮里真央, 當山奈央, 丹羽麻由美, 朝間ユリサ, 岩永幸子, 竹田侑美
X-moe-info: See http://www.x-moe.org/ for detail, and see http://www2.palnet.or.jp/~matsuda/x-moe/ for reference.
X-my-soulful-screaming: ぅぇぃ!
X-respect: 佐藤泰司; Char
References: <20020520.113800.80966025.dombly@xxxxxxxxxxxxxxxx>
Message-id: <20020520.123749.41654246.matsuda@xxxxxxxxxxxx>
X-mail-count: 33026
X-mailer: Mew version 2.2 on Emacs 20.7 / Mule 4.1 (AOI)

こんにちは。松田陽一@PAL-NET三鷹です。

From: INOUE Hiroyuki <dombly@xxxxxxxxxxxxxxxx>
Subject: [debian-users:33024] [FAQ] /usr/share/doc/ の日本語 html 文書と apache (>=1.3.12)
Date: Mon, 20 May 2002 11:39:23 +0900

> [Q] /usr/share/doc/path_to_doc/ 以下に apache 経由で
>     http://localhost/doc/path_to_doc/ のようにしてアクセスすると，
>     日本語の文書が文字化けします。

実は、一昨日からこの問題について調べ直しているところです。

> [補足]
> 
> * セキュリティ上の理由から，apache (>= 1.3.12) のデフォルトでは
>   httpd.conf の中で AddDefaultCharset on と設定されています。
>   このため apache は META タグを無視して Content-Type ヘッダに
>   誤った文字コード charset=iso-8859-1 を送出してしまいます。
> 
> * といって，AddDefaultCharset を切ってしまう (出現行をコメント
>   アウトするとか off にするとか) のは **危険** です。
>   Cf. http://httpd.apache.org/info/css-security/

上記 apache の web page には、何故 charset を送出しなければならない
のか、についての説明はないと読み取りました。
charset を出す必要性については

   リンク名 CERT/CC Understanding Malicious Content Mitigation For Web
          Developers
        URL: http://www.cert.org/tech_tips/malicious_code_mitigation.html

に書いてあります。

が、ここに書いてあることが理解できません。
恐らく、書いてあることは

「 128個以上の文字コード体系(マルチバイトコード体系)の中には、
ISO-8859-1 にある特殊文字、例えば < > & 等を含むものも存在する。
これらが charset を誤って解釈されることにより、予想し得ないクロス
サイトスクリプティング攻撃ができる可能性がある。」

ということじゃないかと読み取りました。

# この時点で間違ってたらご指摘願います。

ただ、これだけで <script> 等の文字列に誤解釈できる可能性って、
本当にあるのでしょうか?
--
夜に帰るため夜に帰るため夜に。
松田 陽一(yoh)
mailto:matsuda@xxxxxxxxxxxx
http://www2.palnet.or.jp/~matsuda/index.htm

Follow-Ups:
- [debian-users:33031] Re: [FAQ] /usr/share/doc/ の日本語 html 文書と apache (>=1.3.12)
  - From: Masaki Ikeda
- [debian-users:33044] Re: [FAQ] /usr/share/doc/ の日本語 html 文書と apache (>=1.3.12)
  - From: INOUE Hiroyuki

References:
- [debian-users:33024] [FAQ] /usr/share/doc/ の日本語 html 文書と apache (>=1.3.12)
  - From: INOUE Hiroyuki

Prev by Date: [debian-users:33025] Re: driver-X.bin の作成法は？
Next by Date: [debian-users:33027] Re: rescue disk の中の install.sh はどこから起動される？
Previous by thread: [debian-users:33024] [FAQ] /usr/share/doc/ の日本語 html 文書と apache (>=1.3.12)
Next by thread: [debian-users:33031] Re: [FAQ] /usr/share/doc/ の日本語 html 文書と apache (>=1.3.12)
Index(es):
- Date
- Thread