tDiary

ほそのひでともと申します。

 To: tdiary-devel@lists.sourceforge.net
 From: TADA Tadashi <sho@spc.gr.jp>
 Subject: [tDiary-devel] Re: Fw: URI encoding of referer of tDiary
 Date: Mon, 14 Jul 2003 11:34:50 +0900
 
 > まずto_euc(NKFモジュール使用)が、与えられた文字列の文字コードを誤認識す
 > る可能性はあります。refererに含まれる日本語は短いので、判定をミスってし
 > まい、EUCにしたつもりが結果的にSJISの断片になる……ということはあるかも
 > 知れません(未検証)。

かなりあてずっぽなのですが、
いわゆる半角カナ混じりだったとかでしょうか?

hankakukana.txtという名前で、「半角カナテキスト\r\n」
という内容(カナテキストは実際にはJISX0201カナ)のファイルを作成し、
Shift_JISで保存し、読ませてみたところ、以下のようになりました。

 h12o@zero:~/Desktop/2003-07$ irb
 irb(main):001:0> require 'jcode'
 => true
 irb(main):002:0> str = File::new("hankakukana.txt").read
 => "\224\274\212p\266\305\303\267\275\304\r\n"
 irb(main):003:0> str.toeuc
 => "\310\276\263\321\266\305\303\267\275\304\r\n"
 irb(main):004:0> str.length
 => 12
 irb(main):005:0> str.toeuc.length
 => 12

どうも「カナテキスト」の個所は変換されていないっぽいです。

## もしきちんとEUC-JPに変換されているなら、半角カナは2バイトになります。

 > いずれにしても、tDiary側でEUC化後のreferer文字列に不正な文字コードが含ま
 > れていたらエスケープする、というのはアリだと思います。これを実現する確実
 > な手法があるかどうか、よくわかっていません(単にCGI:::escapeHTMLすればい
 > いのかなぁ?)。

 irb(main):006:0> require 'cgi'
 => true
 irb(main):007:0> CGI::escapeHTML(str)
 => "\224\274\212p\266\305\303\267\275\304\r\n"
 irb(main):008:0> CGI::escapeHTML(str.toeuc)
 => "\310\276\263\321\266\305\303\267\275\304\r\n"

だめっぽいです。

!ほそのひでとも
:web page: <http://www.h12o.org/~h12o/>
:wiki page: <http://www.momonga-linux.org/~h12o/> (Hikiはじめました)
:fingerprint of GnuPG: 741B C3E1 91C6 054E D787  F32D 0501 EF4D DAE5 63DA

To: tdiary-devel@lists.sourceforge.net
 From: HOSONO Hidetomo <h12o@h12o.org>
 Subject: Re: [tDiary-devel] Re: Fw: URI encoding of referer of tDiary
 Date: Mon, 14 Jul 2003 12:01:22 +0900 (JST)
 
 > かなりあてずっぽなのですが、
 > いわゆる半角カナ混じりだったとかでしょうか?

 > hankakukana.txtという名前で、「半角カナテキスト\r\n」
 > という内容(カナテキストは実際にはJISX0201カナ)のファイルを作成し、
 > Shift_JISで保存し、読ませてみたところ、以下のようになりました。
 > 
 >  h12o@zero:~/Desktop/2003-07$ irb
 >  irb(main):001:0> require 'jcode'
 >  => true
 >  irb(main):002:0> str = File::new("hankakukana.txt").read
 >  => "\224\274\212p\266\305\303\267\275\304\r\n"
 >  irb(main):003:0> str.toeuc
 >  => "\310\276\263\321\266\305\303\267\275\304\r\n"

うぅぅ、すみません。to_eucでした…。

!ほそのひでとも
:web page: <http://www.h12o.org/~h12o/>
:wiki page: <http://www.momonga-linux.org/~h12o/> (Hikiはじめました)
:fingerprint of GnuPG: 741B C3E1 91C6 054E D787  F32D 0501 EF4D DAE5 63DA

To: tdiary-devel@lists.sourceforge.net
 From: HOSONO Hidetomo <h12o@h12o.org>
 Subject: Re: [tDiary-devel] Re: Fw: URI encoding of referer of tDiary
 Date: Mon, 14 Jul 2003 12:06:10 +0900 (JST)
 
 >  > かなりあてずっぽなのですが、
 >  > いわゆる半角カナ混じりだったとかでしょうか?
 > 
 >  > hankakukana.txtという名前で、「半角カナテキスト\r\n」
 >  > という内容(カナテキストは実際にはJISX0201カナ)のファイルを作成し、
 >  > Shift_JISで保存し、読ませてみたところ、以下のようになりました。
 >  > 
 >  >  h12o@zero:~/Desktop/2003-07$ irb
 >  >  irb(main):001:0> require 'jcode'
 >  >  => true
 >  >  irb(main):002:0> str = File::new("hankakukana.txt").read
 >  >  => "\224\274\212p\266\305\303\267\275\304\r\n"
 >  >  irb(main):003:0> str.toeuc
 >  >  => "\310\276\263\321\266\305\303\267\275\304\r\n"
 > 
 > うぅぅ、すみません。to_eucでした…。

改めてNKFで試してみたところ、このセンはないようです。重ねてすみません。

!ほそのひでとも
:web page: <http://www.h12o.org/~h12o/>
:wiki page: <http://www.momonga-linux.org/~h12o/> (Hikiはじめました)
:fingerprint of GnuPG: 741B C3E1 91C6 054E D787  F32D 0501 EF4D DAE5 63DA

坂元です．

TADA Tadashi <sho@spc.gr.jp> wrote:
> いずれにしても、tDiary側でEUC化後のreferer文字列に不正な文字コードが含ま
> れていたらエスケープする、というのはアリだと思います。これを実現する確実
> な手法があるかどうか、よくわかっていません(単にCGI:::escapeHTMLすればい
> いのかなぁ?)。

plugin/00default.rb のreferer_of_today_{short|long}だとすると，
既にCGI::escapeHTMLしてあるので，やるとしたらCGI::escape()だと思
います．

坂本さんからのお願いにあった\033,\016,\017あたりは，
「Understanding Malicious Content Mitigation for Web Developers」
(http://www.cert.org/tech_tips/malicious_code_mitigation.html)
を読む限り，不正な文字コードとされている文字には当てはまらないの
で，CGI::escapeHTMLでは特に処理していないと言うことなのだろうと
推測します．

--
 Hideki SAKAMOTO
 Email: hs@on-sky.net

かずひこです。

At Mon, 14 Jul 2003 12:39:48 +0900 (JST),
HOSONO Hidetomo wrote:

> 『ただ(さん)のにっき』で
> <http://sho.tdiary.net/20030714.html#p02>という話を見て思ったのですが、
> リファラをデフォルトで表示する設定はちょっとどうかなぁ、
> と前から思っていました。
> 
> スパムの問題もありますが、その他にも、
> 明らかにプライベートなセグメントや
> パスワードのかかっているページからのリファラを表示してしまう
> 除外リストを書けばいい、という話もありますが、
> 既に残ってしまった分に関しては除外できなかったと記憶しています。

既に残ってしまった分も「除外リスト」を適用して表示しないようにする、とい
うのはやっぱり高コストすぎでしょうか？

でもそうできないと、デフォルトがどっちであろうが、設定を有効にする限りほ
そのさんの懸念は解決しないと思います。

# ちなみに私は大家の特権で時々不要なリファラのデータを削除しています。
-- 
かずひこ <http://wiki.fdiary.net/kazuhiko/>
  ★シャア「名字が付いてない」
  ☆一兵卒「あんなの飾りです。偉い人にはそれが分からんのです」

ほそのです。

 To: tdiary-devel@lists.sourceforge.net
 From: Kazuhiko <kazuhiko@fdiary.net>
 Subject: Re: [tDiary-devel] referer公開/非公開のデフォルト変更提案
 Date: Mon, 14 Jul 2003 13:06:46 +0900
 
 > > 『ただ(さん)のにっき』で
 > > <http://sho.tdiary.net/20030714.html#p02>という話を見て思ったのですが、
 > > リファラをデフォルトで表示する設定はちょっとどうかなぁ、
 > > と前から思っていました。
 > > 
 > > スパムの問題もありますが、その他にも、
 > > 明らかにプライベートなセグメントや
 > > パスワードのかかっているページからのリファラを表示してしまう
 > > 除外リストを書けばいい、という話もありますが、
 > > 既に残ってしまった分に関しては除外できなかったと記憶しています。
 > ....
 > でもそうできないと、デフォルトがどっちであろうが、設定を有効にする限りほ
 > そのさんの懸念は解決しないと思います。

そう言ってしまえばそうなんですが、
リファラを公開することのメリットとデメリットについて
自覚を促す意味でもデフォルトを変えることには意味があると思っています。

 > # ちなみに私は大家の特権で時々不要なリファラのデータを削除しています。

## それは私に第3tDiary.Netをつくれ(そして大家特権を手に入れろ)
## という暗黙のプレッシャーでしょうか(笑)。

!ほそのひでとも
:web page: <http://www.h12o.org/~h12o/>
:wiki page: <http://www.momonga-linux.org/~h12o/> (Hikiはじめました)
:fingerprint of GnuPG: 741B C3E1 91C6 054E D787  F32D 0501 EF4D DAE5 63DA

ただただしです。

HOSONO Hidetomo <h12o@h12o.org> wrote:
><http://sho.tdiary.net/20030714.html#p02>という話を見て思ったのですが、
>リファラをデフォルトで表示する設定はちょっとどうかなぁ、
>と前から思っていました。

この問題にはいろいろな側面があるので、対象分野ごとに議論した方が良いと思
います。

1. refererの公開性に関する側面

>明らかにプライベートなセグメントや
>パスワードのかかっているページからのリファラを表示してしまう

この意見は、プライベートなサイトへのrefererを表示してしまうことが良くな
いという前提で書かれているようですが、隠しようのない情報というわけでもな
いものなのだから(たとえば2chからのリンクは実質的に隠されているし、企業内
部ならファイアウォールでrefererを削除する方法もある)、勝手に送られて来た
ものを公開して何が悪いのか、という意見もありでしょう。

ちなみに私はアナーキー・サイドの人間なので:-)、公開されて当然という立場
です。少なくともrefererはアクセスしてきた個人を特定する情報ではないので、
そんなに危うい情報ではないと思います。

もちろん議論の余地はあるでしょう。


2. 技術的な側面

>除外リストを書けばいい、という話もありますが、
>既に残ってしまった分に関しては除外できなかったと記憶しています。

記録済みのrefererを除外リストに基づいて再度評価するという方向の議論はあ
りだと思います。この提案はいままで出たことがなかったので、検討されたこと
もありませんが(あったりして)。

表示するたびに毎回評価するのが高コストなら、なんかしらの条件を設けても良
いかも知れません。たとえば日記更新のタイミングで該当日だけ再計算するとか。

他にも、「本日のリンク元」に関する技術的な議論はもっとあってもいいと思う
んですけどね。長く日記を書いていると、ある程度古い日記へのrefererは記録
しなくていいんじゃないかとか、ときどき考えますし。


3. 「本日のリンク元」機能そのものの価値に関する議論

>さらに、tDiaryにTrackBackが実装されている今、
>「折角なんだからTrackBackを活用しよう」という意味もちょっと混ぜて、
>リファラはデフォルトで表示しないよう仕様を変更する、
>ということを提案しようと思うのですが、いかがでしょうか?

「本日のリンク元」機能は、検索キーワードをみんなで見て楽しむというレジャー
を生んだことひとつ取っても、TrackBackではとうてい代替できないと思うので
すが。tDiary公開当初にTrackBackがなかったことを差し引いても、「本日のリ
ンク元」はtDiaryのアイデンティティの一つであり、理由の一つとは言え、
TrackBackを引き合いにして「デフォルトでOFFに」というのは強引すぎると思い
ます。

━━━━━━━━━━━━━━━━━━━
ただただし <http://www.spc.gr.jp/sho/>
    ♪ツッコミは、短く鋭く愛を込めて。
━━━━━━━━━━━━━━━━━━━

zundaです。

リンク元表示について、

> 2. 技術的な側面

だけにコメント。以下のようなやり方もあります、ということで。

> >除外リストを書けばいい、という話もありますが、
> >既に残ってしまった分に関しては除外できなかったと記憶しています。
>
> 記録済みのrefererを除外リストに基づいて再度評価するという方向の議論はあ
> りだと思います。この提案はいままで出たことがなかったので、検討されたこと
> もありませんが(あったりして)。
>
> 表示するたびに毎回評価するのが高コストなら、なんかしらの条件を設けても良
> いかも知れません。たとえば日記更新のタイミングで該当日だけ再計算するとか。

最近、本日のリンク元もうちょっとだけ強化プラグイン
  http://zunda.freeshell.org/d/plugin/disp_referrer2.rb
で、不十分ながら*1、リンク元置換に無いリンク元を表示しないようにしてみました。

外から見る限りではわからないのですが、デフォルトでは、リンク元置換リストにな
いURLは更新時にしか見えないようになっています。日記を書く人は、更新の時*2に
置換リストに無かったURLを眺めて必要ならリンク元置換リストを編集することにな
ります。

自分の日誌をリロードしてみただけなのですが、リンク元の分類に比べてそれほど高
負荷になっているとは感じませんでした。

それでは。

*1 置換後の文字列がhttp://ではじまるかどうかで判断しているので、置換された
   URLを誤判定する可能性があります。
*2 今の実装では、まだ見にくいです。まずは自分の日誌をさきっちょにしないと〜。



------------------------------------------------------------------------
始まった　新番組が　たーくさん by infoseek
http://ap.infoseek.co.jp/tv13.html

ほそのです。

 To: tdiary-devel@lists.sourceforge.net
 From: TADA Tadashi <sho@spc.gr.jp>
 Subject: [tDiary-devel] Re: referer公開/非公開のデフォルト変更提案
 Date: Mon, 14 Jul 2003 14:50:57 +0900
 
 > 2. 技術的な側面
 > 
 > >除外リストを書けばいい、という話もありますが、
 > >既に残ってしまった分に関しては除外できなかったと記憶しています。
 > 
 > 記録済みのrefererを除外リストに基づいて再度評価するという方向の議論はあ
 > りだと思います。この提案はいままで出たことがなかったので、検討されたこと
 > もありませんが(あったりして)。

については、検討していただければと思います。

 > 3. 「本日のリンク元」機能そのものの価値に関する議論
 > ....
 > すが。tDiary公開当初にTrackBackがなかったことを差し引いても、「本日のリ
 > ンク元」はtDiaryのアイデンティティの一つであり、理由の一つとは言え、
 > TrackBackを引き合いにして「デフォルトでOFFに」というのは強引すぎると思い
 > ます。

なるほど。アイデンティティ、とまでおっしゃるのであれば、:-)
この提案自体は取り下げることにします。お騒がせしました。

## 私自身に限れば、実は困っていませんし。:p

!ほそのひでとも
:web page: <http://www.h12o.org/~h12o/>
:wiki page: <http://www.momonga-linux.org/~h12o/> (Hikiはじめました)
:fingerprint of GnuPG: 741B C3E1 91C6 054E D787  F32D 0501 EF4D DAE5 63DA

かずひこです。

At Mon, 14 Jul 2003 15:51:11 +0900,
zundan@infoseek.jp wrote:

> 最近、本日のリンク元もうちょっとだけ強化プラグイン
>   http://zunda.freeshell.org/d/plugin/disp_referrer2.rb
> で、不十分ながら*1、リンク元置換に無いリンク元を表示しないようにしてみ
> ました。
> 
> 外から見る限りではわからないのですが、デフォルトでは、リンク元置換リス
> トにないURLは更新時にしか見えないようになっています。日記を書く人は、
> 更新の時*2に置換リストに無かったURLを眺めて必要ならリンク元置換リスト
> を編集することになります。

第二に disp_referrer2.rb を導入してみましたが、この「不明」扱いのリンク
が更新画面でしか見えないのはけっこう不評だったので、現在は日毎表示でも出
すようにしてしまいました。

# ちなみに「不明」という表現も不評だったので「その他」に変更しています。:)

> 自分の日誌をリロードしてみただけなのですが、リンク元の分類に比べてそれ
> ほど高負荷になっているとは感じませんでした。

それは私も同感です。

で、もし表示の際もリンク元除外リストを参照するように改造するとしたら、表
示の際に除外リストにマッチしたものは記録から消していくようなアツい仕様に
なるのでしょうか？ (爆撃されたときには今後の負荷を減らすという意味で有効
かもしれません)
-- 
かずひこ <http://wiki.fdiary.net/kazuhiko/>
  ★シャア「名字が付いてない」
  ☆一兵卒「あんなの飾りです。偉い人にはそれが分からんのです」