スポンサーサイト

■ スポンサー広告 Posted by ひぐま (Higmmer) on -------- at --:--:--
上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

Sage++ (Higmmer's Edition) 1.3.8f & Read Manager for Sage++ 1.0.1 リリース

■ 自作ソフト Posted by ひぐま (Higmmer) on 2006-10-31 at 22:09:34

◆共有テーマ: Firefox [コンピュータ]

本日、「Sage++ (Higmmer's Edition) 1.3.8f」及び「Read Manager for Sage++ 1.0.1」を公開しましたのでお知らせします。

それぞれの更新内容は以下の通りです。

【Sage++ (Higmmer's Edition) 1.3.8f】 2006/10/31

  • タグ除去の結果エントリタイトルが空になってしまうことがあったのを修正
  • Firefox 2.0でフィード検索が動作しなかった問題を修正
  • [フィードを開くと同時に全て既読にする]がオンの状態で自動更新を行った時、
    一瞬現在の項目リストがちらついて表示されていたのを修正(実害無し)

【Read Manager for Sage++ Version 1.0.1】 2006/10/31

  • 初期化中及びセーブ/ロード時のエラー処理を追加
  • Read Manager無効時の処理中メッセージの消し忘れを修正
  • タイトルが空のエントリを既読にするとエラーが起こっていた不具合を修正
  • タイトルに"\"を含むエントリがあるとデータが読み出せなくなる不具合を修正
  • Firefox 2.0で操作パネルを左上以外に配置すると操作ができなかった不具合を修正
  • Firefox 2.0で終了中に画面が乱れることがあったのを緩和
  • キー押下でスクロールした時の画面が少し見苦しかったのを修正
  • J,Kキー押下後にカーソル位置のエントリが選択されてしまわないようにした
  • エントリ上では左クリック以外を無視するように変更
  • ドキュメント修正

【重要なお知らせ】

  • Version 1.0.1ではUser-Agentの値を見てFirefoxのバージョンを自動判別していますが、User-Agentをデフォルトから変更しているなどの理由で自動判別ができない場合は、設定ファイルを編集して明示的にブラウザバージョンを指定する必要があります。
  • Read Manager 1.0.0 において、タイトルに"\"を含むエントリを既読にした状態でデータを保存すると、それ以降そのデータが読み出せなくなるという不具合がありました。今回のバージョンではその問題が修正されています。新しいバージョンでは破損データを検出した場合はそのデータを破棄して再作成します。
スポンサーサイト

Firefox 2.0でRead Manager for Sage++の操作がおかしくなる件

■ 自作ソフト Posted by ひぐま (Higmmer) on 2006-10-30 at 18:20:27

◆共有テーマ: Firefox [コンピュータ]

うちも世間の波にあがないきれず(笑)、ようやくFirefox 2.0をインストールしてみました。で、昨日リリースした「ReadManager for Sage++」の動作確認を行ったところ、早速以下の不具合を確認しましたorz。

  • 操作パネルを左上以外に配置すると、マウスによるボタン操作ができない

この症状が起こった方は、とりあえず"ReadManager.js"の530行目を以下のように修正することで回避できます。

readManager.setOffset(ox, oy, viewPosition); ↓ readManager.setOffset(0, 0, viewPosition);

これはFlashオブジェクトを半透明にしたとき、ボックスを左上以外の位置に配置するとFlash側で正しい座標が取得できなかった問題に対処するために入れたコードですが、Firefox 2.0ではその現象が発生しないため、対策があだとなってしまっていたようですorz。

もうすこし他の動作も検証してから、ブラウザ判別コードを入れ込んだ修正版を近日中にリリースしたいと思いますので、Fx2.0ユーザーの方はそれまでは上記の暫定対策でしのいで下さい。

Read Manager for Sage++ の使い方マニュアル

■ 自作ソフト Posted by ひぐま (Higmmer) on 2006-10-29 at 21:06:11

◆共有テーマ: Firefox [コンピュータ]

こちらのエントリで公開している「Read Manager for Sage++」の基本的な使い方を説明します。

>>続きを読む

Read Manager for Sage++ 公開!

■ 自作ソフト Posted by ひぐま (Higmmer) on 2006-10-29 at 21:05:30

◆共有テーマ: Firefox [コンピュータ]

当ひまグで公開している「Sage++ (Higmmer's Edition)」の機能を更に拡張し、より利便性を高めることができるツールとして、ここに「Read Manager for Sage++」をリリースします。

(説明を飛ばしてインストール方法に進みたい方はここをクリック)

【新着情報】
・2014-06-10 Version 1.4.5 公開 [New!]
・2013-04-01 Version 1.4.4 公開
・2012-06-10 Version 1.4.3 公開
(更新内容の詳細はこちらを参照)

Read Manager for Sage++の特徴

  1. Google Readerライクな操作性と既読・未読管理を実現しました
    • もう前に読んだエントリを何回も目にする必要はありません
    • フィードを閉じる際に残っているエントリを自動的に既読にすることができます
    • 勿論、未読エントリのみ表示⇔全て表示の切り替えも可能
    • Sage++ (Higmmer's Edition)に備わっている新しい更新チェック機能と組み合わせれば、わずかな操作で次々と新着エントリのみを読んでいくことができます
  2. マウスでもキーボードでも快適な操作方法を提供します
    • 各エントリ上にマウスオーバーするだけで自動的に既読にすることができます
    • 更にクリックひとつで既読・未読を切り替えることもできます
    • Sage++ (Higmmer's Edition)に備わっているキー操作と組み合わせれば、キーボードのみで殆ど全ての操作を行うことが可能になります
  3. 既読・未読管理に機能を絞り込んでいる分、軽快に動作します
  4. ローカルブラウザ内で動作するソフトなので、システムへの常駐やサーバーソフトも必要ありません
  5. 日本語コメント付きの完全なソースコードを同梱していますので、必要に応じて機能追加を行うこともできます(笑)

スクリーンショット

Read Manager for Sage++ スクリーンショットクリックで拡大

Read Manager for Sage++をインストールした状態で当ひまグのフィードをコンテンツエリアに読み込んだ様子。既読/未読エントリが色分けされている他、右下に小さな操作パネルが表示されているのが分かる。

>>続きを読む

Sage++ (Higmmer's Edition)の新しいメニュー及び操作方法について

■ 自作ソフト Posted by ひぐま (Higmmer) on 2006-10-28 at 18:10:45

◆共有テーマ: Firefox [コンピュータ]

Last updated on 2011-09-25

Sorry, English document is not available.

このエントリではSage++ (Higmmer's Edition)で追加された新しいメニュー項目とマウス/キーボードによる操作方法ついて説明します。

>>続きを読む

Sage++ (Higmmer's Edition) 1.3.8e リリース

■ 自作ソフト Posted by ひぐま (Higmmer) on 2006-10-28 at 17:49:13

◆共有テーマ: Firefox [コンピュータ]

本日、「Sage++ (Higmmer's Edition) 1.3.8e」を公開しました。現在、こちらのエントリからダウンロードできます。

今回の更新内容は以下の通りです。

  • 検索エンジンにBulkfeeds,del.icio.us,diggを追加
  • 一部フィードが正しく読み込めないことがあったのを修正
  • フィードを開くと同時に自動的に全て既読にする機能を追加
  • 自動更新で開くフィードは設定に関わらず常に新しいタブで開くように変更
  • エントリ著作者情報(creator/author要素)に対応
  • 再生ボタンの背景が透過色になるように修正
  • テクノラティアイコンの横にはてなブックマークアイコンを追加
  • 「Read Manager for Sage++」に対応

上から3番目までの内容はコメントを頂いた方々からのフィードバックをもとにしました。この場を借りてお礼申し上げます。

尚、ユーザースクリプト機能により既読/未読管理を実現する「Read Manager for Sage++」は現在リリース準備中です。もう暫くお待ち下さい。 →リリースしました。こちらのエントリへどうぞ [10/29 追記]

Sage++ (Higmmer's Edition)で未読/既読管理を実現する「Read Manager for Sage++」制作進行中!

■ 自作ソフト Posted by ひぐま (Higmmer) on 2006-10-25 at 01:02:42

◆共有テーマ: Firefox [コンピュータ]

リリース版を公開しました。こちらのエントリへどうぞ。 [10/29 追記]

こちらのエントリで公開している「Sage++ (Higmmer's Edition)」に未読/既読管理機能を追加して利便性を飛躍的に(?)向上させるためのアドオンツールとして、「Read Manager for Sage++」の開発を現在急ピッチで行っています。

動作イメージはこんな感じ(実際に動作している画面をキャプチャしました)。

現在のところ、以下の機能の実装がほぼ完了しています。

  • エントリの未読/既読状態の管理
  • 未読/総エントリ数の画面表示、及び色分け表示
  • 未読エントリのみ表示⇔全て表示をボタンひとつで切り替え可能
  • フィード毎の履歴削除と全データの一括消去
  • 操作パネルの表示/非表示切り替え
  • Google Readerライクなキーボード操作

「Read Manager for Sage++」はSage++ (Higmmer's Edition) 1.3.8c 以降に備わっているユーザースクリプト機能によって動作します。但し、それだけではJavascriptのセキュリティ制約によってローカルファイルへのデータ保存ができないため、履歴データの保存/読込を実現するためにActionScript 2.0で開発したFlashアプリケーションを使用しています(上のスクリーンショットで右下に表示されている操作パネルがそれ)。ActionScriptに触るのは今回が初めてだったので少し試行錯誤が必要でしたが、なんとか目指す機能が実現できる見通しが立ったため今回発表することにしたというわけです。

あと残っている作業は、いくつかのマウス操作とキーボードショートカットを追加して操作性の向上を図ることと、履歴データ管理部のデバッグのために暫く使い込んでみること。特にデータ肥大化を防ぐための処理を入れるべきかどうかで現在悩んでいるところなのですが…。

あ、期待しすぎて後でがっかりしないために念のため付記しておきますが、管理するのはあくまでも各エントリの既読/未読状態だけで、フィードそのものをローカルに蓄積する機能はありませんし、実装の予定もありません。そういった目的のためには全く使えませんので悪しからず。

それでも欲しいという人は果たしてどれくらいいるのかな…? 興味がある方はコメント欄にでも一言書いて下されば励みになります(だからといってリリースが早くなる保証はありませんが(笑))。

Firefox/翻訳パネルでYahoo!翻訳を使う方法

■ ネット Posted by ひぐま (Higmmer) on 2006-10-22 at 03:26:48

◆共有テーマ: Firefox [コンピュータ]

なんか某所で要望があるみたいなので作ってみました。翻訳パネル1.4.13+用です。

但し、今回は上記ファイルをインポートするだけではダメで、ちょっとソースコードをいじる必要があります。対象はプロファイルフォルダの中にある以下のファイルです。

  • extensions\translation@nazo\chrome\translation\content\translation\http.js

上記ファイルをバックアップした上で、193行目を次のように変更します。

uploadChannel.setUploadStream(strIStream, /*null*/"application/x-www-urlencoded", -1); ↓ uploadChannel.setUploadStream(strIStream, /*null*/"application/x-www-form-urlencoded", -1);

このように変更した上でFirefoxを再起動すれば、Yahoo!翻訳が動作するようになるはずです。この変更をしても他の翻訳サイトの動作に支障はないことは一応確認していますが、万が一おかしくなるようでしたら元に戻して下さい。

ただ、個人的にはYahoo!翻訳が動いても日⇔英中韓だけなのであまり嬉しくはないのですが……。本当はinfoseek翻訳が使えるようにしたかったんですが、こっちはちゃんとCookieとtokenのペアで認証してるっぽいので(※)、ソースコードの大幅改造無しに動かすのは難しそうです(´・ω・`)

(※) 試しにCookieを禁止してアクセスすれば分かります。

>>続きを読む

Firefox/翻訳パネルでGoogle翻訳が動かなくなっている件

■ ネット Posted by ひぐま (Higmmer) on 2006-10-20 at 17:13:52

◆共有テーマ: Firefox [コンピュータ]

謎小屋さんで公開されているFirefoxの拡張機能「翻訳パネル 1.4.13+」でGoogle翻訳が動かなくなってお困りの方へ。

上記ファイルをダウンロードして、このページに書いてある手順同様に操作すると幸せになれると思います。

何らかの事情で古いバージョンの1.4.13をお使いの方は、このファイルをダウンロードしてこのエントリの下の方に書いてある要領で作業すると直るかも知れません(試してないけど、たぶん大丈夫)。

(追記) World Lingoについては、Javascriptで動的にページを生成するようになっているので、簡単に修正するのは無理っぽいです(´・ω・`)

(更に追記) 作者さんのページで修正版がリリースされました。RDFのインポートに関するバグも修正されているようなので、まだの方はアップデートされることをおすすめします。

Sage++ (Higmmer's Edition) 1.3.8d リリース

■ 自作ソフト Posted by ひぐま (Higmmer) on 2006-10-19 at 23:55:34

◆共有テーマ: Firefox [コンピュータ]

本日、「Sage++ (Higmmer's Edition) 1.3.8d」を公開しました。現在、こちらのエントリからダウンロードできます。

今回の更新内容は以下の通りです。

Sage++ (Higmmer's Edition)のポッドキャスト再生機能について

■ 自作ソフト Posted by ひぐま (Higmmer) on 2006-10-17 at 02:38:41

◆共有テーマ: Firefox [コンピュータ]

Last updated on 2011-09-25

Sorry, English document is not available.

Sage++ (Higmmer's Edition)ではポッドキャスト用に配信されているフィードに対応しています。といっても指定されたファイルに対する再生ボタンを表示するだけであり、それらを実際に受信/再生するには各メディアファイルに対応したFirefox用プラグイン又は各種プレーヤーソフト等が必要です。

ポッドキャストファイルを再生する

ポッドキャストファイルを再生するにはツールメニューの「フィードをコンテンツエリアに読み込む」がオンになっている必要があります。その状態でポッドキャストに対応したフィードを開くと、各エントリのテクノラティアイコンの横に再生ボタンが表示されます。

ポッドキャスト対応フィードの表示

ポッドキャスト対応フィードの表示例 (毎日新聞ポッドキャストより)

通常のリンクと同様、この再生ボタンをクリックするとFirefox本体でのオプション設定に従ってファイルがダウンロードされ、それぞれのメディアファイルに対応したプラグイン又は関連付けられた外部プレーヤー等で再生することが可能となります。

>>続きを読む

Sage++ (Higmmer's Edition) 1.3.8cにユーザースクリプト機能搭載!

■ 自作ソフト Posted by ひぐま (Higmmer) on 2006-10-14 at 22:07:08

◆共有テーマ: Firefox [コンピュータ]

本日、「Sage++ (Higmmer's Edition) 1.3.8c」を公開しました。現在、こちらのエントリからダウンロードできます。

今回の更新内容は以下の通りです。

  • ユーザースクリプト機能を実装
  • CSSフィルタでstyle要素内の制御文字が削除されないことがあったのを修正

ユーザースクリプト機能とは、Javascriptを記述することによってコンテンツエリアにフィードを表示した際の動作をカスタマイズすることができる機能です。greasemonkeyの超超超簡易版みたいなものと言った方が早いかな?

これでどんなことができるのか、サンプルを用意してみました。

>>続きを読む

Sage++ (Higmmer's Edition)の新しい更新チェック機能について

■ 自作ソフト Posted by ひぐま (Higmmer) on 2006-10-13 at 04:06:29

◆共有テーマ: Firefox [コンピュータ]

Last updated on 2011-09-25

Sorry, English document is not available.

Sage++ (Higmmer's Edition)では、更新チェック機能を拡張して次の3つのことが可能となっています。

  • 更新されたフィードを自動的に開く
  • 更新されたフィードを1つのタブにまとめて開く (Version 2.0.0以降で対応)
  • 更新チェックのタイムアウト時間を設定する

以下、これらの機能について説明します。

更新されたフィードを自動的に開く (まとめ読み機能)

※Version 2.3.5で行われた仕様変更(機能追加)についてこちらのエントリも参照して下さい。

更新チェック実行時に、更新されたフィードを自動的に開くことができる機能です。ツールメニュー又は設定ダイアログ内の「更新されたフィードを自動的に開く」がオンの時に有効となります。

新しいツールメニュー

更新チェックを開始するには以下のいずれかの操作を行います。

  • 全てのフィードを一括してチェックするには
    → ツールバーの更新チェックアイコンを押す
  • 特定のフォルダ内のフィードをチェックするには
    → フォルダ上を右クリックして表示されるメニューから更新チェックを選択
    → 又はフォルダ上でミドルクリックするか、"Alt+C"を押す (Higmmer's Edition独自操作)

>>続きを読む

Sage++ (Higmmer's Edition)のHTMLフィルタの設定方法について

■ 自作ソフト Posted by ひぐま (Higmmer) on 2006-10-12 at 21:14:55

◆共有テーマ: Firefox [コンピュータ]

Last updated on 2011-09-25

このエントリではSage++ (Higmmer's Edition)に搭載されているHTMLフィルタの設定方法について説明します。

このHTMLフィルタは許可する要素/属性等を指定するホワイトリスト方式を採用しています(CSSフィルタはブラックリスト方式)。フィルタの設定はユーザーが必要に応じてカスタマイズすることができます。但し、当然ながら「HTMLタグを許可する」がオフの場合は全てのHTMLタグが無条件で遮断されます。

Sage++ 1.3.9以前において公式版から引き継いでいた高速HTMLフィルタは脆弱性を含む深刻な欠陥が判明したため、1.3.10より廃止されました。脆弱性の詳細はこちらを参照して下さい。

This entry describes how to customize HTML filters implemented on Sage++ (Higmmer's Edition).

This filter is based on whitelist that specifies allowing elements and attributes (CSS filter is based on blacklist however). In spite of the setting, all HTML tags will be rejected if "Allow HTML tags" is disabled, of course.

Fast HTML Filter in Sage++ 1.3.9 (or less) that had been copied from the original, was removed from 1.3.10 due to detection of serious vulnerabilities.

>>続きを読む

Sage++ (Higmmer's Edition) 1.3.8b リリース

■ 自作ソフト Posted by ひぐま (Higmmer) on 2006-10-11 at 23:21:15

◆共有テーマ: Firefox [コンピュータ]

本日、「Sage++ (Higmmer's Edition) 1.3.8b」を公開しました。現在、こちらのエントリからダウンロードできます。

今回の更新内容は以下の通りです。

  • CSS内の文字参照をちゃんとデコードしてからフィルタ処理するようにした(*)
  • CSS内の文字参照でも特殊文字のエスケープでもない"\"を"\5c "に変換するようにした
  • CSS内のタブや改行以外の制御文字を削除するようにした
  • CSSフィルタのデフォルト設定に一部不備があったのを修正
  • CSSフィルタのデフォルト遮断対象にcontentプロパティを追加した
(*) 1.3.8aでは単に"\"を"!"に置換することで逃げていました(但しstyle属性内のCSSコードについては以前からデコードされていました)。

……ふぅ。これでスタイルシート絡みの脆弱性対策としてはだいたい終わったかなという感じです。怒涛の更新ラッシュもとりあえず一段落といったところ。ただ、今回の修正を通じてスタイルシートについては色々と厄介な問題があることが分かりました。少なくともstyle要素についてはページ全体に影響を及ぼす記述が可能なこともあり、HTMLフィルタの許可対象には加えるべきではないと思います。

[警告] Sage 1.4にもスクリプトインジェクション脆弱性があります

■ ネット Posted by ひぐま (Higmmer) on 2006-10-11 at 20:25:22

◆共有テーマ: Firefox [コンピュータ]

Firefoxの拡張機能Sage 1.3.xのスクリプトインジェクション脆弱性についての情報が出て以来、当ひまグで公開しているSage++ (Higmmer's Edition)についても見つかった脆弱性については可能な限り対策を施してきましたが、やればやるほど奥が深いというか、どんなに対策しても100%安心安全にするのは不可能なのではないか? と最近思い始めています(できる限りのことはしているつもりですが)。

ところで、自分はSage 1.4系を使っているから関係ない、と思っている方はいませんか? 果たして本当に大丈夫なのでしょうか。まずは下のスクリーンショットを見て下さい。

上の画像は先ほど開発ページからダウンロードした10/11時点のSage 1.4 Nightly Build(*)で「ある仕掛け」を混入させたフィードを表示させた様子です。ローカルにある画像ファイルが表示されているだけでなく、hostsファイルの中身をJavascriptで取得することに見事に成功しています。しかも、このために行った操作は単にフィードを表示させただけです((((;゚Д゚)))ガクガクブルブル

(*) 公式版Sage 1.3.8や、まとめサイトにある"sage_1.4nightly_30-Sep-2006_fx2_mod3.xpi"でも同様(使用環境はWindowsXP + Firefox 1.5.0.7)。

ちなみにこの脆弱性は、Firefoxのオプション設定やNoScript拡張などでJavascriptを禁止にしても防ぐことはできませんでした。Sageのオプションで「HTMLタグを許可する」をオフにした場合は発生しませんが、その場合は何故か他のフィードも含めて全く表示されなくなってしまいました(読み込み中のまま動かない)。結局、まともに使うためには「コンテンツエリアにフィードを読み込む」をオフにするしかないようです。

この脆弱性については一応本家の方に報告(Bugzillaアカウントは持ってないのでメールで)してあるのですが、今のところ反応はありません。Sage 1.4ユーザーの方はくれぐれもご注意を。

尚、当然のことながらうちで配布しているSage++ (Higmmer's Edition)ではこの問題は対策済みです。


(2007/1/31追記)
上記脆弱性は公式版Sage 1.3.9で修正されています。
但し、Sage 1.4においては未だ修正されていない模様です(2007/1/31現在)
対策方法に関する情報はこちらのエントリにまとめてあります。

Sage++ (Higmmer's Edition) 1.3.8a リリース

■ 自作ソフト Posted by ひぐま (Higmmer) on 2006-10-10 at 00:01:43

◆共有テーマ: Firefox [コンピュータ]

本日、「Sage++ (Higmmer's Edition) 1.3.8a」を公開しました。現在、こちらのエントリからダウンロードできます。

今回の更新内容は以下の通りです。

  • 密かにSage 1.3.x++からSage++ 1.3.xに改名(相変わらず先見性無いな>自分(^^;)
  • URIフィルタの処理対象にcite属性を加えた
  • CSSフィルタの正規表現式から"m"オプションを削除
  • CSS中の文字参照及び不正な"\"の挿入を無効化するようにした
  • 更新チェック時のタイムアウト機能を追加

ここんとこほぼ2日に1回のペースで更新していますが…、調べれば調べるほど思いもよらぬ攻撃方法があるわあるわ……。なんか完璧に対策するのは不可能な気がしてきました(HTML/CSSを全面的に禁止する以外の方法で)。ちなみに今回の修正は「はてなダイアリーXSS対策」の情報を参考にしました。また、更新チェック時のタイムアウト機能については「Firefox Hacks 翻訳日記」さんの改造版から取り入れさせて頂きました。この場を借りてお礼申し上げます。

Sage 1.3.8++ (Higmmer's Edition) 公開!

■ 自作ソフト Posted by ひぐま (Higmmer) on 2006-10-07 at 21:31:21

◆共有テーマ: Firefox [コンピュータ]

本日、Sage 1.3.8++ (Higmmer's Edition) を公開しました。現在、こちらのエントリからダウンロードできます。

今回の更新内容は以下の通りです。

  • 公式版 Sage 1.3.8 で更新された以下の内容を反映
    • Firefox 2.0で表示設定が保存されない問題を修正
    • HTMLフィルタ(高速)にてparam属性を新たに除去対象に加えた
  • 新たに見つかったスクリプトインジェクション脆弱性を修正

今回の脆弱性はある読者の方からご報告頂いて判明したものです。情報提供に感謝します。もし、他にも脆弱性や不具合を見つけた方がおられましたらコメント欄かメールフォームにてご報告下さい。

Sage 1.3.7++修正終了 / Sage 1.3.8リリース

■ 自作ソフト Posted by ひぐま (Higmmer) on 2006-10-06 at 02:19:39

◆共有テーマ: Firefox [コンピュータ]

昨日公開したSage 1.3.7++で未対策の脆弱性が見つかったため一時配布を中止していましたが、その修正と確認作業が終了しましたので、改めて配布を再開します。こちらのエントリからどうぞ。

また、そうこうしているうちに、公式ページの方でもSage 1.3.8がリリースされたようです。Firefox 2.0で設定が保存されないバグの修正と、HTMLフィルタでparam要素を除去対象に加えたっぽい。

が、しかぁし!! 残念ながらこちらで見つけた脆弱性(*)については未だ対策されていないもよう。なので、Firefox 1.5を使っている方はこちらで公開しているSage1.3.7++を使用されることをオススメします。うちのバージョンでは、「詳細」フィルタを使えばparam要素などは明示的にフィルタを記述しない限り許可されませんので。

(*) 手元には脆弱性の実証コードもあるのですが、その前に本家の方に報告した方が良さそう……。

Firefox/Sage++ (Higmmer's Edition) 旧公開ページ

■ 自作ソフト Posted by ひぐま (Higmmer) on 2006-10-05 at 18:03:17

◆共有テーマ: Firefox [コンピュータ]

Sage++ (Higmmer's Edition)の最新バージョンはこちらで公開しています。
ここにあるのは古いバージョンの更新履歴のみです。

Go to here to get the latest Sage++ (Higmmer's Edition).
Here is the changelog (in Japanese) only.

更新履歴 目次

>>続きを読む

改造版 Sage 1.3.6++ の機能強化と修正を行いました

■ 自作ソフト Posted by ひぐま (Higmmer) on 2006-10-03 at 19:45:39

◆共有テーマ: Firefox [コンピュータ]

昨日公開した「Sage 1.3.6++」をバージョンアップしました。現在、こちらのエントリからダウンロードできます。今回の更新内容は以下の通りです。

・HTTPエラー発生時に自動更新が停止することがあったのを修正
・限界オーバーで開かれなかったフィードの数をツリー上部に表示するようにした
・開かれなかったフィードは、次の更新チェック時に優先的に開かれるようにした
・自動更新中に表示されるメッセージを日本語化

ところで、こちらの情報によると、どうやらSageの新バージョン1.3.7がリリースされたようです(拡張機能の自動更新でも表示されます)。但し、現在公式ページがメンテナンス中とのことで更新内容の詳細は不明です(もしかするとスクリプトインジェクションの脆弱性が修正されたのかも? →追記:その通りでした:下記参照)

ちょっと調べて見た上で、うちの改造版Sageにも反映させるかどうかを検討したいと思います。


(追記)

Sage 1.3.7ではスクリプトインジェクションの脆弱性に対する修正がなされたようです。simpleHtmlParserとfilterHtmlHandlerという2つのクラスが追加されており、それによりHTMLのフィルタリングを行っている模様。但しうちの改造版と違って、予め決まった要素/属性のみを除去する方式を取っています。

但し!! 一部対策が不完全な箇所を見つけてしまいました。方法は書きませんが、うちの改造版をテストするために用意しておいたファイルのうちのひとつでjavascriptコードを動作させるのに成功しました。しかも"file://"スキームの除去は行っていないようなので、それらを組み合わせることでセキュリティ上よろしくない問題が発生するおそれがあると思います。

ただ、"simple"と銘打っているだけあってフィルタリング動作自体は軽いという点がメリットといえばメリットでしょうか。うちの改造版を使ってみたけど重すぎてやっとれんという方の次善策としては悪くない選択肢だと思います。

更新フィードの自動読込機能付き 究極版(?)Sage 1.3.6を作ってみた

■ 自作ソフト Posted by ひぐま (Higmmer) on 2006-10-03 at 01:12:44

◆共有テーマ: Firefox [コンピュータ]

新バージョンの公開に伴い、このエントリの内容はこちらに全面的に移行しました。

Google Readerはヤバイかもしんない

■ ネット Posted by ひぐま (Higmmer) on 2006-10-01 at 00:31:13

◆共有テーマ: Google関連 [コンピュータ]

かれこれ1週間ほどかかってFirefoxの拡張機能であるSage 1.3.6をいじくり倒してなんとか使える状態になったと思ったのも束の間、強力なライバル出現。Google Readerが新しくなったというんでちょっと試してみました。

……これはヤバイかもしんない(笑)。

>>続きを読む

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。