こちら で話になってる UTF-7 を使って XSS 脆弱性となりうるテキストを送り込む話。
IE や Firefox では症状が出るが、Safari っつーか Webkit では無問題。何故って?原因となる「文字コードの自動認識」なんて機能がないから(笑)
自動認識しなくても、手動で UTF-7 を選べば発症するはずですが、選ぼうにも、Safari のメニューには UTF-7 はないなぁ。WebKit を直たたきしてブラウザ作って(先日Chmoxでやったように) Encoding に UTF-7 を指定してみればいいだけの話だが、サポートしているかと言われると微妙に疑問。少なくとも NSString はサポートしてないのよね。KHTML がサポートしているかは知らないけどさ。
ま、気が向いたら適当にサンプルブラウザコードをいじって試してみます。
Chmox の日本語対応版その2です。変更点はメインウィンドウの表示に使っている WebView に対してデフォルトの文字コードを Shift-JIS に固定したことです。これにより、.chm ファイルに埋め込まれた HTML 文書のエンコーディングが正しく受け取れなかったときに、WebView が Latin1 と仮定して描画するのを抑制します。
つまりは、ほとんどの場合正しく表示できる、っつー事です。
添付ファイル: 
Chmox-0.3jp2.dmg
たまたま、きりが良いところだったのでソフトウェアのアップデートとかをちょこちょこやってました。大きいのは mi を 2.1.3 -> 2.1.6 とした事かな。普段から mi は結構使っているのでなかなかアップデートしてられないのですよね。
それと、前から気になってた JapaneseText.mdimporter をインストールしました。これはテキストファイル(UTIで public.plain-text になるもの)を全て日本語のテキストと見なし、文字コードを自動検出し適切なテキストとして Spotlight の内容検索データベースに突っ込んでくれるというものです。これにより、テキストファイルが EUC-JP で書かれていようと ShiftJIS だろうとはたまた UTF-8 だろうときちんと検索できる、そういう訳です。
ダウンロードしたディスクイメージをマウントすると JapaneseText.mdimporter の本体とソースコードがあるので、ホームの下のライブラリフォルダに Spotlight というフォルダを作成、そこにこの「JapaneseText.mdimporter」をコピーします。
あとは、コマンドラインから
[valkyrie:~] shiro% mdimport -r ~/Library/Spotlight/JapaneseText.mdimporter ~/Documents
と、-r オプションで JapaneseText.mdimporter を指定、さらに引数でインデックスを作り直したいフォルダを指定する。すると、mds ( Spotlight のインデックスをメンテするサーバ)が激しく処理をするのでしばらく放ったらかしておく。特にこの JapaneseText.mdimporter を入れると、日本語処理のため LAServer も CPU パワーを激しく喰って暴走したかと思われるほどになるが、これは仕方ないみたいだ。まぁインデックスの再作成の間だけなので、終わってしまえば通常はここまで CPU パワーを使わないので我慢しよう。
終わったら適当に検索してみると日本語に関する Spotlight の検索が少しは「マシ」になったのが分かります。なお、「mdimport -L」コマンドを実行すると、どういった mdimporter が登録されているかが表示されるのでこれで JapaneseText.mdimporter がちゃんと登録されているかを確認するのも良いです。
やっぱりというか、化けて読めない .chm がありました。.chm をバラして確認してないけど、どうも .chm の中に含まれている HTML でちゃんとエンコーディングが見つけられないと、つまりは meta タグとかで charset を指定していないとやっぱり Latin1 で描画しちゃうみたいです。対処は簡単で、デフォルトのコードを変えればいいと。例によってやっつけで -(void)windowDidLoad で WebView の設定を変えるように直してみて、ちゃんと動くのだけは確認しました。
さて、これも必要な人、いるのかな? 反響も、作者からのパッチと日本語リソース送った返事もないので、.chm をマックで日本語で読みたい人なんてそういないんじゃないかと思いますが(^^;
また、気が向いたら .dmg 作るかも知れません。
パッチも送ったし別に公開しても悪くはないか、ということで、手元で使ってた日本語対応版を置いときます。
修正点は
という所。パッチも同梱しているので Chmox-0.3 のソースがあれば再現可能なはず。あー、日本語リソース込みのプロジェクトファイルは入ってないな。けど、それは全ての nib と Localized.strings で、Command-I してインスペクタを表示、そこのファイルタブのした、「言語環境を追加」を押して Japanese を追加、おもむろにパッチに入ってる日本語リソースで Japanese.lproj の中身を上書きすればいいだけです。
なお、行きがかりで日本語化しちゃったけど、私が読んでいるのは主に英語の chm ファイルだったりします。なので、気がつかない問題があるかも知れませんのでそれも教えてくれると助かります
連絡先は Profile にあるメールアドレスにて
添付ファイル: Chmox-0.3jp.dmg
