[雑談] 今日のspam

textileFrom: 21th_yuki_ml_service@x.x.xSubject: おめでとうございます【FREE確定＜＜＜　送信番号No.０２０　＞＞＞１００人中、１８番目のお客様です。急な話ですが、貴方はたった今から通常料金の発生する、優良※出会い確立８５％を、最初の段階でポイントを気にせずに自由に無料体験できる権利を獲得した１８番目の男性様です。これにより思う存分出会いを満喫する事が出来ます。詳しくは下記をご覧下さい。さらに今回は特別に、、、貴方の地域限定で高級女性も一緒にご紹介します！[即払い逆縁女性のご紹介ですので、お急ぎ下さい！]※当たり前の話ではあるんですが一応ご報告させて頂きます。登録して使わない状態でも月会費や維持費などは一切料金発生致しません。ご安心下さい。

「貴方はたった今から通常料金の発生する、」がポイントなんですかね？ｗ　「登録して使わない状態」ではお金は発生しないけど、「たった今」から“登録するまで”の間の料金はお支払い頂きます、ってオチだろうか？それにしても、なぜ、「送信番号No.０２０」なのに、「１８番目のお客様」なんだろう？！ｗあと、この文節の区切りのおかしい文章は、“作戦”なんでしょうから仕方が無いとして、「確立」（確率）、「高級」（高給）、「逆縁」（逆援？）はわざとなんでしょうか？ それとも・・・。(^-^;[セキュリティ] * JVN#60776919 tDiary におけるクロスサイト・リクエスト・フォージェリの脆弱性

---

textiletDiary 開発プロジェクトにより提供されている Web 日記支援ソフト tDiary には、クロスサイト・リクエスト・フォージェリ (Cross Site Request Forgeries, CSRF）が可能な脆弱性が存在します。…正規ユーザが悪意あるページを読み込んだ場合、日記の本文が改ざんもしくは削除されたり、tDiary の設定が変更される危険性があります。

高木先生らのご指摘のようです。 この脆弱性を修正した* 2.0.2 がリリースされた

---

そうです。関連(?!)： * クロスサイトリクエストフォージェリ（CSRF）対策がいまいち進まなかったのはなぜか

---

**[追記]** 入れてみました。 “設定”と“日記の更新”において、『Refererの正当性の検査』と『Refererを送出しないブラウザを拒否』のチェックが標準で行われるようになったみたいです。 そして、『CSRF防止キーの検査』（hiddenのセッションIDの追加）の設定も行うことができるようです。（ただし、この機構に対応していないプラグインの一部が動作しなくなる恐れがあるとのことなので設定は慎重に。）[雑談] * がんばれ、生協の白石さん！

---

生協の「一言カード」に質問を書くと、どんなことにでも(?!)答えてくれる東京農工大学生協職員「白石さん」を応援するブログ。 久しぶりに見ましたが、着々とエントリが増えて行っていますね。(^-^;

textileQ.愛は売っていないのですか？A.どうやら、愛は非売品のようです。もしどこかで販売していたとしたら、それは何かの罠かと思われます。くれぐれもご注意ください。（白石）

私も愛が欲しいです。（ぇ