特定の16文字をアドレスバーに入力するとGoogle Chromeがクラッシュするバグが見つかる - GIGAZINE
この記事が公表されたときに、次のようなコードを書いて遊んでたんだけど、ファイルの整理してて見つけたから再度実行してみたらもう機能しなくなってた。
var ev = document.createEvent("MouseEvent");
ev.initEvent("click", false, false);
document.write('<a id="death" href="https://a/%25%30%30">.</a>');
document.getElementById("death").dispatchEvent(ev);
以前はエラー(記事にあるようなクラッシュではないけど)になってたのに、DNS解決失敗にしかならない。
さらに、URLも「https://a/%2500」のように、「%」がURLエンコードされて「%25」に。
「セキュリティ上のバグじゃないからそのまま残す」というのは「今すぐには直さないけど、いつか直すかも」的な意味だったのかな。
大抵、こういう回答は「修正しない」を意味するので、てっきりまだ放置されてると思ってた。
「ネット常識力」調査、日本は16カ国中で最下位 -INTERNET Watch
国とか公的機関がやったのかな?と思ったらカスペルスキー。
有名な巨大セキュリティ企業だし、その辺は厳しめに判定されてることを考慮しておかないと。少なくともこれで満点取ろうと思ったら、生きるのがつらくなるレベルだし。
詳細結果のPDFも読んだけど、私もかなりスコア低そう。
ブラウザの履歴は全部わざと残してるし、パスワードは一部を除いて一定ルールで手動作成してChromeに全部覚えさせてるし、メールアドレスは1つだし。
トラッキングに関しては、むしろわざと集めてほしい。そしてどんどん自動化して便利にしてほしい。もし、GoogleやMicrosoftなどが望めば、毎日の食事内容から会話まで全部提供してもいいぐらい(ただし、本人が特定できる形で第三者に提供しない場合)。
前回(Androidにpush通知する(Chrome ServiceWorkers+Google Cloud Messaging): 約定期blog GS)で、push通知が送れるようになったけど、その後いくつかトラブルがあったのでメモ。
・登録できない?
実験に使ったURLは公開してないけど、不正に使われたら困るので一旦BASIC認証をかけたら、通知購読できなくなった。
原因は、manifest.jsonが401エラーになってたこと。
どうやらブラウザでログインしてても、manifest.jsonには適用されないみたい。
・Wi-Fi環境で通知されない
5G(IEEE802.11a/ac)だと特に問題が起きやすい?
これは以前からあるし、他のアプリでもそうなのでもう諦めるしかないかも…。
通知だけじゃなくて、PCからのアプリインストールでもそうなるし。
軽い気持ちで試したらいろいろと泥沼ってへとへと。
とりあえず、サーバ側のアクションだけでAndroidスマホにpush通知を送れたので一旦終了…。
・メモ
参考にしたサイト
WebアプリからもPush通知が!ChromeのPush通知について - しろかい!
http://shirokai.hatenablog.com/entry/chrome-push-notification
ChromeでW3C Push APIを使ってみた - Qiita
http://qiita.com/tomoyukilabs/items/8fffb4280c1914b6aa3d
ServiceWorkerを使ったPush APIをやってみた - kinjouj.github.io
http://kinjouj.github.io/2015/05/serviceworker-push-api.html
fix demo after subscriptionId goes away by notwaldorf ・ Pull Request #40 ・ PolymerElements/platinum-push-messaging ・ GitHub
https://github.com/PolymerElements/platinum-push-messaging/pull/40/files
前回の記事:IPv6の罠。: 約定期blog GS
今回、ルータを新調していろいろテストしてて、またIPv6問題が出たので詳しく調べてみた。
やっぱり、SHV32自体がIPv6無効化されてるので間違いないっぽい(公式に確認取ってないけど)。
新ブログに移行する作業をしていて、サイトグローバルの404ページではなく、ブログの404ページに飛ばすように/blog以下の.htaccessを書き換え。
そして、テストしてみると無事カスタムエラーが表示された…んだけど、ふと気になってChromeのデベロッパーツールで見てみると、何故か301リダイレクトが走って、エラーページ自体は200で表示されてる。
いわゆるソフト404。これはまずい。
でも、よくありがちな
ErrorDocument 404 https://foo.example.com/404.html
のように絶対URLを指定していなかったので、不思議に思い、mod_rewriteベース(REQUEST_FILE判定)や、CGIエラーページも試してみたけど、前者はそもそも全く反応せず、後者はエラーCGI自体こそ404を返すものの、一旦301でリダイレクトされてる。
SHV32(AQUOS SERIE)固有の問題かどうかは分からないけど、機種変更してから一部のアプリが変な挙動(Wi-Fiだと接続エラーなのに4Gだと繋がる)を見せてた原因が、どうもIPv6だと判明。
具体的にアプリ名を挙げると「IPST」「ConnectBot」「Google Chrome」等。
IPSTの場合、Wi-Fi環境だと「Gmailからの応答が空っぽだった」というエラー。
ChromeはIPv6オンリーのホスト(ipv6.google.com等)に接続しようとすると接続エラー。IPv4/IPv6両対応のホストだとv4のほうにフォールバック成功。
ConnectBotは、IPv4/IPv6両対応のホストにSSHする際、端末にIPv6アドレスが振られてるとIPv6で接続しようとするらしくエラー。これで今回の問題が判明。もちろんPCからはIPv6側にも接続できる(サーバ側で蹴っていない)のを確認。
ConnectBotのエラー、Operation not permittedって出てたから、v6のソケットが作れないのかも。
じゃあv6使わないでよ…って思うけど、アプリのほうは別にSHV32/Android 5.0専用って訳じゃないから無理だよね。自ホストにv6割り振られてたら使ってしまうだろうし。
まだまだIPv6への完全移行は遠そう。
なんでそんなことをしようと考えたのか。
きっかけは、なんとなくTwitterの位置情報ボタン弄ってて、「Webからだと任意の座標が入力できないけど、Twitter Gemとか使って直接埋め込めばツイートに南極(南緯90度)とかのピンを付けられるんじゃない?」って思いついたから。
結論から言うと「位置情報は付与できるけど、公式Androidアプリ・公式Webではピンがつかない。Janetterでは付く(そしてしっかり南極の位置情報になってた)」
ただし、メインサイト(「https://mcrn.jp/」)のみ。
カテゴリが「約定期blog GS」なのに詐欺っぽいけど、「さくらのブログ」だと共有・SNI問わずSSL使えない(「sblo.mcrn.jp」はもちろん、「mcrn.sblo.jp」でもダメ)から仕方ない。
先日6にしたばかりのMovable Typeのほうに引っ越すなら別だけど。
・なんかhttpsに斜線が
最初、Chromeでアクセスしたらアドレスバーに赤斜線が入ってて、明らかに「ダメ!」っぽい感じ。
「古い暗号スイート」とか出てたからSSL証明書の問題かと思ったけど、実はそこじゃなくて「このページには安全でない他のリソースが含まれています」のほうが問題だった。
原因は、さくらのブログとデザインを揃えるために手抜きでCSSを参照したら、CSS内のurl()で参照してる画像が「http://~」で読み込んでいることだったので修正して、無事赤斜線じゃなくなった。
(画像利用がいろいろとアレなので、いずれその辺を根本的に直したい)
・それでも「古い暗号スイート」って出る。
ChromeはTLS1.2以上、かつ特定の安全とされる鍵交換・暗号化・メッセージ認証アルゴリズムじゃないと最新って見なしてくれない。
参考:Chromeで「接続は古い暗号化技術により暗号化されています」の表示条件 - あすのかぜ
さすがにこっちはどうしようもないかな。緑色の「鍵」が出てることだし、よしとしよう。
(緑色の「アドレスバー」ではない。それはEV証明書なので超高価だし審査も厳しい)
あまりつぶやいてないし、バグ?で一切つぶやいてないのにまとめる(前回の自動まとめ記事ツイートを拾ってしまう)ので止めた。
ブログ側からしてもノイズになっちゃうし(もともとPC版ではトップページ非表示にしてたけど、スマホだととそのままだった)。