パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

IEのダウンロードダイアログに致命的脆弱性」記事へのコメント

  • MS はノーコメントを貫いている、ではなく 11/19 に報告したが MS によると「これは仕様である。信用できるファイルかどうかの判断はファイルの出元で判断すべきで、ファイルのタイプで判断するのは間違いである」との回答があって公開に至ったようですね。素晴らしい。MSN から Virus/Trojan をばらまいたことを考えると :-)
    • っていうか、IEって元々HTTPのContent-Type:を無視する仕様じゃなかったっけ?
      • by nackey (3237) on 2001年12月13日 10時43分 (#46195)

        XMLのファイルをアップロード/ダウンロードするようなソフトを作っているときに大ハマりしました。

        どうも、IEは

        1. 拡張子を見る
        2. ファイルの中身(先頭の数ブロック?)を見る
        3. Content-Typeを見る

        という順序でファイルをどう扱うかを決めているような気配があります。

        XMLファイルをディスクにセーブさせたいので、拡張子は(ファイルタイプとして登録されていない)適当なものにして、Content-TypeをApplication/Octet-StreamなどにしてもXMLとして表示してくれるという大きなお世話を焼いてくれたと記憶しています。

        ほとんどは拡張子かファイルの中身で処理方法は決まってしまうわけで、Content-Typeを無視するというのはあながち間違っていないんじゃないでしょうか。

        親コメント
        • by Hebikuzure (489) on 2001年12月13日 16時40分 (#46360) ホームページ 日記
          どうも、IEは
          (中略)
          という順序でファイルをどう扱うかを決めているような気配があります。
          この件がどうであれ、Microsoftはプラットフォームベンダーの責任として、こういうロジックをちゃんと公開するべきだよなあ。
          何かある毎に手探りで想像しなきゃいかんってのは非生産的過ぎ。
          親コメント
        • どちらかっつうと、Content-Type で「のみ」判断すべきであって、拡張子を云々てな処理を入れているから問題が多発するんではないかしら。
          --
          みんつ
          親コメント
          • 最終的に text/html だろうが audio/wav だろうが PIF だろうが SCR だろうが (以下略)、Windows が「実行」(というか default のメソッドを選択する) 事に問題があるんではありませんかね?

            そうでなければ拡張子を見て云々なんてする仕様を考えなきゃいけない必然性がありませんから。

            親コメント
            • by G7 (3009) on 2001年12月13日 16時59分 (#46375)
              >Windows が「実行」(というか default のメソッドを選択する) 事に問題があるんではありませんかね?

              まったくその通りだと思います。
              デフォルトの動作は、非破壊的(ユーザーの何らかの情報を失わせたり変化させたりしない)
              かつ非窃盗的(ユーザーの何らかの情報を外界にコピーしない)な、
              たぶん「閲覧」とでも呼ばれるべきメソッドに、しておくべきです。

              仕事でここ数年、某OODB+それ用のGUIクライアントを扱っているんですが、
              こいつのクライアントでObject(を現すアイコン)をダブルクリック(など)をしたときに、
              そういう意味で破壊的な動作をデフォでするようなデータクラスは、
              最初から存在しないし、我々のカスタマイズでも作ったこと有りません。
              誰も(客も我々も)考えたこともないですね、破壊的動作を割り当てようなんてことは。
              そんな危なっかしくて使いにくいもの、誰も望みませんって。

              イントラネットな世界ですらこうなのに、なんでインターネットばりばりなWindowsが
              こんな阿呆な仕様がデフォなんでしょう?
              親コメント
              • by yoosee (196) on 2001年12月13日 17時44分 (#46396) ホームページ 日記
                なんでかって言うとよのなかの大多数はダイアログ出しても OK をすぐ押す人が多くて
                更にそういう人は OK 押すのも面倒がるから始めっから実行にしとけと思っている

                ....と MS が思っているからじゃないですかねぇ。

                コンピュータのコンピュータ処理の部分をユーザから隠す行為自体はユーザビリティ
                もあるので基本的にはさほど反対したくないんですが、だったら本当にユーザが
                何もしなくても安全で幸せに使えるようになっていないと駄目なわけで、現状ではまだまだですね。

                せめてオプションで設定を変えられるとかすればいいと思うんだけど。上級者用、かなんかのラベルつけて。
                親コメント
              • by Anonymous Coward on 2001年12月13日 22時39分 (#46482)
                >イントラネットな世界ですらこうなのに、なんでインターネットばりばりなWindowsが >こんな阿呆な仕様がデフォなんでしょう?

                インターネットエクスプローラーであると同時に、Windowsのシェルであるエクスプローラーである、っていうのが諸悪の根元かと。
                共通のエンジンを使い、なおかつインターネット用にセキュリティを強化してない。
                (単なる手抜きですね。)

                結果として、IEはブラウザではなく、(場合によってはリモート操作可能な)ファイルマネージャーになってしまっている。
                手抜きの結果、全く別なソフトになってしまってますね。(^_^;)


                と、ここまで書いてこれ [bbc.co.uk]を思い出した。
                「製品を低コストで提供することで成功したんだ。」 = 「手間をかけていない粗悪品を売りつけることに成功したんだ。」という意味なのかな。
                親コメント
          • どちらかっつうと、Content-Type で「のみ」判断すべきであって、

            これは全くその通りですね。

            拡張子(という言い方もローカルなんだが)とファイルの性質の対応(*.exeが実行ファイルで、*.docがMS-Wordのファイル、など)はWindowsの世界に限られたローカルなルールであるのに対し、Content-Typeでファイルの性質を表すというのはプラットフォームに依らないグローバルなルールです。IEの挙動はプラットフォームによらないルールをぶち壊して自分のルールを押しつけようとしていると言えます。Windowsと違う拡張子の使い方をするな、と言っているようにすら感じます。

            Webサーバの設定が不適切でバイナリファイルをtext/plainにしてしまっているサイトは多いのですが、それはまた別の問題ですね。もっともどのブラウザもContent-Typeに忠実に表示するようになっていたらサーバ管理者もすぐミスに気づくでしょうが。

            親コメント
          • by nackey (3237) on 2001年12月13日 12時37分 (#46255)
            はうぁ~。
            「Content-Typeを後回しにする」仕様はダメダメだというのは私もそう思ってます。
            #46179で「無視はしない」と書かれているので、「現実には無視してるも同然だよ」といいたかったわけで。
            読み返してみたら、「Content-Typeを無視するのは理にかなってる」としか読めねーんでやんの(笑) > 自分の#46195
            親コメント
        • (JScript ,Active Server Pages)で

          contentType='application/octet-stream';
          Response.AddHeader('Content-Disposition',"attachment; filename=hoge.xml");

          で、強制ダウンロードできましたよ?
          --
          raspy
          親コメント
        • by tomatsu (2545) on 2001年12月13日 19時49分 (#46444)

          拡張子に相当する部分のないURLに、XHTML文書を置くと、XMLツリーが表示されてしまう事があります。Accept:にapplication/xml+xhtml等が無いので、IEはXHTMLを知らない、と見なすのが適切かもしれませんが。

          IEのコンポーネントの他にも、ファイルタイプの決定に関わっている部分がある様で、IEのビルド番号とOSの組み合わせが同じでもHTMLと認識される環境とXMLツリーが表示される環境があります。

          ファイルの中身を見てくれるお陰で、拡張子やContent-Typeが誤っている画像ファイル等をうまく表現出来たりするのですが、その所為で正しい記述を勘違いするのは大き過ぎる代償。

          ファイルタイプ決定のプロセスに、付け加えると、

          • 最後が / のURLは、HTMLである可能性が高い事を知っている様だ。

          かな。

          http://とfile://を似た様な物とし過ぎているのがいけません。

          親コメント
          • >http://とfile://を似た様な物とし過ぎているのがいけません。

            つうか、同じ扱いじゃないですか?
              • パスの最後が / だと、ディレクトリの一覧を表示する。
              • HTTPを使ってアクセスしない。
              • Content-Typeって何?

              とか。

              飽くまで、ローカルのファイルシステムを用いて、ローカルな環境の流儀に則ってブラウズする為の物で、その点はIEも外していないと思います(嫌な流儀かもしれないけど)。

              こう書いたら、IEは、fileスキーマを拡張してhttpスキーマを実装している様にも思えるなあ……。

              親コメント

ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家

処理中...