パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

IEのダウンロードダイアログに致命的脆弱性」記事へのコメント

  • MS はノーコメントを貫いている、ではなく 11/19 に報告したが MS によると「これは仕様である。信用できるファイルかどうかの判断はファイルの出元で判断すべきで、ファイルのタイプで判断するのは間違いである」との回答があって公開に至ったようですね。素晴らしい。MSN から Virus/Trojan をばらまいたことを考えると :-)
    • っていうか、IEって元々HTTPのContent-Type:を無視する仕様じゃなかったっけ?
      • XMLのファイルをアップロード/ダウンロードするようなソフトを作っているときに大ハマりしました。

        どうも、IEは

        1. 拡張子を見る
        2. ファイルの中身(先頭の数ブロック?)を見る
        3. Content-Typeを見る

        という順序でファイルをどう扱うかを決めているような気配があります。

        XMLファイルをディスクにセーブさせたいので、拡張子は(ファイルタイプとして登録されていない)適当なものにして、Content-Typ

        • by tomatsu (2545) on 2001年12月13日 19時49分 (#46444)

          拡張子に相当する部分のないURLに、XHTML文書を置くと、XMLツリーが表示されてしまう事があります。Accept:にapplication/xml+xhtml等が無いので、IEはXHTMLを知らない、と見なすのが適切かもしれませんが。

          IEのコンポーネントの他にも、ファイルタイプの決定に関わっている部分がある様で、IEのビルド番号とOSの組み合わせが同じでもHTMLと認識される環境とXMLツリーが表示される環境があります。

          ファイルの中身を見てくれるお陰で、拡張子やContent-Typeが誤っている画像ファイル等をうまく表現出来たりするのですが、その所為で正しい記述を勘違いするのは大き過ぎる代償。

          ファイルタイプ決定のプロセスに、付け加えると、

          • 最後が / のURLは、HTMLである可能性が高い事を知っている様だ。

          かな。

          http://とfile://を似た様な物とし過ぎているのがいけません。

          親コメント
          • >http://とfile://を似た様な物とし過ぎているのがいけません。

            つうか、同じ扱いじゃないですか?
              • パスの最後が / だと、ディレクトリの一覧を表示する。
              • HTTPを使ってアクセスしない。
              • Content-Typeって何?

              とか。

              飽くまで、ローカルのファイルシステムを用いて、ローカルな環境の流儀に則ってブラウズする為の物で、その点はIEも外していないと思います(嫌な流儀かもしれないけど)。

              こう書いたら、IEは、fileスキーマを拡張してhttpスキーマを実装している様にも思えるなあ……。

              親コメント

目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond

処理中...