パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

IEのダウンロードダイアログに致命的脆弱性」記事へのコメント

  • MS はノーコメントを貫いている、ではなく 11/19 に報告したが MS によると「これは仕様である。信用できるファイルかどうかの判断はファイルの出元で判断すべきで、ファイルのタイプで判断するのは間違いである」との回答があって公開に至ったようですね。素晴らしい。MSN から Virus/Trojan をばらまいたことを考えると :-)
    • っていうか、IEって元々HTTPのContent-Type:を無視する仕様じゃなかったっけ?
      • XMLのファイルをアップロード/ダウンロードするようなソフトを作っているときに大ハマりしました。

        どうも、IEは

        1. 拡張子を見る
        2. ファイルの中身(先頭の数ブロック?)を見る
        3. Content-Typeを見る

        という順序でファイルをどう扱うかを決めているような気配があります。

        XMLファイルをディスクにセーブさせたいので、拡張子は(ファイルタイプとして登録されていない)適当なものにして、Content-Typ

        • どちらかっつうと、Content-Type で「のみ」判断すべきであって、拡張子を云々てな処理を入れているから問題が多発するんではないかしら。
          --
          みんつ
          • どちらかっつうと、Content-Type で「のみ」判断すべきであって、

            これは全くその通りですね。

            拡張子(という言い方もローカルなんだが)とファイルの性質の対応(*.exeが実行ファイルで、*.docがMS-Wordのファイル、など)はWindowsの世界に限られたローカルなルールであるのに対し、Content-Typeでファイルの性質を表すというのはプラットフォームに依らないグローバルなルールです。IEの挙動はプラットフォームによらないルールをぶち壊して自分のルールを押しつけようとしていると言えます。Windowsと違う拡張子の使い方をするな、と言っているようにすら感じます。

            Webサーバの設定が不適切でバイナリファイルをtext/plainにしてしまっているサイトは多いのですが、それはまた別の問題ですね。もっともどのブラウザもContent-Typeに忠実に表示するようになっていたらサーバ管理者もすぐミスに気づくでしょうが。

            親コメント

あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー

処理中...