アカウント名:
パスワード:
>むしろサーバにアップロードされずクライアントサイドで完結する分だけセキュアな感じがします。
本当にクライアントサイドで完結してサーバにアクセスしないならそうだろうけど、インターネットアクセスを禁止でもしない限りいつでもサーバにもその他のインターネットにもアクセスできるでしょうし、全くの錯覚でしょう。そもそもスクリプト自身がインターネット上のサーバにある場合も実運用上多いでしょうし。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日々是ハック也 -- あるハードコアバイナリアン
利便性より危険性 (スコア:1)
デフォルトでOFF できればUACみたいなの希望です
#アンチウイルスソフトでブロックするのが常識、とかいう未来は嫌ですね
Re: (スコア:2, すばらしい洞察)
<input type="file"> →[POST]→ サーバ →[XHTRなど]→ クライアントサイドスクリプト
サーバを経由しないで取得できるようになるだけで、出来ることは増えていません。
<input type="file"> →[FileReader]→ クライアントサイドスクリプト
むしろサーバにアップロードされずクライアントサイドで完結する分だけセキュアな感じがします。
それにJSのバグによるセキュリティホールを気にするなら、JSの実行自体をUAC的なものでブロックすべきでしょう。File APIだけではなく。
Re:利便性より危険性 (スコア:0)
>むしろサーバにアップロードされずクライアントサイドで完結する分だけセキュアな感じがします。
本当にクライアントサイドで完結してサーバにアクセスしないならそうだろうけど、
インターネットアクセスを禁止でもしない限りいつでもサーバにもその他のインターネットにもアクセスできるでしょうし、
全くの錯覚でしょう。
そもそもスクリプト自身がインターネット上のサーバにある場合も実運用上多いでしょうし。