アカウント名:
パスワード:
ファイル名: ...Secunia_Internet_Explorer.pdf ファイルの種類: 発行元: secunia.com
「ファイルの種類」の部分が空白になっている。 本物のpdfならば「Adobe Acrobat 文書」等のように表示される所だ。 この部分を毎回確認する事により危険を避けることが出来るだろう。 また、一旦保存してから開く事によっても問題を避けることが出来る。 次に、実際どういう仕組みなのか調べてみよう。 以下の物はtelnetで確認したHTTPヘッダだ。
HTTP/1.1 200 OK Date: Thu, 29 Jan 2004 05:03:51 GMT Server: apache Content-Disp
どうやらContent-Dispositionの所がミソらしい。
RFC2616 [ietf.org]の Section15.5 とか見ても この Content-Disposition ってろくなもんではなさそうですねぇ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy
一番目のExploitの実証サイト (スコア:1, 参考になる)
http://secunia.com/Internet_Explorer_File_Download_Extension_Spoofing_Test/
というのがあります。
Re:一番目のExploitの実証サイト (スコア:5, 参考になる)
「ファイルの種類」の部分が空白になっている。
本物のpdfならば「Adobe Acrobat 文書」等のように表示される所だ。
この部分を毎回確認する事により危険を避けることが出来るだろう。
また、一旦保存してから開く事によっても問題を避けることが出来る。
次に、実際どういう仕組みなのか調べてみよう。
以下の物はtelnetで確認したHTTPヘッダだ。
Re:一番目のExploitの実証サイト (スコア:2, 参考になる)
RFC2616 [ietf.org]の Section15.5 とか見ても この Content-Disposition ってろくなもんではなさそうですねぇ