アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
最初のバージョンは常に打ち捨てられる。
Content-Type無視するって (スコア:0)
Re:Content-Type無視するって (スコア:1)
仕様は公開されてるのに、どうしてこう誤った認識ばかりが広まるんだろう。
大雑把に言ってしまうと、IEがContent-Typeを無視するのは
・Content-Typeがない
・Content-Typeのsyntaxが正しくない
・application/octet-streamまたはtext/plain
の時ですよ。
Content-Typeを無視してるように見えますよ?<IE (スコア:1)
#今更なのですが:-)
・使用アップローダスクリプト:imgboard v1.22 R6.1c
・使用ブラウザ:Internet Explorer 6 SP1(Windows98SE)、
FireFox1.0.4日本語版(Windows98SE)、Netscape Navigator 4.73(Windows98SE)
拡張子を.jpgに変更したHTMLファイルを用意し
・IEでアップロード→ファイル拡張子が.htmlとなった
#おそらくIEがファイルの内容からHTMLファイルと想定し、Content-type:text/htmlで送信した?
・NN,Foxでアップロード→ファイル拡張子が.jpgのまま
#ファイル拡張子からjpegファイルと判定し、Content-type:image/jpegで送信?
その後、.jpgとなったHTMLファイルへのリンクをクリックして開こうとした。
・IEで開く→HTMLファイルとして表示
・NN,Foxで開く→破損したjpegファイルとして表示
以上を見る限り、Webサーバ側は.jpgとなったHTMLファイルについてはContent-type:image/jpegを送ってきているとしか思えません。
そしてIEは、そのContent-Typeを無視しているとしか思えません。
Mr. Hankey様の情報とは合致しないのですが、WindowsXPSP2+最新IEだと事情が異なるのでしょうか。
と、少々話がそれましたが。
各wikiのソースを読んだ訳ではありませんが、恐らくどのwikiの添付プラグインでも「ファイル拡張子からファイル種別を判別」か「Content-Typeからファイル種別を判別」でしょうから、恐らくこの実験と同様の結果が出ると思います。
----
これにより考えられる攻撃シナリオですが。
1)NN,Foxなどで、.jpg(等画像ファイル)に拡張子を変更した、悪意あるHTMLファイルをアップロード。
2)上記.jpg(の拡張子を持つ、中身はHTMLのファイル)を開くと、IEの場合のみHTMLファイルとして表示し、悪意あるコードを実行
でしょうか。
通常の方法でHTMLファイルをアップロードするならば、アップロードされた添付ファイルのファイル名は.htmlになる訳で、管理者から「怪しいhtmlファイルは開くな」と強く警告しておくだけでもそれなりに被害を防ぐ事が出来ると思います。
しかし、上記の方法でHTMLファイルを画像ファイルの拡張子でアップロードされてしまったら、ファイル名からは画像ファイルとしか見えません。IEユーザーは「その画像ファイルとおぼしきファイルを疑いもなく開いて、悪意あるコードを実行させてしまう」ことでしょう。
要するに、本件の問題は、
・Webの誰かがアップロードしたファイルには危険性があるかもしれないのに、wikiに関してはこれまで誰も注意を払って来なかった。
・IEはContent-Typeを無視して、画像ファイルに偽装されたHTMLファイルをHTMLファイルとして表示してしまうため、特にIEユーザーの間で被害の拡大が懸念される。IEユーザー数は非常に多いため無視できない。
の2点にあると思います。
そして、IE対策を考えるならば、wikiの添付機能を安全なものとするためには「ファイルの内容を(IEとほぼ同様の方法で)検証し、ファイルの内容からファイルタイプを決定するようにする」しかないと思います。
#嗚呼、この世にIEさえ存在しなければ。
Re:Content-Typeを無視してるように見えますよ?<IE (スコア:1)
春の心はのどけからまし。
Re:Content-Typeを無視してるように見えますよ?<IE (スコア:1)
世の中に 絶えて桜の なかりせば 春の心は のどけからまし(在原業平) [milord-club.com]
しかしそういわれているけどやっぱりそういう気分よりもないほうがいいのが強いような感じはあります。難しい。
Re:Content-Typeを無視してるように見えますよ?<IE (スコア:1)
Re:Content-Typeを無視してるように見えますよ?<IE (スコア:1)
User-Agent を見て、IEには添付ファイルを見せないようにする方が簡単だと思います。
「添付ファイルが見れない」という苦情に対しては、「IEは危険だから他のブラウザ使ってくれ」と対処 :-)
Re:Content-Typeを無視してるように見えますよ?<IE (スコア:0)
Re:Content-Typeを無視してるように見えますよ?<IE (スコア:0)
いえ、単に#737807 [srad.jp]が仕様 [microsoft.com]を読み誤っているだけです。「image/jpeg」は「known」MIMEタイプに列挙されているので、内容を sniff する動作で(IEの)仕様通りです。
もっとも、この仕様に書