パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

JavaScriptをPNGに圧縮するテクニック」記事へのコメント

  • by Anonymous Coward

    PNG偽装のスクリプト上げられるって
    中々に穴が開きそうな気がするんですが

    JavascriptでPNGからスクリプト抽出&実行できる環境に
    アップローダーの組み合わせみたいな

    アップロードディレクトリを
    public_htmlの外においている安全策も
    PHPには有効でしょうけど
    クライアントで実行されるスクリプトには無力なような

    デモサイトを自前で公開する方は
    よく考えて実装したほうがよさげ

    • > PNG偽装のスクリプト上げられるって
      > 中々に穴が開きそうな気がするんですが

      いや、もう穴自体はあいてますよ。
      ていうか、JavaScriptコードがエンコードされたファイルはあくまで画像ファイルですので、そこからJavaScriptコードの抽出処理を行わなければまったくの無害です。

      問題は、どうやってコード抽出処理を行うか。
      ストーリーのリンク先で説明されていますが、このJS圧縮PNGは、自己展開実行機能を持たせることも可能としています。その原理は、

      ・IEはContent-Typeを無視し、データの中身を見てファイル種別を判断する
      ・そのためPNGのヘッダ情報に(コメ

      • by Anonymous Coward

        >ストーリーのリンク先で説明されていますが
        IEの話なんてどこに書いてあるんです?

        • 確かに、リンク先の説明はブラウザ汎用っぽい文章になっており、IEの話なんて書かれてないんですが、実際のところそれが動作するのはIEだけです。
          それ以外のブラウザ(少なくともFirefoxとChromeとOperaとSafari)は、ちゃんとContent-Typeを見て動作しますので、Content-Typeを画像と偽装したHTMLデータがHTMLとしてレンダリングされることはありません。

UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア

処理中...