inuの日記: (B-ATCH)のなぜ?
何故にBecky!2でmailto:にあんな拡張がなされていたのか謎だったのたので、調べてみた。
ちなみに表面上の調査だけ。実際にこの通りなのかどうかチェックも問い合わせもしてませんので、鵜呑みにしないように。
詳しくはご自身でどうぞ。
Becky!2の掲示板の書き込みによると、もともとはBecky!2のコマンドラインパラメタの裏技?として知られていたもののようで、さらにBecky!1時代から存在していたものの様子。
で、Becky! Plug-in APIに
> HWND CBeckyAPI::ComposeMail(LPCSTR lpURL);
というAPIがあり、こいつのlpURLパラメタ部の拡張がこのセキュリティホールの「おおもと」の気がする。
> Parameters:
> lpURL: "mailto:" URL string to be passed to an outgoing message.
> e.g. "mailto:mail@address"
(中略)
> Description:
> You can use "mailto" URL scheme defined in RFC2368.
> The following headers can be also used for special purpose with Becky!.
>
> (B-ATCH): full path name of the file you want to attach.
> X-Becky-Template: full path name of the template file you want to
このBecky! Plug-in APIを、そのままBecky!内部でも使用していたのかな?
Plug-in作者に便宜を図ったのだろうけど…。
X-Becky-Attachmentのなぜ? More ログイン