2008年1月1日(火曜日)
「拡張子ではなく、内容によってファイルを開く」無効でも駄目なケース
「画像ファイルに偽装した,HDDをフォーマットしようとするトロイの木馬がネットで話題に (itpro.nikkeibp.co.jp)」だそうで。
安全のため「拡張子ではなく、内容によってファイルを開く」設定を無効にするか,Internet Explorerとそのエンジンを利用したブラウザ以外のWebブラウザでアクセスすることを推奨する。
うーむ、これはどうでしょう。この話は XSS ではなくブラクラということなのですから、悪意を持ったサーバ管理者が「正しい」設定をする可能性があります。ちゃんと Content-Type: text/html を返す設定になっていれば、「拡張子ではなく,内容によってファイルを開く」が無効であっても HTML として処理されることになります。
※例: http://minazuki.com/content-type/texthtml.jpg (minazuki.com)
ブラクラの内容は確認していませんが、このような「正しい」設定がなされていれば、IE 以外のブラウザでも動作するかもしれません。
もちろん、実際には「拡張子ではなく、内容によってファイルを開く」を無効にすれば防げるケースもあるでしょうし、IE のこの設定は無効を推奨したいところではありますが、このようなケースの「対策」としては確実ではないというところです。
- 「「拡張子ではなく、内容によってファイルを開く」無効でも駄目なケース」へのコメント (7件)
関連する話題: セキュリティ / Internet Explorer / ITpro
- 前(古い): 2007年12月28日(Friday)のえび日記
- 次(新しい): 2008年1月4日(Friday)のえび日記
