水無月ばけらのえび日記

「拡張子ではなく、内容によってファイルを開く」無効でも駄目なケース

「画像ファイルに偽装した，HDDをフォーマットしようとするトロイの木馬がネットで話題に (itpro.nikkeibp.co.jp)」だそうで。

うーむ、これはどうでしょう。この話は XSS ではなくブラクラということなのですから、悪意を持ったサーバ管理者が「正しい」設定をする可能性があります。ちゃんと Content-Type: text/html を返す設定になっていれば、「拡張子ではなく，内容によってファイルを開く」が無効であっても HTML として処理されることになります。

※例: http://minazuki.com/content-type/texthtml.jpg (minazuki.com)

ブラクラの内容は確認していませんが、このような「正しい」設定がなされていれば、IE 以外のブラウザでも動作するかもしれません。

もちろん、実際には「拡張子ではなく、内容によってファイルを開く」を無効にすれば防げるケースもあるでしょうし、IE のこの設定は無効を推奨したいところではありますが、このようなケースの「対策」としては確実ではないというところです。

• 「「拡張子ではなく、内容によってファイルを開く」無効でも駄目なケース」へのコメント (7件)

関連する話題: セキュリティ / Internet Explorer / ITpro