水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 「拡張子ではなく、内容によってファイルを開く」無効でも駄目なケース

「拡張子ではなく、内容によってファイルを開く」無効でも駄目なケース

2008年1月1日(火曜日)

「拡張子ではなく、内容によってファイルを開く」無効でも駄目なケース

画像ファイルに偽装した,HDDをフォーマットしようとするトロイの木馬がネットで話題に (itpro.nikkeibp.co.jp)」だそうで。

安全のため「拡張子ではなく、内容によってファイルを開く」設定を無効にするか,Internet Explorerとそのエンジンを利用したブラウザ以外のWebブラウザでアクセスすることを推奨する。

うーむ、これはどうでしょう。この話は XSS ではなくブラクラということなのですから、悪意を持ったサーバ管理者が「正しい」設定をする可能性があります。ちゃんと Content-Type: text/html を返す設定になっていれば、「拡張子ではなく,内容によってファイルを開く」が無効であっても HTML として処理されることになります。

※例: http://minazuki.com/content-type/texthtml.jpg (minazuki.com)

ブラクラの内容は確認していませんが、このような「正しい」設定がなされていれば、IE 以外のブラウザでも動作するかもしれません。

もちろん、実際には「拡張子ではなく、内容によってファイルを開く」を無効にすれば防げるケースもあるでしょうし、IE のこの設定は無効を推奨したいところではありますが、このようなケースの「対策」としては確実ではないというところです。

関連する話題: セキュリティ / Internet Explorer / ITpro

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 Webプログラミング

その他サイト