記事個別表示 (2864)
これは「水無月ばけらのえび日記 : それは本物の Firefox ですか?」に関連するコメントです。
[2864] Re: 「それは本物の Firefox ですか?」
えむけい (2005年4月23日 11時46分)
>ダウンロードさせる(させたい)オブジェクトそのものにデジタル署名がしていなくて、オブジェクトのURIがhttpsスキームのURL になっていて、それをhttpスキームで開いたページのanchor要素で記述してあったらどうなるのでしょう。なおSSLサーバ証明書はまっとうなものを用意してあるものとし、framesetなど変なのは使っていないサイトであるとします。
なにがどうなのかよくわかりませんが、とりあえずFirefoxの.xpiの場合、Refererが送られなければダウンロードするリソースのURIをもとに情報バーを出すかどうか判定して、Refererが送られればリンク元のページのURIを元に判定します。はっきり言ってホゥルだと思うのですが。
「Webサイトによるソフトウェアのインストールを許可する」の許可リストもhttpsに限定するオプションがありません。
>拡張やプラグインで開く場合、ローカルにあるブラウザとは無関係なアプリケーションで開く場合。OSが開くことになっている場合、など多種ありそうですが、利用者がローカルに保存しにいくケースとナニゲにブラウザの一時ファイルフォルダ(何?)にあるうちに開く場合とがありますし。さて、SSLサーバ証明書には意味が出てきますでしょうか?
すり替えはできないけどステータスバーやアドレスバーから証明書が確認できない系ですか。そもそも信頼できないサイトのリンクは踏まないことが鉄則ですから前提自体にあまり意味がないと思います。
>RFCながめていてもよくわからなかったので何卒ご意見を賜りたく。
>※PDFを自己解答書庫にしてダウンロードさせているサイトがあったこともあり、ちょっと自分の勉強不足を痛感しました。サーバ側で指定するmedia type まで考えると何が一番正しい姿だったのかちょっと不明な気分です。ダウンロードさせるのはなんでもかんでも
>Content-type: application/octet-stream で Content-Disposition: attachment って何か腑に落ちないですし。あうあう。
>ひとつのポストでごった煮に質問を混ぜるのを本当の意味でのマルチポストと言うのではないかとも、たった今思いました。
もしFirefox以外の話がしたいのであれば新たにスレ立て【謎】を希望します。
これは「水無月ばけらのえび日記 : それは本物の Firefox ですか?」に関連するコメントです。
全読: [2607]Re: 「それは本物の Firefox ですか?」からのスレッド(27件)]