新生鳩丸掲示板♯

plain/textだったらHTMLとしてレンダリングされなくて当然のような・・・。

text/plainの間違いですよね？

>plain/textだったらHTMLとしてレンダリングされなくて当然のような・・・。

>text/plainの間違いですよね？

　おそらくそうだろうと思いますが、原文ママです。

　というか、普通にリンクしておかないと引用元へのリンクがないですね。リンク追加しておきます。

"拡張子がファイルタイプに一致しないと"って所が気になります。

ファイルタイプを優先するべきだと思うのですが

>"拡張子がファイルタイプに一致しないと"って所が気になります。

>ファイルタイプを優先するべきだと思うのですが

文脈からして「ファイルタイプ」はsniffの結果であってContent-Typeではないと思われるので、優先してはまずいと思います。

>"拡張子がファイルタイプに一致しないと"って所が気になります。

>ファイルタイプを優先するべきだと思うのですが

　ファイルタイプというのが何を指すのかがちょい微妙なのですが、

・Content-Type

・拡張子

・ファイルタイプ

　が全て一致しないと、と言っているので「ファイルタイプ」とは拡張子でも Content-Type でもないのでしょう。IE がファイルを読んで自動判別した結果を指すものと思われます。

　それで、たとえば、拡張子 .jpg で Content-Type が image/jpeg なんだけど中身は HTML、というファイルは

・Content-Type = image/jpeg

・拡張子 = .jpg

・ファイルタイプ = HTML

　となるのですが、従来の IE ではこれを HTML とみなし、HTML としてレンダリングしていました (実証済み。これによって某サイトで XST によりパスワードを盗む exploit が可能とかいう……)。

　つまり従来の IE では常にファイルタイプが優先されていたということです。SP2 では、これらが食い違うとうまく行かなかったり、より安全側にみなされるようになったということでしょう。

>・Content-Type

>・拡張子

>・ファイルタイプ

>

>　が全て一致しないと

Content-Typeの方でした…、すいません。

拡張子とファイルタイプは判断しないべきなのでは?と言いたかったのです。

Content-Typeだけを判断すればいいと思います。

>Content-Typeだけを判断すればいいと思います。

それはちょっと…

ファイルのバイナリイメージを無視して、画像ではないものを画像として表示しようとしたり、音声ではないものを音声として出力しようとしたり……最悪、ハードが壊れることにもなりかねませんが。（特にスピーカーとか）

拡張子は無視しても問題ないかとは思いますが。

>ファイルのバイナリイメージを無視して、画像ではないものを画像として表示しようとしたり、音声ではないものを音声として出力しようとしたり……最悪、ハードが壊れることにもなりかねませんが。（特にスピーカーとか）

それは画像のデコーダや音声のプレーヤがショボいのであって、バイナリイメージを無視したことに原因があるのではないと思います。とくに画像ではないものを画像として表示しようとして壊れるという状況がいまいち思いつきません。

経路上【何処】のUNIXサーバが次々と破壊されるから【謎】半角カナは使うべきでない【謎】という意見に賛成なら同意してもいいですが【謎】。

>Content-Typeだけを判断すればいいと思います。

それではContent-Typeが与えられていないときどうしようもありません。ローカルファイルのブラウズをするときに中身と拡張子のどちらを優先するのかとか、HTTP/0.9やらftpやら経由で送られてきたリソースとか。

そのようなリソースのブラウズは一切認めないというのも極論としてはアリですか。

>それではContent-Typeが与えられていないときどうしようもありません。ローカルファイルのブラウズをするときに中身と拡張子のどちらを優先するのかとか、HTTP/0.9やらftpやら経由で送られてきたリソースとか。

拡張子とContent-Typeの結びつけがあるので、Content-Typeが与えられていない時のみそれを使うべきです。

でも、Content-Typeがある時はそれを優先してくれないと、サーバー側でxmlがapplication/xhtml+xmlに結び付いている場合ダウンロードすらされない状態になってしまいます。

>拡張子とContent-Typeの結びつけがあるので、Content-Typeが与えられていない時のみそれを使うべきです。

　純粋にセキュリティ的な観点からすると、拡張子というのはユーザを騙す道具の一つでもあって、拡張子と Content-Type の食い違いが危険な場合があります。

　たとえば、拡張子 .jpg で終わる URL だったので、画像と思ってクリックしたら、実はスクリプトを含む HTML で……というシナリオはありえますし実際にあると思います。

　このようなケースを考えると、単純に Content-Type に合わせるよりも、両方を見て安全側を採用した方がより堅実といえるのではないでしょうか。

　……とまあ、おそらくこのような考えなのだろうと思います。

　もっとも、ダウンロードすらできないというのはどうかなぁとは思いますね。前に PDF をダウンロードさせるという話がありましたが、そういうのができないとちょっと不便です。

>拡張子とContent-Typeの結びつけがあるので、

ない場合もあります。拡張子そのものがない場合だってあるでしょうし。

>でも、Content-Typeがある時はそれを優先してくれないと、サーバー側でxmlがapplication/xhtml+xmlに結び付いている場合ダウンロードすらされない状態になってしまいます。

application/xhtml+xmlはもとより最優先だったような。

ていうかContent-Typeがあるときもそれを優先しないなんて主張しましたっけ?

>application/xhtml+xmlはもとより最優先だったような。

>ていうかContent-Typeがあるときもそれを優先しないなんて主張しましたっけ?

今IEはapplication/xhtml+xmlに対応してないんですよね。

なので無視されそうな気がします。

>今IEはapplication/xhtml+xmlに対応してないんですよね。

>なので無視されそうな気がします。

憶測でものを言わないでくださいとか思いましたが気にしません【謎】。

(現状の)IEは知らないContent-Typeは無条件で信じ込みます。

http://msdn.microsoft.com/workshop/networking/moniker/overview/appendix_a.asp

>憶測でものを言わないでくださいとか思いましたが気にしません【謎】。

>(現状の)IEは知らないContent-Typeは無条件で信じ込みます。

>http://msdn.microsoft.com/workshop/networking/moniker/overview/appendix_a.asp

そういえば、Content-Type、拡張子、ファイルタイプ全てが一致しないととしか言っていないので知らないContent-Typeの動作が分からないですね。

知らないContent-Type+知っている拡張子でどう動くかが問題になりそうですね。

サーバー側でjpgをtext/htmlに設定している人なんて少人数でしょうし。

#text/plainは知らないContext-Typeですか…

>Content-Typeがあるときもそれを優先しないなんて主張しましたっけ?

以下はtext/plainで送られているのにHTMLとしてレタリングしてしまいます。

http://www.t-mail.com/cgi-bin/ttext?text=ok&hello=en-fr&requestType=T-text

IEはtext/plainを知らないContext-Typeと扱っていると思わなかったので、勘違いしてました。

すみません、「知らない」はリンク先の"unknown"のつもりで書きました。"ambiguous"は普通「曖昧な」とか訳しませんか。

>(全略)

そのせいか全体的にさっぱり意味不明です。