新生鳩丸掲示板♯

>自宅、あるいは会社から外のインターネット上で」がよくわかってませんが【謎】、・・・

あっ、すいません。ISPにつなげるルータやF/Wから先（外側）で、相手の同じくISPからつながるルータやF/Wまでの間って意味で、その前後のLAN上ならある程度想像も出来るしsniffer 起動したって何も聞こえないよってぐらいの対策ならたてやすい（自分の方）、アンド　リスクも想定しやすい（相手サイト内）んですが。

もちろんお金や他人様の個人情報の絡むようなものは無条件にSSLかVPNですけどね。

本題からずれてしまって申し訳なし。m(_ _)m

>>尤も、最近では流石にそんなとこはないのかも知れません。

>

>いや、思いっきりあるでしょうというかあります。

まだあるのか…。

>尤も、最近では流石にそんなとこはないのかも知れません。

いや、思いっきりあるでしょうというかあります。

>しかし、無線LANでも使わない限り、自宅、あるいは会社から外のインターネット上で、盗聴なんてどこで出来るんだろうと前から疑問に。実例が何処にも見つからない。

「自宅、あるいは会社から外のインターネット上で」がよくわかってませんが【謎】、大学とかだとその辺り【何処】から LAN に繋ぐこともできたりすることもあります。尤も、最近では流石にそんなとこはないのかも知れません。

あと、会社でも同僚【誰】が悪意をもって盗聴【謎】する可能性はあります。知人【誰】が、会社【何処】で sniffer 起動したら凄いことになったとかいうてましたし【謎】。

つまり【謎】となりの人【誰】は敵ということです【違】。

>>ていうか保存した側がデータ提供者というのが意味がわかりません【ピュア】。

>

>いや、サーバに置いてあるファイルが hoge.pdf だとしたら、たとえ application/octed-stream だとしても、とりあえず hoge.pdf がデフォルトのファイル名ってので良いのでは? という意味なんですが……、

「知ってる」拡張子は避けるために拡張子を取り除くとかテキトーに付けるとかしたほうがよさげです。リンク先のスレッドを2つほど追うとがいしゅつですが【謎】。

Macだとなんでもクリエータ「????」で済みそうですがダブルクリックで開けないとJakobさん【誰】的に残念な思いをしそうです【謎】。application/pdfなら適切なクリエータが付けられるだろうけど今度はUAがダウンロードを促されないよねどうしようというはなししです【謎】。

>デフォルトのファイル名って name パラメタで決められるのでしたね。

nameパラメータはRFC的には未定義で、Content-Dispositionのfilenameパラメータで決められます。ただしUAは指定されたものをそのまんま使う必要はないので/etc/passwdとか指定して任意のファイルを上書きとか| rm -rf *とか指定して【以下略】とかはできないことになってます。したがってホゥルの原因になりそうなら拡張子を付け替える可能性もあります。ってリンク先でがいしゅつですが【謎】。ていうかリンク先読んでくださいっ【謎】。

>だとしても【謎】サーバに置いてあるファイルが hoge.exe なのに hoge.pdf として保存されたとして、その場合、開こうとすると exe として起動するの? 検証せずに訊きますが。

検証せずに答えますが【謎】関連付けられてるアプリ(たとえばAdobe Reader)が起動して無効なpdf系のエラーを吐くのでは。Officeだとお節介にも【謎】中身を見て動作を変えるらしいですが。

http://www.st.ryukoku.ac.jp/~kjm/security/memo/2000/09.html#20000927_fileext

>ていうか保存した側がデータ提供者というのが意味がわかりません【ピュア】。

いや、サーバに置いてあるファイルが hoge.pdf だとしたら、たとえ application/octed-stream だとしても、とりあえず hoge.pdf がデフォルトのファイル名ってので良いのでは? という意味なんですが……、デフォルトのファイル名って name パラメタで決められるのでしたね。

だとしても【謎】サーバに置いてあるファイルが hoge.exe なのに hoge.pdf として保存されたとして、その場合、開こうとすると exe として起動するの? 検証せずに訊きますが。

>>PDFかどうかブラウザにはわからない(ことになってる)バイナリの塊を.pdfという拡張子で保存していいのでしょうか?

>>audio/wavと称して.batとか.exeなファイルを送り込む系のホゥルが昔あった気がしますが。

>

>そういう拡張子として保存しているのは、保存した側（データ提供者）ではないのですか？

だとしても【謎】デフォルトで与えられる拡張子が「.pdf」でいいのでしょうか。IE6の場合だと「開く」を選んだら選択の余地はありませんし、audio/wavだと思って安心して開いたら喰らった【謎】というのでは完全にホゥルです【謎無】。安心したらいけないのかもしれませんが【謎】ファイルタイプによってはそもそもダイアログ出ませんし【謎無】。

ていうか保存した側がデータ提供者というのが意味がわかりません【ピュア】。

ご参考【謎】:

http://www.st.ryukoku.ac.jp/~kjm/security/ml-archive/memo/2001.10/msg00287.html

>>>鳩丸の内容を圧縮したものです。

>>内容を圧縮するという表現は、なんだか書かれている内容が減っているような印象を受けます【謎】。

>　実際、ちょっと減ってます。

>　掲示板の内容も含まれてないですし。

ああ、掲示板も鳩丸の一部なのか。

当たり前といえば当たり前ですが、なんというか、HTMLリファレンスのことを暗示しているものだと勝手に思ってました。ここでいう鳩丸という言葉は。

>PDFかどうかブラウザにはわからない(ことになってる)バイナリの塊を.pdfという拡張子で保存していいのでしょうか?

>audio/wavと称して.batとか.exeなファイルを送り込む系のホゥルが昔あった気がしますが。

そういう拡張子として保存しているのは、保存した側（データ提供者）ではないのですか？

PDFかどうかブラウザにはわからない(ことになってる)バイナリの塊を.pdfという拡張子で保存していいのでしょうか?

audio/wavと称して.batとか.exeなファイルを送り込む系のホゥルが昔あった気がしますが。

>>鳩丸の内容を圧縮したものです。

>内容を圧縮するという表現は、なんだか書かれている内容が減っているような印象を受けます【謎】。

　実際、ちょっと減ってます。

　掲示板の内容も含まれてないですし。

>> 高木さんのところには・・・、まあその辺りは気づかなかったことに

>ネットショップだって合格は10％に（わずかに）満たないんですから。

>一生懸命やってくれたと評価してあげてよいんじゃないでしょうかね。

　そうですね。

　その辺りについては、そもそも TTY 接続で SSH が使えない辺りからして、ニフティ的な見解としては従来から「パケット盗聴 OK」ということで統一されているのでしょう。Web フォーラムが https でなくても特に矛盾は無いと思っています。

> 高木さんのところには・・・、まあその辺りは気づかなかったことに

ネットショップだって合格は10％に（わずかに）満たないんですから。

一生懸命やってくれたと評価してあげてよいんじゃないでしょうかね。

PS

しかし、無線LANでも使わない限り、自宅、あるいは会社から外のインターネット上で、盗聴なんてどこで出来るんだろうと前から疑問に。実例が何処にも見つからない。

日本国内サイト相手に限ってですが。

とりあえず常にバイナリの塊だと解釈しておけば良いのでは？

そのデータをブラウザが処理するんではなくて、ダウンロード後に人間が判断して処理するのだから。

ひとつこの仕様で疑問なのが、たとえばWindowsなら拡張子を付けなくてはなりませんしMacならファイルタイプとクリエータを決定しなくてはならないわけですが、いつもapplication/octet-streamならUser-Agentはどうやってファイルの種類を決定すればいいのかという点です。

http://www.ne.jp/asahi/minazuki/bakera/html/hatomaru

>鳩丸の内容を圧縮したものです。

内容を圧縮するという表現は、なんだか書かれている内容が減っているような印象を受けます【謎】。

IEが勝手に解釈する、とかいう流れだったので、まあしいていうならどっちもテスト、とかが流れに沿っているかなと思ったとかそういう感じですた。

それだとIE以外でダウンロードになる保証がないのでは。

http://www.studyinghttp.net/rfc_ja/2616/sec19.html#sec19.5.1

> If this header is used in a response with the application/octet-

> stream content-type, the implied suggestion is that the user agent

> should not display the response, but directly enter a `save response

as...' dialog.

なので。

>そんなわけで、application/octet-stream かつ Content-disposition: attachment な PDF へのリンク。

この場合は application/pdf かつ Content-disposition: attachment な PDF、という状態でテストするのかと思っていたのですが、こちらはどうでしょう。

http://support.microsoft.com/default.aspx?scid=kb;ja;260519