新生鳩丸掲示板♯

>拡張子とContent-Typeの結びつけがあるので、Content-Typeが与えられていない時のみそれを使うべきです。

　純粋にセキュリティ的な観点からすると、拡張子というのはユーザを騙す道具の一つでもあって、拡張子と Content-Type の食い違いが危険な場合があります。

　たとえば、拡張子 .jpg で終わる URL だったので、画像と思ってクリックしたら、実はスクリプトを含む HTML で……というシナリオはありえますし実際にあると思います。

　このようなケースを考えると、単純に Content-Type に合わせるよりも、両方を見て安全側を採用した方がより堅実といえるのではないでしょうか。

　……とまあ、おそらくこのような考えなのだろうと思います。

　もっとも、ダウンロードすらできないというのはどうかなぁとは思いますね。前に PDF をダウンロードさせるという話がありましたが、そういうのができないとちょっと不便です。

>それではContent-Typeが与えられていないときどうしようもありません。ローカルファイルのブラウズをするときに中身と拡張子のどちらを優先するのかとか、HTTP/0.9やらftpやら経由で送られてきたリソースとか。

拡張子とContent-Typeの結びつけがあるので、Content-Typeが与えられていない時のみそれを使うべきです。

でも、Content-Typeがある時はそれを優先してくれないと、サーバー側でxmlがapplication/xhtml+xmlに結び付いている場合ダウンロードすらされない状態になってしまいます。

>Content-Typeだけを判断すればいいと思います。

それではContent-Typeが与えられていないときどうしようもありません。ローカルファイルのブラウズをするときに中身と拡張子のどちらを優先するのかとか、HTTP/0.9やらftpやら経由で送られてきたリソースとか。

そのようなリソースのブラウズは一切認めないというのも極論としてはアリですか。

>ファイルのバイナリイメージを無視して、画像ではないものを画像として表示しようとしたり、音声ではないものを音声として出力しようとしたり……最悪、ハードが壊れることにもなりかねませんが。（特にスピーカーとか）

それは画像のデコーダや音声のプレーヤがショボいのであって、バイナリイメージを無視したことに原因があるのではないと思います。とくに画像ではないものを画像として表示しようとして壊れるという状況がいまいち思いつきません。

経路上【何処】のUNIXサーバが次々と破壊されるから【謎】半角カナは使うべきでない【謎】という意見に賛成なら同意してもいいですが【謎】。

>Google 八分 の確認と対応の方法

>http://www001.upp.so-net.ne.jp/wakan/Others/Google-Removed.html

　やじうま Watch でも紹介されたみたいですね。

http://internet.watch.impress.co.jp/static/yajiuma/index.htm

>Content-Typeだけを判断すればいいと思います。

それはちょっと…

ファイルのバイナリイメージを無視して、画像ではないものを画像として表示しようとしたり、音声ではないものを音声として出力しようとしたり……最悪、ハードが壊れることにもなりかねませんが。（特にスピーカーとか）

拡張子は無視しても問題ないかとは思いますが。

>・Content-Type

>・拡張子

>・ファイルタイプ

>

>　が全て一致しないと

Content-Typeの方でした…、すいません。

拡張子とファイルタイプは判断しないべきなのでは?と言いたかったのです。

Content-Typeだけを判断すればいいと思います。

>"拡張子がファイルタイプに一致しないと"って所が気になります。

>ファイルタイプを優先するべきだと思うのですが

　ファイルタイプというのが何を指すのかがちょい微妙なのですが、

・Content-Type

・拡張子

・ファイルタイプ

　が全て一致しないと、と言っているので「ファイルタイプ」とは拡張子でも Content-Type でもないのでしょう。IE がファイルを読んで自動判別した結果を指すものと思われます。

　それで、たとえば、拡張子 .jpg で Content-Type が image/jpeg なんだけど中身は HTML、というファイルは

・Content-Type = image/jpeg

・拡張子 = .jpg

・ファイルタイプ = HTML

　となるのですが、従来の IE ではこれを HTML とみなし、HTML としてレンダリングしていました (実証済み。これによって某サイトで XST によりパスワードを盗む exploit が可能とかいう……)。

　つまり従来の IE では常にファイルタイプが優先されていたということです。SP2 では、これらが食い違うとうまく行かなかったり、より安全側にみなされるようになったということでしょう。

>"拡張子がファイルタイプに一致しないと"って所が気になります。

>ファイルタイプを優先するべきだと思うのですが

文脈からして「ファイルタイプ」はsniffの結果であってContent-Typeではないと思われるので、優先してはまずいと思います。

"拡張子がファイルタイプに一致しないと"って所が気になります。

ファイルタイプを優先するべきだと思うのですが

パロディー版。

http://drew.corrupt.net/think-of-the-domokun.jpg

>plain/textだったらHTMLとしてレンダリングされなくて当然のような・・・。

>text/plainの間違いですよね？

　おそらくそうだろうと思いますが、原文ママです。

　というか、普通にリンクしておかないと引用元へのリンクがないですね。リンク追加しておきます。

plain/textだったらHTMLとしてレンダリングされなくて当然のような・・・。

text/plainの間違いですよね？

どーもくんはどうも向こうで結構人気があるみたい。

doumokunでググると

予想される検索キーワード： domokun

と出たりします。

どーもくん@FF11

http://ff11.s33.xrea.com/cgi2/monster.cgi?mode=detail&name=%83O%83D%81[%83u%81[

結構前に、pya!（何）で目にしたような気がするけど、気だけかもしれません。

ばけらさん有難うございます。ウィルスセキュリティ２００４をインストゥールしてあります。感染はしていないようです。

>出会い系ビジネスで主婦ねずみ講

>http://www.example.com/

　ぷらら方面から二発ほど不発弾が着弾しましたが、この記事が検索でヒットした模様。

http://search.yahoo.co.jp/bin/query?p=%bc%e7%c9%d8+%a5%d3%a5%b8%a5%cd%a5%b9+%b7%c7%bc%a8%c8%c4&hc=0&hs=6&&b=391&h=dp

　まあ問題ありませんが、ようやるなぁ。

やべえ。面白い。すげー笑った。

就業中に見てしまった俺の受難(自業自得です)