投稿順表示 (543/568)

前のページ 1...538/539/540/541/542/543/544/545/546/547/548...568 次のページ

[504] Re: えび日記 : 「やってしもうた」

いわい (2003年8月2日 13時15分)

「夏休みホームページ作り（下）」が凄いことになっているみたいです。

http://www.be.asahi.com/20030802/W16/0033.html

http://hpbuilder.net/nikki/?date=20030802#p01

ネタ？

[503] Re: 激しく板違いだけど

yuu (2003年8月1日 15時14分)

>今日は今月最後の日です。コンテンツIDの解約をお忘れなく……って誰に言ってる？

あ～【謎】。

[502] 激しく板違いだけど

Mitukasa@Gilgamesh鯖 (2003年7月31日 21時30分)

今日は今月最後の日です。コンテンツIDの解約をお忘れなく……って誰に言ってる？

[501] Re: えび日記 : 「XSS大王シリーズ終焉か」

いわい (2003年7月31日 19時21分)

>あっ、すいません。ISPにつなげるルータやF/Wから先（外側）で、相手の同じくISPからつながるルータやF/Wまでの間って意味で、その前後のLAN上ならある程度想像も出来るしsniffer 起動したって何も聞こえないよってぐらいの対策ならたてやすい（自分の方）、アンド　リスクも想定しやすい（相手サイト内）んですが。

なるほど。「無線LANでも使わない限り」とあったので、LAN 内部のことだとばかり思っていました。

[500] Re: えび日記 : 「XSS大王シリーズ終焉か」

賄い (2003年7月31日 17時42分)

>自宅、あるいは会社から外のインターネット上で」がよくわかってませんが【謎】、・・・

あっ、すいません。ISPにつなげるルータやF/Wから先（外側）で、相手の同じくISPからつながるルータやF/Wまでの間って意味で、その前後のLAN上ならある程度想像も出来るしsniffer 起動したって何も聞こえないよってぐらいの対策ならたてやすい（自分の方）、アンド　リスクも想定しやすい（相手サイト内）んですが。

もちろんお金や他人様の個人情報の絡むようなものは無条件にSSLかVPNですけどね。

本題からずれてしまって申し訳なし。m(_ _)m

[499] Re: えび日記 : 「XSS大王シリーズ終焉か」

いわい (2003年7月31日 13時20分)

>>尤も、最近では流石にそんなとこはないのかも知れません。

>いや、思いっきりあるでしょうというかあります。

まだあるのか…。

[498] Re: えび日記 : 「XSS大王シリーズ終焉か」

yuu (2003年7月31日 9時25分)

>尤も、最近では流石にそんなとこはないのかも知れません。

いや、思いっきりあるでしょうというかあります。

[497] Re: えび日記 : 「XSS大王シリーズ終焉か」

いわい (2003年7月31日 4時4分)

>しかし、無線LANでも使わない限り、自宅、あるいは会社から外のインターネット上で、盗聴なんてどこで出来るんだろうと前から疑問に。実例が何処にも見つからない。

「自宅、あるいは会社から外のインターネット上で」がよくわかってませんが【謎】、大学とかだとその辺り【何処】から LAN に繋ぐこともできたりすることもあります。尤も、最近では流石にそんなとこはないのかも知れません。

あと、会社でも同僚【誰】が悪意をもって盗聴【謎】する可能性はあります。知人【誰】が、会社【何処】で sniffer 起動したら凄いことになったとかいうてましたし【謎】。

つまり【謎】となりの人【誰】は敵ということです【違】。

[496] Re: えび日記 : 「PDF をダウンロードさせる」

えむけい (2003年7月31日 2時10分)

>>ていうか保存した側がデータ提供者というのが意味がわかりません【ピュア】。

>いや、サーバに置いてあるファイルが hoge.pdf だとしたら、たとえ application/octed-stream だとしても、とりあえず hoge.pdf がデフォルトのファイル名ってので良いのでは? という意味なんですが……、

「知ってる」拡張子は避けるために拡張子を取り除くとかテキトーに付けるとかしたほうがよさげです。リンク先のスレッドを2つほど追うとがいしゅつですが【謎】。

Macだとなんでもクリエータ「????」で済みそうですがダブルクリックで開けないとJakobさん【誰】的に残念な思いをしそうです【謎】。application/pdfなら適切なクリエータが付けられるだろうけど今度はUAがダウンロードを促されないよねどうしようというはなししです【謎】。

>デフォルトのファイル名って name パラメタで決められるのでしたね。

nameパラメータはRFC的には未定義で、Content-Dispositionのfilenameパラメータで決められます。ただしUAは指定されたものをそのまんま使う必要はないので/etc/passwdとか指定して任意のファイルを上書きとか| rm -rf *とか指定して【以下略】とかはできないことになってます。したがってホゥルの原因になりそうなら拡張子を付け替える可能性もあります。ってリンク先でがいしゅつですが【謎】。ていうかリンク先読んでくださいっ【謎】。

>だとしても【謎】サーバに置いてあるファイルが hoge.exe なのに hoge.pdf として保存されたとして、その場合、開こうとすると exe として起動するの? 検証せずに訊きますが。

検証せずに答えますが【謎】関連付けられてるアプリ(たとえばAdobe Reader)が起動して無効なpdf系のエラーを吐くのでは。Officeだとお節介にも【謎】中身を見て動作を変えるらしいですが。

http://www.st.ryukoku.ac.jp/~kjm/security/memo/2000/09.html#20000927_fileext

[495] Re: えび日記 : 「PDF をダウンロードさせる」

yuu (2003年7月30日 23時35分)

>ていうか保存した側がデータ提供者というのが意味がわかりません【ピュア】。

いや、サーバに置いてあるファイルが hoge.pdf だとしたら、たとえ application/octed-stream だとしても、とりあえず hoge.pdf がデフォルトのファイル名ってので良いのでは? という意味なんですが……、デフォルトのファイル名って name パラメタで決められるのでしたね。

だとしても【謎】サーバに置いてあるファイルが hoge.exe なのに hoge.pdf として保存されたとして、その場合、開こうとすると exe として起動するの? 検証せずに訊きますが。

[494] Re: えび日記 : 「PDF をダウンロードさせる」

えむけい (2003年7月30日 21時58分)

>>PDFかどうかブラウザにはわからない(ことになってる)バイナリの塊を.pdfという拡張子で保存していいのでしょうか?

>>audio/wavと称して.batとか.exeなファイルを送り込む系のホゥルが昔あった気がしますが。

>そういう拡張子として保存しているのは、保存した側（データ提供者）ではないのですか？

だとしても【謎】デフォルトで与えられる拡張子が「.pdf」でいいのでしょうか。IE6の場合だと「開く」を選んだら選択の余地はありませんし、audio/wavだと思って安心して開いたら喰らった【謎】というのでは完全にホゥルです【謎無】。安心したらいけないのかもしれませんが【謎】ファイルタイプによってはそもそもダイアログ出ませんし【謎無】。

ていうか保存した側がデータ提供者というのが意味がわかりません【ピュア】。

ご参考【謎】:

http://www.st.ryukoku.ac.jp/~kjm/security/ml-archive/memo/2001.10/msg00287.html