by
Anonymous Coward
on 2005年12月22日 14時14分
(#853774)
この問題に関してはFirefoxのほうが危険な面もあります。 Internet Explorerは、UTF-16、UTF-7、ISO-2022-JPなどの「危険」なエンコーディング(1バイトの0~0x7f以外のものがASCIIと解釈されうるエンコーディング)はユーザーの指定では選択できないようになっています。 まあタレコミのようなUTF-7っぽいものをUTF-7と勝手に判別させる攻撃があるし親コメントのようなShift_JISに変えると発動するトラップも作れるのでIEなら安心なわけでは決してありませんが。
被害者 (スコア:0, フレームのもと)
IEなんか使うからいけないんだよ。
Re:被害者 (スコア:3, 参考になる)
Re:被害者 (スコア:2, 参考になる)
Internet Explorerは、UTF-16、UTF-7、ISO-2022-JPなどの「危険」なエンコーディング(1バイトの0~0x7f以外のものがASCIIと解釈されうるエンコーディング)はユーザーの指定では選択できないようになっています。
まあタレコミのようなUTF-7っぽいものをUTF-7と勝手に判別させる攻撃があるし親コメントのようなShift_JISに変えると発動するトラップも作れるのでIEなら安心なわけでは決してありませんが。
Re:被害者 (スコア:2, 興味深い)
日本語に関してはそうですが、中国語のHZはそうではありません。選択できてしまいます。
Internet Explorerのこのメニュー構成が果たして、こういう問題を想定してのものかどうかについては疑問に感じます。
もしこの問題を予見していたのであれば、そもそも文字コードの自動検出からもこれらの文字コードを候補からは外しておくべきです。(単に開発者が異なっていて、連携がとれていないだけかもしれませんが、それはそれで問題。)
Mozilla関連プロダクトでもBugzilla-jpで意見を募っています [mozilla.gr.jp]。
予言成就 (スコア:1, 興味深い)
現実的な解としては「あり」だと思います。
予言 (スコア:0, おもしろおかしい)
↓
Re:予言 (スコア:0)
そんなに嫌なのかw