アカウント名:
パスワード:
添付ファイルのzi_は保存してからzipにリネームして展開してください。みたいな対策が、そこかしこで、、、#まあex_をリネームさせるよりはマシかな
拡張子だけでなく、マジックナンバー [wikipedia.org]くらいチェックするだろ。
zipってファイル先頭はなんでもいいんだよなぁ。もちろん、ファイル終端を見れば特定できるのだが。
マジックナンバーが無い場合もあるのか。知らんかった。
しかし、今どきの企業システムなら、添付ファイルのセキュリティ検査くらいするんじゃないかな。暗号化ZIPはその邪魔にもなるので、前から禁止してた会社も知ってる。
いや、ファイルの終端を見ても本当は特定できない。end of central directory headerはファイル全体をスキャンして探さなければんらない。かつてはXMODEMのゴミなんかが末尾につくのが常識だったからちゃんとスキャンしてたと思うんだが、最近は(Windows標準の圧縮フォルダーも含め)手抜き実装が増えてるな。
XMODEMでゴミが付くって言う発想が後年なんですよ。CP/Mのファイルが128バイト単位だったんで。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy
拡張子偽装 (スコア:1)
添付ファイルのzi_は保存してからzipにリネームして展開してください。
みたいな対策が、そこかしこで、、、
#まあex_をリネームさせるよりはマシかな
Re: (スコア:1)
拡張子だけでなく、マジックナンバー [wikipedia.org]くらいチェックするだろ。
Re:拡張子偽装 (スコア:0)
zipってファイル先頭はなんでもいいんだよなぁ。
もちろん、ファイル終端を見れば特定できるのだが。
Re:拡張子偽装 (スコア:1)
マジックナンバーが無い場合もあるのか。知らんかった。
しかし、今どきの企業システムなら、添付ファイルのセキュリティ検査くらいするんじゃないかな。
暗号化ZIPはその邪魔にもなるので、前から禁止してた会社も知ってる。
Re:拡張子偽装 (スコア:1)
いや、ファイルの終端を見ても本当は特定できない。end of central directory headerはファイル全体をスキャンして探さなければんらない。かつてはXMODEMのゴミなんかが末尾につくのが常識だったからちゃんとスキャンしてたと思うんだが、最近は(Windows標準の圧縮フォルダーも含め)手抜き実装が増えてるな。
Re: (スコア:0)
XMODEMでゴミが付くって言う発想が後年なんですよ。
CP/Mのファイルが128バイト単位だったんで。