パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Google Pixelのマークアップツールで編集前の画像が復元できる脆弱性、エクスプロイトが公開」記事へのコメント

  • by Anonymous Coward

    ファイルそのままで先頭から書き込んじゃう奴ね。やるやる。
    トリミングしたつもりが途中から普通に見れてしまうのは確かに問題。

    しかしウェブサービスも画像を受け取るならきちんとデータのトリミング?みたいな地味に面倒そうな処理をしないといけないのね。
    メタデータ削除のついでにやるようなものだし、そういうことしないと画像ファイルサーバーのつもりがデータ置き場に転用されかねないからセキュリティ対策を別としてもやらざるを得ないが。
    でも軽く自作サービス作る時とかめんどくさそうだなぁ。ライブラリもツールもあるだろうけど。

    • by Anonymous Coward on 2023年03月19日 21時07分 (#4429489)

      modeをwでfopenすべきところをr+で開いちゃってたみたいなことなのか
      加工したファイルを元ファイルに上書き保存するってイメージがなくてすぐには分からなかった

      親コメント
      • by ktmizugaki (46208) on 2023年03月24日 16時07分 (#4432094) 日記

        Android の ContentResolver の openOutputStream では、 mode に "w" を指定しても切り詰められないというのが始末に悪い。
        前に自作アプリでひかかって調べたら、自分で truncate メソッドを呼ぶと良いというのを見つけて、まじかいなと思いながら対応した記憶がある。
        今調べたら、 Android 10 から "w" では切り詰められない動作に変わっていて、 "wt" と指定すると 切り詰められるらしい……。

        --
        svn-init() {
          svnadmin create .svnrepo
          svn checkout file://$PWD/.svnrepo .
        }
        親コメント

犯人はmoriwaka -- Anonymous Coward

処理中...