Użytkownik "Konrad Kosmowski" <konrad@kosmosik.net> napisał w wiadomości
news:20070331025050.3c904b29@localhost.localdomain...
> ** Konrad Kosmowski wrote:
>
>> Jakimś cudem MSIE to wyświetlił, chociaż jest *.dupa... Zasugerował
>> się typem MIME zapodanym przez serwer.
>
> Tzn. też nie... Zasugerował się nie wiem czym, bo na pewno ani
> rozszerzeniem, ani typem MIME (mój serwer zwraca to jako typ HTML). W
> każdym razie wyświetlił bez zwracania uwagi na ścieżkę - ergo filtrując
> po *.png i tak da się przemycić plik PNG.
ale to w dalszym ciągu są zwykłe _dane_ a nie konkretne _instrukcje_
przeznaczone dla programu wykonywalnego main.cpl
można nawet *wyświetlić* .exe (co mi się niekiedy zdarza z jakichś powodów)
i nadal nie widzę jaką by miało to spowodować szkodę.
IMO: spreparowany .ani musi być załadowany zgodnie z przeznaczeniem, czyli
user musi w zabezpieczeniach mieć zezwolenie na daną akcję (n.p. zezwalaj na
instalowanie oprogramowania) i oczywiście brak blokady dla URL *.ani
-- Pozdrowienia! /-/. Mariusz *://marmro.homeip.net/ -- Pozdrowienia! /-/. Mariusz *://marmro.homeip.net/Received on Sat Mar 31 15:20:04 2007
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Sat 31 Mar 2007 - 15:42:02 MET DST