アカウント名:
パスワード:
今回のような脆弱性でなくても、Webページ作成のときにローカルファイルを読み込んだものが修正されなかったのかなんなのか、file://..が残ったままのページがときどきあるんです。サーバ名が指定されていることもあって、そういうページを読み込むとWindowsファイル共有と解釈してしまうのかアクセスに行くらしいです。
file://なんて解釈する必要あるんでしょうか。イントラネットゾーンとか以外では基本無視でいいんじゃないですか?
ローカルのhtmlファイル+画像が読めないと困る困らない?
(file:)ローカルのページからローカルのファイルが開けるのは便利だけどリモート(http:)のページからローカルのファイルが開けるのは危険以外ないだろう。
昔はボケてそれやってるサイトとか結構あって画像は表示されないし勝手にHDDにアクセスに行くしで困ったもんだよ。
まさか今でもその穴が塞がってないのか?
気になって試してみたけどさすがに無いね(Win10)。img src="file:///C:/img.png" 表示されたらどうしようと思ったわ。ちなみにChromeはコンソールに Not allowed to load local resource: を吐くけど、IE(11)/Firefox/Edgeはガン無視。
で、7ではローカルファイルへのアクセスが起きるのか?よくわからんな。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり
ファイルメソッドなんて要るのかな? (スコア:0)
今回のような脆弱性でなくても、Webページ作成のときにローカルファイルを読み込んだものが修正されなかったのかなんなのか、file://..が残ったままのページがときどきあるんです。サーバ名が指定されていることもあって、そういうページを読み込むとWindowsファイル共有と解釈してしまうのかアクセスに行くらしいです。
file://なんて解釈する必要あるんでしょうか。イントラネットゾーンとか以外では基本無視でいいんじゃないですか?
Re: (スコア:0)
ローカルのhtmlファイル+画像が読めないと困る
困らない?
Re:ファイルメソッドなんて要るのかな? (スコア:0)
(file:)ローカルのページからローカルのファイルが開けるのは便利だけど
リモート(http:)のページからローカルのファイルが開けるのは危険以外ないだろう。
昔はボケてそれやってるサイトとか結構あって画像は表示されないし
勝手にHDDにアクセスに行くしで困ったもんだよ。
まさか今でもその穴が塞がってないのか?
Re: (スコア:0)
気になって試してみたけどさすがに無いね(Win10)。
img src="file:///C:/img.png" 表示されたらどうしようと思ったわ。
ちなみにChromeはコンソールに Not allowed to load local resource: を吐くけど、IE(11)/Firefox/Edgeはガン無視。
で、7ではローカルファイルへのアクセスが起きるのか?よくわからんな。