アカウント名:
パスワード:
まず、一般人の多くは、URLの文字列を意識していない(TLDの意味も分かっていない)し、拡張子を理解していないので、zipというTLDによるセキュリティ被害は生じません(Windowsはデフォルトでzipの拡張子を表示しません)。
そして、URLの文字列を意識してセキュリティ上の判断に使用しており、かつ拡張子も同様にセキュリティ上の判断に使用しているような逸般人は、TLDと拡張子を混同することはありません。
というか、テキストメールだと https://example.zip/ [example.zip] のように http や https などのスキーム名が表示されるの
チャットツールで「ファイルはsecret[.]zipをDLして展開して下さい」でsecret[.]zipがリンクになっていた時、・メッセージの投稿者が社内ネットワークに該当のファイルを設置してそのリンクを親切に設定した・メッセージの投稿者は該当ファイルは既に所持していると思っていて名前を書けば意図が伝わると思ってリンクを設定してないが、チャットツールがおせっかいでevilなドメインにリンクを貼ってしまったのかの判断なんて瞬時に不可能だろ。
フォーカス当ててブラウザのツールチップ見ても、今どきのSPAアプリだとクソ長くて省略される事もザラだし専用のWUPアプリだとリンクを右クリックからコピーして確認する必要があるし。
http:// (自動リンク回避のため全角にしました) や https:// を書かずに、example.zip と書いただけで勝手に http:// や https:// が補完された形でのリンクになるチャットツールってあります?
ひょっとすると .com ならあるかもしれないけど、example.reit とか example.pub とか example.coop のようなマイナーTLDでリンクになるチャットツールなんて見たことがないですが。(上記の3つのTLDは実在するTLDです)
現状有るかどうかは知らないけど、今後作るなら気を付けようね、というポイントが増えちゃったという話ではあるわな。自動でリンクするやつを実装しようぜ、面倒くさいから最後が.とTLDになってる文字列は全部変換だ、という安直な実装はダメ、と。既存のライブラリを使う場合でも、そのライブラリの仕様をちゃんと注意しようね、と。
何がどう繋がるとTLDと拡張子の混乱が起こるのかさっぱり理解出来てなかったけど、そういうコンボなんだ! という気付きは得られた。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
吾輩はリファレンスである。名前はまだ無い -- perlの中の人
セキュリティ上全く問題がない (スコア:2, 興味深い)
まず、一般人の多くは、URLの文字列を意識していない(TLDの意味も分かっていない)し、拡張子を理解していないので、zipというTLDによるセキュリティ被害は生じません(Windowsはデフォルトでzipの拡張子を表示しません)。
そして、URLの文字列を意識してセキュリティ上の判断に使用しており、かつ拡張子も同様にセキュリティ上の判断に使用しているような逸般人は、TLDと拡張子を混同することはありません。
というか、テキストメールだと https://example.zip/ [example.zip] のように http や https などのスキーム名が表示されるの
Re:セキュリティ上全く問題がない (スコア:0)
チャットツールで「ファイルはsecret[.]zipをDLして展開して下さい」
でsecret[.]zipがリンクになっていた時、
・メッセージの投稿者が社内ネットワークに該当のファイルを設置してそのリンクを親切に設定した
・メッセージの投稿者は該当ファイルは既に所持していると思っていて名前を書けば意図が伝わると思ってリンクを設定してないが、チャットツールがおせっかいでevilなドメインにリンクを貼ってしまった
のかの判断なんて瞬時に不可能だろ。
フォーカス当ててブラウザのツールチップ見ても、今どきのSPAアプリだとクソ長くて省略される事もザラだし
専用のWUPアプリだとリンクを右クリックからコピーして確認する必要があるし。
そんなチャットツール有る? (スコア:0)
http:// (自動リンク回避のため全角にしました) や https:// を書かずに、
example.zip と書いただけで勝手に http:// や https:// が補完された形でのリンクになるチャットツールってあります?
ひょっとすると .com ならあるかもしれないけど、
example.reit とか example.pub とか example.coop のようなマイナーTLDでリンクになるチャットツールなんて見たことがないですが。
(上記の3つのTLDは実在するTLDです)
Re: (スコア:0)
現状有るかどうかは知らないけど、今後作るなら気を付けようね、というポイントが増えちゃったという話ではあるわな。
自動でリンクするやつを実装しようぜ、面倒くさいから最後が.とTLDになってる文字列は全部変換だ、という安直な実装はダメ、と。
既存のライブラリを使う場合でも、そのライブラリの仕様をちゃんと注意しようね、と。
何がどう繋がるとTLDと拡張子の混乱が起こるのかさっぱり理解出来てなかったけど、そういうコンボなんだ! という気付きは得られた。