アカウント名:
パスワード:
まず、一般人の多くは、URLの文字列を意識していない(TLDの意味も分かっていない)し、拡張子を理解していないので、zipというTLDによるセキュリティ被害は生じません(Windowsはデフォルトでzipの拡張子を表示しません)。
そして、URLの文字列を意識してセキュリティ上の判断に使用しており、かつ拡張子も同様にセキュリティ上の判断に使用しているような逸般人は、TLDと拡張子を混同することはありません。
というか、テキストメールだと https://example.zip/ [example.zip] のように http や https などのスキーム名が表示されるの
自分の想像力の上を行く手口があるかもしれないのに「全く問題が無い」と言い切る自信はどこから。
h+tps://wwww.boo.comVupdate.zip をクリックし、update.zipをダウンロードしてクリックして解凍してください。と説明して virus.exe をダウンロードさせてたら?
ま、www.boo.info/Asoftware.com とかしてAsoftware.comを実行させるみたいなのと同じなので、.zipが現れてもバリエーションが増えるだけに過ぎないけど。
システムの問題じゃなくて人間を騙す手口に使われる可能性がある限り「全く問題ない」というわけでもない。
元コメには「そもそもインターネット上のファイルの扱いは拡張子ではなくhttpヘッダーのMIMEタイプで決まるので拡張子でセキュリティリスクを判断すること自体がおかしい」とあるでしょ。
https://www.example.com/hoge.html [example.com] にアクセスした際にリダイレクト無しで exe や zip をダウンロードさせることが可能なの。 https://www.example.com/hoge.zip [example.com] が zipだと思ったらexeファイルからもしれないし、逆も有り得る。ダウ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
にわかな奴ほど語りたがる -- あるハッカー
セキュリティ上全く問題がない (スコア:2, 興味深い)
まず、一般人の多くは、URLの文字列を意識していない(TLDの意味も分かっていない)し、拡張子を理解していないので、zipというTLDによるセキュリティ被害は生じません(Windowsはデフォルトでzipの拡張子を表示しません)。
そして、URLの文字列を意識してセキュリティ上の判断に使用しており、かつ拡張子も同様にセキュリティ上の判断に使用しているような逸般人は、TLDと拡張子を混同することはありません。
というか、テキストメールだと https://example.zip/ [example.zip] のように http や https などのスキーム名が表示されるの
Re:セキュリティ上全く問題がない (スコア:0)
自分の想像力の上を行く手口があるかもしれないのに「全く問題が無い」と言い切る自信はどこから。
h+tps://wwww.boo.comVupdate.zip をクリックし、update.zipをダウンロードしてクリックして解凍してください。
と説明して virus.exe をダウンロードさせてたら?
ま、www.boo.info/Asoftware.com とかしてAsoftware.comを実行させるみたいなのと同じなので、.zipが現れてもバリエーションが増えるだけに過ぎないけど。
システムの問題じゃなくて人間を騙す手口に使われる可能性がある限り「全く問題ない」というわけでもない。
httpの仕様を知らないのなら黙っていたら? (スコア:0)
元コメには「そもそもインターネット上のファイルの扱いは拡張子ではなくhttpヘッダーのMIMEタイプで決まるので拡張子でセキュリティリスクを判断すること自体がおかしい」とあるでしょ。
https://www.example.com/hoge.html [example.com] にアクセスした際にリダイレクト無しで exe や zip をダウンロードさせることが可能なの。
https://www.example.com/hoge.zip [example.com] が zipだと思ったらexeファイルからもしれないし、逆も有り得る。
ダウ