IRCで「下痢気味をなんとかしてくれ」と言われて、そんなものファイブミニでも飲んどけとか言ってたのだが、どうやらIEのMIME無視を付いた悪戯のことだったらしい。

ご存知のようにMSIEはMIMEを無視するため、そこにHTMLタグが含まれていればテキストだろうが画像だろうがなんでもHTMLとして表示する。そこで拡張子がjpgなテキストファイルを用意し、そこに2chのBBSに書き込むフォームを作っておく。そしてJavaScriptで自動でsubmitさせるわけだ。fusianasanで書き込まれるため、IPアドレスがそれで公になる。

とりあえず動作確認のために 簡単なスクリプト を書いてみた。 geritest.jpg をクリックすれば、同じディレクトリの geri.cgi にPOSTしようとする。これで「危険危険」と出るようなら、「下痢気味」に引っかかるブラウザ、ということだ。

どう考えてもMSIEのセキュリティホールなのだが、まあ今さら認めやしないだろう。ということで対処法は以下の通り。

• JavaScriptをオフにする(Javaではないよ)
• MSIEをやめて他のブラウザに乗り換える
• 画像はダウンローダで拾ってビューアで見る
• ビューアのセキュリティホールが心配なら、一度テキストファイルで開いて<form>などのHTMLタグが無いか確認する

というわけでひっかからないようにがんばってね >某R氏。

(@455)