2003年09月08日(月) [過去の今日]
#1 下痢気味
IRCで「下痢気味をなんとかしてくれ」と言われて、そんなものファイブミニでも飲んどけとか言ってたのだが、どうやらIEのMIME無視を付いた悪戯のことだったらしい。
ご存知のようにMSIEはMIMEを無視するため、そこにHTMLタグが含まれていればテキストだろうが画像だろうがなんでもHTMLとして表示する。そこで拡張子がjpgなテキストファイルを用意し、そこに2chのBBSに書き込むフォームを作っておく。そしてJavaScriptで自動でsubmitさせるわけだ。fusianasanで書き込まれるため、IPアドレスがそれで公になる。
とりあえず動作確認のために 簡単なスクリプト を書いてみた。 geritest.jpg をクリックすれば、同じディレクトリの geri.cgi にPOSTしようとする。これで「危険危険」と出るようなら、「下痢気味」に引っかかるブラウザ、ということだ。
どう考えてもMSIEのセキュリティホールなのだが、まあ今さら認めやしないだろう。ということで対処法は以下の通り。
- JavaScriptをオフにする(Javaではないよ)
- MSIEをやめて他のブラウザに乗り換える
- 画像はダウンローダで拾ってビューアで見る
- ビューアのセキュリティホールが心配なら、一度テキストファイルで開いて<form>などのHTMLタグが無いか確認する
というわけでひっかからないようにがんばってね >某R氏。
(@455)