---

En har sendt dette link til mig og jeg har klikket på det.
Så kan jeg se indholdet af min harddisk .. Lidt bekymrende syntes jeg.

Men er det en joke og bare lokalt man kan se det ?


Håber nogen kan forklare mig det.


Allan





http://ugidelig.com/hacked.jpg

---

"AllanM" <allan@1allanm.dk> skrev i en meddelelse
news:dsqP8.60525$N46.2016674@news010.worldonline.dk...
> En har sendt dette link til mig og jeg har klikket på det.
> Så kan jeg se indholdet af min harddisk .. Lidt bekymrende syntes jeg.
>
> Men er det en joke og bare lokalt man kan se det ?
>

Hej Allan,

Blot en joke. Billedet er sikkert linket til: file:///c:/

Venligst
Peter

---

In article <3d0e3b58$0$27681$edfadb0f@dspool01.news.tele.dk>,
"Peter Kruse" <kruse@pc.dk> wrote:

> "AllanM" <allan@1allanm.dk> skrev i en meddelelse
> news:dsqP8.60525$N46.2016674@news010.worldonline.dk...
> > En har sendt dette link til mig og jeg har klikket på det.
> > Så kan jeg se indholdet af min harddisk .. Lidt bekymrende syntes jeg.
> >
> > Men er det en joke og bare lokalt man kan se det ?
> >
>
> Hej Allan,
>
> Blot en joke. Billedet er sikkert linket til: file:///c:/

Men hvis dette virker er det en fejl i browseren som vel skal stoppes.

---

Povl H. Pedersen wrote:
> Men hvis dette virker er det en fejl i browseren som vel skal stoppes.

Åben dette link: file://c:\

Det gør nogenlunde det samme - altsammen fungere lokalt på din PC.

--
Anders Lund - news@anders.adsl.dk
Message enhanced by "OE-QuoteFix" - http://home.in.tum.de/~jain/
YAFP (Yet Another Fun Project) - http://project-dolphin.net/

---

In article <aeljr7$1su8$1@news.cybercity.dk>,
"Anders Lund" <news@anders.adsl.dk> wrote:

> Povl H. Pedersen wrote:
> > Men hvis dette virker er det en fejl i browseren som vel skal stoppes.
>
> Åben dette link: file://c:\
>
> Det gør nogenlunde det samme - altsammen fungere lokalt på din PC.

Men et remote webside bør ikke kunne åbne lokale objekter, da disse jo
stryger ind i javascript miljøet for remote websiden, som så kan sende
info til en applet der kommunikerer tilbage til serveren.

---

Povl H. Pedersen wrote:
> Men et remote webside bør ikke kunne åbne lokale objekter, da disse jo
> stryger ind i javascript miljøet for remote websiden, som så kan sende
> info til en applet der kommunikerer tilbage til serveren.

Der har jo også været sikkerhedshuller med brug af iframes i Internet
Explorer. Dette er blevet rettet - men jeg kan selvfølelig ikke sige om der
er andre huller

--
Anders Lund - news@anders.adsl.dk
Message enhanced by "OE-QuoteFix" - http://home.in.tum.de/~jain/
Keyboard counter - http://project-dolphin.net/

---

"Povl H. Pedersen" wrote:
>
> In article <aeljr7$1su8$1@news.cybercity.dk>,
> "Anders Lund" <news@anders.adsl.dk> wrote:
>
> > Povl H. Pedersen wrote:
> > > Men hvis dette virker er det en fejl i browseren som vel skal stoppes.
> >
> > Åben dette link: file://c:\
> >
> > Det gør nogenlunde det samme - altsammen fungere lokalt på din PC.
>
> Men et remote webside bør ikke kunne åbne lokale objekter, da disse jo
> stryger ind i javascript miljøet for remote websiden, som så kan sende
> info til en applet der kommunikerer tilbage til serveren.

Hvis det er tilfældet, burde de demonstrere det hul i stedet for det
andet pjat.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razor-report@daimi.au.dk

---

Povl H. Pedersen wrote:
> Men et remote webside bør ikke kunne åbne lokale objekter, da disse jo
> stryger ind i javascript miljøet for remote websiden, som så kan sende
> info til en applet der kommunikerer tilbage til serveren.

Det gør den jo heller ikke.

Hvis browseren er sat til at håndtere links til lokale directories ved
at bede operativsystemet vise et
explorer/stifiner/filemanager/tracker-vindue for brugeren er der jo ikke
noget sikkerhedsproblem i det. Det hele foregår på klienten. Folk udefra
har ikke mulighed for at andet end at sidde og grine over den forvirrede
bruger.

Peter

---

AllanM <allan@1allanm.dk> wrote:
> En har sendt dette link til mig og jeg har klikket på det.
> Så kan jeg se indholdet af min harddisk .. Lidt bekymrende syntes jeg.
>
> Men er det en joke og bare lokalt man kan se det ?

Du oversaa foelgende afsnit i OSS'en da du laeste den igennem:

http://a.area51.dk/sikkerhed/brugere#browsertrick

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

AllanM wrote:
>
> En har sendt dette link til mig og jeg har klikket på det.
> Så kan jeg se indholdet af min harddisk .. Lidt bekymrende syntes jeg.
>
> Men er det en joke og bare lokalt man kan se det ?
>
> Håber nogen kan forklare mig det.
>
> Allan
>
> http://ugidelig.com/hacked.jpg

Det har aldrig været en jpeg fil. Det er næsten en html fil.
Og iframe tricket er jo ikke just nyt. Hvad er SAMBAR
forresten for en webserver?

telnet ugidelig.com 80
Trying 217.157.164.161...
Connected to port344.ds1-ro.adsl.cybercity.dk (217.157.164.161).
Escape character is '^]'.
GET /hacked.jpg HTTP/1.0
HOST: ugidelig.com

HTTP/1.1 200 OK
Date: Mon, 17 Jun 2002 22:09:55 GMT
Server: SAMBAR 5.1
MIME-version: 1.0
Last-modified: Sat, 02 Feb 2002 00:14:07 GMT
Accept-ranges: bytes
Content-length: 249
Content-type: image/jpeg
Connection: close

<title>A poor bastard without firewall</title>
<body>
Check out this guy, he let his firewall
down.
<p><iframe src="file:///C|/" height=480 width=640 marginwidth=0
marginheight=0 scrolling=no frameborder=1 vspace=2></iframe>
</body>
</html>
Connection closed by foreign host.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razor-report@daimi.au.dk

---

Kasper Dupont skrev:

> Hvad er SAMBAR forresten for en webserver?

Det er en multifunktions server, som forsøger at have alle funktioner
man kunne få brug for. Pro udgaven har også DNS indbygget:

<URL: http://www.sambar.com >
--
Fix Outlook Express 5.*:
<URL: http://home.in.tum.de/~jain/software/quotefix.php >

---

Kasper Dupont wrote:

> telnet ugidelig.com 80
> Trying 217.157.164.161...
> Connected to port344.ds1-ro.adsl.cybercity.dk (217.157.164.161).
> Escape character is '^]'.
> GET /hacked.jpg HTTP/1.0
> HOST: ugidelig.com
>
> HTTP/1.1 200 OK
> Date: Mon, 17 Jun 2002 22:09:55 GMT
> Server: SAMBAR 5.1
> MIME-version: 1.0
> Last-modified: Sat, 02 Feb 2002 00:14:07 GMT
> Accept-ranges: bytes
> Content-length: 249
> Content-type: image/jpeg
> Connection: close
>
> <title>A poor bastard without firewall</title>
> <body>
> Check out this guy, he let his firewall
> down.
> <p><iframe src="file:///C|/" height=480 width=640 marginwidth=0
> marginheight=0 scrolling=no frameborder=1 vspace=2></iframe>
> </body>
> </html>
> Connection closed by foreign host.

Her sidder jeg så og keder mig og søger for sjovs skyld efter mit
ipnummer i googles groups. Jeg finder følgende indlæg og
ugidelig.com det er jo mig.. Jeg studser dog lidt over at min
webserver kan telnettes og fortæller den er en Sambas 5.1, ikke at
det som sådan er klassificeret information, men det får jo altid
en lidt op på mærkerne når man opdager ens software afgiver flere
informationer end forventet. Hvis jeg selv laver en telnet
ugidelig.com 80 med den telnet der følger med win2000, så får jeg
intet..

Min nysgerrighed går nu på hvad min server ellers kan fravristes
af informationer, at du kan finde en fil du har et link til er
ikke overraskende, men kan du også få at vide hvad jeg ellers har
af filer i root på ugidelig.com eller andet interessant?

....og ja, siden er rent gas.

--
Hygge..
Thomas

<http://carftp.com> - a library of car videos.

---

Thomas Strandtoft wrote:
>
> Kasper Dupont wrote:
>
> > telnet ugidelig.com 80
> > Trying 217.157.164.161...
> > Connected to port344.ds1-ro.adsl.cybercity.dk (217.157.164.161).
> > Escape character is '^]'.
> > GET /hacked.jpg HTTP/1.0
> > HOST: ugidelig.com
> >
> > HTTP/1.1 200 OK
> > Date: Mon, 17 Jun 2002 22:09:55 GMT
> > Server: SAMBAR 5.1
> > MIME-version: 1.0
> > Last-modified: Sat, 02 Feb 2002 00:14:07 GMT
> > Accept-ranges: bytes
> > Content-length: 249
> > Content-type: image/jpeg
> > Connection: close
> >
> > <title>A poor bastard without firewall</title>
> > <body>
> > Check out this guy, he let his firewall
> > down.
> > <p><iframe src="file:///C|/" height=480 width=640 marginwidth=0
> > marginheight=0 scrolling=no frameborder=1 vspace=2></iframe>
> > </body>
> > </html>
> > Connection closed by foreign host.
>
> Her sidder jeg så og keder mig og søger for sjovs skyld efter mit
> ipnummer i googles groups. Jeg finder følgende indlæg og
> ugidelig.com det er jo mig.. Jeg studser dog lidt over at min
> webserver kan telnettes og fortæller den er en Sambas 5.1, ikke at
> det som sådan er klassificeret information, men det får jo altid
> en lidt op på mærkerne når man opdager ens software afgiver flere
> informationer end forventet. Hvis jeg selv laver en telnet
> ugidelig.com 80 med den telnet der følger med win2000, så får jeg
> intet..

Du skal selv skrive requesten før serveren svarer. De
første tre linier er requesten, resten er svaret. Hvis
det stadig ikke virker, så må det være din telnet, der
er underlig. Jeg får stadig samme resultat.

>
> Min nysgerrighed går nu på hvad min server ellers kan fravristes
> af informationer, at du kan finde en fil du har et link til er
> ikke overraskende, men kan du også få at vide hvad jeg ellers har
> af filer i root på ugidelig.com eller andet interessant?

Du kan jo tage et kig på:
http://uptime.netcraft.com/up/graph/?site=ugidelig.com

Ikke at den fortæller dig noget helt vildt. Jeg går ud
fra, at SAMBAR ikke lider af alle de sårbarheder, som
IIS lider af. Så med mit manglende kendskab til SAMBAR
kan jeg ikke finde ud af mere.

>
> ...og ja, siden er rent gas.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razrep@daimi.au.dk
or mailto:mcxumhvenwblvtl@skrammel.yaboo.dk

---

Kasper Dupont wrote:

> > informationer end forventet. Hvis jeg selv laver en telnet
> > ugidelig.com 80 med den telnet der følger med win2000, så får jeg
> > intet..
>
> Du skal selv skrive requesten før serveren svarer. De
> første tre linier er requesten, resten er svaret. Hvis
> det stadig ikke virker, så må det være din telnet, der
> er underlig. Jeg får stadig samme resultat.

Forvirringen opstod fordi min telnet ikke laver echo af det jeg
selv taster. Jeg tastede i blinde og så fik jeg samme svar som du
får..

> Ikke at den fortæller dig noget helt vildt. Jeg går ud
> fra, at SAMBAR ikke lider af alle de sårbarheder, som
> IIS lider af.

Det håber jeg også, IIS har jeg ikke den store fidus til, det er
alt for integreret med selve operativsystemet og jeg stoler ikke
på sikkerheden. Jeg installerede engang IIS fordi jeg var
interesseret i ftp-serveren og efter noget tid gik det så op for
mig at jeg også havde fået web, smtp og mail med i købet uden at
have bedt om det. Idag kører jeg kun relativt små, specialiserede
programmer der tager sig af hver sin opgave, det giver mig en
langt bedre mulighed for at overskue sikekrhedsaspekterne..

> Så med mit manglende kendskab til SAMBAR
> kan jeg ikke finde ud af mere.

Det er eller et rart stykke software..

--
Hygge..
Thomas

<http://carftp.com> - a library of car videos.

---

"AllanM" <allan@1allanm.dk> writes:

[snip]
> Men er det en joke og bare lokalt man kan se det ?
[snip]
> Håber nogen kan forklare mig det.
[snip]
> http://ugidelig.com/hacked.jpg
[snip]

Indholdet af ovennævnte fil:

<title>A poor bastard without firewall</title>
<body>
Check out this guy, he let his firewall
down.
<p><iframe src="file:///C|/" height=480 width=640 marginwidth=0
marginheight=0 scrolling=no frameborder=1 vspace=2></iframe>
</body>
</html>

- Jacob

---

Den 17 Jun 2002 23:54:13 +0200 skrev jacob_a@spamos.dk:
>"AllanM" <allan@1allanm.dk> writes:
>
>[snip]
>> Men er det en joke og bare lokalt man kan se det ?
>[snip]
>> Håber nogen kan forklare mig det.
>[snip]
>> http://ugidelig.com/hacked.jpg
>[snip]
>
>Indholdet af ovennævnte fil:
>
><title>A poor bastard without firewall</title>
><body>
>Check out this guy, he let his firewall
>down.
><p><iframe src="file:///C|/" height=480 width=640 marginwidth=0
>marginheight=0 scrolling=no frameborder=1 vspace=2></iframe>
></body>
></html>

Mozilla giver:

The image "http://ugidelig.com/hacked.jpg" cannot be displayed, because it
contains errors.

Mvh
Kent
--
Which one is faster - Lotus Notes or Lotus Esprit?

---

On Thu, 20 Jun 2002 16:50:48 +0000 (UTC), leeloo@phreaker.net (Kent
Friis) wrote:

>Mozilla giver:

Årsagen er, at webserveren også tror at der er tale om en jpeg-fil, og
sender den tilbage med Content-type: image/jpeg

Mozilla+Netscape vælger at bruge en billedfremviser til at forsøge at
behandle den, mens MS bruger en bjørnetjeneste og går igang med at
gætte content-type

--
- Peter Brodersen

---

Den Fri, 21 Jun 2002 00:32:09 +0200 skrev Peter Brodersen:
>On Thu, 20 Jun 2002 16:50:48 +0000 (UTC), leeloo@phreaker.net (Kent
>Friis) wrote:
>
>>Mozilla giver:
>
>Årsagen er, at webserveren også tror at der er tale om en jpeg-fil, og
>sender den tilbage med Content-type: image/jpeg
>
>Mozilla+Netscape vælger at bruge en billedfremviser til at forsøge at
>behandle den, mens MS bruger en bjørnetjeneste og går igang med at
>gætte content-type

Var det ikke det de havde rettet engang? Dengang var det bare audio/midi
og *.exe

Mvh
Kent
--
Those who write "Optimized for Netscape" og "Best viewed with MSIE"
never figured out the difference between the WWW and a
Word Perfect 4.2 Document.

---

Kent Friis wrote:
> Var det ikke det de havde rettet engang? Dengang var det bare audio/midi
> og *.exe

Microsoft er notorisk kendt for at vildlede brugerne ved ikke at kunne
bestemme sig til hvad der er "filtypen" (og dermed hvilken applikation
den vises med) og hvad der er fil-navnet.

Det er stadig filtret helt ind i Windows at extension i filnavnet afgør
typen.. nogen steder. Det får IE til ikke at behandle den som et billede
til trods for at webserveren siger det er af typen image/jpeg.
Det er et tilbagevendede sikkerhedshul at selvom alle informationer
brugeren får peger imod at det er et billede, så lave Windows alligevel
noget andet.
Det er ligepræcis det som udnyttes i de fleste nyere email-virus. (ud
over at Outlook overhovedet kan finde på at sende ting til
VB-fortolkeren). Nemlig at Windows fortæller brugeren et og gør et andet.

Klasse eksemplet er: ILOVEYOU.TXT.VBS

VBS er en "kendt" filtype som Windows per default skjuler for brugeren.
Tilgengæld har de fleste brugere jo alligevel fundet ud af at .TXT på
Windows betyder det er en tekst-fil. - netop fordi Windows ikke er
konsekvent med ikke at vide extension som en del af navnet.
Brugeren tror det er et... Windows gør et andet.

Mozilla er tilgengæld streng med at bruge MIME Content-Type . Desværre
har version 1.0 i forsøget på at imødekomme Winddows-brugere, der tror
på Microsofts lille løgn om at filnavnet giver typen, begyndt at kun
ville gemme filer med endelse .txt hvis webserveren sender text/plain
istedet for text/html eller andet.
Det er der jo nogen webservere, der gør. IE er jo ligeglad... *suk*
Det er ikke rigtig et sikkerhedshul.. bare drøn-irriterende.

---

On Fri, 21 Jun 2002 18:39:42 +0200, Peter Mogensen
<apm-at-mutex-dot-dk@nospam.no> wrote:

>Mozilla er tilgengæld streng med at bruge MIME Content-Type . Desværre
>har version 1.0 i forsøget på at imødekomme Winddows-brugere, der tror
>på Microsofts lille løgn om at filnavnet giver typen, begyndt at kun
>ville gemme filer med endelse .txt hvis webserveren sender text/plain
>istedet for text/html eller andet.

Nej, det er ikke forkert - tværtimod er det netop anbefalet af W3C, og
på det punkt har IE i ånden opført sig korrekt.

Hvis man fx går ind på en side - lad os kalde den for data.php - så
giver det ikke meget mening at brugeren skulle gemme den side på sin
harddisk som "data.php", men snarere ud fra hvad fil, det var, så
personen, der downloadede den, kunne bruge den passende i sit system.
Det betyder, at hvis data.php fx genererer et gif-billede, så får den
almindelige bruger mere glæde af det, hvis den så gemmes som
data.php.gif (eller blot data.gif).

Tjek fx W3's lækre "Common User Agent Problems":
http://www.w3.org/TR/cuap#protocols
I 3.1 nævnes det netop:
"If the user wants to save a resource locally, the user agent should
respect the system naming conventions for files (e.g. PNG images
usually have a .png extension)."

--
- Peter Brodersen

---

Peter Brodersen wrote:

> Nej, det er ikke forkert - tværtimod er det netop anbefalet af W3C, og
> på det punkt har IE i ånden opført sig korrekt.

Jo det er.
Hvis serveren vil foreslå et filnavn kan den benytte sig af
Content-Disposition, der godtnok ikke er en del af HTTP/1.1 , men
beskrevet i RFC2183. Er browseren implementeret ordentligt kan man også
undgå de problemer der er beskrevet i afsnit 5.

> Hvis man fx går ind på en side - lad os kalde den for data.php - så
> giver det ikke meget mening at brugeren skulle gemme den side på sin
> harddisk som "data.php", men snarere ud fra hvad fil, det var, så
> personen, der downloadede den, kunne bruge den passende i sit system.
> Det betyder, at hvis data.php fx genererer et gif-billede, så får den
> almindelige bruger mere glæde af det, hvis den så gemmes som
> data.php.gif (eller blot data.gif).

> Tjek fx W3's lækre "Common User Agent Problems":
> http://www.w3.org/TR/cuap#protocols
> I 3.1 nævnes det netop:
> "If the user wants to save a resource locally, the user agent should
> respect the system naming conventions for files (e.g. PNG images
> usually have a .png extension)."

Ja, det er meget muligt. Men på mit/mine system(er) er der altså ikke
nogen konvention om at teskt-dokumenter skal ende på .txt
Faktisk kan dokumenter der har typen text/plain hedde hvad som helst.
(f.eks. .c .pl .java .blabla).

Det er kun på Windows at det er til nogen som helst nytte at Mozilla
opfører sig sådan.
UNIX/Linux har igen konventioner. Filtypen afgøres ofte af Magic-numbers
MacOS bruger 2 32-bits integers kaldet type/creator til at bestemme
filtypen. - i ressource-forken.
BeOS gemmer selve MIME-typen som en attribut på filen - igen externs
til alt POSIX-information (navn, statinfo og datastrøm).

Læg mærke til ordrene "system naming conventions". Ligenu opfører
Mozilla 1.0 sig som om alt var Windows.

Peter

---

On Mon, 24 Jun 2002 13:13:35 +0200, Peter Mogensen
<apm-at-mutex-dot-dk@nospam.no> wrote:

>> Nej, det er ikke forkert - tværtimod er det netop anbefalet af W3C, og
>> på det punkt har IE i ånden opført sig korrekt.
>Jo det er.
>Hvis serveren vil foreslå et filnavn kan den benytte sig af
>Content-Disposition, der godtnok ikke er en del af HTTP/1.1 , men
>beskrevet i RFC2183. Er browseren implementeret ordentligt kan man også
>undgå de problemer der er beskrevet i afsnit 5.

Men hvis der ikke er nogen Content-Disposition, så ændrer det
stadigvæk ikke på at browseren bør foreslå et passende navn, hvis det
hjælper på systemet.

Downloader jeg en webside, giver det ikke meget mening at jeg ender
med en "webside.php"-fil, når der ikke er nogen rester af php i den.

>Det er kun på Windows at det er til nogen som helst nytte at Mozilla
>opfører sig sådan.
>UNIX/Linux har igen konventioner. Filtypen afgøres ofte af Magic-numbers
>MacOS bruger 2 32-bits integers kaldet type/creator til at bestemme
>filtypen. - i ressource-forken.

Da du sammenlignede med IE, gik jeg ud fra at du brugte Windows; husk
at Mozilla også fungerer glimrende her.

Men hvis Mozilla også opfører sig sådan under linux, kan man måske
mene at det er lidt fjollet, mens det under Windows giver god mening.

Det er sjældent at jeg arbejder rigtigt grafisk under fx linux, men
det forekommer mig dog at en del grafiske filehandleres ellers netop
baserer sig på extensions.

>Læg mærke til ordrene "system naming conventions". Ligenu opfører
>Mozilla 1.0 sig som om alt var Windows.

Under Windows giver det god mening at Mozilla 1.0 fungerer på den måde
;)
--
- Peter Brodersen

---

Peter Brodersen wrote:
> Men hvis der ikke er nogen Content-Disposition, så ændrer det
> stadigvæk ikke på at browseren bør foreslå et passende navn, hvis det
> hjælper på systemet.

Korrekt. Men "passende" er der skam forskellige meninger om. På systemer
der ikke kobler filnavnet til filtypen (det, der afgørende for hvilken
applikation den vises med) vil "passende" IMNSHO enten være bestemt af
Content-Disposition eller uændret.


> Downloader jeg en webside, giver det ikke meget mening at jeg ender
> med en "webside.php"-fil, når der ikke er nogen rester af php i den.

Korrekt. Selvom jeg nu ikke syntes det gør så meget under BeOS og Linux.
Her bør web-serveren i mange tilfælde benytte Content-Disposistion.

> Da du sammenlignede med IE, gik jeg ud fra at du brugte Windows; husk
> at Mozilla også fungerer glimrende her.

Jeg bruger ikke Windows. Men jeg kan se hvor mange problemer
filtype-extension-systemet giver brugerne på Windows.

> Men hvis Mozilla også opfører sig sådan under linux, kan man måske
> mene at det er lidt fjollet, mens det under Windows giver god mening.

Det gør den og det er ikke alene fjollet. Det er direkte forkert ifølge
den W3C guideline du referede til.

> Det er sjældent at jeg arbejder rigtigt grafisk under fx linux, men
> det forekommer mig dog at en del grafiske filehandleres ellers netop
> baserer sig på extensions.

Hmm... Nogen gør sikkert. Jeg bruger dem sjældent. Men 'ls' og Emacs kan
da også bruge extension. Men derfor er det alligevel forkert at
browseren insisterer på en bestemt extension til f.eks. text/plain
filer, når det ligeså godt kunne være man ville have den hed .c
GNOME og KDE lefler sikkert også lidt for meget for Windows-brugere, så
de ikke skal føle det er helt anderledes.

Der er skam mange UNIX programmer, der bruger filen extension til noget
specielt. GCC gør bl.a. Den bruger det til at afgøre hvilket sprog
input-filen er skrevet i.
Men (VIGTIGT), der er ingen programmer, der blander sig i
navngivnings-processen af filer de ikke selv har genereret!

> Under Windows giver det god mening at Mozilla 1.0 fungerer på den måde
> ;)

Ja. Det har du nok ret i.
Men der er altså alligevel ikke en standardiseret extension for alle
MIME-typer. tezt/plain og application/octet-stream er ihvertfald dumme
at forsøge at gætte på.

Peter

---

On Mon, 24 Jun 2002 22:16:32 +0200, Peter Mogensen
<apm-at-mutex-dot-dk@nospam.no> wrote:

>> Da du sammenlignede med IE, gik jeg ud fra at du brugte Windows; husk
>> at Mozilla også fungerer glimrende her.
>Jeg bruger ikke Windows. Men jeg kan se hvor mange problemer
>filtype-extension-systemet giver brugerne på Windows.

Eh, blander du nu ikke alt det med fileextension sammen i én stor
pærevælling?

Én ting er W3C's forslag, men det har intet at gøre med MS' fjollede
beslutning om fx at skjule extensions. De to forslag går på ingen måde
hånd i hånd.

--
- Peter Brodersen

---

Peter Brodersen wrote:

> Eh, blander du nu ikke alt det med fileextension sammen i én stor
> pærevælling?

Næe.. Tjoe.. Jae.. måske ... nej.


> Én ting er W3C's forslag, men det har intet at gøre med MS' fjollede
> beslutning om fx at skjule extensions. De to forslag går på ingen måde
> hånd i hånd.

Det er vi på sin vis helt enige om. Det er da heller ikke W3C jeg
skælder ud på. Havde Mozilla fortolket W3Cs anbefaling som jeg mener den
burde tolkes var der jo heller ikke noget problem.
Og sådan som den er tolket i version 1.0 mindsker da også problemet på
Windows.
Det er den (arkane) måde at håndtere filtype begrebet på som Windows
bruger der er problemet. Det W3C anbefaler er jo bare at følge
konventionen på Windows.. hvor tosset den så end er.

At lave et OS/software miljø sikkert kræver også at man gør det nemt for
brugeren at anvende det sikkert. Det indebærer bl.a. at man ikke
forholder brugeren vigtig information.
Windows filtype systemet med extensions er i den henseende roden til
meget ondt. Problemet er bl.a. at det (ud over at skjule extensions for
brugeren) kun "virker" halvt. Brugerne ser jo netop extensions - nogen
gange. Kommer de til en anden computer er den måske ikke indstillet
magen til deres og nogen applikationer skjuler aldrig extensions. F.eks.
FTP-programmer. Så brugerne "ved" godt hvordan filtyper er implementeret
og tror at de kan regne det ud når de f.eks. ser ILOVEYOU.TXT.

Mozilla (og W3C) kan jo ikke gøre ret meget andet end at holde gode
minder til slet spil og lege med, men hele systemet skulle skrottes.

Peter

---

On Tue, 25 Jun 2002 00:09:33 +0200, Peter Mogensen
<apm-at-mutex-dot-dk@nospam.no> wrote:

>Det er den (arkane) måde at håndtere filtype begrebet på som Windows
>bruger der er problemet. Det W3C anbefaler er jo bare at følge
>konventionen på Windows.. hvor tosset den så end er.

Jeg omfatter W3C's henvisning til "naming convention", hvilket fx
omfatter brug af Content-Type til at "filbestemme" den endelige fil på
slut-systemet. Fx ved at tildele den rigtige opsætning i fork'en under
MacOS (bruger MacOS X egentligt stadigvæk resource-forks?) og så
fremdeles.

Jeg ser blot ikke den store forskel på at en fil kan udføres pga.
extension'en, og at en fil kan udføres pga. resource-fork'en.

--
- Peter Brodersen

---

Peter Brodersen wrote:
> Jeg omfatter W3C's henvisning til "naming convention", hvilket fx
> omfatter brug af Content-Type til at "filbestemme" den endelige fil på
> slut-systemet. Fx ved at tildele den rigtige opsætning i fork'en under
> MacOS (bruger MacOS X egentligt stadigvæk resource-forks?) og så
> fremdeles.

Ja... Hmm... alt hvad der bruger HFS/HFS+ gør vel. Jeg ved egentlig ikke
hvordan det er med MacOS X.
OpenStep brugte dem ikke.

> Jeg ser blot ikke den store forskel på at en fil kan udføres pga.
> extension'en, og at en fil kan udføres pga. resource-fork'en.

At bruge extensions som filtyper er jo en gammel sag (brugte det
flittigt på min 8-bitter)
Forskellen er at Microsoft opfatter det som en implementations-detaljer
om hvordan filtype-systemet er lavet. Det er ikke bare stifinderen der
skjuler extensions. Jeg kan huske at have prøvet at programmere Perl med
Wordpad.. et helvede. Hver gang jeg havde lavet en fil måtte jeg ud i
DOS og fjerne .txt, så filen ikke hed xxx.pl.txt

Dette kan ikke undgås at blive noget rod, hvis man piggy-backer
implementationen af filtyper på filnavnet.

BeOS har IMHO den mest elegante implementation. Alle filer har
(ikke en ressource-fork men) et associativt array af typede attributter.
En af dem angiver MIME-typen for filen.
Derudover kan hvert fil-system-plugin definere måder at gætte/regne sig
frem til MIME-typen. F.eks. ved at se på extension, magicnumber, eller p
på HFS volumes type/creator.

---

Peter Mogensen wrote:
> Forskellen er at Microsoft opfatter det som en implementations-detaljer
> om hvordan filtype-systemet er lavet. Det er ikke bare stifinderen der
> skjuler extensions. Jeg kan huske at have prøvet at programmere Perl med
> Wordpad.. et helvede. Hver gang jeg havde lavet en fil måtte jeg ud i
> DOS og fjerne .txt, så filen ikke hed xxx.pl.txt

Du kan også bare når du gemmer filerne tilføje "" uden om filnavnet. Så vil
Windows ikke tilføje andre efternavne.

--
Anders Lund - news@anders.adsl.dk
Message enhanced by "OE-QuoteFix" - http://home.in.tum.de/~jain/
Keyboard counter - http://project-dolphin.net/

---

Anders Lund wrote:

> Du kan også bare når du gemmer filerne tilføje "" uden om filnavnet. Så vil
> Windows ikke tilføje andre efternavne.


... fandt jeg ud af senere... - syntes stadig det er noget rod.

Peter

---

Peter Mogensen wrote:
>> Du kan også bare når du gemmer filerne tilføje "" uden om filnavnet. Så
>> vil Windows ikke tilføje andre efternavne.
>
> .. fandt jeg ud af senere... - syntes stadig det er noget rod.

Jeg synes at det er helt fint - men jeg er også vant til at håndtere de
extensions.
Men det er jo også bare mig.

--
Anders Lund - news@anders.adsl.dk
Message enhanced by "OE-QuoteFix" - http://home.in.tum.de/~jain/
Keyboard counter - http://project-dolphin.net/

---

On Tue, 25 Jun 2002 22:02:39 +0200, Peter Mogensen
<apm-at-mutex-dot-dk@nospam.no> wrote:

>Derudover kan hvert fil-system-plugin definere måder at gætte/regne sig
>frem til MIME-typen. F.eks. ved at se på extension, magicnumber, eller p
>på HFS volumes type/creator.

Det er jeg ganske enkelt ikke begejstret for. I nogle tilfælde skal
HTML-tekster betragtes som tekstfiler. Dertil kom eksempelvis et
gif-billede, jeg på et tidspunkt smed noget php-kode i kommentaren på.
Filen var et 100% gyldigt gif-billede, og indeholdte altså også 100%
gyldig php-kode...

(den blev netop lavet som et simpelt proof-of-concept overfor
php-udviklere om at man ikke skal stole på uploadede filers
oprindelige filnavne, heller ikke selvom man fx pudsede GetImageSize()
eller lignende "tjek-om-dette-er-et-billede"-scripts på det)

Oh well, i det hele taget er der nok ikke nogen simpel måde.
BeOS-tingen lyder teknisk kær, men jeg kunne forestille mig at for
simple, "lette" brugere kunne det i nogle tilfælde blive tungt at
danse med, hvis man fx ville ændre en tekstfil til at skulle betragtes
som en html-fil.

--
- Peter Brodersen

---

Peter Brodersen wrote:
> On Tue, 25 Jun 2002 22:02:39 +0200, Peter Mogensen
> <apm-at-mutex-dot-dk@nospam.no> wrote:
>
>
>>Derudover kan hvert fil-system-plugin definere måder at gætte/regne sig
>>frem til MIME-typen. F.eks. ved at se på extension, magicnumber, eller p
>>på HFS volumes type/creator.
>
>
> Det er jeg ganske enkelt ikke begejstret for. I nogle tilfælde skal
> HTML-tekster betragtes som tekstfiler. Dertil kom eksempelvis et
> gif-billede, jeg på et tidspunkt smed noget php-kode i kommentaren på.
> Filen var et 100% gyldigt gif-billede, og indeholdte altså også 100%
> gyldig php-kode...
>
> (den blev netop lavet som et simpelt proof-of-concept overfor
> php-udviklere om at man ikke skal stole på uploadede filers
> oprindelige filnavne, heller ikke selvom man fx pudsede GetImageSize()
> eller lignende "tjek-om-dette-er-et-billede"-scripts på det)
>
> Oh well, i det hele taget er der nok ikke nogen simpel måde.
> BeOS-tingen lyder teknisk kær, men jeg kunne forestille mig at for

det er teknisk kært.. og jeg har det meget kært! :)

> simple, "lette" brugere kunne det i nogle tilfælde blive tungt at
> danse med, hvis man fx ville ændre en tekstfil til at skulle betragtes
> som en html-fil.

det er så meget simplere end at danse med Windows' .ext system.

vær sød at forklare at mig hvordan det for 'lette' brugere er nemmere
når alting bliver skjult for dem? det er jo at holde brugerne for nar..
(hvilket måske egentlig nok er fornuftigt i de fleste tilfælde)

---

On Wed, 26 Jun 2002 01:55:49 +0300, Dennis Jakobsen
<brunis@[REM-SPAM]kolumbus.fi> wrote:

>vær sød at forklare at mig hvordan det for 'lette' brugere er nemmere
>når alting bliver skjult for dem? det er jo at holde brugerne for nar..
>(hvilket måske egentlig nok er fornuftigt i de fleste tilfælde)

Jeg er ikke helt sikker på hvad, du mener, jeg skal forklare. Jeg
forsvarer på ingen måde at Windows skjuler fileextensions - det finder
jeg netop dumt.

Jeg mener blot ikke at brug af extensions i sig selv er så stort et
problem, som det fremstilles som. Jeg betragter faktisk ikke file
extensions så meget anderledes end fx MacOS' resource-fork (én fil, én
filtype)

Forskellen er dog, at hvor jeg i Windows på en fremmed computer skal
belastes med at jeg først skal indstille at jeg vil se extensions, så
jeg lettere kan få lov til at ændre dem, forekommer det mig noget mere
besværligt på en fremmed Mac. Det har i flere tilfældet irriteret mig
mere end det har gavnet.

--
- Peter Brodersen

---

Peter Brodersen wrote:

> Det er jeg ganske enkelt ikke begejstret for. I nogle tilfælde skal
> HTML-tekster betragtes som tekstfiler. Dertil kom eksempelvis et
> gif-billede, jeg på et tidspunkt smed noget php-kode i kommentaren på.
> Filen var et 100% gyldigt gif-billede, og indeholdte altså også 100%
> gyldig php-kode...

øh... der er massere af situationer hvor en fil kan være gyldig i
forhold til to MIME-typer. - Det her er nok en af de mere eksotiske, men
ombestemmer man sig kan man da altid ændre den.

> Oh well, i det hele taget er der nok ikke nogen simpel måde.
> BeOS-tingen lyder teknisk kær, men jeg kunne forestille mig at for
> simple, "lette" brugere kunne det i nogle tilfælde blive tungt at
> danse med, hvis man fx ville ændre en tekstfil til at skulle betragtes
> som en html-fil.

På ingen måde. Hvis man vil ændre MIME-typen på en fil kan man gøre det
fra højrekliks-menuen. Alle MIME-typer har en tekstuel beskrivelse -
eller man kan vælge "den samme type som en aanden fil" - valgt med
filvælgeren.

Det er faktisk utroligt nemt og elegant. - men nu vi snakker sikkerhed,
så har det da også nogle problemer. F.eks. er det i teorien muligt med
et fjentlig ZIP-arkiv at snige executables ind på maskinen forklædt som
harmløse dokumenter. Der er dog en patch til Tracker (BeOS stifiner),
der afslører den slags.

Peter

---

Peter Mogensen wrote in news:3D1356CE.2030805@nospam.no:

> Kent Friis wrote:
[snip]
> Det er stadig filtret helt ind i Windows at extension i filnavnet
> afgør typen.. nogen steder. Det får IE til ikke at behandle den som et
> billede til trods for at webserveren siger det er af typen image/jpeg.
> Det er et tilbagevendede sikkerhedshul at selvom alle informationer
> brugeren får peger imod at det er et billede, så lave Windows
> alligevel noget andet.
> Det er ligepræcis det som udnyttes i de fleste nyere email-virus. (ud
> over at Outlook overhovedet kan finde på at sende ting til
> VB-fortolkeren). Nemlig at Windows fortæller brugeren et og gør et
> andet.
[snip]

De to ting har overhovedet ikke noget med hinanden at gøre.

Problemet med ILY-varianterne var, at Windows _skjuler_ endelsen af
kendte filtyper ... og derfor kan iloveyou.txt.vbs komme til at se ud som
iloveyou.txt

Men dette betyder ikke, at Windows har problemer med at finde ud af,
hvordan en fil skal håndteres. Det er nemlig såre simpelt: en fil
behandles af det program, der er associeret til fil-endelsen.

Problemet med siden i det oprindelige indlæg er, at den modtager en
content-type, der er forskellig fra den content-type som Windows har
associeret til den filtype den _tror_ den modtager. Dette er selvfølgelig
et problem, da det kan være ganske svært at få IE-browsere til at "opføre
sig korrekt" ... eller blot "konsistent" ... men det har intet med
problemerne med ILY-varianterne at gøre.

:)

--
Jesper Stocholm
http://stocholm.dk
http://asp.stocholm.dk
Svar til gruppen og ikke til mig privat pr. email :|

---

Jesper Stocholm wrote:
> De to ting har overhovedet ikke noget med hinanden at gøre.
>
> Problemet med ILY-varianterne var, at Windows _skjuler_ endelsen af
> kendte filtyper ... og derfor kan iloveyou.txt.vbs komme til at se ud som
> iloveyou.txt
>
> Men dette betyder ikke, at Windows har problemer med at finde ud af,
> hvordan en fil skal håndteres. Det er nemlig såre simpelt: en fil
> behandles af det program, der er associeret til fil-endelsen.
>
> Problemet med siden i det oprindelige indlæg er, at den modtager en
> content-type, der er forskellig fra den content-type som Windows har
> associeret til den filtype den _tror_ den modtager. Dette er selvfølgelig
> et problem, da det kan være ganske svært at få IE-browsere til at "opføre
> sig korrekt" ... eller blot "konsistent" ... men det har intet med
> problemerne med ILY-varianterne at gøre.
>

Ja ja.. alt dette er jeg udemærket godt klar over. Vi er nu stadig dybt
uenige om om de to ting er relateret.
Jeg er godt klar over at det er to forskellige "mekanismer" i Windows
der er på spil, men de bygger begge to på samme problem:

_At Windows håndtering af extensions i filnavne som "fil-typer" er et
problem_

IE behandler ikke Content-type feltet rigtigt. stifinderen skjuler
vigtig ingormation for brugeren, som jo kun er vigtig (sikkerhedmæssigt)
- netop fordi Windows generelt tilægger extension mere betydning end
alle andre systemer og i særdeleshed internettet.

De to ting er relaterede. Windows filtype-system er seriøst knækket!

---

AllanM wrote:

>
>
>http://ugidelig.com/hacked.jpg
>
Øv, hvorfor er der at alt det sjove aldrig virker i min Netscape browser
??!

--
Med venlig hilsen

Lars P. Møller

Kongevejen 20
Endelave
8700 Horsens
Tlf. 29 48 06 38 - 75 68 94 14
mailto://larsmo@post3.tele.dk
http://www.wmsecurity.dk

---

Lars Møller <larsmo@post3.tele.dk> writes:

> Øv, hvorfor er der at alt det sjove aldrig virker i min Netscape
> browser ??!

Fordi den er håbløst forældet?

- Jacob

---

jacob_a@spamos.dk writes:

> Lars Møller <larsmo@post3.tele.dk> writes:
>
> > Øv, hvorfor er der at alt det sjove aldrig virker i min Netscape
> > browser ??!
>
> Fordi den er håbløst forældet?

Ikke at det ville virke at opgradere hans Netscape 6.2.1 (er 7.0
udkommet endnu?). Det virker heller ikke i Mozilla 1.0 (eller i Opera
for den sags skyld).
/L
--
Lasse Reichstein Nielsen - lrn@hotpop.com
'Faith without judgment merely degrades the spirit divine.'

---

jacob_a@spamos.dk wrote:
>
> Lars Møller <larsmo@post3.tele.dk> writes:
>
> > Øv, hvorfor er der at alt det sjove aldrig virker i min Netscape
> > browser ??!
>
> Fordi den er håbløst forældet?

Nej, årsagen er nok nærmere, at Netscape ikke
implementerer alle Micro$ofts syge idéer.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razor-report@daimi.au.dk

---

Godt sagt, der er alt for lidt sikkerhed i Micro$ofts ware. Og nu er de også
begyndt at sende filer ud med Nimda virussen :)

2 af mine venner har fået den ved at opdatere deres messenger client i
sidste uge, hvor sygt er det måske????


"Kasper Dupont" <kasperd@daimi.au.dk> skrev i en meddelelse
news:3D105147.BBE7A82B@daimi.au.dk...
> jacob_a@spamos.dk wrote:
> >
> > Lars Møller <larsmo@post3.tele.dk> writes:
> >
> > > Øv, hvorfor er der at alt det sjove aldrig virker i min Netscape
> > > browser ??!
> >
> > Fordi den er håbløst forældet?
>
> Nej, årsagen er nok nærmere, at Netscape ikke
> implementerer alle Micro$ofts syge idéer.
>
> --
> Kasper Dupont -- der bruger for meget tid på usenet.
> For sending spam use mailto:razor-report@daimi.au.dk

---

Michael Andersen wrote:
> Godt sagt, der er alt for lidt sikkerhed i Micro$ofts ware. Og nu er de også
> begyndt at sende filer ud med Nimda virussen :)
>
> 2 af mine venner har fået den ved at opdatere deres messenger client i
> sidste uge, hvor sygt er det måske????


sygt!

Har de lært ngoet af det?

Nå ikke...