Depend des paramétrages de ta zone Internet ;) Je maintiens : txt chez moi Idem pour Opera : dépend de la configuration : txt chez moi
Chez Opera il faut cocher "Determine action by MIME type" au lieu de "Determine action by file extension if MIME type is unreliable". (Désolé, je ne possède pas la version française.)
Je me pose la question pourquoi Opera considère, dans ce cas, que le type MIME n'est pas fiable. Voici ce que renvoie le serveur:
text/plain pour .cgi ne serait pas fiable? Oui, si on veut... ou bien quoi?
Chez IE 5, avec un niveau de sécurité élevé, le JavaScript s'exécute quand-même. Je ne vois pas quelle option pourrait le convaincre d'afficher le tout au format texte brut.
Au fait: en naviguant dans les options, je viens de découvrir l'option "Démarrer des programmes et fichiers dans un IFRAME". Chez moi, c'est désactivé. Je me demande quel rôle cette option joue dans le cas de la fameuse faille Iframe/MIME.
JacK a écrit:
Depend des paramétrages de ta zone Internet ;)
Je maintiens : txt chez moi
Idem pour Opera : dépend de la configuration : txt chez moi
Chez Opera il faut cocher "Determine action by MIME type" au lieu de
"Determine action by file extension if MIME type is unreliable".
(Désolé, je ne possède pas la version française.)
Je me pose la question pourquoi Opera considère, dans ce cas, que
le type MIME n'est pas fiable. Voici ce que renvoie le serveur:
text/plain pour .cgi ne serait pas fiable? Oui, si on veut... ou bien
quoi?
Chez IE 5, avec un niveau de sécurité élevé, le JavaScript s'exécute
quand-même. Je ne vois pas quelle option pourrait le convaincre
d'afficher le tout au format texte brut.
Au fait: en naviguant dans les options, je viens de découvrir l'option
"Démarrer des programmes et fichiers dans un IFRAME". Chez moi, c'est
désactivé. Je me demande quel rôle cette option joue dans le cas de
la fameuse faille Iframe/MIME.
Depend des paramétrages de ta zone Internet ;) Je maintiens : txt chez moi Idem pour Opera : dépend de la configuration : txt chez moi
Chez Opera il faut cocher "Determine action by MIME type" au lieu de "Determine action by file extension if MIME type is unreliable". (Désolé, je ne possède pas la version française.)
Je me pose la question pourquoi Opera considère, dans ce cas, que le type MIME n'est pas fiable. Voici ce que renvoie le serveur:
text/plain pour .cgi ne serait pas fiable? Oui, si on veut... ou bien quoi?
Chez IE 5, avec un niveau de sécurité élevé, le JavaScript s'exécute quand-même. Je ne vois pas quelle option pourrait le convaincre d'afficher le tout au format texte brut.
Au fait: en naviguant dans les options, je viens de découvrir l'option "Démarrer des programmes et fichiers dans un IFRAME". Chez moi, c'est désactivé. Je me demande quel rôle cette option joue dans le cas de la fameuse faille Iframe/MIME.
Pleurote du Panicaut
Dans le message boe80o$rq2$, Rémi nous écrivit :
Ben moi avec IE6 (et toutes les MàJ) réglé sur le niveau de sécurité par défaut j'ai une alerte "JAVA script is executed"...
Idem pour moi, puis affichage texte : "We should only display text, because of the content type ! " IE6 SP1 6.0.2800.1106 via MyIE2 0.8.2126
@+ -- Jean-Paul Boussac... HTLM-Kit en français : http://boussac.online.fr/Windows/HTML-Kit.html Lutte anti SPAM sous Windows : http://boussac.online.fr/Windows/antiSPAM.html
Dans le message boe80o$rq2$1@news-reader4.wanadoo.fr,
Rémi <remi.kubiak123@456wanadoo.fr> nous écrivit :
Ben moi avec IE6 (et toutes les MàJ) réglé sur le niveau de sécurité
par défaut j'ai une alerte "JAVA script is executed"...
Idem pour moi, puis affichage texte :
"We should only display text, because of the content type ! "
IE6 SP1 6.0.2800.1106 via MyIE2 0.8.2126
@+
--
Jean-Paul Boussac...
HTLM-Kit en français : http://boussac.online.fr/Windows/HTML-Kit.html
Lutte anti SPAM sous Windows :
http://boussac.online.fr/Windows/antiSPAM.html
Ben moi avec IE6 (et toutes les MàJ) réglé sur le niveau de sécurité par défaut j'ai une alerte "JAVA script is executed"...
Idem pour moi, puis affichage texte : "We should only display text, because of the content type ! " IE6 SP1 6.0.2800.1106 via MyIE2 0.8.2126
@+ -- Jean-Paul Boussac... HTLM-Kit en français : http://boussac.online.fr/Windows/HTML-Kit.html Lutte anti SPAM sous Windows : http://boussac.online.fr/Windows/antiSPAM.html
Nicob
On Thu, 06 Nov 2003 21:24:11 +0100, Misterjack wrote:
Pour vous aider dans cette quête, sachez que le simple affichage en C d'une chaîne entrée par l'utilisateur permet de faire faire un peu ce qu'on veut à la machine (si c'est mal écrit... bien sûr).
Ah, les bugs de format ...
Sachant que cette technique a mis des années à être découverte, et que les programmes vulnérables (et très utilisés) se comptaient par centaines, calculez la probabilité de découvrir une nouvelle famille de failles de programmation dans les 10 prochaines années.
Vous pouvez évidemment vous aider de l'âge du capitaine, qui est de 43 ans ...
Nicob
On Thu, 06 Nov 2003 21:24:11 +0100, Misterjack wrote:
Pour vous aider dans cette quête, sachez que le simple affichage en C
d'une chaîne entrée par l'utilisateur permet de faire faire un peu ce
qu'on veut à la machine (si c'est mal écrit... bien sûr).
Ah, les bugs de format ...
Sachant que cette technique a mis des années à être découverte, et que
les programmes vulnérables (et très utilisés) se comptaient par
centaines, calculez la probabilité de découvrir une nouvelle famille de
failles de programmation dans les 10 prochaines années.
Vous pouvez évidemment vous aider de l'âge du capitaine, qui est de 43
ans ...
On Thu, 06 Nov 2003 21:24:11 +0100, Misterjack wrote:
Pour vous aider dans cette quête, sachez que le simple affichage en C d'une chaîne entrée par l'utilisateur permet de faire faire un peu ce qu'on veut à la machine (si c'est mal écrit... bien sûr).
Ah, les bugs de format ...
Sachant que cette technique a mis des années à être découverte, et que les programmes vulnérables (et très utilisés) se comptaient par centaines, calculez la probabilité de découvrir une nouvelle famille de failles de programmation dans les 10 prochaines années.
Vous pouvez évidemment vous aider de l'âge du capitaine, qui est de 43 ans ...
Nicob
JacK
sur les news:, Roland Garcia signalait:
sur les news:, Roland Garcia signalait:
Non, IE 6.0.2800.1106 ----> HTML
Depend des paramétrages de ta zone Internet ;) Je maintiens : txt chez moi Idem pour Opera : dépend de la configuration : txt chez moi
En gros IE serait comme OE, quand on lui interdit tout il devient sûr :-)
Roland Garcia
lol : en gros Windows n'est pas configuré par défaut pour être sécurisé mais pour offir un maximum de facilité à l'utilisateur. Ensuite, chacun selon ses besoins et son degré de parano renforce la sécurité. Perso, je serais pour la politique inverse : sécuriser au maximum et ensuite assouplir en connaissance de cause. Il semble que µ$oft aille maintenant dans ce sens, voir Win2K3 server et ce qui est prévu pour le SP2, ainsi que que IE6 update beta (mais là, c'est plus pour se mettre en conformité suite à l'affaire EOLAS que par réel souci de sécurité...) -- JacK
sur les news:3FAABF3F.7050609@wanadoo.fr,
Roland Garcia <roland-garcia@wanadoo.fr> signalait:
sur les news:3FAAA2AD.2090908@wanadoo.fr,
Roland Garcia <roland-garcia@wanadoo.fr> signalait:
Non, IE 6.0.2800.1106 ----> HTML
Depend des paramétrages de ta zone Internet ;)
Je maintiens : txt chez moi
Idem pour Opera : dépend de la configuration : txt chez moi
En gros IE serait comme OE, quand on lui interdit tout il devient sûr
:-)
Roland Garcia
lol : en gros Windows n'est pas configuré par défaut pour être sécurisé mais
pour offir un maximum de facilité à l'utilisateur.
Ensuite, chacun selon ses besoins et son degré de parano renforce la
sécurité. Perso, je serais pour la politique inverse : sécuriser au maximum
et ensuite assouplir en connaissance de cause. Il semble que µ$oft aille
maintenant dans ce sens, voir Win2K3 server et ce qui est prévu pour le SP2,
ainsi que que IE6 update beta (mais là, c'est plus pour se mettre en
conformité suite à l'affaire EOLAS que par réel souci de sécurité...)
--
JacK
Depend des paramétrages de ta zone Internet ;) Je maintiens : txt chez moi Idem pour Opera : dépend de la configuration : txt chez moi
En gros IE serait comme OE, quand on lui interdit tout il devient sûr :-)
Roland Garcia
lol : en gros Windows n'est pas configuré par défaut pour être sécurisé mais pour offir un maximum de facilité à l'utilisateur. Ensuite, chacun selon ses besoins et son degré de parano renforce la sécurité. Perso, je serais pour la politique inverse : sécuriser au maximum et ensuite assouplir en connaissance de cause. Il semble que µ$oft aille maintenant dans ce sens, voir Win2K3 server et ce qui est prévu pour le SP2, ainsi que que IE6 update beta (mais là, c'est plus pour se mettre en conformité suite à l'affaire EOLAS que par réel souci de sécurité...) -- JacK
lomba
AMcD wrote:
Ha, et tes solutions ? Tu programmes un peu ? Oups, t'es tombé sur la mauvaise personne là... Quand je vois la qualité du
filtre email codé par LWA chez mon hébergeur, il est clairement bon :)
-- lomba
AMcD wrote:
Ha, et tes solutions ? Tu programmes un peu ?
Oups, t'es tombé sur la mauvaise personne là... Quand je vois la qualité du
filtre email codé par LWA chez mon hébergeur, il est clairement bon :)
Ha, et tes solutions ? Tu programmes un peu ? Oups, t'es tombé sur la mauvaise personne là... Quand je vois la qualité du
filtre email codé par LWA chez mon hébergeur, il est clairement bon :)
-- lomba
Nicob
On Thu, 06 Nov 2003 18:47:52 +0100, Roland Garcia wrote:
Le jour où tout le monde fera son travail au lieu de se reporter sur les autres ça ira mieux, je t'en foutrai des "fonctionnalités secondaires indésirables désirables" moi ! :-)
C'est clair !
Si l'admin du serveur Web ne sait pas faire son boulot, ce n'est pas au navigateur de rattrapper ses conneries. Si l'admin positionne volontairement un content-type "text/plain" ou "application/octet-stream"", le navigateur n'a pas à avoir une action différente que celle requise par le content-type en question.
Enfin, à mon avis ...
Nicob
On Thu, 06 Nov 2003 18:47:52 +0100, Roland Garcia wrote:
Le jour où tout le monde fera son travail au lieu de se reporter sur les
autres ça ira mieux, je t'en foutrai des "fonctionnalités secondaires
indésirables désirables" moi ! :-)
C'est clair !
Si l'admin du serveur Web ne sait pas faire son boulot, ce n'est pas au
navigateur de rattrapper ses conneries.
Si l'admin positionne volontairement un content-type "text/plain" ou
"application/octet-stream"", le navigateur n'a pas à avoir une action
différente que celle requise par le content-type en question.
On Thu, 06 Nov 2003 18:47:52 +0100, Roland Garcia wrote:
Le jour où tout le monde fera son travail au lieu de se reporter sur les autres ça ira mieux, je t'en foutrai des "fonctionnalités secondaires indésirables désirables" moi ! :-)
C'est clair !
Si l'admin du serveur Web ne sait pas faire son boulot, ce n'est pas au navigateur de rattrapper ses conneries. Si l'admin positionne volontairement un content-type "text/plain" ou "application/octet-stream"", le navigateur n'a pas à avoir une action différente que celle requise par le content-type en question.
Enfin, à mon avis ...
Nicob
Chambord
Lorsque quelqu'un critique ouvertement le code écrit pour des logiciels grand public, je dis : il n'est pas possible de mettre en place le même niveau qualité que pour un logiciel industriel, sans y mettre les mêmes moyens. Hors, ces moyens ne sont pas à disposition des développeurs.
Les développeurs de logiciel grand public n'ont pas les moyens d'écrire un code fiable et maintenable. Peut-on les blamer ? Je ne pense pas.
Il suffit de sortir du domaine informatique pour voir que les règles sont les mêmes. Si on tend vers la perfection , sans jeux de mot , le temps se tend, et cela à un coût horaire. Seul un système sans économie pourrait tendre vers la perfection , malheureusement un tel système n'est pas fiable ou n'a pas été trouvé... faute de temps...
Lorsque quelqu'un critique ouvertement le code écrit pour des logiciels
grand public, je dis : il n'est pas possible de mettre en place le même
niveau qualité que pour un logiciel industriel, sans y mettre les mêmes
moyens. Hors, ces moyens ne sont pas à disposition des développeurs.
Les développeurs de logiciel grand public n'ont pas les moyens d'écrire
un code fiable et maintenable. Peut-on les blamer ? Je ne pense pas.
Il suffit de sortir du domaine informatique pour voir que les règles
sont les mêmes. Si on tend vers la perfection , sans jeux de mot , le
temps se tend, et cela à un coût horaire. Seul un système sans économie
pourrait tendre vers la perfection , malheureusement un tel système
n'est pas fiable ou n'a pas été trouvé... faute de temps...
Lorsque quelqu'un critique ouvertement le code écrit pour des logiciels grand public, je dis : il n'est pas possible de mettre en place le même niveau qualité que pour un logiciel industriel, sans y mettre les mêmes moyens. Hors, ces moyens ne sont pas à disposition des développeurs.
Les développeurs de logiciel grand public n'ont pas les moyens d'écrire un code fiable et maintenable. Peut-on les blamer ? Je ne pense pas.
Il suffit de sortir du domaine informatique pour voir que les règles sont les mêmes. Si on tend vers la perfection , sans jeux de mot , le temps se tend, et cela à un coût horaire. Seul un système sans économie pourrait tendre vers la perfection , malheureusement un tel système n'est pas fiable ou n'a pas été trouvé... faute de temps...
Nicob
On Thu, 06 Nov 2003 19:53:28 +0100, Frederic Bonroy wrote:
Donc le choix des programmeurs d'Opera n'est pas totalement injustifié.
Les filtres Javascript n'acceptant que IE out telle et telle version de Mozilla sont contournables par la modification du champ User-Agent, fonctionnalité standard sous Opera (F12).
Nicob
On Thu, 06 Nov 2003 19:53:28 +0100, Frederic Bonroy wrote:
Donc le choix des programmeurs d'Opera n'est pas totalement injustifié.
Les filtres Javascript n'acceptant que IE out telle et telle version
de Mozilla sont contournables par la modification du champ User-Agent,
fonctionnalité standard sous Opera (F12).
On Thu, 06 Nov 2003 19:53:28 +0100, Frederic Bonroy wrote:
Donc le choix des programmeurs d'Opera n'est pas totalement injustifié.
Les filtres Javascript n'acceptant que IE out telle et telle version de Mozilla sont contournables par la modification du champ User-Agent, fonctionnalité standard sous Opera (F12).
Nicob
Frederic Bonroy
Nicob a écrit:
Si l'admin du serveur Web ne sait pas faire son boulot, ce n'est pas au navigateur de rattrapper ses conneries. Si l'admin positionne volontairement un content-type "text/plain" ou "application/octet-stream"", le navigateur n'a pas à avoir une action différente que celle requise par le content-type en question.
Normalement oui - seulement il peut-être utile de contourner le content-type dans les cas justement où l'administrateur n'a pas fait son boulot. Ce n'est pas propre, mais utile.
Nicob a écrit:
Si l'admin du serveur Web ne sait pas faire son boulot, ce n'est pas au
navigateur de rattrapper ses conneries.
Si l'admin positionne volontairement un content-type "text/plain" ou
"application/octet-stream"", le navigateur n'a pas à avoir une action
différente que celle requise par le content-type en question.
Normalement oui - seulement il peut-être utile de contourner le
content-type dans les cas justement où l'administrateur n'a pas fait
son boulot. Ce n'est pas propre, mais utile.
Si l'admin du serveur Web ne sait pas faire son boulot, ce n'est pas au navigateur de rattrapper ses conneries. Si l'admin positionne volontairement un content-type "text/plain" ou "application/octet-stream"", le navigateur n'a pas à avoir une action différente que celle requise par le content-type en question.
Normalement oui - seulement il peut-être utile de contourner le content-type dans les cas justement où l'administrateur n'a pas fait son boulot. Ce n'est pas propre, mais utile.
Nicob
On Thu, 06 Nov 2003 22:26:35 +0100, JacK wrote:
Idem pour Opera : dépend de la configuration : txt chez moi
Pour être précis : par défaut, Opera 7.21 ne respecte pas les content-type "text/plain" ou "application/octet-stream" et essaie de déterminer lui-même un "meilleur" content-type.
A mon avis, la version 7.22 a le même comportement, car les développeurs viennent de m'informer qu'ils ont clos le ticket sans modifier la conf par défaut, afin de coller au fonctionnement d'IE.
Extrait de leur mail : In a perfect world, browsers should of course not guess content types, nor would web servers send HTML labelled as "text/plain" or "application/octet-stream". But we're not quite there yet. For now, we will close this bug report without any changes in Opera's behaviour.
Il est toutefois possible (via "File types" -> "Determine action by MIME type") de zapper la phase d'analyse du contenu. C'est d'ailleurs la conf qui tourne actuellement chez moi.
Pour la petite histoire, j'avais trouvé le bug pendant un pen-test, le site visé affichant la valeur de variables modifiables par l'utilisateur, le tout avec un "text/plain" pour limiter les risques. En soit, il n'y a pas de bug. Mais sur 90% (au moins) des machines (et 100% dans les entreprises où les utilisateurs ont IE par défaut et ne peuvent modifier la conf), on peut exécuter du Javascript (ou autre, d'ailleurs).
D'ailleurs, j'ai le même type de bug dans des "samples" Oracle. Je me demande s'ils vont rejeter la faute sur IE. Vous pariez quoi, vous ?
Nicob
On Thu, 06 Nov 2003 22:26:35 +0100, JacK wrote:
Idem pour Opera : dépend de la configuration : txt chez moi
Pour être précis : par défaut, Opera 7.21 ne respecte pas les
content-type "text/plain" ou "application/octet-stream" et essaie de
déterminer lui-même un "meilleur" content-type.
A mon avis, la version 7.22 a le même comportement, car les développeurs
viennent de m'informer qu'ils ont clos le ticket sans modifier la conf par
défaut, afin de coller au fonctionnement d'IE.
Extrait de leur mail :
In a perfect world, browsers should of course not guess content types,
nor would web servers send HTML labelled as "text/plain" or
"application/octet-stream". But we're not quite there yet. For now, we
will close this bug report without any changes in Opera's behaviour.
Il est toutefois possible (via "File types" -> "Determine action by MIME
type") de zapper la phase d'analyse du contenu. C'est d'ailleurs la conf
qui tourne actuellement chez moi.
Pour la petite histoire, j'avais trouvé le bug pendant un pen-test, le
site visé affichant la valeur de variables modifiables par l'utilisateur,
le tout avec un "text/plain" pour limiter les risques. En soit, il n'y a
pas de bug. Mais sur 90% (au moins) des machines (et 100% dans les
entreprises où les utilisateurs ont IE par défaut et ne peuvent modifier
la conf), on peut exécuter du Javascript (ou autre, d'ailleurs).
D'ailleurs, j'ai le même type de bug dans des "samples" Oracle. Je me
demande s'ils vont rejeter la faute sur IE. Vous pariez quoi, vous ?
Idem pour Opera : dépend de la configuration : txt chez moi
Pour être précis : par défaut, Opera 7.21 ne respecte pas les content-type "text/plain" ou "application/octet-stream" et essaie de déterminer lui-même un "meilleur" content-type.
A mon avis, la version 7.22 a le même comportement, car les développeurs viennent de m'informer qu'ils ont clos le ticket sans modifier la conf par défaut, afin de coller au fonctionnement d'IE.
Extrait de leur mail : In a perfect world, browsers should of course not guess content types, nor would web servers send HTML labelled as "text/plain" or "application/octet-stream". But we're not quite there yet. For now, we will close this bug report without any changes in Opera's behaviour.
Il est toutefois possible (via "File types" -> "Determine action by MIME type") de zapper la phase d'analyse du contenu. C'est d'ailleurs la conf qui tourne actuellement chez moi.
Pour la petite histoire, j'avais trouvé le bug pendant un pen-test, le site visé affichant la valeur de variables modifiables par l'utilisateur, le tout avec un "text/plain" pour limiter les risques. En soit, il n'y a pas de bug. Mais sur 90% (au moins) des machines (et 100% dans les entreprises où les utilisateurs ont IE par défaut et ne peuvent modifier la conf), on peut exécuter du Javascript (ou autre, d'ailleurs).
D'ailleurs, j'ai le même type de bug dans des "samples" Oracle. Je me demande s'ils vont rejeter la faute sur IE. Vous pariez quoi, vous ?
