Hoofdcategorieën
Device Settings

[RSS] [quick] Index » Nieuws » Core » Software » Notepad-popups mogelijk met Internet Explorer

Notepad-popups mogelijk met Internet Explorer

Door Harm Hilvers, vrijdag 8 augustus 2003 16:55
Bron: Heise Online, submitter: T.T., views: 1.671

Op 4 augustus 2003 heeft Richard M. Smith een Advisory Report online gezet, waarin hij melding maakt van een lek in Internet Explorer. Via dit lek kunnen automatisch popups geopend worden in Notepad. In deze popups kan de broncode geladen worden van een willekeurige site. Het is echter ook mogelijk om op deze manier een bestand te openen op de computer waar de pagina wordt uitgevoerd. Om het bestand automatisch te openen, wordt gebruikgemaakt van de src-eigenschap van de <img>-tag. Hierin wordt het volgende neergezet: src="view-source:pad_naar_bestand". Er wordt dus niet gebruikgemaakt van JavaScript of een andere scripttaal om het bestand te openen.

view-source:file:///c:\windows\win.ini

Notepad.exeVolgens Smith is dit echter geen groot lek, het is namelijk niet mogelijk om bewust bepaalde dingen te veranderen door het openen van een popup. Hij legt echter de nadruk op het gevaar dat onwetende gebruikers het bestand in de geopende popup aanpassen en bewaren. Hierdoor zou het systeem weldegelijk beschadigd kunnen worden. Ook is het mogelijk de computer voor het moment onbruikbaar te maken door een aantal grote bestanden te openen, hierdoor loopt het geheugen vol. Ook is het mogelijk om het lek te gebruiken voor ongewilde popups met reclame erin. Thor Larhol, medewerker van het PivX Research Labs, zet het lek in een bredere context. Volgens hem opent Internet Explorer meerdere bestandstypen automatisch en kunnen daardoor ook andere ongewilde acties uitgevoerd worden:

PivX Research Labs logoThor Larholm, Entdecker mehrerer Bugs im Internet Explorer und Mitbetreiber der PivX Research Labs stellt das Problem in einen größeren Zusammenhang. In einer Antwort an Smith weist er darauf hin, dass der Internet Explorer auch andere Dateitypen automatisch und ohne Nachfrage mit der dafür zuständigen Applikation öffnet. Dazu gehören unter anderem MIDI- und ASF-Dateien.

Ob der Internet Explorer Dateien automatisch und ohne Nachfrage öffnet, hängt von dessen MIME-Typ und dem für diesen in der Registry gesetzten EditFlag ab. Dieses Flag legt unter anderem fest, ob für Dateien dieses Typs ein Speichern/Öffnen-Dialog angezeigt wird. Wie man das EditFlag setzt oder löscht wird auf den Seiten von cpcug.org beschrieben.
Volgende 20:46 ATi Radeon 9800 non Pro gemodificeerd naar 9800 Pro
Vorige 14:14 Winst nVidia hoofdzakelijk te danken aan Xbox-verkopen
Advertentie

Categorieën

Gerelateerde content

Reacties

Flat modeFlat mode Sorteer aflopendSorteer aflopend Moderatie FAQModfaq
Niveaufilter: -1 Ongewenst: 75 reacties zichtbaar750 Off-topic / Irrelevant: 68 reacties zichtbaar68+1 On-topic: 47 reacties zichtbaar47+2 Informatief: 12 reacties zichtbaar12+3 Spotlight: 1 reactie zichtbaar1
«  1  2  3  »

Door woolysheep, vrijdag 8 augustus 2003 16:58

Score: 0
En dan probeer je de link uit met Mozilla Firebird browser :z

Door Disciplus-Simplex, vrijdag 8 augustus 2003 17:27

Score: 1
Bugfix kun je hier halen:
http://ftp.mozilla.org/pub/mozilla/releases/mozilla1.4/mozilla-win32-1 .4-installer.exe

Door Zarc.oh, vrijdag 8 augustus 2003 19:11

Score: 2
Ik wil niet lullig doen hoor, maar mijn nieuwste Firebird (Mozilla/5.0 (Windows; U; Windows NT 5.0; en-US; rv:1.5b) Gecko/20030803 Mozilla Firebird/0.6.1) opent ook gewoon bestanden hoor !!!
Wat is dit toch een nieuws zeg! je kunt er weinig mee! Mozilla open zelfs viewsource:javascript:blaaterdeblaat (bug already filed offcource :) )

Door TWBMS, vrijdag 8 augustus 2003 17:00

Score: 0
god, nog meer reclame :(

Kan MS gewoon niet die hele file:// uit zetten in IE. dan maar wat minder functionaliteit.

Door Yoeri, vrijdag 8 augustus 2003 17:02

Score: 2
wil jij dan ff onze intranetapplicatie herschrijven die nogal intensief hiervan gebruik maakt... het is nu eenmaal een functie die aanwezig is, geen lek, zie mijn volgende post

Door TWBMS, vrijdag 8 augustus 2003 17:13

Score: 0
naa, zal ik eerste stevig aan C en C++ moeten leren enzo :)
Maar zeg zelf, wordt je niet van al die "bugs" ?

Functionaliteit is leuk enzo maar ik als gebruiker zit er niet echt op te wachten dat websites dingen op mijn pc kunnen aanspreken.

ik ga me voor de rest niet druk over maken :P ben toch van plan om over te stappen naar linux. :)

Door SirQ, vrijdag 8 augustus 2003 20:25

Score: 1
Er zou wel een setting kunnen zijn om dit aan/uit te zetten (en die default uit staat)

dan kan jij op je intranet die aanzetten voor je prog omdat je het hard nodig hebt bv

Door nAFutro, vrijdag 8 augustus 2003 18:17

Score: 2
je klinkt me als een persoon die alleen text-only browsed, al die overbodige functionaliteit.... :Y)

Door Cheatah, vrijdag 8 augustus 2003 20:03

Score: 2
Alles maar in je RAM cachen dan?

Door Krankenstein, vrijdag 8 augustus 2003 20:46

Score: 1
En de windows explorer dan? Is dat niet ook half IE?

Door zeekoe, zaterdag 9 augustus 2003 16:22

Score: 1
Nee. Da's helemaal IE :Y)

Door Yoeri, vrijdag 8 augustus 2003 17:00

Score: 1
Tja, en straks staat hierboven een nieuwspost met het bericht dat er een lek in Internet Explorer zit waarmee reclameboodschappen in MP3 verspreid kunnen worden....

Dit is een functie, geen bug.

het is trouwens perfect mogelijk te zorgen dat dit niet meer mogelijk is, in tegenstelling tot bugs/lekken waarbij je op een patch van MS moet wachten

9 kansen op de 10 draait dit weer uit op een flame tgo MS / IE...
EDIT: 'k vind het jammer dat Tweakers met dergelijke nieuwsberichten die tot niets anders dienen dan het uitlokken van veel reacties zijn nivo naar beneden haalt, wat overigens voor de rest zeer hoog is

Door T.T., vrijdag 8 augustus 2003 17:12

Score: 2
offtopic:
Dat lijkt mij overdreven.

[quote]
9 kansen op de 10 draait dit weer uit op een flame tgo MS / IE...
[/quote]
1. Flames worden meestal weg-gemodereerd door gebruikers

[quote]
'k vind het jammer dat Tweakers met dergelijke nieuwsberichten die tot niets anders dienen dan het uitlokken van veel reacties
[/quote]
2. Onzinnig, het gaat om een mogelijkheid die IE biedt, maar die eventueel gebruikt zou kunnen worden voor andere doeleinden

[quote]
nivo naar beneden haalt, wat overigens voor de rest zeer hoog is
[/quote]
3. Dat slaat ook nergens op, het is een prima objectief stukje van Harm. Tweakers maakt ook melding van bugs in andere browsers. Er is dus geen sprake van (extra beschadiging) van Microsoft, laat staan van opzet om Microsoft te beschadigen.
[quote]
wil jij dan ff onze intranetapplicatie herschrijven die nogal intensief hiervan gebruik maakt...
[/quote]

Ik wil niet vervelend doen, maar jullie ondersteunen maar één browser? Lekker ontworpen :o
ontopic:
Ik ben het met je eens dat deze "mogelijkheid" van IE waarschijnlijk niet zo snel zal worden uitgebuit. Desondanks kan het geen kwaad om er nog even kritisch naar te kijken.

Door Yoeri, vrijdag 8 augustus 2003 17:14

Score: 0
heel ff off-topic:
Dat slaat ook nergens op, het is een prima objectief stukje van Harm
Ik zeg ook niet dat het subjectief is. Ik zeg alleen dat ik naast de zeer kwalitatieve nieuwsposts hier, soms dingen zie opduiken waarvan ik me afvraag wat nu de eigenlijke nieuwswaarde is hiervan. Meestal gaat het dan om onderwerpen die gegarandeerd heel wat reacties opleveren, dat het meestal MS related is, heb ik express niet vermeld, daar gaat het ook niet om.

Door tigger, vrijdag 8 augustus 2003 18:48

Score: 1
k wil niet vervelend doen, maar jullie ondersteunen maar één browser?
En dat is wel een browser die door 95.4% van de markt wordt gebruikt. Dus waarom voor die 4% enorm veel moeite doen om een website/applicatie geschikt te maken voor 3 browsers?

Door blouweKip, vrijdag 8 augustus 2003 19:08

Score: 1
Kwestie van gewoon goede code opleveren, iets wat ik ook zou willen als men iets ontwikkeld voor alleen IE (vaak wordt dat laatste echter als excuus aangevoerd vanwege het ontbreken van de kennis bij de developers)

Door Gordijnstok, vrijdag 8 augustus 2003 20:09

Score: 3
Richting blouweKip
Kwestie van gewoon goede code opleveren, iets wat ik ook zou willen als men iets ontwikkeld voor alleen IE (vaak wordt dat laatste echter als excuus aangevoerd vanwege het ontbreken van de kennis bij de developers)
Er bestaat een spreekwoord "de beste stuurlui...."

Je moet niet zo dom blaaten, door het te gooien op gebrek aan kennis bij de developers, je zet jezelf daarmee gewoon voor schut.

Bij professionele developers is de kennis wel aanwezig, alleen is de klant altijd degene die bepaalt wat hij wilt ontvangen voor zijn geld, en niet de developer. Sterker nog, de uiteindelijk beslissingen liggen nog altijd bij het management, en niet bij developers.

Er zijn genoeg features die Msie only zijn, en dagelijks worden gewaardeerd. Features die zelf doen besluiten tot het achterwege laten van crossbrowser support zoals bijv. contentEditable velden, die enorm veel gebruikt worden, en waarvoor nog geen enkele andere browser een vergelijkende oplossing heeft die zich kan meten met deze feature.

Zo is er op de Mac nog steeds geen XML support. Dat alleen zou al een belangrijke reden kunnen zijn om een interface met een on demand treeview puur alleen voor Msie geschikt te maken.

Verder speelt ook altijd geld mee. De meeste professioneel ontwikkelde websites zijn aan de presentatiekant afdoende crossbrowser. Achterkanten zie je vaak Msie only (welke Account Manager, Marketing Manager zie jij werken met FireBird op de werkvloer?) en het is vaak bekijken wat de investering oplevert voor het ondersteunen van minder als 4% aan exotische browsers.

Door sab.loempia.com, vrijdag 8 augustus 2003 20:19

Score: 0
Gordijnstok:

En jij hebt het nu over sites die nog minder dan 4% uitmaken van het web/intranet.

Vind ik nog steeds geen reden om slechte html (Lees: niet valide) te schrijven.

Door Little Penguin, vrijdag 8 augustus 2003 20:40

Score: 0
@Gordijnstok:
Ik zal niet ontkennen dat de diverse browsers bepaalde features hebben die de concurrentie niet heeft. Maar dat geld voor alle browsers!

Het is echter altijd verstandig om zo veel mogelijk de standaarden (HTML/CSS/DOM) te volgen, ook al vraagt de klant om IE support. Uiteraard zul je dan voor IE (of Mozilla) specifieke features een uitzondering moeten maken.

Zeker voor een internet site is dat belangrijk omdat je nu eenmaal geen controle over de browser van de gebruikers hebt.

Door Gordijnstok, vrijdag 8 augustus 2003 20:45

Score: 0
sab.loempia.com

Oh jawel, af en toe is het gewoon nodig om slechte html te schrijven. Ik noem een voorbeeld, de immer missende (werkende!) ondersteuning van vertical-align in msie. Of de renderbugs die optreden bij gebruik van images in een span (waarbij de image over de span heenvalt).

Doet overigens niet af, aan mijn betoog, over waarom er voor bepaalde browsers simpelweg niet ontwikkeld wordt.

Door eGosh, zaterdag 9 augustus 2003 00:42

Score: 1
zoals hij al zei, het gaat niet om het marktaandeel van IE maar over de meerprijs van het compatible maken van een site voor andere browsers. Alles pixelperfect in elke browser krijgen kost tijd, tijd kost geld en een klant heeft dat er erg vaak niet voor over.

En kom niet aan met de kwaliteiten van een developer, dat als hij goede code oplevert dat meteen compatible is met alle browsers want dan heb jij nog niet een gedesignde site afgeleverd

Door Da_Teach, zaterdag 9 augustus 2003 01:11

Score: 2
@Little Penguin

Grappig dat somige browsers *cough* mozilla *cough* ook niet altijd 100% omgaan met de standaard... (misschien nu opgelost, maar er waren eerst wel degelijk problemen)

Ik heb aan behoorlijk wat websites gewerkt... En het grootste probleem is niet invalide html... Maar dat elke browser het net even anders op het beeld tovert... Zelfs verschillende versies van dezelfde browser hebben daar last van (maar vaak is dat een klein iets wat makkelijk op te lossen is)...

Die display problemen kosten een klant *erg* veel geld om op te lossen en nog meer test tijd... En is het dus de beslissing van een klant om alleen IE support te geven snel gemaakt...

Door smooc, zaterdag 9 augustus 2003 10:22

Score: 0
Even iets rechtzetten:

Firbebird / Mozilla heeft contentEditable velden, veel
cleaner dan MSIE met dat MSHTML

Mac geen XML? Wat is dat voor onzin?

Door Little Penguin, zaterdag 9 augustus 2003 13:49

Score: 1
@Da_Teach.
Grappig dat somige browsers *cough* mozilla *cough* ook niet altijd 100% omgaan met de standaard...
Reken jij dan W3C of IE tot de standaard? Ik ben in het gebruik
van Mozilla nog nooit tegengekomen dat deze van de standaard afweek die door het W3C is vastgelegd. Tenminste voor zover men niet NS4 probeerte te emuleren in de zogenaamde 'Quirks' mode.

Overigens hoeft een klant helemaal niet te weten dat jij op Mozilla ontwikkeld. Door altijd een laatste controle op IE te doen zie je al snel genoeg of het wel of niet goed is. - Overigens is het wel zo dat IE (ook versie 6) CSS1/2 nog steeds niet volledig beheerst...

En altijd (tenzij het om een specifieke feature van de gebruikte browser gaat) de pagina opzetten volgens de W3C standaarden. Daar heb je uiteindelijk (dus ook over een paar jaar) meer plezier van dan nu alleen maar te testen op IE.

Door zeekoe, zaterdag 9 augustus 2003 16:31

Score: 1
Alles pixelperfect in elke browser krijgen kost tijd, tijd kost geld en een klant heeft dat er erg vaak niet voor over.
Dat boeit ook niet. Als een site in ieder geval _werkt_ in andere browsers is dat al heel wat (en dus niet van die www.mp3shopper.nl code)

Door C7RL, zondag 10 augustus 2003 18:04

Score: 0
k wil niet vervelend doen, maar jullie ondersteunen maar één browser?

En dat is wel een browser die door 95.4% van de markt wordt gebruikt. Dus waarom voor die 4% enorm veel moeite doen om een website/applicatie geschikt te maken voor 3 browsers?

Je gewoon aan de W3C standaarden houden. btw als je wel de klok hebt horen luiden maar niet weet waar de klepel hangt dan kun je beter niet meer reageren.

Door Yoeri, vrijdag 8 augustus 2003 23:08

Score: 1
Ik wil niet vervelend doen, maar jullie ondersteunen maar één browser? Lekker ontworpen
Het gaat om een INTRAnet applicatie, waarom zouden we rekening met netscape en consoorten gaan houden als die in het bedrijf nergens geinstalleerd zijn?

Door Yoeri, vrijdag 8 augustus 2003 17:17

Score: 0
off-topic-reactie-op-off-topic-flame :p

ik heb zelf niets met de ontwikkeling en beheer van het intranet te maken, maar hoe ga je via streaming verwijzen naar een document op een share, dat eventueel moet aangepast kunnen worden?

dat zie ik nog niet direct gebeuren, dat je een Word-file via http opent, en er zomaar ff iets in aanpast en opslaat...

Door MarcelG, vrijdag 8 augustus 2003 17:55

Score: 1
is mogelijk; noemen ze webdav....mooie technologie

Door Jimbolino, vrijdag 8 augustus 2003 18:15

Score: 0
lol, je zou es moeten weten hoeveel hacks daarop zitten... erger dan file:// bugjes die alleen maar op de clients effect hebben, via webdav loopt heel je server gevaar

Door dingstje, vrijdag 8 augustus 2003 17:00

Score: 0
Als je - zoals ik - je (windows-)OS zet op een andere partitie dan c: heb je daar geen last van :-) Werkt dit trouwens enkel met IE of ook met andere browsers?

Door kroeske, vrijdag 8 augustus 2003 17:05

Score: 1
in MozillaFirebird (onder linux) krijg ik iig:
Security Error: Content at http://www.tweakers.net/ may not load or link to view-source:file:///c:\windows\win.ini.
in mn javascript console te staan..

(en als ik via crossover office in internet explorer op die link klik dan opent notepad :p)

Door MarcelG, vrijdag 8 augustus 2003 17:57

Score: 1
(en als ik via crossover office in internet explorer op die link klik dan opent notepad :p)
Heb jij notepad onder linux ?

Door kroeske, vrijdag 8 augustus 2003 19:40

Score: 1
jah, via crossover office :) (evenals IE, xml spy, photoshop etc)

Door fremar, maandag 11 augustus 2003 12:18

Score: 1
Precies, dat lijkt me ook het juiste gedrag. view-source: is op zich een hele nuttige toepassing, maar hoort niet aan lokale files te komen, en hoort ook alleen in hyperllinks te zitten en niet in img tags. Mozilla heeft daar blijkbaar over nagedacht en het correct geimplementeerd
(om maar weer te reageren op bovenstaande discussire over webapplicaties die er gebruik van maken. hoogstwaarschijnlijk geen probleem dus, tenzij je webapplicatie iets heel vreemds probeert te doen)

Door bwt, vrijdag 8 augustus 2003 17:06

Score: 1
Degene die zo slim is om Windows op een andere plek neer te zetten dan standaard zal ook deze notepad schermpjes gelijk sluiten.
Het gevaar is dus voor de onwetende gebruiker zoals in het nieuws bericht wordt gemeld.

Door KMK, vrijdag 8 augustus 2003 17:01

Score: 0
wat een storm in een glas water zeg..ppfpff
<a href="sdfdsf.html" target="_search">df</a>
Probeer maar een keer zo iets.

dat heeft ook een verassend effect

Door LMC, vrijdag 8 augustus 2003 17:04

Score: 1
Als ik dat orginele bericht lees, en het goed begrijp, met een lek dat zo direkt met functionaliteit / de mogelijkheden van de windows verkenner verband houdt, dan zie ik toch weer duidelijk het nut / het voordeel van een losse browser (eentje die niet geintegreerd is in je besturingssysteem).

(in navolging van het mooie plaatje voor je website powered by notepad kunnen we dus in de toekomst een plaatje infected by notepad verwachten? :d)

Door Crazy D, vrijdag 8 augustus 2003 18:24

Score: 2
Het is een slordige veiligheids-fout imho.

Het is imho niet erg dat een browser file:// ondersteunt, alleen niet als dat wordt gebruikt in een niet-lokale (html)file.

Als je file:///c:\windows\win.ini in je adresbalk zet (en je ramt op enter...) opent notepad. Zet je dat in een link in een lokale test.html, is het een download-link en opent ie niet automatisch (vraag of je wilt downloaden of openen)).

Als je file:///c:\windows\win.ini in de Mozilla Firebird adresbalk zet, toont ie 'gewoon' de ini file. Alleen doet Mozilla niks met view-source:. En Mozilla checkt dus wel of de verwijzing op een pagina van een site staat, of lokaal. Als je lokaal een test.html aanmaakt met een link naar de win.ini is dat prima. Alleen zodra die html vanaf http:// komt ben je niet meer lokaal bezig, en dan krijg je een security error (zoals Asylum al zei hierboven).

Als ik het me goed herinner (geen zin om na te zoeken...) heeft IE al vaker last gehad van beveiligingslekken, dat een html file als lokaal werd gezien (want stond in de temp inetfiles, en dat is lokaal...) terwijl die van een website kwam. Het zal me niks verbazen als dit ook zoiets is (al is dat natuurlijk puur gokwerk).
Het is imho dan ook niet zozeer een bug in de "windows verkenner" functionaliteit, maar in een controle waar vandaan iets wordt opgevraagt.

Door Engineer, vrijdag 8 augustus 2003 17:16

Score: 0
Dat er ook meerdere bestandstypen zouden kunnen worden uitgevoert is onzin imo, IE start notepad, en notepad kan alleen maar bestanden lezen. Meer niet.

Enne TWBMS: Die file:// kan er niet uit, aangezien my computer/windows explorer en nog andere 3th party programma's ook allemaal op IE draaien. (Op de file:// functie dus)

Door memphis, vrijdag 8 augustus 2003 19:36

Score: 1
Hoe denk je dat virussen te werk gaan ?
In een HTML mailtje kunnen ze zichzelf al activeren...

Het is inderdaad de nadeel dat IE ook de interface van Windows is. MS moet gewoon eens een onderscheid gaan maken waar scripts wel en niet toegestaan zijn. In mail zou dat gewoon niet mogen, HTML opmaak is OK maar ook nog eens ondersteuning van VBS/JAVA/etc scripts maakt juist outlook (die bediend kan worden door de scripts) onveilig.

Persoonlijk ben ik ook een voorstander van een Windows zonder IE. 98lite heeft het bewezen dat het kan en tot nu toe heb ik nog geen software gezien die dat echt specifiek nodig had.

Door h3nk0wZ, vrijdag 8 augustus 2003 17:19

Score: 0
mijn windows staat op D :)
Voor de rest vind ik dit niet echt een bug :?

Door grimson, vrijdag 8 augustus 2003 19:28

Score: 2
view-source:file://%windir%/win.ini
view-source:file://%20localhost/admin$/win.ini
/edit
Euhm . variabele werkt niet denk ik.
Wie kan er de spatie uit de onderste URL halen terwijl dan wel de 2e slash blijft ? :9

Deze werkt wel !! :) (WindowsXP)
view-source:file://%3127.0.0.1/admin$/win.ini

Microsoft popup }>
view-source:file://%3127.0.0.1/admin$/System32/Eula.txt

Door comecme, zaterdag 9 augustus 2003 19:13

Score: 1
Via de admin$-share werkt het natuurlijk alleen maar als je daar toegang toe hebt. Op een goed geconfigureerde (bedrijfs)PC zal dat hopelijk niet het geval zijn.

Helaas heeft een "gewone" user onder XP administrator-rechten en kan dus wel de administrative share gebruiken.

Door DrWolffenstein, vrijdag 8 augustus 2003 17:21

Score: 0
ik vind dit eigenlijk maar niets.

Banners: OK;
popups: word wat minder;
Notepad (of iets anders) voor reclame: kan echt niet.

Ik ben een gelukkig gebruiker van Firebird win32 :) en ik ben er nu van overtuigd dat ik IE alleen nog maar gebruik voor windowsupdate.

Door Fried_Air393, vrijdag 8 augustus 2003 17:28

Score: 0
dat klopt dus niet wat je zegt,
"Notepad (of iets anders) voor reclame: kan echt niet. "
dit scriptje laat je notepad openen met een bestandje op je hd, dus niet een bestandje.
tenzij je die notpad link naar een server kunt sturen waar een txtje op staat :P ach . het kan allemaal .. en het zal wel ;)

Door Little Penguin, vrijdag 8 augustus 2003 17:56

Score: 2
tenzij je die notpad link naar een server kunt sturen waar een txtje
Dat kan ook, probeer deze link maar eens in IE aan te klikken

Overigens is het wel zo dat ook in Mozilla de source van het bestand getoond wordt. Alleen wordt deze niet in een apart programma cq venster geopend EN is deze niet te editten....

Edit: Na het goed doorlezen van alle reacties zag ik dat Mozilla de popup van lokale bestanden WEL tegenhoudt. Toch weer een pluspunt voor Mozilla tov IE. Alleen jammer dat de meeste mensen dit niet zien... :-(

Door Apache, vrijdag 8 augustus 2003 17:28

Score: 0
kleine bug maar kan enorm irritant zijn, link naar een iso file op een random server en die notepad loopt vast, met een beetje pech kan je hem niet sluiten en neemt hij explorer mee.

Of je opent een 1000tal van deze bestanden met een js loopje ... manieren genoeg om dit te misbruiken. En dat het kan is gewoon erg, eigenlijk moet wat het src attribuut is gecontroleerd worden op de browser op het correcte mime-type zodat zo'n dingen heel wat moeilijker worden.

Door Henkie Penkie, vrijdag 8 augustus 2003 17:32

Score: 2
kleine bug maar kan enorm irritant zijn, link naar een iso file op een random server en die notepad loopt vast, met een beetje pech kan je hem niet sluiten en neemt hij explorer mee.

Op wat van sites kom jij dan waar dit zou gebeuren ?? Op "normale" sites zul je dit niet aantreffen.
«  1  2  3  »

Op dit item kan niet meer gereageerd worden.

Volgende 20:46 ATi Radeon 9800 non Pro gemodificeerd naar 9800 Pro
Vorige 14:14 Winst nVidia hoofdzakelijk te danken aan Xbox-verkopen
VNU Media logo Hosted by True

© 1998 - 2012 Tweakers.net B.V. - Alle rechten voorbehouden - Contact - Jouw privacy - Algemene Voorwaarden

Uitgever van:

Website van het jaar 2011