FF3 will angehängte Bilder downloaden...
 

...kann man da nicht "Content-Disposition: inline;" in den Header tun?

Re: FF3 will angehängte Bilder downloaden...
 

Das wurde letztens rausgenommen, weil man sonst mit manipulierten Bildern Schadcode auf dem Server ausführen könnte ("Wenn wir das tun, interpretiert der Server die Bilder zuerst wie eine PHP-Datei" - sinngemäß).

Re: FF3 will angehängte Bilder downloaden...
 

wat? WAS? Wie soll DAS denn gehen?!

EDIT: Ich hatte ja jetzt gerade vor, irgendwas mit .htaccess-kommandos reinzuschreiben, wo man ja schon dateiendungen zu CGI-Modulen o.ä. zuordnen kann - aber das macht auhc keine Sinn....

Das will ich nochmal von Daniel höchstpersönlich hören :shock:

EDIT: Okay, hab den original-fred gefunden. Hört sich grauenhaft an: http://www.delphipraxis.net/internal...t.php?t=132121

Re: FF3 will angehängte Bilder downloaden...
 

Moin,

dass PHP-Code ausgefuehrt werden kann stimmt nicht. Es besteht jedoch eine Sicherheitsluecke, die zu kompromittierten Sessions fuehren kann. Wenn jemand dann auch noch das Autologin-Flag gesetzt hat, ist die Kacke am Dampfen ;)

Greetz
alcaeus

Re: FF3 will angehängte Bilder downloaden...
 

Es ist halt wirklich extrem nervig.

Ich habe das Problem in Opera und es stört wirklich extrem. Bei jedem Screenshot oder sonstigem angehängten Bild will Opera es downloaden. Dann muss ich erst aus einer Liste der möglichen Programme "Opera" auswählen und es damit öffnen ... sind zwar nur 3-5 Sek Mehrarbeit, aber nachdem in der DP ja an jeder Ecke und jedem Zipfel gefeilt wurde um den höchsten Komfort für die User rauszuboxen, ist das dann um so störender.

Also lieber Sicherheitslücke stopfen anstatt zu umgehen und Millionen glückliche User zurückgewinnen ;)

Re: FF3 will angehängte Bilder downloaden...
 

hm. Mal gucken, ob ich am Zipfel feilen kann. :cyclops:

Re: FF3 will angehängte Bilder downloaden...
 

Wenn du den IE fixen willst, nur zu. Das Problem ist eine Luecke im IE, die sich ueber Attachments ausnutzen laesst. Damit ist dann wiederum ein Angriff auf die Software moeglich. Das einzige was man da fixen kann, ist das Verhalten des IE, mehr nicht ;)

Greetz
alcaeus

Re: FF3 will angehängte Bilder downloaden...
 

das kann man doch umgehen, indem man entweder eine zusätzliche Profileinstellung einführt (einfachste Methode) oder man frägt ab, welcher Browser genutzt wird und agiert dementsprechend.

Bernhard

Re: FF3 will angehängte Bilder downloaden...
 

OMG. Oder noch einfacher: man lässts so wies gerade ist. Der Klick auf "Öffnen" ist jett wirklich nicht DIE Zumutung. Aber sicher...

Re: FF3 will angehängte Bilder downloaden...
 

Nach einigen Jahren in der SW-Entwicklung und v.a. der Web-Entwicklung habe ich eins gelernt: den User muss man vor sich selbst schuetzen. Die groesste Angriffsflaeche bietet immer noch der User, der sich mit seinem Verhalten gefaehrdet. So eine Einstellung ist eigentlich nur fahrlaessig. Warum? Naja, irgendeinen User nervt das Verhalten. Also fragt er, was sich dagegen machen laesst. Nun antwortet ein anderer "wenn du im Profil Opera oder Firefox einstellst, passt es". Er stellt es also um und checkt nicht, dass das fuer seinen IE nicht die beste Loesung ist. Dann kommt ein ganz poehser Hacker daher und laedt ne Datei hoch, die die Session-ID und Autologin-ID klaut und an einen Rechner schickt. Der Account ist also fuer die restliche Session-Dauer kompromittierbar; wenn die Autologin-ID geklaut wurde sogar bis zum naechsten automatischen Login. Das ist dann nicht mehr so prickelnd. Und was wird der User sagen? Der Account wurde gehackt weil die Software unsicher ist.

Merke: wenn du dem User die Moeglichkeit gibst, ein Sicherheitsloch aufzumachen, kannst du dir zu 100% sicher sein, dass er es tun wird. Die derzeitige Loesung mag zwar umstaendlich sein, aber in dem Moment wo ein "Bild", das du aufrufst nicht mehr nur ein Bild ist, sondern Schadcode drin hat (der, wenn mans drauf anlegt, auch deinen Rechner kompromittieren kann), ist dieser zusaetzliche Umstand durchaus vertretbar. Da bringts auch nichts zu sagen "ach, selber Schuld wenn die den IE verwenden". Es muss fuer alle Plattformen mindestens denselben Schutz geben. Wenn dieser Schutz bei einem Browser dann redundant ist, ist das nciht negativ. Es ist ein zusaetzlicher Klick...der so manchem User das Leben bzw. den Rechner retten kann.

@Luke: content-disposition:inline sorgt fuer das Problem, deshalb wurde es auch rausgenommen. Wenn du selbst ein phpBB hast, kann ich dir das gerne zeigen ;)

Greetz
alcaeus