Re: MSIE je kamarad uzivatele

From: mail@pp21.cz
Date: 12. 03. 2003, 08:58 CET

Next message: Jordano: "Re[2]: zdarma personal firewall?"

Previous message: Radek Zdrazil: "Re: 1rstwap konci?"
In reply to: Adam Hauner: "MSIE je kamarad uzivatele"
Next in thread: h! y n e k . l i p a: "Re: MSIE je kamarad uzivatele"
Reply: h! y n e k . l i p a: "Re: MSIE je kamarad uzivatele"
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ] [ attachment ]

Adam Hauner <hauner@iinfo.cz>:

> Jedna se o velmi neprijemnou demonstraci dusledku chyb v MSIE.
> Takze ti, co si chteji risknout i pripadny reset pocitace,
> si mohou kliknout na nasledujici odkaz:
> http://source.lv/woid.jpg

zkusil jsem to...

> Princip je zhruba nasledujici: ac server posila MIME type image/jpeg, je
> obsahem souboru HTML s Visual Basicem. MSIE, ktere nerespektuje MIME
> typy, ale snazi se odhadovat typ souboru dle prvnich nekolika znaku,
> podstrceny HTML kod zobrazi. Jeho soucasti je VBScript vepisujici do
> stranky stovky iframe, ktere jako URL zdroje obsahu maji
> telnet://www.microsoft.com:80. Dusledkem je otevreni rady oken telnetu,
> coz vede k zvyseni pozadavku na pamet a procesor.


Takze IE6 a w2k. skutecne jsem dostal stovky oken telnetu, system to jen
velmi tezko rozdychaval, ale po odpojeni dilupu se opet postupne zavrely
vsechny okna telnetu. System to ustal, akorat IE jsem musel odstrelit.

Obavam se, ze tenhle problem nema s MIME type nic spolecneho. Snad jen to,
ze ma nekoho zmast ;o). Nejspis nejake proxy a ruzne filtracni nastroje
tretich stran, ktere odstranuji potencionalne nebezpecny obsah, napr.
pop-up okna.
Ten hlavni problem je vbscript. IE totiz nezalezi, jestli soubor ma ci
nema priponu jpg -- html, nebo MIME type image/jpeg -- text/html. Pokazdy
ten dokument zpracuje stejne. Pokazde zpracuje vsech 15 cyklu generujicich
800 iframu s odkazem na telnet. Celkem to dela 'uctyhodnych' 12 000 oken
telnetu.

Jak tak na to koukam, tak jedinou ochranou v IE je vypnuti aktivniho
skriptovani, coz ale vypne i podporu Javascriptu...

> V jinych prohlizecich by se problem nemel projevit, respektuje-li MIME
> type.

To je jedna vec. Pokud ale prijde dokument se spravnym MIME type,
prohlizec ho normalne zpracuje. Druhou veci je, ze krome IE nikdo
nepodporuje vbscript. Nic ale nikomu nebrani pouzit k tomu JavaScript,
kterej uz zvlada kazdej browser. A treba takova Opera ma jako defalt
program pro telnet taky telnet.exe.
Pokud udelam JavaScript verzi a ma hlavicku text/html, tak IE otevre
milion telnetu taky. Opera a Phoenix otevrou jen jeden telnet. Rekl bych,
ze prave v tomhle jsou ty programy inteligentnejsi.

Obavam se, ze to je asi stejnej problem, jako kdyz nekdo pomoci JS otevre
desitky pop-up oken.


Pokud to ma nekdo zajem zkouset, udelal jsem si nekolik verzi, ktere
otevrou jen 5 oken telnetu, to snad zadne PC neshodi.

Puvodni, otevre jen 5 telnetu:
http://pp21.cz/temp/ppwoid.jpg

Puvodni, se spravnym MIME type, otevre jen 5 telnetu:
http://pp21.cz/temp/ppwoid.html

JavaScript remake, otevre jen 5 telnetu:
http://pp21.cz/temp/ppwoidjs.html


-pp21-

Next message: Jordano: "Re[2]: zdarma personal firewall?"

Previous message: Radek Zdrazil: "Re: 1rstwap konci?"
In reply to: Adam Hauner: "MSIE je kamarad uzivatele"
Next in thread: h! y n e k . l i p a: "Re: MSIE je kamarad uzivatele"
Reply: h! y n e k . l i p a: "Re: MSIE je kamarad uzivatele"
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ] [ attachment ]

This archive was generated by hypermail 2.1.6 : 12. 03. 2003, 08:59 CET