Login Barrapunto
Parámetro "lo digo en serio" en content-type para IE8
Entrada escrita por mig21 y
editada por manje
el Viernes, 04 Julio de 2008, 08:28h
desde el dept. tonto-es-el-que-dice-tonterias
desde el dept. tonto-es-el-que-dice-tonterias
Esa es la propuesta que se puede leer en el blog de desarrollo del Internet Explorer 8, añadir un authoritative=true al Content-Type, o sea, fiarse de lo que dice el servidor, pero solo "si lo dice en serio." Por supuesto esta propuesta ha levantado bastantes reacciones. Unos, como Sam Ruby en authoritative=true , lo ven desde el punto de vista pragmático como un mal menor al evitar content-sniffing. Otros, como Daniel Stenberg en This is the type and I mean it se lo toman con humor. Más en las listas de la w3c y en reddit: Microsoft's "I mean it" content-type parameter
Parámetro "lo digo en serio" en content-type para IE8
|
Log in/Crear cuenta
| Top
| 30 comentarios
| Buscar hilo
Y recuerda: Los comentarios que siguen pertenecen a las personas que los han enviado. No somos responsables de los mismos.
Lo que tienen que aceptar es un
(Puntos:5, Divertido)humm..
(Puntos:1, Informativo)Una chorrada como un piano
(Puntos:1)Si ahora los navegadores no se fían del contenido del campo Content-Type, ¿ por qué deberían fiarse del campo Authoritative ?
Pero bueno, ya puestos.. por qué en lugar de Authoritative no se incluye un "Confirmed-Type" y que vaya ahí el contenido real confirmado ?
De todas formas, uno de los principios básicos de seguridad es no fiarse de nada que venga del exterior, así que abriría la puerta (aún más) a buffer overflows, etc. Yo seguiría comprobando los contenidos
Enlace roto
(Puntos:2)DiThi
MIME-qué?
(Puntos:1)( http://www.legadodekain.net/ )
Aquí crezco como webmaster [legadodekain.net]
No es tan raro
(Puntos:5, Divertido)( http://entreflamencosybalones.blogspot.com/ | Última bitácora: Miércoles, 20 Agosto de 2008, 07:23h )
http://www.faqs.org/rfcs/rfc3514.html [faqs.org]
y copio de la introducción:
"Firewalls [CBR03], packet filters, intrusion detection systems, and
the like often have difficulty distinguishing between packets that
have malicious intent and those that are merely unusual. The problem
is that making such determinations is hard. To solve this problem,
we define a security flag, known as the "evil" bit, in the IPv4
[RFC791] header. Benign packets have this bit set to 0; those that
are used for an attack will have the bit set to 1."
El único problema es que aquella ocasión estaba clarísimo que estaban de coña... ¿en esta también, verdad?
Entre flamencos y "balones" [blogspot.com]
Re:certificados ssl
(Puntos:1)( http://www-etsi2.ugr.es/alumnos/mu01/guerraSoftware.html | Última bitácora: Viernes, 11 Julio de 2008, 11:58h )
rebelar = no aceptar la autoridad
(definiciones informales e imprecisas mías)
Gdado dice roller [sourceforge.net]
Re:certificados ssl
(Puntos:5, Interesante)( http://www.rastersoft.com/ )
Parece ser que en la versión de HTML 5 se medio obliga a hacer siempre ésto [whatwg.org] , así que lo que propone Microsoft es añadir un campo extra a la cabecera HTTP para que el servidor pueda decirle al navegador: "Oye, en serio, que sé lo que estoy enviando, pasa de intentar adivinar".
La verdad es que no se hasta qué punto puede ser bueno. Por una parte reconozco que permitiría que los servidores que hacen las cosas bien trabajen mejor, pero por otro lado, es muy fácil que los que lo hacen mal lo añadan y el resultado sea aún peor... Además de que, en el fondo, es una chapuza.
Yo quiero un par de narices...
Re:certificados ssl
(Puntos:5, Interesante)( Última bitácora: Sábado, 16 Agosto de 2008, 04:27h )
Un ejemplo:
Tengo yo una página bancaria con toda la seguridad del mundo. En su portada muestro noticias financieras que obtengo de otro servidor que me entrega plantillas XML actualizadas para que mis noticias estén siempre frescas, obviamente sus documentos siempre traen un content-type text/xml
Pero entonces un cracker se mete al servidor que no es mío y consigue meter scripts dentro del documento XML.
Todos los que usan Firefox y navegadores que respetan los estándares no tendrían problemas, pues al venir el content type como text/XML no pasa al parser de javascript y solo verán unos símbolos extraños en mi portada.
Pero aquellos que usan IE en cualquiera de sus versiones, al abrir mi portada y jalar las noticias, el explorador se pasará por lugares poco higiénicos el content-type y encontrará los scripts. Entonces decidirá "inteligentemente" que alguien cometió un error y mandará los scripts al parser de javascript desde donde obtendrán las contraseñas de mis usuarios y estaré enfrascado en un robo de cuentas sin precedentes en la historia de la informática.
Alguien sabe como hago para poner un comentario?