Historias
Slashboxes
Comentarios
Búsqueda

Login Barrapunto

Login

[ Crear nueva cuenta ]

mig21 (7781)

mig21
  {mig21bp} {at} {gmail.com}
http://yapw.blogspot.com/
Hola, soy Miguel. Algo que pueda ser relevante aquí... Uhmm... Me gusta escribir en mi bitácora de BP [barrapunto.com] y en su clon en blogspot: Yet Another Programming Weblog [blogspot.com]
Me gustaría que Barrapunto fuese un sitio con más discusiones técnicas y trato de hacer lo que está en mi mano. De todos modos, también me gusta leer flames ;)

No creo que te interese, pero en Lecturas aleatorias [blogspot.com] dejo registro de los libros que voy leyendo...

Esta es toda mi información de usuario :)

Down Kill Up Publicidad

Bitácora de mig21 (7781)

Jueves, 03 de Julio 2008

Parámetro "lo digo en serio" en Content-Type para IE8

09:05h.
Microsoft
Pues esa es la propuesta que se puede leer en el blog de desarrollo del Internet Exporer 8: añadir un authoritative=true al Content-Type, o sea, fiarse de cual es el tipo de contenido que está proporcionando el servidor, pero sólo si lo dice en serio...

Por supuesto esta propuesta ha levantado bastantes reacciones. Unos, como Sam Ruby en authoritative=true , lo ven desde el punto de vista pragmático como un mal menor al evitar content-sniffing. Otros, como Daniel Stenberg en This is the type and I mean it se lo toman con humor. Más en las listas de la w3c y en reddit: Microsoft's "I mean it" content-type parameter
Este hilo ha sido archivado. No pueden publicarse nuevos comentarios.
Parámetro "lo digo en serio" en content-type para IE8 | Log in/Crear cuenta | Top | 30 comentarios | Buscar hilo
Mostrar opciones Umbral:
Y recuerda: Los comentarios que siguen pertenecen a las personas que los han enviado. No somos responsables de los mismos.

  • Lo que tienen que aceptar es un

    (Puntos:5, Divertido)
    por pobrecito hablador el Jueves, 03 Julio de 2008, 23:04h (#1061510)
    authoritative=i-swear-by-snoppy y entonces los navegadores seguro que hacen lo que les dices. Por supuesto, tambien deberian aceptar authoritative=roll-a-dice y authoritative=like-if-you-are-going-to-trust-me.

  • humm..

    (Puntos:1, Informativo)
    por pobrecito hablador el Viernes, 04 Julio de 2008, 10:31h (#1061677)
    ¿no deberia ser x-authoritative=true?. porque las extensiones propietarias deben llevar una x- delante, aunque sea por costumbre.
    • Re:humm.. de xOneca (Puntos:2) Viernes, 04 Julio de 2008, 19:56h

  • Una chorrada como un piano

    (Puntos:1)
    por Rescondio (26305) el Viernes, 04 Julio de 2008, 11:02h (#1061692)
    Amos.. que eso es una chorrada como un piano de cola.

    Si ahora los navegadores no se fían del contenido del campo Content-Type, ¿ por qué deberían fiarse del campo Authoritative ?

    Pero bueno, ya puestos.. por qué en lugar de Authoritative no se incluye un "Confirmed-Type" y que vaya ahí el contenido real confirmado ?

    De todas formas, uno de los principios básicos de seguridad es no fiarse de nada que venga del exterior, así que abriría la puerta (aún más) a buffer overflows, etc. Yo seguiría comprobando los contenidos :)

  • Enlace roto

    (Puntos:2)
    por DiThi (4433) el Viernes, 04 Julio de 2008, 11:56h (#1061714)
    El enlace a las listas de W3C está mal.
    --
    DiThi
    • El enlace de mig21 (Puntos:1) Viernes, 04 Julio de 2008, 15:11h

  • MIME-qué?

    (Puntos:1)
    por superruzafa (13014) el Viernes, 04 Julio de 2008, 12:00h (#1061716)
    ( http://www.legadodekain.net/ )
    ¿Y de qué servirá asegurarle a IE8 que le estoy dando un documento de cierto tipo si luego es incapaz de entenderlo? Los sitios web que desarrollo son servidos con el MIME-type application/xhtml+xml que es el tipo recomendado para documentos xhtml. Todos los navegadores modernos interpretan bien el documento EXCEPTO navegadores <= IE8, que te preguntan que dónde quieres guardar este archivo binario. Ahí es donde vienen los trucos de servidor para detectar el tipo de navegador y utilizar la poco práctica y redundante <meta http-equiv="content-type" value="text/html" />. Me vendría mejor que no sigan yendo contracorriente hasta en cosas así.
    --


    Aquí crezco como webmaster [legadodekain.net]
    • Re:MIME-qué? de mutt (Puntos:1) Viernes, 04 Julio de 2008, 15:13h
    • Re:MIME-qué? de superruzafa (Puntos:1) Viernes, 04 Julio de 2008, 23:24h
    • 1 respuesta por debajo de tu umbral de lectura actual.

  • No es tan raro

    (Puntos:5, Divertido)
    por bromero (9086) el Viernes, 04 Julio de 2008, 13:25h (#1061748)
    ( http://entreflamencosybalones.blogspot.com/ | Última bitácora: Miércoles, 20 Agosto de 2008, 07:23h )
    ¿Soy el único que ha recordado el "Evil Bit" que tiene su propia rfc y todo??
    http://www.faqs.org/rfcs/rfc3514.html [faqs.org]

    y copio de la introducción:

    "Firewalls [CBR03], packet filters, intrusion detection systems, and
          the like often have difficulty distinguishing between packets that
          have malicious intent and those that are merely unusual. The problem
          is that making such determinations is hard. To solve this problem,
          we define a security flag, known as the "evil" bit, in the IPv4
          [RFC791] header. Benign packets have this bit set to 0; those that
          are used for an attack will have the bit set to 1."

    El único problema es que aquella ocasión estaba clarísimo que estaban de coña... ¿en esta también, verdad?
    --
    Entre flamencos y "balones" [blogspot.com]

  • Re:certificados ssl

    (Puntos:1)
    por Mu (11278) el Viernes, 04 Julio de 2008, 09:57h (#1061659)
    ( http://www-etsi2.ugr.es/alumnos/mu01/guerraSoftware.html | Última bitácora: Viernes, 11 Julio de 2008, 11:58h )
    revelar = mostrar
    rebelar = no aceptar la autoridad

    (definiciones informales e imprecisas mías)
    --
    Gdado dice roller [sourceforge.net]
    [ Padre ]

  • Re:certificados ssl

    (Puntos:5, Interesante)
    por raster (11855) el Viernes, 04 Julio de 2008, 10:05h (#1061663)
    ( http://www.rastersoft.com/ )
    Por lo que veo, la cosa no va por ahí. Parece ser que, hasta IE7 incluido, el navegador pasa olímpicamente de lo que diga el Content-type (si es HTML, XML, un GIF, un JPG...) y echa siempre un vistazo al contenido para deducir qué es. Esto es útil a veces porque algunos servidores ponen siempre el tipo TEXT/HTML, sea lo que sea que están enviando realmente.

    Parece ser que en la versión de HTML 5 se medio obliga a hacer siempre ésto [whatwg.org] , así que lo que propone Microsoft es añadir un campo extra a la cabecera HTTP para que el servidor pueda decirle al navegador: "Oye, en serio, que sé lo que estoy enviando, pasa de intentar adivinar".

    La verdad es que no se hasta qué punto puede ser bueno. Por una parte reconozco que permitiría que los servidores que hacen las cosas bien trabajen mejor, pero por otro lado, es muy fácil que los que lo hacen mal lo añadan y el resultado sea aún peor... Además de que, en el fondo, es una chapuza.

    --

    Yo quiero un par de narices...

    [ Padre ]
    • Re:certificados ssl de Grohl (Puntos:2) Viernes, 04 Julio de 2008, 11:43h

    • Re:certificados ssl

      (Puntos:5, Interesante)
      por Paynalton (38395) <reversethis-{moc ... ta} {anolacsexc}> el Viernes, 04 Julio de 2008, 13:43h (#1061758)
      ( Última bitácora: Sábado, 16 Agosto de 2008, 04:27h )
      Uno de los grandes problemas de seguridad de IE es este constante ignorar el content-type de los documentos.

      Un ejemplo:

      Tengo yo una página bancaria con toda la seguridad del mundo. En su portada muestro noticias financieras que obtengo de otro servidor que me entrega plantillas XML actualizadas para que mis noticias estén siempre frescas, obviamente sus documentos siempre traen un content-type text/xml

      Pero entonces un cracker se mete al servidor que no es mío y consigue meter scripts dentro del documento XML.

      Todos los que usan Firefox y navegadores que respetan los estándares no tendrían problemas, pues al venir el content type como text/XML no pasa al parser de javascript y solo verán unos símbolos extraños en mi portada.

      Pero aquellos que usan IE en cualquiera de sus versiones, al abrir mi portada y jalar las noticias, el explorador se pasará por lugares poco higiénicos el content-type y encontrará los scripts. Entonces decidirá "inteligentemente" que alguien cometió un error y mandará los scripts al parser de javascript desde donde obtendrán las contraseñas de mis usuarios y estaré enfrascado en un robo de cuentas sin precedentes en la historia de la informática.
      --
      Alguien sabe como hago para poner un comentario?
      [ Padre ]
    • Re:certificados ssl de oha! (Puntos:2) Viernes, 04 Julio de 2008, 14:36h
    • Re:certificados ssl de xOneca (Puntos:1) Viernes, 04 Julio de 2008, 16:21h
  • 5 respuestas por debajo de tu umbral de lectura actual.