>если в списке проверок автоопределителя типов проверка на флеш происходит до проверки на зип, то файл определится как флеш
olololo
покажите, пожалуйста, хоть один веб-сервер который по-умолчанию определяет mime тип по внутренним соображениям, при этом не принимая во внимание расширение файла.
>Я выкладываю этот «зип» на яндекс.диск, и он ломает именно яндекс
у меня почему-то есть уверенность, что он будет отдан именно как зип, т.к. является валидным зипом и имеет расширение zip.
чтобы он сделал свое черное дело, он должен лежать на домене хабра и отдаться с нужным mime-типом.
Популярные веб-сервера как правило берут миме-тип из расширения файла. Этот зип скорей всего Вам предложат скачать как application/zip, а не выполнить как application/x-shockwave-flash.
А вот уже локально, да, можете поменять расширение, чтобы он сделал свое грязное дело.
чтобы все это сработало, пользователи должны уметь писать на вашем сайте что-то типа
embed src="/userfiles/ololololo.zip", причем это еще должно отдаться с нужным mime-type, если я правильно понимаю.
Если у вас никак не фильтруется то, что загружают на сервер, а так же пользователи могут использовать html теги без всяких фильтров, то флеш тут как бы не виноват.
В качестве дополнения могу люто, бешено порекомендовать www.google.ru/search?q=ISBN+5-93286-045-6 «Рефакторинг: улучшение существующего кода» Фаулера. Это отличная кандидатура на звание настольной книги :)
Но в этой звездной системе жизни нет :)
У меня, например, какая-то там разновидность цветослабости, что не мешало мне честно пройти медкомиссию и получить водительские права категории B.
Если я правильно понял это видео с низким разрешением, то gmail просто не фильтрует html-tags, которые живут в их письмах.
iolololololo
dovg@habahaba ~ $ telnet ya.ru 80 Trying 213.180.204.8... Connected to ya.ru. Escape character is '^]'. GET /logo.png HTTP/1.1 Host: ya.ru HTTP/1.1 200 OK Server: nginx Date: Fri, 13 Nov 2009 11:02:46 GMT Content-Type: image/png Content-Length: 1418 Last-Modified: Thu, 21 May 2009 09:37:21 GMT Connection: keep-alive Accept-Ranges: bytes �PNG ▒ IHDRd�7�g�PLTE ▒▒▒!!$$$'''***---000333666999<<<???BBBEEEHHHKKKNNNQQQTTTWWWZZZ]]]```cccfffiiilllooorrrxxx{{{~~~������������������������������������������������������������������������������������������������������������������������������ ▒$'03?BHKNQ`filrux{~��������������������������Ɛ��IDATX����WTU▒���af��$k�!!.�0 �EDf�y(� ���V�����k���^�s��h�Z��y�׳����<��}�$�ɝ���73��▒���[����!ߚ��'�vj��1��~},ݮ��▒\�>@����vh� G�M����9;v���\���}�N����BB�▒����$�d▒%IM0��q�_8"c��l�J�uB�$i� ��ʹ�|of�#��$�`�K���7���Ӓ�R�R�$M8^�Y�����Uy �lH��L��S�ͽ� �Ȱ��3DZ�K��)�of���>H��>h���٠���J�0��7���X�� �I:,H�H�Cw�o� ��!zA��ɯ*D��v)I&��d$?���y`X�V�q��~I�0[ў�}�G �C��Zy8t$�����3�r%�s�K� {R�,A�����@b�-3 ��?>�p ^�,9�G�HqVBzt�l�YU�&n�}��▒��ᬇ�{�ۥ��PwA�8�,C~0��T �V@��E�/)�p"q�u]�u'=d�ޒ$�WF�_5�zR�t �B,]��UpV�\b��+3��jH���\!2 $ʐ` o�w'D�o���U ��+IkQ�;W�� �E�]��\!����U$Ӄ�u]�h��t▒�!��x���N�[���Dk㐇�3�+ϫ!�ǐ�'?�CDǁy)�$Oz�u��_�m��mIR2����d��\��6�IEND�B`�Connection closed by foreign host.#�q&��=0���%��]�Content-Type: image/png
olololo
покажите, пожалуйста, хоть один веб-сервер который по-умолчанию определяет mime тип по внутренним соображениям, при этом не принимая во внимание расширение файла.
у меня почему-то есть уверенность, что он будет отдан именно как зип, т.к. является валидным зипом и имеет расширение zip.
чтобы все работало, оно должно именно быть отдано как «объект флеш».
чтобы он сделал свое черное дело, он должен лежать на домене хабра и отдаться с нужным mime-типом.
Популярные веб-сервера как правило берут миме-тип из расширения файла. Этот зип скорей всего Вам предложат скачать как application/zip, а не выполнить как application/x-shockwave-flash.
А вот уже локально, да, можете поменять расширение, чтобы он сделал свое грязное дело.
embed src="/userfiles/ololololo.zip", причем это еще должно отдаться с нужным mime-type, если я правильно понимаю.
Если у вас никак не фильтруется то, что загружают на сервер, а так же пользователи могут использовать html теги без всяких фильтров, то флеш тут как бы не виноват.
Ближайшая аналогия — xss
Большое спасибо, уже качаю.
В онлайн-версии мой родной Киров есть, а для кпк его, к сожалению, нет. Но очнь хочется.
ps. может можно нажать какую-нибудь хитрую кнопку, чтобы он появился?
В качестве дополнения могу люто, бешено порекомендовать www.google.ru/search?q=ISBN+5-93286-045-6 «Рефакторинг: улучшение существующего кода» Фаулера. Это отличная кандидатура на звание настольной книги :)
Да и в офис приехать никто не мешает, в случае чего.
Из плюсов:
громко включаю музыку (наушники не признаю)
никто не отвлекает, а следовательно и производительность выше.
Из минусов:
иногда люто, бешено не хватает людей :(
Но все же, проголосовал за «Кабинет. Сидят несколько человек», т.к. был опыт работы на открытом пространстве — это больше похоже на шабаш ИМХО :)