bug su Opera 8.51

[fcaldera]

Solo per segnalarvi un bug di sicurezza di Opera 8.51

se usate il tag <object> non specificando un nome di file Opera mostrerà il contenuto della cartella nel punto in cui è definito l'elemento object

ad esempio

codice:

<object type="application/x-shockwave-flash" data="swf/" width="415" height="290">
   <param name="movie" value="swf/" />   
   ...

mostrerà il contenuto della sottocartella swf/ visualizzata all'interno del tag object, come se fosse un iframe

Di norma il nome del file è sempre specificato ma se state facendo manutenzione sulle pagine non lasciate l'attributo data e il parametro movie vuoto. Potreste aprire delle falle di sicurezza


Ciao

[Mich_]

Non lo considerei un baco. E` quello che dovrebbero fare tutti i browser: aprire l'argomento come fosse un iframe.

Semmai la falla di sicurezza e` scrivere una cosa come quella dell'esempio.

[fcaldera]

la cosa è anche più grave di quanto pensassi

se scrivete

codice:

<object type="application/x-shockwave-flash" data="/" width="415" height="290">
            <param name="movie" value="/" />   
...

scrivendo data="/"

opera apre un interfaccia nella quale si può navigare sull'intero disco C (o D) e in più cerca anche eventuali cd-rom e floppy

fate molta attenzione e segnalate questa discussione a quanti possono essere interessati

[fcaldera]

Originariamente inviato da Mich_
Non lo considerei un baco. E` quello che dovrebbero fare tutti i browser: aprire l'argomento come fosse un iframe.

Semmai la falla di sicurezza e` scrivere una cosa come quella dell'esempio.

penso sia un baco visto che firefox ed explorer non aprono nessun oggetto.

Il problema è che probabilmente nessuno ci ha mai fatto caso: se per sbaglio si omette il nome del file si crea una falla non da poco.

[Mich_]

Nell'idea del W3C, il tag <object> dovrebbe sostituire il deprecato e abbandonato <iframe>.
Dovrebbe cioe` permettere l'apertura di un file HTML completo all'interno della pagina.

Per questo occorre anche sistemare i parametri, e sicuramente il tipo corretto non e` "application/x-shockwave-flash" (credo sia "text/HTML").
Fino ad ora nessun browser supportava quest'uso dell'<object>; evidentemente Opera ci ha pensato (e magari ha un po' esagerato).

Daltronde se si apre un link che punta ad una dir, ed in questa dir non c'e` il file "index.html" (o simile, dipende dal webserver), viene aperta la directory, e si vedono tutti i file contenuti.
Per questo, per evitare falle di sicurezza si deve tenere in ogni dir un opportuno file "index.html"

Hai fatto bene a segnalare il problema, ma a mio parere non si tratta di bug di Opera; semmai il bug e` nell'interprete Flash e nel tuo modo di tenere le dir.
Puoi fare le prove suggerite da questo mio intervento e tenerci aggiornati?

Grazie.

[fcaldera]

in realtà, infatti, io devo includere un'animazione flash e non un iframe. Per questo motivo ho usato

type="application/x-shockwave-flash"


è vero che se scrivi un link in cui l'href è vuoto _può_ (dipende dal web server) aprirsi una lista della directory, ma di norma non puoi navigare nelle cartelle superiori. E comunque appena trovi un index per il web server ti viene mostrata quella.

invece in questo caso puoi risalire di quante cartelle vuoi perchè opera visualizza le path speciali ../ e ./ sono cliccabili. Dal disco C:/.../ sono riuscito a risalire fino al disco D:/.../ tanto per capirci

Ad ogni modo se scrivo

codice:

<iframe src="/"></iframe>

si riproduce lo stesso comportamento (sempre su opera)



Ora farò la prova da un web server e vi farò sapere che cosa succede