続・IE8で画像が表示されない件

何やら「IE8で画像が表示されない件（謎）」のページにやたらアクセスがあるなぁと思って見てみたら、このページを取り上げたまっちゃだいふくさんのページがこちらで取り上げられてリンクされたからだったようで・・・

何か

このBlogを見てこの対応をする人が増えるのが耐え難い・・・

とか書かれちゃってますが、私は「こういう現象がある」と書いただけで、そうしろなんて言ってませんがな・・・

ってか、そもそも、私はこの「拡張子ではなく、内容によってファイルを開く」なんてどっちでも良いと思っている。

もちろん、サイト開設者が拡張子を偽装している場合には、内容によってファイルを開けば問題ないかもしれないけど、こういう問題やこういう問題の場合には（サイト開設者は信頼できるが、そこにアップロードされている情報が信頼できない場合には）、逆に拡張子を信頼した方が問題を避けられる場合もある。
有効でも無効でも、どちらでも攻撃手法が存在するのであれば、どちらの設定にした所で攻撃を受ける可能性はある。

そもそもの問題は、サイト開設者とブラウザの自動認識のどちらが信用できるかって話と、ブラウザが仮定したファイルタイプと実態が違っていた場合にブラウザがどのようにふるまうかという二つの問題がある。
前者に付いては、ブラウザの自動認識が100%正しく動作するのであれば内容によってファイルを開く方が好ましいんだけど、実際はそうではないし、現実にその誤認識を突いて攻撃する手法が広く知られている。
後者に付いては、「バグの無いソフトウェアは存在しない」という一言で片付く問題で、完璧に望み通りに動作するブラウザなんてものは存在し得ない。
そもそも「望み」なんて人によって違うんだし。

拡張子なんかを信用する人はセキュリティな人にはいないですね・・・はい。正直。

内容によって開く場合の問題を知らないんだか、それを言うと「拡張子を信頼するな教」の布教に差し障るから知らないふりをしてるんだか知りませんが、物事を多面的に見れない人はセキュリティを語らない方がいいと思うぞ。
攻撃者は物事を多面的に見て、その場で一番弱い所を突いて来るんだから・・・

その設定をする「意味」（得失）もわからずに、金科玉条のように「○○すべし！」なんて言う人はセキュリティな人にはいらないですね・・・はい。正直。

【追記】
このエントリ書いてて「何かおかしいな？」という気がしてたんだけど、何度か読みなおしててやっと気が付いた。

私の前のエントリを見に来る人がいるとしたら、「IE8で画像が表示されなくなっちゃった人」であろうと思われる。
んで、その人達が見て行う「この対応」というのは「内容によってファイルを開く」を「有効」にする操作ではないだろうか？（「有効」にすれば画像が表示されるようになるんだから）
であれば、「拡張子なんて信用しない」設定になる訳で、このまっちゃだいふくさんの記事は、前段と後段で主張が矛盾している。

矛盾が無くなるとしたら、私が「内容によってファイルを開く」は画像が表示できなかろうが何だろうと「無効」にすべし！と言っている場合なんだけど、私がそんな主張をしているように読めますか？
画像が表示されない状態で「無効」になっていたという状況は記述していますが、そうしろなんてどこにも書いていないと思いますが・・・

たった2行しか書いてないのに、矛盾する事を書いてしまうような人はセキュリティな人にはいらないですね・・・はい。正直。

ついでに言えば
無駄に攻撃的な物言いしかできない人はセキュリティな人にはいらないですね・・・はい。正直。

# 何かこのフレーズ気に入ったらしい＞σ(^^;

ニボシ食えニボシ！