Xpoint
   [напомнить пароль]

локальные файлы

Метки: [без меток]
2005-06-21 10:46:08 [обр] Антон(0/3)[досье]
Не подскажите ли, каким образом можно показать пользователю в броузере картинку, или вообще какой-либо ресурс не с сервера, а находящийся у него на локальной машине. Я понимаю, конечно, безопасность и все такое, но может быть пользователь сам может что-то настроить... (Суть в том, что в объект проигрывателя должен загружаться плэйлист со ссылками на локальные файлы, а не находящиеся на сервере). Это вообще возможно?
спустя 27 минут [обр] Старынин Валерий(0/57)[досье]
ActiveX или JavaScript. На www.opennet.ru сейчас пробегало сообщение о симуляторах Unix на JS. Тот, что от Bolk'а, точно проверено, читает файлы с диска, надо только 1 раз нажать "разрешаю".
спустя 15 минут [обр] Антон(0/3)[досье]
Спасибо, вроде разобрался. Как выяснилось, вроде бы помогает простой file://localhost/... Непонятно тогда правда, как же безопасность, но для меня это уже не суть важно в данном случае.
спустя 19 минут [обр] Антон(0/3)[досье]
Хм... с картинками-то так работает, а вот с файлами в плейлисте для медиаплеера - нет... И что же делать?
спустя 19 минут [обр] Давид Мзареулян(7/1003)[досье]
Не знаю, как с плейлистом, но Firefox отказывается показывать на внешних страницах картинки с адресами file://....
спустя 13 минут [обр] Ярослав Сюзёв (yara)(0/305)[досье]
М Перенесено из форума "Интернет::HTML-верстка::Верстка"
спустя 4 минуты [обр] Старынин Валерий(0/57)[досье]
А что безопасность? Показать юзеру файл с его машины? Это не дырка. Вот отправлять его на сервак нельзя, это да... А тут все нормально...
спустя 14 минут [обр] Владимир Палант(49/4445)[досье]

Старынин Валерий[досье]
Дырка — позволяет проверять, какие файлы есть у пользователя на компьютере.

Антон[досье]
В Mozilla/Firefox эту дыру недавно закрыли, приблизительно с версий 1.7.5/1.0 соответственно.

спустя 5 минут [обр] Антон(0/3)[досье]

Фух... разобрался - плэй-лист тоже должен лежать локально и без всяких file://, тогда он и локальные файлы находит относительно того места где сам лежит. А если плэйлист на сервере - ничто больному не поможет...
А безопасность - может вы и правы, это так, первая мысль была, мне всяко когда локальный файл можно где-то показать мерещится, что это неправильно :) (типа а потом его к медиаплееру подцепить или еще к какому-нить компоненту, флэшке какой-нить хитрой и т.д. :))

Угу - и опера такие вещи тоже стороной обходит.

спустя 21 минуту [обр] Давид Мзареулян(7/1003)[досье]
А вот IE до сих пор показывает локальные картинки, и ничего.
спустя 14 минут [обр] Алексей В. Иванов(6/2861)[досье]
Старынин Валерий[досье] то-то отключили фичу <iframe src="c:\">. Шутников много расплодилось.
спустя 58 минут [обр] Владимир Палант(49/4445)[досье]
Давид Мзареулян[досье]
IE и с буфером обмена работать позволяет (независимо от настроек — есть ещё дыры безопасности, которые Microsoft дырами не считает), и много ещё чего. Они даже критические дыры закрывать не успевают, а вы про такие мелочи говорите :)
спустя 1 день [обр] Старынин Валерий(0/57)[досье]
Владимир Палант[досье] А вот с этого момента поподробнее. Как то, что запускается на моей машине, может проверить файл? Или потом по условию в JS лезть на другой адрес?
спустя 2 часа 39 минут [обр] Иван Шумков(0/77)[досье]

Старынин Валерий[досье]
Все очень просто. Есть какая нибудь уязвимость. Но для ее осуществления надо проверить версию программы и ее вообще существование (не броузера). JS пытается открыть файл программы. Открыл - программа есть и версия та, значит можно использовать уязвимость.

Туманный пример конечно но суть передает.

спустя 17 минут [обр] Владимир Палант(49/4445)[досье]

Старынин Валерий[досье]
Любой сайт может создать динамически картинку, вставить в неё локальный адрес, а потом ждать onload или onerror. Теоретически таким образом можно проверять только наличие картинок на диске, на практике же в Gecko можно было и отличить наличие файла, не являющегося картинкой, от отсутствия файла.

Для использования многих уязвимостей нужно знать к примеру расположение каталога windows на диске (c:\windows, c:\winnt, d:\windows, ...). С помощью картинок можно проверить несколько десятков вариантов незаметно от пользователя — попытаться загрузить какую-нибудь картинку, которая практически всегда лежит в этом каталоге.

спустя 1 час 3 минуты [обр] Старынин Валерий(0/57)[досье]
Ну, да. Возможность обратной связи ч\з JS я не уччел. Думал только про статический HTML. А так все понятно, как я и предположил в своем предыдущем посте.
Powered by POEM™ Engine Copyright © 2002-2005