2004-01-30 IEに,ダウンロードするファイル名を偽装されるセキュリティ・ホール セキュリティ 「ファイルのダウンロード」ダイアログでは,ファイル名中の「%2E」がデコードされて(文字コードとして解釈されて),「.」と表示される(写真)。 : ところが,IEは「ie.」以下を拡張子として判断する。「%2E」を「.」と判断しない。 : そして,「開く」がクリックされると,HTML Applicationに関連付けられたmshta.exeでファイルの中身を解釈および実行しようとする。 なるほどー。%2Eを使うのですかぁ。