Eerst plaatjes, nu tekstbestanden... nog even en je krijgt
een gratis computervirus bij elk Happy Meal...

Mwja, ik vind dit ook niet echt een gigantisch probleem.
Mensen met verstand van computers weten namelijk dat ze een
.txt bestand moeten openen met edit, een .exe bestand moeten
scannen op virussen, en elk ander extentie met de daarvoor
benodigde applicatie te openen.
Mensen die geen verstand hebben van pc's gebruiken cmd niet.

Windows (XP) kijkt gewoon naar de extensie. Kopiëer je
C:WindowsNotepad.exe naar blabla.txt en je dubbelklikt 'm
dan, dan opent-ie gewoon met Notepad.
Gelukkig maar dat 90% van de Windows-gebruikers alleen maar
kan klikken :)

dit stond ook al op www.kla.as, zie daar de post van maandag 27 september.

Geen fout in cmd het is ongewenst in de GUI! Het is de
header van een bestand dat de type bepaald (en dus ook het
icoon zou moeten bepalen). Veel malware scanners doen dit
fout en het is dus aan te raden om alle bestanden te scannen.

De GUI zal aan de hand van de header moeten bepalen wat voor
een bestand het is en aan de mime-type bepalen met welke
alternative actie het bestand moet worden geopend.

was een beetje aan het stoeien, samen met deze url
http://www.winguides.com/registry/display.php/627/

kun je er bijvoorbeeld wel cmd.pif van maken. Dan laat de file in je win
verkenner geen extensie zien (ook al heb je "show all" aanstaan!) en is het
toch te runnen. Maarja, dat is wel behoorlijk logisch bij een .pif bestand
(deze worden ook geblokt door je virusscanners als het goed is) Maar
misschien is het mogelijk om dit ook met de andere 5 extensies te doen??
het lukte mij in ieder geval nog niet zo snel.

klein voorbeeld
copy c:windowssystem32cmd.exe c:
cd c:
rename cmd.exe cmd.pif

en dan via windows verkenner c:cmd aanklikken..

misschien dat zoiets ook mogelijk is met de andere extensie.. ik denk dat
met .lnk zoiets wel te fixen moet zijn??

wel leuk die windows features... maar eigenlijk niet echt iets nieuws onder
de zon..

Tis helemaal geen fout in de GUI. CMD en command zijn de
enige 2 aps die dit niet goed doen.

Mjah, dan nog, de meeste corporate
oplossingen/e-mail/virusscanners laten geen .txt door als
dat stiekem een .exe blijkt te zijn, waar is dan het
probleem? Zonder virusscanner komt het virus sowieso door dus...

Hier komt dus jullie grote denkfout

We gaan een probleem oplossen met een ander programma zonder
het probleem op te lossen.
Dit ruikt naar meer.
Het probleem van het andere programma gaan we weer opolossen
met weer een ander programma.

Kom nou repareer gewoon het eerste probleem we hebben al
genoeg problemen met software en laten we dit nu niet
repareren en voorkomen met een ander programma wat weer een
ander probleem heeft.

Ik zou zeggen: standaard geen execute-rechten!

Onzin het is juist andersom, het hele denken in extensies is
een MS Windows idee.
Een implementatie keuze van MS, die incompatible is met
internet.
Al vanaf de eerste ICQ 98? exploits was het duidelijk dat
het hele extensie idee, een slecht idee is. Vele IE exploits
hebben dat punt IMO alleen maar versterkt. Niet te noemen
elke keer dat een stukje malware weer op een nieuwe manier
binnendrong. Het hebben van exectable rechten leidt tot
minder fouten omdat het besturingssysteem de taak van de
incompetente gebruiker wegneemt . Geef het standaard geen
executable permissies en de gebruiker weet dat het een
executable is omdat hij/zij zelf de permissies verandert.

Ik vind herkennen aan MIME-type, herkennen aan
bestands-extensie en herkennen aan magic numbers alle 3
prima opties. Het gaat erom dat je er niet vanuit mag gaan
dat alle programma's bestandstypen op dezelfde manier herkennen.

Als jij een browser schrijft en beslist dat je
tekstbestanden wel wilt openen, en tekstbestanden wil
herkennen aan de bestands-extensie, kan dat prima. Je moet
dan wel afdwingen dat het ook echt als tekstbestand wordt
geopend. Dus niet doorgeven aan een ander programma dat op
basis van magic numbers of andere grappen bepaalt hoe het
het bestand gaat behandelen.

Vanuit security-oogpunt is het niet echt belangrijk *welke*
methode je kiest, maar je moet wel zorgen dat je programma's
er op een compatibele manier mee om gaan. Het is meer een
compatibiliteitsprobleem dan een probleem in een specifiek
programma.

Dit is een beetje de Unix Magic number vs. de extensie discussie.
Ondanks het feit dat Unix het magic number systeem heeft (herkennen
aan de haader), zie je toch dat in de praktijk extensies handiger zijn.

Dit probleem (MIME types, extensies, headers) zal nog wel even door
blijven spelen, aangezien er niet een methode is die in alle situaties goed
gebruikt kan worden.

Ik ben er zelf voor om altijd bij webcontent/mail altijd de MIME-type/header te
gebruiken voor het bepalen wat de content is, maar op het file-systeem altijd
de extensie. Mocht iets gedownload worden met een foute (of geen) extensie,
dan zou daar een extra extensie achter gezet moeten worden zodra de data
als file op het filesystem opgeslagen wordt.

Internet applicaties houden zich dan keurig aan de standaarden, en
applicaties kunnen op een makkelijke manier weten hoe iets gebruikt moet
worden, en hoe iets weer te geven. Het zorgt er ook meteen voor dat je niet
een gebruiker kunt tricken om een text-file als executable uit te voeren
(in de client wordt de data correct als executable weergegeven, en op het file-
system krijgt het een extensie die ervoor zorgt dat je als gebruiker ook niet
per ongeluk een text-file als programma kunt uitvoeren).

=tifkap

Als een bestand nu geen header heeft zoals een txt bestand?

mogelijk gevaar wat ik zie: in batch-programma een bestandje
openen door de bestandsnaam aan te roepen en ervan uit te
gaan dat Windows weet welke app. hij (zij?) moet gebruiken.
Ik laat vaak een batch op de achtergrond draaien en laat de
logfile openen als 'ie klaar is. Dat ga ik nu anders doen:
fout
"logfile.txt" --> opent logfile met notepad TENZIJ het een
executable is, dan runt'ie
goed:
"notepad logfile.txt" --> nu weet ik zeker dat het bestand
met notepad geopend wordt, ook al is het een executable.

Als je met http een bestand ophaalt, stuurt de webserver
'HTTP-headers' en het bestand zelf. In die HTTP-headers
staat onder andere het MIME-type. Het MIME-type zegt iets
als 'Dit is een text/html-bestand' of 'dit is een
text/plain-bestand'.

Stel dat je browser nu bijvoorbeeld zo ingesteld staat dat
hij bestanden van het type 'audio/x-wav' altijd meteen
opstart, en wel met een programma dat naar de extensie kijkt
om te bepalen op welke manier dat bestand moet worden
opgestart. Dan ben je dus mooi de pineut als je een bestand
'evilhacker.exe' downloadt dat als MIME-type 'audio/x-wav'
meekrijgt van de server.