L'URL de protocole dans Firefox ne fonctionne pas si elle contient «% 2F».

1

Si j'écris quelque chose comme ce qui suit dans la barre de navigation de Mozilla Firefox, rien ne se passe:

org-protocol: // capture: //p/http%3A%2F%2Fsuperuser.com%2Fquestions%2Fask/protocol%20in%20firefox%20does%20nake%20take%20%22%252%%%%%%%%%%%%%%% actuellement. 20% du 20%% 20% 20% 20% 20% de l'utilisateur /

Lorsque je laisse tous les éléments %2F, l'URL est traitée correctement. Appeler emacsclient via le terminal fonctionne, y compris le %2F.

Dans certaines versions précédentes de Firefox, ce protocole fonctionnait bien dans tous les cas. Pourquoi Firefox reconnaît-il maintenant le %2Fdans ce cas?

firefox protocol navigation string uri testphys
la source

Réponses:

0

Je crois que c'est une caractéristique de sécurité. %2FComme vous le savez peut-être, le codage d'URL du caractère barre oblique /. En permettant %2Fcela, nous autorisons essentiellement la traversée de répertoires qui passe "sous le radar", c’est-à-dire que cela empêche l’utilisateur de voir clairement qu’ils parcourent des répertoires. Combinez cela avec autoriser le .personnage et vous pouvez faire quelque chose de méchant, en particulier si vous parlez du système de fichiers local où la traversée de répertoires n'est pas soigneusement restreinte car elle est souvent (mais pas toujours) par des serveurs HTTP.

Vous souvenez-vous des versions spécifiques de Firefox où cela fonctionnait et des versions où il ne fonctionnait plus? Plusieurs correctifs de sécurité liés à la validation des entrées ont été installés dans Firefox au fil des ans pour divers exploits de traversée de répertoires. Votre URI peut déclencher le code de sécurité. Certains des liens ci-dessous soulignent même que, selon la version, les tentatives de correctifs ont soit aggravé le problème, soit provoqué des faux positifs; c'est-à-dire que le code bloquerait les URI légitimes.

  1. http://www.securityfocus.com/bid/24191/references
  2. http://www.securiteam.com/securitynews/5LP011FLPC.html
  3. http://www.securiteam.com/securitynews/5CP0M0UN5A.html
  4. http://www.mozilla.org/security/announce/2011/mfsa2011-16.html
allquixotic
la source
J'utilise Ubuntu et j'ai récemment passé de 10.10 à 12.04 LTS. Le problème est apparu dans Firefox 13 et existe toujours depuis 14.
testphys