MIME-Anwendung / Octet-Stream MIME-Inhaltstyp. Application Klicken Sie hier, um einen Scan für MIME Application / Octet-stream auszuführen. Was ist MIME-Anwendung / Octet-stream Der MIME-Typ application / Octet-stream gilt als einer der beliebten Anwendungszwecke. Im Allgemeinen wird dieser Typ verwendet, um die Daten zu identifizieren, die keiner bestimmten Anwendung zugeordnet sind. Ein Application / Octet-stream ist ein MIME-Anhang, der im Betriebssystem vorhanden ist. Dieser MIME-Typ bezieht sich grundsätzlich auf die Dateiendung. bin, die sich auf alle Binärdateien bezieht. Es ist einer der wichtigen Typen im Betriebssystem. Application / Octet-stream kommt in die Kategorie der Binärdateien. Das Format entspricht der Codierung. Die Arbeit von Application / Octet-stream kann im Webbrowser gesehen werden. Also die Codierung wird entsprechend der Arbeit des Web-Browsers. Jeder Web-Browser ist anders und gibt dem Benutzer verschiedene Operationen für die Nutzung von Internet. Die codierten Informationen werden durch den Webbrowser identifiziert und es gibt dem Benutzer verschiedene Möglichkeiten, auf den MIME-Typ zuzugreifen. Verschiedene Anwendungen werden auf das System geladen. Die Arbeit von Application / Octet-stream dient der Identifizierung der Datei, die in der E-Mail vorhanden ist, und scannt das System. Der Typ scannt das System nach einer geeigneten Anwendung, die die in der E-Mail empfangenen Daten öffnen kann. Um den Betrieb von Application / Octet-stream zu sehen, kann ein Beispiel gegeben werden. Wenn ein wichtiger Brief per E-Mail gesendet wird, kann die Arbeit von Application / Octet-stream im Webbrowser gesehen werden. Wenn die Daten angefahren und für die Anzeige angeklickt werden, durchsucht der Typ das System nach geeigneten Anwendungen und gibt dem Benutzer die verfügbaren Optionen. Die bevorzugte Option in diesem Fall wäre von Wortanwendungen, da der Typ ein Buchstabe ist. Wenn es eine Erweiterung entlang seiner leicht für das System zu identifizieren und verwenden Sie es. Aber in einigen Fällen gibt es keine Erweiterung gegeben. In solchen Situationen ist es die Verwendung von Application / Octet-Stream-Typen, die helfen können. Das Arbeiten von Application / Octet-stream-Typen erfolgt nur in Windows - und Macintosh-Betriebssystemen. Die Arbeit kann nach den verschiedenen Aufstellungen des Typs gesehen werden. Jede Anwendung ist anders gestaltet. Die Codierung des MIME-Typs erfolgt ebenfalls entsprechend. Da die Daten per E-Mail empfangen werden, wird diese Art von MIME verwendet. Es stellt die Anforderungen des Menschen in Senden und Empfangen von Daten über Online-Ressourcen. Mit Hilfe dieses MIME-Typs erfolgt die Datenübertragung in kürzerer Zeit auf dem Netz. Viele Webbrowser verwenden application / Octet-stream. So beheben Sie MIME-Anwendungs - / Octet-Stream-Fehler Webbrowser wie IE und Firefox verwenden MIME-Typen, um die besten Hostanwendungen zu ermitteln und darzustellen, die Binärdatensätze darstellen, die in Webseiten eingebettet sind. Wenn Sie auf einen MIME-Anwendungs / Octet-Stream-Fehler stoßen, wird er durch einen der folgenden beiden Fehlerarten verursacht: 1) Ihr PC verfügt nicht über eine Host-Anwendung, die MIME-Anwendung / Octet-Stream-Inhalt öffnen und rendern kann. Wie die Dateierweiterungen entspricht jeder MIME-Typ einer bestimmten Host-Anwendung, die zum Lesen und Schreiben von binären Datensätzen entsprechend der passenden MIME-Typ-Spezifikation verwendet werden kann. 2) Ihr PC hat möglicherweise Fehler in der Windows Registry aufgrund beschädigter und ungültiger Einträge. Selbst wenn Sie eine passende Host-Anwendung installiert haben, konnte sie nicht gefunden und vom Internetbrowser verwendet werden. Empfehlung: In Tangled Web Michal Zalewski sagt: Verweigern Sie die Verwendung von Content-Type: application / octet-stream und verwenden Sie application / binary stattdessen, vor allem für unbekannte Dokumenttypen. Verzichten Sie auf die Rückgabe von Content-Typ: text / plain. Beispielsweise muss jede Code-Hosting-Plattform bei der Rückgabe von ausführbaren Dateien oder Quell-Archiven als application / octet-stream Vorsicht walten lassen, da es ein Risiko gibt, dass sie als HTML fehlinterpretiert und inline dargestellt werden können. Die nachfolgend in Internet Explorer und Safari implementierte Text - / Plain-Logik, um HTML in einem solchen Fall zu erkennen, ist wirklich schlechte Nachricht: Es macht die Webentwickler in der Lage, diesen MIME-Typ sicher zu nutzen, um benutzerspezifische Klartextdokumente zu generieren und bietet keine Alternativen . Dies führte zu einer beträchtlichen Anzahl von Webanwendungen-Schwachstellen, aber bis heute scheinen Internet Explorer-Entwickler keine Reue zu haben und das Standardverhalten ihres Codes nicht geändert zu haben. Die Website verwendet X-Content-Type-Optionen: nosniff. Autor sagt das folgende über diesen Header: Die Verwendung dieses Headers X-Content-Type-Optionen wird dringend empfohlen, die Unterstützung für sie. Hat nur eine begrenzte Unterstützung in anderen Browsern. Mit anderen Worten, es kann nicht als eine einzige Verteidigung gegen Content Sniffing abhängen. Was Content-Sniffing angreift X-Content-Type-Optionen: nosniff verhindert nicht, welche Content-Type an Benutzer statt Text / plain Background zurückgegeben werden soll. X-Content-Type-Options: ist ein Header, der gegen MIME-Content-Sniffing-Angriffe verteidigt. MIME-Content-Sniffing-Angriffe sind ein Risiko, wenn Sie Benutzern erlauben, Inhalte (z. B. Bilder, Dokumente, andere Dateien) auf Ihre Website hochzuladen und dort von anderen Benutzern herunterzuladen. Wie Rook sagt, hat dies nichts mit Abhören / Erfassen von Netzwerkverkehr zu tun. Was für Angriffe es nicht verhindert Da X-Content-Type-Options: nur auf einigen Browsern unterstützt wird, schützt es nicht Angriffe gegen Benutzer, die andere Browser verwenden. Insbesondere wird es auf IE, Chrome und Firefox 50 vermutet. Siehe auch Was sind die Sicherheitsrisiken, damit die Benutzer Inhalte auf meiner Website für einige andere Angriffe, die sie nicht verhindert, z. Das Hochladen von Malware oder unerwünschten Inhalten, das Hochladen von Inhalten, die eine Sicherheitsanfälligkeit im Benutzerbrowser ausnutzen, usw. Welche Inhaltstypen zurückgegeben werden sollten Sie sollten den entsprechenden Inhaltstyp für diese Datei zurückgeben. Sie sollten nicht zulassen, dass Benutzer nicht vertrauenswürdigen Inhalt mit gefährlichen Inhaltstypen hochladen. Für mehr Details sehen Sie bitte die Antworten auf die folgenden Fragen: Dieses Thema wurde ausführlich diskutiert und dokumentiert anderwohin auf dieser Seite, also werde ich nicht versuchen, alle nützlichen Ratschläge zu wiederholen, die dort gefunden werden. Update: Ich habe gerade gelernt, dass die Einstellung der Content-Type und X-Content-Type-Options Header entsprechend nicht genug für die Sicherheit ist. Anscheinend ignoriert Flash den Content-Type-Header. Die das Laden einer böswilligen SWF ermöglichen könnte, die dann alles tun können, was Sie mit einem XSS tun. (Sigh, dumme Flash.) Leider kann keine Menge von Whitelisting von Datei-Content-Typen diesen Angriff zu stoppen. Folglich scheint es, dass die einzige sichere Lösung darin besteht, den vom Benutzer hochgeladenen Inhalt auf einer separaten Domäne zu hosten. Beantwortet Mar 21 12 at 0:29 Hier ist eine Antwort von Michal Zalewski erhalten per E-Mail: Die kurze Antwort ist, dass es funktioniert in MSIE, und nur in einigen spezifischen Fällen. Es wird nicht schützen Sie gegen (viel weniger eifrig) Schnüffeln in den meisten anderen Browsern, sondern vor allem, nicht entmutigen Plugins aus tun Dinge wie das crossdomain. xml Risiko oben skizziert und nicht unbedingt verhindern, dass Subresource Lasten mit Mismatched MIME-Typen (dh Laden eines Bildes als Anwendung / x-shockwave-flash via ltembedgt). Beantwortet Mai 21 12 at 17:13 Was Sniffing-Angriffe X-Content-Type-Optionen: nosniff verhindert Sniffing durch Werkzeuge, die nicht wissen, über X-Content-Type-Optionen. Einige Browser und Plugins, die Netzwerkressourcen abrufen können. (Zum Beispiel historisch Java GIFAR, Flash loadPolicyFile.) Was Content-Typ sollte an Benutzer statt Text / plain zurückgegeben werden Es gibt keine gute Antwort darauf, also wenn Sie nicht vertrauenswürdige Textdateien Host sollten Sie die üblichen Milderung von Hosting Sie auf einem separaten Hostnamen (und idealerweise IP-Adresse). Alternativ: HTML-encode, ein ltpregt hinzufügen und als text / html dienen. Antwort # 2 am: Mai 12, 2010, 01:12:19 am »Warum sollten nicht vertrauenswürdigen Dateien auf separaten IP-Adresse gehostet werden, die ich bisher über solche Angriffe gehört habe. Könnten Sie einige Ressourcen liefern, um darüber zu lesen ndash Andrej Botalov Andre 20:20 Andrej: Die Java Same Origin Policy basiert auf dem Speicherort der Klasse anstelle des Standorts des enthaltenden Dokuments und ist teilweise IP-basiert Anstelle von Host-basiert. Also, wenn jemand eine Datei mit Inhalt parsable als JAR / ZIP auf Ihren Server schleichen kann, können sie es als Applet verwenden, um Benutzer39 Browser beliebige TCP-Verbindungen an den Server senden. Schlimmer noch, in älteren Versionen von Java, können Sie beliebige URLConnections mit der user39s Anmeldeinformationen senden, so dass Sie frei zu tun, um XSRF-Angriffe gegen andere Websites auf der gleichen IP zu tun. Ndash bobince Mar 20 12 at 14: 00Einstellung einfacher Daten zu anderen Apps Diese Lektion lehrt Sie sollten auch lesen Wenn Sie eine Absicht zu konstruieren, müssen Sie die Aktion, die Sie die Absicht auslösen möchten. Android definiert verschiedene Aktionen, einschließlich ACTIONSEND, die, wie Sie vermutlich vermuten können, anzeigt, dass die Absicht Daten von einer Aktivität zur anderen sendet, sogar über Prozessgrenzen hinweg. Um Daten an eine andere Aktivität zu senden, müssen Sie nur die Daten und ihren Typ angeben, das System identifiziert kompatible Empfangsaktivitäten und zeigt sie dem Benutzer an (falls mehrere Optionen vorhanden sind) oder sofort die Aktivität starten (wenn nur vorhanden ist) Eine Option). Ebenso können Sie die Datentypen werben, die Ihre Aktivitäten von anderen Anwendungen empfangen, indem Sie sie in Ihrem Manifest angeben. Das Senden und Empfangen von Daten zwischen Anwendungen mit Intentionen wird am häufigsten für den sozialen Austausch von Inhalten verwendet. Intents ermöglichen es Benutzern, Informationen schnell und einfach mit ihren bevorzugten Anwendungen zu teilen. Hinweis: Der beste Weg, ein Aktionsobjekt zu einem ActionBar hinzuzufügen, ist ShareActionProvider zu verwenden. Die in API-Ebene 14 verfügbar wurde. ShareActionProvider wird in der Lektion über das Hinzufügen einer Easy Share-Aktion diskutiert. Senden von Text Inhalt Abbildung 1. Screenshot von ACTIONSEND intent chooser auf einem Mobilteil. Die einfachste und häufigste Verwendung der Aktion ACTIONSEND ist das Senden von Textinhalten von einer Aktivität zur anderen. Beispielsweise kann die eingebaute Browser-App die URL der aktuell angezeigten Seite als Text mit jeder Anwendung teilen. Dies ist nützlich, um einen Artikel oder eine Website mit Freunden per E-Mail oder Social Networking zu teilen. Hier ist der Code, um diese Art der Freigabe zu implementieren: Wenn theres eine installierte Anwendung mit einem Filter, der ACTIONSEND und MIME Typ text / plains entspricht, wird das Android-System ausführen, wenn mehr als eine Anwendung übereinstimmt, zeigt das System ein Disambigusierungsdialogfeld (a Chooser), die dem Benutzer erlaubt, eine App zu wählen. Allerdings, wenn Sie Intent. createChooser () aufrufen. Übergeben Sie es Ihr Intent-Objekt, es gibt eine Version von Ihrer Absicht, die immer die Wähler zeigt. Dies hat einige Vorteile: Selbst wenn der Benutzer zuvor eine Standardaktion für diese Absicht ausgewählt hat, wird der Wähler weiterhin angezeigt. Wenn keine Anwendungen übereinstimmen, zeigt Android eine Systemnachricht an. Sie können einen Titel für das Auswahldialogfeld festlegen. Heres der aktualisierte Code: Der resultierende Dialog wird in Abbildung 1 gezeigt. Optional können Sie einige Standard-Extras für die Absicht: EXTRAEMAIL. EXTRACC. EXTRABCC. EXTRASUBJECT. Wenn die empfangende Anwendung nicht dafür gedacht ist, sie zu benutzen, wird sie einfach ignoriert. Hinweis: Einige E-Mail-Anwendungen wie Gmail erwarten eine Zeichenfolge für Extras wie EXTRAEMAIL und EXTRACC. Verwenden Sie putExtra (String, String), um diese Ihrer Absicht hinzuzufügen. Binärer Inhalt senden Binäre Daten werden mit der Aktion ACTIONSEND gemeinsam mit dem Setzen des entsprechenden MIME-Typs und dem Platzieren des URIs an die Daten in einer zusätzlichen EXTRASTREAM-Datei freigegeben. Dies wird häufig verwendet, um ein Bild freizugeben, kann aber verwendet werden, um beliebige Binärinhalte zu teilen: Beachten Sie Folgendes: Sie können einen MIME-Typ von / verwenden. Aber dies wird nur Aktivitäten, die in der Lage, generische Datenströme zu behandeln sind. Die empfangende Anwendung benötigt die Berechtigung, auf die Daten zuzugreifen, auf die die Uri zeigt. Die empfohlenen Methoden hierfür sind: Speichern Sie die Daten in Ihrem eigenen ContentProvider. Dass andere Apps die richtige Berechtigung haben, auf Ihren Provider zuzugreifen. Der bevorzugte Mechanismus zum Bereitstellen des Zugriffs besteht darin, per-URI-Berechtigungen zu verwenden, die temporär sind und nur Zugriff auf die empfangende Anwendung gewähren. Eine einfache Möglichkeit, einen ContentProvider wie diese zu erstellen, besteht darin, die Hilfsklasse "FileProvider" zu verwenden. Verwenden Sie das System MediaStore. Der MediaStore richtet sich in erster Linie an Video-, Audio - und Image-MIME-Typen, beginnend mit Android 3.0 (API Level 11) kann er aber auch Nicht-Medientypen speichern (siehe MediaStore. Files für weitere Informationen). Dateien können mit scanFile () in den MediaStore eingefügt werden, danach wird ein Content: // style Uri, der für die Freigabe geeignet ist, an den angegebenen onScanCompleted () - Callback übergeben. Beachten Sie, dass nach dem Hinzufügen zum System MediaStore der Inhalt für jede App auf dem Gerät zugänglich ist. Senden mehrerer Inhalte Um mehrere Inhalte zu teilen, verwenden Sie die Aktion ACTIONSENDMULTIPLE zusammen mit einer Liste der URIs, die auf den Inhalt verweisen. Der MIME-Typ variiert je nach dem Mix aus Content-Sharing. Wenn Sie beispielsweise 3 JPEG-Bilder freigeben, ist der Typ immer noch image / jpeg. Für eine Mischung von Bildtypen sollte es image / passend zu einer Aktivität sein, die jede Art von Bild verarbeitet. Sie sollten nur / if youre teilen eine Vielzahl von Typen. Wie bereits erwähnt, seine bis zu der empfangenden Anwendung zu analysieren und zu verarbeiten Ihre Daten. Ein Beispiel: Stellen Sie nach wie vor sicher, dass die bereitgestellten URIs auf Daten zeigen, auf die eine empfangende Anwendung zugreifen kann.
No comments:
Post a Comment