GIFARについてやや勘違いをしていました。GIFARファイルをブラウザで表示するだけで、含まれているアプレットが動くのかと思っていました。 これってけっこう勘違いされてそうな気がするんだが... え?当たり前?もしかして自分だけ? 指摘されているのは「jarファイルをGIFファイルとして偽装できる」というだけであって、ブラウザの脆弱性とかを指摘しているわけではないんだ。 実際にBlack Hat Japan 2008 でGIFARについて発表したネイサン・マクフィーターは、 もし、このGIFARファイルを攻撃対象のコンピュータのローカルファイルシステムに送り込むことができ、そのファイルが格納されたパスをあらかじめ知ることができるならば、Webページなどを通じて被害者のコンピュータ内にあるGIFARファイルをJARファイルとして起動することができる。 と言っている。 でもよく考えたら、もし