Frage zur Freigabe für Plugins

  • Hallo,

    ich frage mich, wann der Firefox bestimmte Dateitypen für die Plugins zum ausführen freigibt. Ich erzähl euch einfach mal, wie ich mir das vorstelle und ihr sagt mir dann, ob das so zutrifft oder ob ich falsch liege :D


    Bei der Installation eines Plugins wird ein Programm oder Modul (whatever) installiert, das bestimmte Dateitypen mit eben diesem Programm oder einem Programm auf das es verlinkt, verknüpft bzw. die Datei automatisch mit diesem ausführt.

    Aber (und das ist der Teil an der Frage, der mir am wichtigsten ist):

    Das Plugin bekommt grundsätzlich nur die "Erlaubnis" die Datei gemäß seinen Vorgaben zu verwursteln (etwa beim Shockwave Flash-plugin SWFs an den Adobe Flashplayer weiterzugeben oder beim wmplayer-plugin den wmplayer embedded auszuführen), wenn unter

    Extras>Einstellungen>Inhalte>Verwalten

    der entsprechende Dateityp (z.b. SWF oder WMV)

    a) aufgelistet ist und
    b) unter "Aktion" Öffnen mit ensprechendem Plugin
    steht

    und sonst definitiv nicht, d.h. das Plugin zeigt zunächst keine Wirkung und der Firefox fragt nach, was getan werden soll ?

    Dann noch eine Frage am Rande:
    Ein Plugin ist (bei about:plugins) ja idR in viele MIME-Typen unterteilt.
    Rechts stehen dann die zugeh. Endungen.
    Ist das so zu verstehen: Falls unter Verwalten (wie oben) der Firefox bei einem Dateityp auf das Plugin verweist, dieses Plugin dann das "Unterplugin" ausführt, wo bei Endungen die betreffende Dateiendung dahintersteht ?
    Falls dem so ist, ergibt sich für mich die Frage, was z.b. beim wmplayer-plugin das * zu bedeuten hat, dass u.a. bei Endungen immer steht. Wenn es für Wildcard steht würde das ja bedeuten, dass das Plugin sowieso immer alle MIME-Typen ausführt, dann müsste ja sonst nixmehr da stehen.
    Bevor ihr antwortet: Bitte den Schwerpunkt auf die erste Frage oben setzen ;) thx

    mfg
    Zilfallon

  • Hört sich richtig an. War das schon die Frage?

    Die Endung ist normalerweise völlig unerheblich. Für Internetinhalte zählt allein der MIME-Typ.

  • Ja, das war die Frage. Konkret gings mir darum: Mitte 2007 wurde ein Sicherheitsleck im wmplayer bekannt, der durch wmd- und wmz-Dateien eingeschleust werden konnte. Beide Dateien sind unter "Verwalten" nicht aufgeführt. Daher wollte ich nur wissen, ob ich dann tatsächlich auf der sicheren Seite bin oder ob das Plugin das irgendwie umgehen kann und die Dateien tatsächlich automatisch öffnen würde.

    Zu 2.: Das hab ich nicht ganz verstanden :P
    Also .. unter Verwalten verweist Firefox bei einer Dateiendung auf ein Plugin - und dann ?

  • Zitat von Zilfallon


    Zu 2.: Das hab ich nicht ganz verstanden :P
    Also .. unter Verwalten verweist Firefox bei einer Dateiendung auf ein Plugin - und dann ?

    Wie gesagt. Der Firefox interessiert sich nicht besonders für die Dateiendungen.

    Wenn der Firefox z.B. im Internet ein Objekt mit dem MIME-Typ application/x-video (nur ein Beispiel) findet, sucht der eben welches Plugin bzw. welche Aktion für diesen Mime-Typ eingetragen ist und bindet dann das entsprechende Objekt ein, falls nötig.

    Die Dateiendungen sind nur bei lokalen Dateien von Bedeutung, wenn der Mime-Typ nicht ermittelbar ist.

  • Und was genau bedeutet das in dem konkreten Fall mit den .wmd / .wmz ? Sind die in irgendeiner Weise mit einem MIME-Typ verbunden ?
    Oder anders gefragt (hier ist das Bulletin: http://xforce.iss.net/xforce/xfdb/35895 :( Würde ein Firefox mit wmplayer-plugin diese Dateien ohne weitere Nachfrage an den wmplayer weitergeben zum öffnen/parsen ?
    Was passiert, wenn kein passener MIME-Typ zu finden ist?
    Was meinst du mit "lokale Dateien" ?
    So wie ich dich verstehe würde das ja bedeuten, dass die Einstellung unter "Verwalten" wirkungslos wäre aber in deiner 1. Antwort sagtest du das würde so stimmen wie ich das erzählt hab.
    Oder meinst du nur, dass innerhalb eines Plugins die Endung nicht zählt ?
    Bin jetzt ziemlich verwirrt. Entschuldige für die vielen Fragen :wink:

  • Zitat von Zilfallon

    Und was genau bedeutet das in dem konkreten Fall mit den .wmd / .wmz ? Sind die in irgendeiner Weise mit einem MIME-Typ verbunden ?


    Siehe auch Antworten weiter oben!

    Zitat von Zilfallon

    Würde ein Firefox mit wmplayer-plugin diese Dateien ohne weitere Nachfrage an den wmplayer weitergeben zum öffnen/parsen ?
    Was passiert, wenn kein passener MIME-Typ zu finden ist?


    Zu (1) so gefragt: Nein! Es sollte (2) eine Meldung kommen. Das Mozilla- Default- Plug-In dürfte sich mit einer Nachfrage (gelbe Leiste) [1] melden.

    Zitat von Zilfallon

    Was meinst du mit "lokale Dateien" ?


    Das sind Deine Dateien im Windows- System. Windows benötigt eine Zuordnung zu den Programmen im System oder fragt ebenfalls nach. Dabei werden die Dateiklassen genutzt. Das hat nichts mit der MIME- Zuordnung eines Browsers zu tun [2]! In der kommenden Version von Firefox wird die MIME- Zuordnung in den Option auch deutlicher dargestellt.

    [1] http://kb.mozillazine.org/Disabling_yell…n_bar_-_Firefox
    [2] http://kb.mozillazine.org/File_types_and_download_actions

  • Zitat von pcinfarkt


    Siehe auch Antworten weiter oben!


    Ich finde darauf oben keine Antwort :?

    Ich werde also nochmal ganz konkret: Kann, bei einer Installation des FF mit dem wmplayerplugin eine .wmz oder .wmd auf einer Site so gehostet werden, dass sie bei Besuch der Site automatisch ohne weitere Userinteraktion an den WMPlayer weitergegeben wird ? (*)
    D.h., ließ sich mit diesem Exploit ein tatsächlicher "Drive-By Download" realisieren, oder haben die in dem Bulletin einfach nicht sauber genug differenziert ?


    Zum Rest deines Posts: Ich tu mich schwer, die Antworten zuzuordnen.

    Das "Zu (1) so gefragt: Nein!" bezieht sich auf den ersten Teil des Absatzes, den du von mir zitiert hast, nämlich darauf:
    "Würde ein Firefox mit wmplayer-plugin diese Dateien ohne weitere Nachfrage an den wmplayer weitergeben zum öffnen/parsen ?"

    (Wenn das so gemeint war, wäre das ja u.U. die Antwort auf (*) )

    Das "Zu (2)" auf das "was würde dann passieren"

    und mit den [1] / [2] verweist du auf die unten verlinkten Eigenschaften ?

  • Nun gut, und jetzt bitte ein "ja" oder "nein" zu genau dieser Sache:

    Kann, bei einer Installation des FF mit dem wmplayerplugin eine .wmz oder .wmd auf einer Site so gehostet werden, dass sie bei Besuch der Site automatisch ohne weitere Userinteraktion an den WMPlayer weitergegeben wird ? (*)
    D.h., ließ sich mit diesem Exploit ein tatsächlicher "Drive-By Download" realisieren, oder haben die in dem Bulletin einfach nicht sauber genug differenziert ?

    Die MIME-Types sind offenbar x-ms-wmz und x-ms-wmd und sind unter about:plugins beim wmplayer-plugin nicht aufgelistet. D.h. er müsste ja ansich nachfragen. Aber: lässt sich das nicht auch fälschen ? d.h. ich verkaufe auf meiner HP eine .wmz über den MIME-Type x-ms-wmv als .wmv und der wmplayer öffnet das Ding und zack - infiziert ... oder führt das Plugin anhand des MIME-Types den wmplayer mit einem Parameter aus, sodass er die "falsche" Datei dann nicht abwickelt sondern es einen Fehler gibt oder nichts passiert ?


    Also die Frage ist: Übergibt der Firefox eine Datei mit dem Mime-Typ x-ms-wmv dem Plugin und das verarbeitet dann diese Datei mit dem wmplayer auch als "wmv", egal was es letztlich ist ...

    oder

    übergibt er die Datei (weil x-ms-wmv mit dem wmplayer-plugin verknüpft ist) an das Plugin und sagt "mach mal" und das plugin startet die datei einfach im wmplayer und der entscheidet, dass er wenn es eben keine wmv, sondern eine wmz ist .. diese auch als wmz ausführt ?

  • Wenn man einen anderen MIME Typ angibt wird eine Fehlermeldung auftauchen das die Datei kaputt ist, der Codec fehlt oder etwas ähnliches. Der Firefox ändert manchmal auch die Dateiendung beim abspeichern in das als MIME Typ angegebene Format, ich denke das hängt irgendwie zusammen.

    Mozilla/5.0 (X11; U; Linux x86_64; de-DE; rv:1.9.1.1) Gecko/20090702 Firefox/3.5

  • Habe mal etwas rumprobiert mit Hilfe eines Freundes. Offenbar interpretiert das wmplayer-plugin den Typ selbst, nachdem der Firefox die Datei an ihn weitergegeben hat. Wenn ich etwa Bild namens ABC.bmp habe und eine HTML mit

    embed src="D:/ABC.bmp" width="350" height="280" type="video/x-ms-wmv" name=MediaPlayer autostart=1

    ausführe, dann zeigt der wmplayer gnadenlos das Bild an und versucht nicht, das als .wmv auzuführen. Noch klarer wird das wenn man ein tatsächliches Video etwa Auto.wmv umbenennt in Auto.bmp und dann

    embed src="D:/Auto.bmp" width="350" height="280" type="video/x-ms-wmv" name=MediaPlayer autostart=1

    auführt. Dann interpretiert er Auto.bmp als kaputte Bilddatei und zeigt ein schwarzes Bild anstatt die dahintersteckende intakte wmv-Datei als solche auszuführen.