とうとう「使用禁止」と言われるIE 77
ストーリー by wakatono
パッチもあるでよ 部門より
パッチもあるでよ 部門より
Hebikuzure 曰く,"日経IT Proのセキュリティ情報に「IE 5.01/5.5 に再び深刻なセキュリティ・ホール,パッチ公開までは使用禁止に」という記事が掲載されている。
セキュリティホールの内容自体は10/11付けでMicrosoftから公開された「不正なドットなし IP アドレスにより Web ページがイントラネット ゾーンで処理されてしまう」という物に関してだが、目を引くのは何と言ってもタイトルにまでIE5.0/5.5は(パッチ適用までではあるが)「使用禁止」と書かれてしまった事だろう。
しかもこのセキュリティホールに対応した日本語版の修正プログラムは未リリースであるとも書かれているのだから、Webサイトを見る業務が伴う場合はIE5.0/5.5は別のブラウザに変更しなさいと言っているような物だ。一応IE6にはこの問題は無いの事は紹介されているものの、「バージョンアップも回避策のひとつである」との言い方はあまり強く推奨と言う感じではない。
なかなかMicrosoft製品の問題に切りこむ事の少ない日本の大手メディアでも、こういうタイトルが平気で登場するようになったと言う事は、それだけMicrosoftに対する信頼が薄らいでいる事の証左なのではないかなあ。"
さきほど Port139 ML で、この問題に関する HotFixがリリースされた旨流れた。対処は迅速…なのかなぁ。
本当に面倒なこと (スコア:4, 興味深い)
Microsoftのpatchで何が悲しいって、このようにpatchのL10Nを待たなければならないことですよね(私は頭に来た時は強引に当てるけど)。世の中に存在するlocaleをすべてUnicodeにより抱え込むか、たった1つに決め打ちするかしかできないためにpatchが遅れる、あるいは無数に増殖しているとしたら...
ある程度頭のあるクラッカーだったら、マイナーなlocaleのWindowsを集中的に攻撃するなどの策をすでに打っているかも知れません。
Re:優秀だろうか? (スコア:4, すばらしい洞察)
実はNetscapeMailでもエンコードを指定すれば、JISだけじゃなく、S-JIS, EUC, UTF-8でも送信できるようです。
で、OEユーザーから来たUTF-8メールにNetsccapeMailで返信したら、UTF-8で送信されてしまいました (^_^;;;
お間抜けなことに、OEはそのUTF-8を読めなくて「文字化けして読めません」という返事が来ました(爆)
#読めないなら送るな>>M$-OE
Re:優秀だろうか? (スコア:4, すばらしい洞察)
UserAgentには、ある程度のエラー訂正機能を持つ事が求められています。ブラウザで意図通りに表示されている事と、適切な表記である事は、無関係です。テーブルの閉じタグが抜けているだけでそれ以降が表示できなくなる某UAの挙動を、厳密な解釈で優秀だ、とは思えません。
でも、IE6のCookieのアイコンみたいに、ステータスバーの端っこに小さく、自動訂正が働いたかを知らせるマークを付けたり、(UAにとって)不正な記述や認識できない記述を手軽に表示してくれたり、そういう機能は是非とも欲しいなあ。
というか、DOM(の元になった物)やビヘイビア等は、評価に値する優秀なコンセプトじゃないのかなあ。一つの製品として利用に堪えられない物だからと言って、全てを否定して興味深いアイデアやらを見つけられないのは損だと思うよ。
Re:Security Update, October 10, 2001 (スコア:3, 参考になる)
Port139 MLに流れた情報は日本語版のHotFixが入手可能になったようだ、ということみたいですね。
IEには他にも (スコア:3, 参考になる)
個人ならまだしも、業務では使えないし、イントラだったらもっと使えない。
だから、M$はパソコンなんだ。パーソナル(= non business)でしか危なくって使えやしない。
Re:たしかに (スコア:3, すばらしい洞察)
とはいえ、「インターネット」ゾーンになっているのでとりあえず大丈夫、ということなのかな。
それ以前に、これって必要な機能なのか?
それと、ゾーン分けという概念がいけないんだと思う、内側にだって悪いことしている(ウィルスが活動する)わけだしで、内側をゆるくするのは間違ってると思います。
-- やさいはけんこうにいちば〜ん!
Re:IEには他にも (スコア:3, 参考になる)
私の経験では,自動ではありませんでした(IE6).何が送られるかを説明したページもあります.それには,ダンプしたものだから、個人情報もあるかもしれないというニュアンスが書いてあります.
で、送らないということができます。
原因は伝統的な実装 (スコア:3, 参考になる)
いわゆるdot notationをipv4 addrだと思ってstruct in_addrに変換するためには、4.2BSDで実装されたinet_aton(3)を伝統的に用いてきました。この関数は、.の数が0個以上3個以下までのdot notationを以下のように解釈します。
a、b、c、dは8bit。
a、bは8bit。cは16bit。
aは8bit。bは24bit。
aは32bit。
したがって、inet_aton(3)を使う限りでは、3540903913は4.の表記として取り扱われます。
ただし、現在ではaddress familyがAF_INETとは限らないので、address familyの指定ができるinet_pton(3)の使用が望ましくなっています。こちらはAF_INETについては1.の表記のみを受理します。
Re:優秀だろうか? (スコア:3, おもしろおかしい)
というのがOutLookExpなどから見えるのですが.
-- By Grabthar's Hammer!
IE禁止ってことは (スコア:2)
すなわちWindows使用禁止なのでしょうか。シェル部分がIEそのものだろうから。
IE4登場時点 (スコア:2, すばらしい洞察)
アドレスに「.」が無いとイントラゾーンで動作する事はIE4登場時から問題視されてましたし、任意のアドレスをdot無しで標記する方法も存在が判明していました。
(IPアドレス4桁を10進標記する等)
また、IEベースのメーラー等は、表示する内容を一度ローカルに取り込んで動作するため、イントラの設定は、重要だったはず。
それで、安全を採るならインターネットの設定と同様にイントラネットの設定もセキュリティ強化が必須。
最近は、Outlookにセキュリティパッチを充てると、制限つきゾーンに変更される為、制限つきも同様にセキュリティ強化が必要
といった事をこの3年間ず~~~~~~~~と言い続けていましたが、みんながIE使ってるからってIE使う人は、ぜんぜん聞いてくれませんでしたね。
今度の「パッチ公開までは使用禁止に」は、公開されても適用されないに1000カノッサ。えっ、かけにならない(笑)
By シャム
Re:たしかに (スコア:2)
hotfix当てたけど、「http://3540903913/」打ち込むとしっかり/.に飛んでくれるみたいです。
Re:IEには他にも (スコア:2, 参考になる)
個人でもビジネスでも使えませんねぇ・・・。
#ビジネスに限らずとも、個人レベルですら使えませんよ(汗)。
#まだ公表してない著作物を扱ってた時にクラッシュしたら
#全てMSに筒抜けになってしまうわけだ・・・。
#まあ、IE上で扱う著作物となると・・・html文書とかの表示確認かな?
#CGIとかも怖そうですよね・・・。
IEのhtmlレンダリング部分だけ取り出してみれば非常に優秀なのに、
その他の機能がへぼで、せっかくの優秀さをだいなしにしてますよねぇ。
---- redbrick
Re:IEには他にも (スコア:2)
あながち冗談とは言えないのかも知れない…。
MSN Exploler、略してME? (スコア:2)
こんな3行が付加されていた。
_________________________________________________________________
かわいい & 使えるブラウザで、インターネット生活もっと楽しくなる!
http://explorer.msn.co.jp/
参照先は、MSN Explorerの案内ページになっています。
しかし、IEにまつわるこれらのセキュリティ
ホールの対策はどうなっているのでしょうか。
上記サイトにNimdaについての警告があるので、
どうやら影響無いわけではなさそうです。
それ以外の特徴は、探した中では以下のページが
わかりやすかったですね。
http://www.nihongook.com/email/msn_explorer.htm
- Ryuzi Kambe -
Re:優秀だろうか? (スコア:2, おもしろおかしい)
MSの場合、
>「受け入れも、送出も、MS独自規格で.」
とした方が正確かも(笑)。
#結局あそこのやってることって、まぬけだけど囲い込みに
#なってるんだよなぁ・・・。
#勝手に独自規格の互換言語作って、最初は互換性を高めておいて
#利用者を誘い込んでおきながら後で互換性をなくしてみたり、
#Internet相互の取り決めを意図的に無視してみたり・・・。
#Internet普及に貢献したというより、普及の勢いに便乗して
#自分たちのルールを疫病のように蔓延させてるだけにしか
#見えない。
---- redbrick
Re:優秀だろうか? (スコア:2)
その通りなんですが、アホなことにIEでもJScriptでdocument.write() するとUTF-8で別windowにテキストを書き出すんだけど、それが文字化けして読めない(笑)
自分で読めないエンコードで送るんだもん。独自規格にすらなってない (-_-;;;;
Re:うわ、本当にもう一匹見つかった (スコア:2)
Re:リンク先の記事…… (スコア:2)
Re:ありがとうございます (スコア:2)
telnet://user:password@host:port
ってのが規格ですから、これのマネでしょう。
まあ、MSらしいマネではありますがね。
Re:リンク先の記事…… (スコア:2)
ただITproの登録はeメールアドレスだけでOKで無料なので、あまり抵抗は無いと思うのですが....って言い訳ですが。
これまでも特に注意無しで紹介されてたりしてたので気が付きませんでしたが、これからは一言書いたほうが良いかもしれませんね。
Security Update, October 10, 2001 (スコア:1)
これってどういうこと?
ITProにとどまらず (スコア:1)
IEの人は大変だなぁ (スコア:1, 参考になる)
いろいろな企業がIE使用禁止を出していますが、
そのメーカーがIE入れたパソコン出していたりするからなぁ(汗)
責任感でいえばM$に毒されてきたか?:-P
kusanagi shin
たしかに (スコア:1)
著作権 (スコア:1, 余計なもの)
もともと、IEに関する著作権を有するM$社としては、IEについて評論したりすることも「著作権侵害」だし、それを使ってなにかを表現することも「著作権侵害」だから、もともと「このソフトウエアは使うな」ってM$社自身から言われてたんじゃなかったんでしたっけ?
なんて、もちろん冗談ですけど。
他のトピックの「著作権」のところを見ると、こういう言い方もできるのではないか、というお遊びです。
Re:IEには他にも (スコア:1)
まぁマイクロソフトの脆弱性のランクづけの基準からしてこう(Y!のScanの記事)だし、自社からの情報漏洩にはうるさいくせにユーザの情報漏洩は重大な問題とは考えていないんでしょうね。
こまったもんだ。
Re:たしかに (スコア:1)
IE5.5SP1はSP2に上げてからHotfix (スコア:1)
別にNetscape型Plug-inを使っているわけじゃないけど、なぜか制限が出るのがいやだったので。。。
Re:IEには他にも (スコア:1)
>重大な問題とは考えていないんでしょうね。
>こまったもんだ。
わざと仕込んでユーザに情報漏洩させ、ユーザの情報集めたいからじゃない?
# 邪推し過ぎ?
アクティベーションでユーザ情報を回収してるだけか疑問。
Re:たしかに (スコア:1)
「354....」の前に特定の文字列をつけるだけで
をきちんと付けていただいているのであれば
とりあえずは問題ないでしょう.
ここで確認すれば良いかもしれません.
穴のあけ方を説明するのは本意ではないので...
Re:本当に面倒なこと (スコア:1)
# Win95/98/NT4/2000
少なくとも日本語版 IE に英語版 IE の patch を当てるよりマシかと。
DirectX など追加のコンポーネントも殆ど英語版を入れてますが、特にそれによると思われる症状もなく安定して使えています。
メッセージが英語化されたても困らない人は、やはりセキュリティの絡む部分は英語版をベースにしていたほうがいいかも。
Re:優秀だろうか? (スコア:1)
という考え方自体は間違っていないと思います。
# もちろん誤った記述をしているページを肯定するものではありません
自分も普段はIEですが (スコア:1)
それで background で何時それらを使われてもいいように IE のセキュリティ設定は厳しくし、パッチは必ず当てるようにしています。
本当はIE のコンポーネントを使うソフトを避けたほうが無難ですが、それでも使いたいソフトもあるので。
違った(^^;。普段使っているのはIEではなくMozillaで (スコア:1)
Subjectの最後が時々勝手に"?"になるなぁ (スコア:1)
Re:Subjectの最後が時々勝手に"?"になるなぁ (スコア:1)
Re:たしかに (スコア:1)
Proxomitron だと
Match = "<([^>]++)\1(http[s]+://((*[%@])+[0-9]&[^./])+[/]+)\2">"
Replace = "<\1\2"><font color="red"><b>[!danger!: \2]</b></font>"
みたいなパターンで一応 SecurityFocus の例は拾えました。
もっとうまく書けるはずだけど...
Re:たしかに (スコア:1)
問題ないのまで拾ってた~
Match = "<([^>]++)\1(http[s]+://*%40([0-9]&[^./])+[/]+)\2">"
だね。
Re:ITProにとどまらず (スコア:1)
Kazuki Omo "You can subdue, but never tame me..."
使うなと言われても・・・ (スコア:1)
後問題なのが、企業の場合。ホトンドのクライアントがWindowsで、しかも何千台もある場合、簡単に全てのクライアントのブラウザを変えるわけにもいかないし。やっぱ元々入ってるIEを使ってしまいますよね。やっぱ、それがM$のネライ?
間抜けなe-mailer(オフトピ) (スコア:1)
たまにQuad-printableな指定で送り出す例にいくつか
遭遇したことがあります。
#まぁ、それは英語圏からのe-mailの転送で、そっちになぜか
#quad-printableの指定が入ってたのを継承しただけみたいですけど、
#間抜けなことには変わりなし(苦笑)。
#しかも、転送した本人すらCcで受けたものが化けてて読めないし(苦笑)。
#しかし、数々の伝説を聞くにつけ、間抜けさでOEに叶う
#e-mailerはなさそうですなぁ・・・(苦笑)。
---- redbrick
Re:IE禁止ってことは (スコア:1)
そうです!
それでも、Windows使いたい人は98lite化しましょう。
パッドの壊れた初代505等には特に有効です。
たかがマウス(USBの)一個のためにIEはいらん!
詳細は下記日本語サイトへ
http://member.nifty.ne.jp/jp1nom/
本家は英語で以下です
http://98lite.net/
たこさん。
**たこさん**・・・
企業の場合、 (スコア:1)
変えるのが当たり前でしょう。
#つーか、危ないと分かってて変えないって、セキュリティ管理担当者が
#職務怠慢で怒られますがな(汗)。
#普通の企業って、企業秘密を持ち出したり外部に漏らしたら処罰されませんか(汗)?
#だったら、一般社員でも自己防護のために対策しないとまずいですよ(汗)?
ちなみに、IEってWindows起動した状態で既に動いてる気が
するんですけど・・・別のブラウザ入れるだけでなくて、
IEの全コンポーネント削除して起動しないようにしないと
マズかないですかね(汗)?
#IEコンポーネントがインストールしてあって、IEが使える状態だと、
#基本的にエクスプローラでのディレクトリ間移動や、
#イントラネットのネットワークコンピュータ参照、ボリュームマウントでも
#ウラで動いてるものと思ってましたが・・・。
#ホラ、IE入れてるWin98SEだと、エクスプローラに「webページ」なんて
#メニュー項目があったりして、ディレクトリ階層毎に見かけを
#カスタマイズできたりしますし。
---- redbrick
だからこそ 98lite を (スコア:1)
>マズかないですかね(汗)?
98lite--Micro installをお試し下さい。
IEのコンポーネントをとことん削除してくれます。
もちろん.chmヘルプも見られません。
>#IEコンポーネントがインストールしてあって、IEが使える状態だと、
>#基本的にエクスプローラでのディレクトリ間移動や、
>#イントラネットのネットワークコンピュータ参照、ボリュームマウントでも
>#ウラで動いてるものと思ってましたが・・・。
その通りです。98lite--Micro ではexplorer.exeを95由来のものに置き換えます。
その後 IE 5でも IE 6でも単独のアプリケーションとしてインストールできます。
**たこさん**・・・
IEradicatorは? (スコア:1)
#既に紹介されてたので先の記事では書きませんでした。
ただ、IEの機能を殺すだけなら、同じサイトで紹介されている
IEradicatorの方が簡単で取っつきやすいように思いますが、どうでしょうか(笑)?
#それに、IE5以降を後から入れちゃったら、セキュリティの問題が
#再燃してしまうような・・・(汗)?
---- redbrick
Re:だからこそ 98lite を (スコア:1)
ということは、Windows95 に IE をインストールした場合も IE は単独のアプリケーションとしてインストールされるんですよね。
# 現在この環境なので、この状態でもウラで勝手に動かれるのは困るもので。
# いざとなったら IE をアンインストールしてしまえばいいんですけどね。
# 今まで NN4.04 で表示できないページ用に IE をインストールしていたのですが、Opera, K-Meleon を使うようになってからは IE を使うこともなくなったし。
Re:だからこそ 98lite を (スコア:1)
2Gを越えるパーティションや8Gを越えるパーティションをうまく扱えなく
なるはずですので、その点についてはぜひご注意を。
#入れ換えるものによりますがね。
#OSR2.1以降なら2G以上はオッケーだろうけど、95って
#8G以上のパーティションなんて作ることを想定してないシステムですので、
#どんな不具合があるかは分かりませんし、誰も保証できませんので。
#IEradicatorだと、explorer.exeの入れ換えまではやりませんので、
#入れ換える98liteより速度は少し劣りますが、元が98なら、
#そのあたりに問題は出ません。
IEがアンインストールできる状態でインストールできるのは、
バージョンとリリース形態と入れ方によってまちまちかと。
あと、IEが単独のアプリケーションとして動こうが動くまいが、
IEを使う限り、今回のセキュリティ問題(不正URIアドレスへのアクセス)は
ついて回ります。
クラッシュでのメールとダンプ送付については・・・わたしには判断できません(汗)。
どなたかご存じありませんか?
---- redbrick
Re:IEには他にも (スコア:1)
証明しているようなので、とりあえずは大丈夫なのでは。
YUK: :-)
リンク先の記事…… (スコア:1)
それならそうと一言書いておいて欲しかったなぁ。
いや、それだけなんですけどね。
無料だから。