パスワードを忘れた? アカウント作成
1481 story

IEの素敵なクリップボード傍受機能 50

ストーリー by wakatono
うーん、確かにステキだ… 部門より

ppmarker 曰く,"「スクリプトによる貼り付け処理」機能の能力を検証する によると、 IEのJAVASCRIPTは クリップボード読み取りの独自拡張がほどこされているとか。 たしかにデモを試してみると、 ついさっきコピペした文章が現れるではないか。 しかもリアルタイムに更新される! SUBMITすればこのデータはサーバに送られちゃうのでは? マイクロソフトはこれをバグではなくて仕様だと言っているそうで…。"

ちなみにページの作者は産業技術総合研究所の高木さん。オレも試してみたが、確かにクリップボードの内容が転送される…百歩譲って拡張仕様としてこういったものがあるのはいいとしてもそれをインターネットゾーンでも許可しているというあたりが仕様というのはなぁ…

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 例えば、/.JPのパスワードをメールで受け取って、ブラウザーにコピー&ペーストをする人は多いと思います。
    そこに脆弱性がある訳ですから、デフォルトでオフにする/せめて警告が出るようにしてくれるといいのですが。「インターネット経由でペーストできるようにすると、クリップボードの中身を第三者が利用できます。パスワードやクレジットカード番号などはクリップボードにコピーしないようにしてください」とでもね。

    どうにもMicrosoftは、初心者こそが陥りやすい穴をこそデフォルト値にする傾向があっていや~んですね。ユーザーへの啓蒙が足りないことが、Microsoft製品の一番のセキュリティーホールになっているような。
    • by Dot.Zeile (1169) on 2001年11月07日 10時56分 (#36222) 日記
      >どうにもMicrosoftは、初心者こそが陥りやすい穴をこそデフォルト値にする傾向があっていや~んですね。
      >ユーザーへの啓蒙が足りないことが、Microsoft製品の一番のセキュリティーホールになっているような。

      悲観的な話になっちゃいますが、例えば危なそうな機能をデフォルト安全側に倒して出荷したとしても、大多数のユーザーは「うざったいなあ」と思うわけですよね。「安全のためにはしょうがないコストなのだ」と納得したりはしないでしょう。で、「うざったい機能を解除する」ための情報はすぐに出回るけど「解除するとどう危ないか」という認識は広まらない、とか、そういうことになりそうな気がするんですよね。

      じゃあどうすればいいんだ、って話は…わかりません。_O_
      親コメント
      • この機能って (スコア:2, すばらしい洞察)

        by Nowake (5100) on 2001年11月07日 12時13分 (#36268)
        『誰が』便利なんでしょう?
        親コメント
        • by Dot.Zeile (1169) on 2001年11月07日 12時34分 (#36279) 日記
          「有効にしておいてもらいたい」と言ってるサイトがある(らしい)からには何か便利な使い方があるのではないか、と思ったんですけど…誰が便利なのかは私にもよくわからないです。

          まあ一般に「便利」と「安全」は相反することが多いですし、一般論として私が想像したようなことはあるのではないか、と。そしてそれが続いている限りあんまり未来は明るくないな、と。それだけなんですけどね。
          親コメント
      • > も、大多数のユーザーは「うざったいなあ」と思うわけですよね。

        WordやらExcelやらを最初に起動した時に目障りなイルカを
        表示しないようにする人は思ったほど多くないようですから,
        安全側に設定してあるものを調べてまで変更する人はさらに
        少ないものと思われます.
        親コメント
    • まあ、便利は危険と隣り合わせだということに気付いていないだけだろうと思うけど。

      コレもいわゆる小手先の技術ってやつですけどね。

      べつにインターネット接続のセキュリティはいつものことかもしれんけど、(それはそれで問題がおーありだが)アプリとか(カーネルもご一緒にとか)がバタバタ落ちる作りからして、セキュリティに関心がないなということがあらわになってますよね。

      まあ、Windows使うならセーフモードが一番安全だろうね、いわゆる安全モードなんだから。そのかわりネットには一切接続できないみたいだけど。

      親コメント
    • 初心者相手だと、小文字大文字がごっちゃになる人がいるので「パスワードをmemo pad等に入力して、copy pasetして下さい」とかありますからね...。
      親コメント
      • おまけに「パスワードを記憶する」とかがスイッチやcookieにより有効になってしまったら初心者はパスワード忘れ放題です。便利ゆえの問題。

        わたしもたまにやるのですが、そういうところは捨てIDなんでまた取り直したりします(ITProとか)。
        # あ、/.-Jはちゃんと覚えてますから大丈夫
        --
        -- やさいはけんこうにいちば〜ん!
        親コメント
    • この一件はMicrosoftからすると脆弱性でもセキュリティーホールでもなくて、仕様っていうだけ。
      そこを勘違いしないように。なので、今後仕様変更がなされない限りは、この機能はなくなりません。

      だったら、こう言う製品として受け止めるしかないでしょう。
      それがいやなら使うのをやめるか、オプションでOFFにするべき。
      NetscapeなりMozillaなり代わりのブラウザがあるんだから。

      まぁ、そう言うことを周知徹底していないってことには問題ありますけどね。
      親コメント
    • 「だれでも使えるコンピュータ」というのをウリに
      ここまで縄張りを広げてきたところがあるから、
      今更便利さを犠牲にしてでもセキュリティは意識
      しましょうとは言えないのかも。

      #でもインターネット戦略とか(ふるっ)180度
      #方針転換を簡単にやる会社だからな...
      親コメント
    • なるほど~。最初ピンと来なかったけど,結構危ないですねえ。

      ネット上のサービスへのログインの方法を解説するサイトを開いてうっかりコピーをやると,ログイン名やパスワードが漏洩するかもしれない。

      ソフトの使用法を解説するサイトを開いて作業すると,テキストや画像など,そっくり漏洩するかもしれない。

      ということか。アングラな入門解説サイトには注意。っていうか,これは IE の設定変更は必須ですね。忘れた頃にひっかかる可能性高し。

      親コメント
    • by Anonymous Coward
      どうにもMicrosoftは、初心者こそが陥りやすい穴をこそデフォルト値にする傾向があっていや~んですね。ユーザーへの啓蒙が足りないことが、Microsoft製品の一番のセキュリティーホールになっているような。
  • ところで、IE5.xでhttp://www.microsoft.com/windows/ie_intl/ja/を開くと(というか強制的に開かされるのだけど)

    >Internet Explorer 6 は、プライバシー、信頼性、柔軟性に、また新たな基準を提示しました。

    というメッセージが表示されます。「新たな基準」ってのは前の基準より上がってないと意味ないのジャガ…。IE6ってIE5より「よくなってる」ところってあるのかな?
  • 仕様 (スコア:2, すばらしい洞察)

    by kubota (64) on 2001年11月07日 10時58分 (#36224) ホームページ 日記

    周知させれば仕様として認められるかもしれないが、現状では周知してないのでセキュリティホールと考えるのが妥当なのでは。

    こういう、周知しなければセキュリティーホールになってしまう「仕様」について安全側に考えることをしない MS の文化というか態度が問題。MS はよく、MS 製品にも他社製品にもセキュリティホールはありうると言うけど、そういう問題じゃなくて、今回みたいな態度が不信感を呼ぶ。ほかにどんな「仕様」があるか、分かったもんじゃない、って思ってしまう。

    もしそれでも「仕様」と言い張るなら、MS は周知させる責任がある。現状では全然責任を果たしていないし、仮に一大キャンペーンを行って周知させることで責任を果たしたとしても、それでも、これらの「仕様」を理解しないと安全に使えない MS 製品は、初心者向けの易しい製品とは言えない。

  • by Anonymous Coward on 2001年11月07日 4時40分 (#36148)
    NHKや、毎日コミュニケーションズや、デイリーヤマザキなどが「スクリプトによる貼り付け」を有効に設定してサイトを使うようユーザを誘導しているのだそうで。 といっても、本気でそのつもりじゃないんでしょうね。サイトを構築しているような人たちでも、この設定の意味を理解できていないんでしょうね。それを一般ユーザに理解しろというのは無理な話。
    • # 途中からの CUT&PASTE で申し訳ない
      >サイトを構築しているような人たちでも、この設定の意味を理解できていないんでしょうね。

          Script を使わなくても記述できるようなページで Script が無効では何もできないサイト構築を Script のセキュリティ ホールやらウィルス拡搬が問題になっていても続けている人達がそんな事を考えるようなタチでないのは明らかだと思います。
          「お客様」と言いつつも直接応対していない時は客の立場って軽んじて扱われている事が如何に多い事か。
          その事に言及しても無視される事も多いし。

          件の処理は例えば script 間で変数の受け渡しをする為にプログラミングの初心者が使ってしまいそうな機能のように感じましたね。
      親コメント
  • by hanetsuki (4035) on 2001年11月07日 5時57分 (#36155) 日記
    チャットとか複数回submitが当然のところに仕込まれたら怪しいと気付く術もありませんね。(^^;

    ああ、こんなところがMicrosoftだなと思いつつ「ダイアログを表示する」にして高木さんのデモを再び試しました。

    すると…、実装がタコなことに「関数を呼ぶ度に」ダイアログを表示するので、1秒おきに60回ダイアログが呼ばれることに。
    JScriptはESCキーで止められませんから、1秒よりも短い間隔だった日にはプロセス単位でしか止められません。

    で、結局「無効にする」しかないと。
    …申し訳程度の「ダイアログ」だなぁ。
    • by kei100 (5854) on 2001年11月07日 8時11分 (#36172)
      submitが発生しなくてもデータは送信できますよ。
      ええ、チョコチョコっと弄れば裏で送信できます。
      # 定期的にeのマークが回りますが、IEは送信と
      # 認識しないのでダイアログを表示では防げません・・・
      # ネスケでもこの送信機能だけは使えると思いますが・・・

      ちなみに、実際に1秒間隔以内でやってるページが実際にあります。
      なんでも、PrintScreen抑制のためにかなり短い間隔で
      クリップボードにNullを代入するという(苦笑)
      # すでに、この脆弱性のヤバさに気づいてた私は
      # ダイアログが止まらず強制終了させられました(爆死)

      このコマンドを呼び出したページのスクリプトを停止
      とかいうボタンがあってもいいよなぁ・・・

      では。
      親コメント
      • by okayusan (6238) on 2001年11月07日 11時26分 (#36248) 日記
        定期的に eのマークを 回さない 方法もありますよね。たとえば liveconnect を使って JScript と Java Applet を連携させれば。
        あとは IFrame をつかって そこのなかで submit() 関数を使うとか。(こっちは eが廻っちゃうのかな)
        親コメント
      • 最近タブブラウザを使われている方も多いと思いますが、
        そういった人を狙い撃ちできますね。
        これ、タブが奥に隠れていようと情報は反映されますから、
        「~しながら・・・」という人にはかなり危険です。

        もしくは、SSTPと組み合わせて使うとアクセスしてきた人の情報を
        リアルタイムで悪意を持ったクライアントに送る事も可能ですね。
        親コメント
    • この手の機能は基本的にダイアログ表示にしていたのですが、更新間隔によっては使い物になりませんね。ダイアログ表示中は設定変更できなくてはまりますし…。あるいみブラクラ。
      まぁ、もうひとつ InternetExplorer を起動してそちらの設定を変更してみたところ、両方に設定が行き渡るようなので回避策はありますが。
      まぁ、面倒なので無効にしちゃった方が幸せでしょうね。このような機能を必須とするサイトは利用しないでも良いだろうし。
      #「これが仕様です」というのは正しいと思います。が、それらの仕様が周知されていない(わかりにくい)というのはどうかと思いますが……。
      --
      タブレット中毒者。
      親コメント
    • by nackey (3237) on 2001年11月07日 11時02分 (#36229)
      Windows9X系ではどうかわかりませんが、NT系であれば別のIEもしくはコントロールパネルから直接インターネットオプションのアプレットを開いてセキュリティレベルを変える(「スクリプトによる貼り付け」を無効にするのかな?)ことでその設定が全IEに波及します。
      一応試しにやってみた。「変更前」に出ていたウィンドウは自前で閉じる必要がありますが、うまくいきました。

      cookieを山ほど食わせようとするサイトのセキュリティレベル変更にも効きますので、お試しあれ。
      親コメント
  • IE vs NN になると泥沼化しそうなので止めますが、NN4.xがCSSをマトモに表示してくれなかったので現在はIE派です。IEの方が作成したページを素直に表示してくれる気がするのですが。

    それにしても、Nimda騒ぎでもそうだったんですが、IEにまつわるセキュリティホール云々騒ぎってほとんどJavaScript絡みじゃないですか??私はJavaScript常時OFFしてるんですけど。
    #もちろんパッチはスグ当てますが。

    皆さんはJavaScriptはどうされてますか??

    JavaScript ON・OFFをできるボタンをツールバーに付けてほしいですね。
  • by Anonymous Coward on 2001年11月07日 7時22分 (#36163)

    よく知っているひと:
    普段はNetscape使って、必要なときだけIEを使う。通常は被害なし。

    よく知らないひと:
    普段からずっとIEを使い続けて被害に遭う。

    • by who-am-i (2922) on 2001年11月07日 8時41分 (#36177)
      知り尽くしている人:
      穴を踏まないようにIEを使いつづける。常に被害なし。
      親コメント
      • Re:よく知っているひと (スコア:2, おもしろおかしい)

        by jbeef (1278) on 2001年11月07日 8時52分 (#36179) 日記
        しかしそんな彼もこの仕様のことは二年半の間知らなかった
        親コメント
        • 「Netscapeのバージョンが4.78な理由」ってなんだろ。バグフィックスです、じゃ不満なのかな?ブラウザはセキュリティホール以外の理由ではバージョンアップしてはいけないとか?まあ、公表されないままフィックスされたセキュリティホールが大量にありそうで怖い、という意味かも知れないけど、重大な穴が残ってる確率で言えば今でもIEの方が怖いと思うのだけどなあ。…とはいえ、4.7xシリーズが4.78まで来てしまった理由の一つはbookmark文字化け事件だと思いますが、確かにそういう稚拙なバグの出方を見てると4.x系列は今となっては使う価値があまり認められないのも事実、かな?
          親コメント
          • by ill (3048) on 2001年11月07日 12時38分 (#36281)
            >Netscapeのバージョンが4.78
            じゃなくて、
            >Communicatorの最新バージョンが 4.78
            ですね。微妙に意味が違うかも。

            推測ですが、
            http://home.netscape.com/security/notes/index.html?cp=sciln
            はセキュリティ関係のページではありますが、ここぐらいしか、何がどうfixされたかというページが無いのに、4.78のバージョンアップは何故なのかが書かれていないって事じゃないでしょうか。
            # 自分が見た限り、無かったので。
            # もし存在してたらごめんなさい。

            個人的なことを言うと、自分は4.xの初期は知りませんが、例え初期に使用したとしても、CSSの実装あたりからして元々使う価値無しと思ったはずですけどね。実際、今でも4.78に魅力は感じないし。
            # と言う今はmozilla派。
            --
            っと・・・。
            親コメント
          • >確かにそういう稚拙なバグの出方を見てると4.x系列は
            >今となっては使う価値があまり認められないのも事実
            と言うのは、リリース/リビジョンナンバーが細かかったり、多かったりするものは使えないと言いたいのかな。 それともNN6を使えと言うのかな。
            Bugffixをこまめに(実効性は横において)実施しているものは信用で
            • そうですねえ、Netscape6.2 or Mozilla最新版でいいじゃん、という話もありますし、それはともかくとして、まあ、リビジョンが細かいのも頻繁にアップデートするのも全然問題ないんです。私、冒頭でCommunicatorの最新版が4.78でもいいじゃん、と言ってるんですけど、そんなにわかりづらかったかな?

              引用された一言のところは、ただし、アップデートするに際してあまりにも安易なエンバグしすぎ、デバッグ能力低すぎ、というのが4.74~4.78あたりで感じた点だよね、と言いたかっただけなんです。bookmark文字化け問題なんかソースがありゃ数分で直るでしょ?バージョン三つくらい上がっても直らなかったからね。
              親コメント
        • by deupleix (5370) on 2001年11月07日 11時10分 (#36235)
           IE5.0ベータを入れたとき、ブラウザ表示部でカット&ペーストができることから「あー、また独自拡張してるんだろうな」とぼんやり思ったことがあります。
           そこで止まってしまったあたり完全に危機感不足で。
          親コメント
      • by rltm (630) on 2001年11月07日 9時54分 (#36196)
        ネスケの情報ってここでしたっけ??

        http://home.jp.netscape.com/security/notes/

        いまいち情報が探しにくいんですけど。
        親コメント
      • ふつうの「読む、見る」ためのブラウジング=Mozilla
      • 「Netscape6には対応していません」と書いてあるECサイト=M$IE5.5の「信頼済み」に登録してJAVAスクを許可
      安全には、これしか無いと思うんですけど。
      親コメント
    • Re:よく知っているひと (スコア:2, すばらしい洞察)

      by anything (2697) on 2001年11月07日 11時15分 (#36242)
      ちょっと知っているひと:
      普段はNetscape使って、IEでしか見れないサイトがあった場合、そのサイトは無かったものと考える。
      通常は被害なし。
      親コメント
      • スタイルシートの関係でIEでしか見られないというのであれば
        まだ諦めもつくのですが、

        ・テーブルタグの閉じ忘れでテーブルの中身が表示されない
        ・フレームタグの挿入位置
        ・存在しないスタイルシートを指定されてhoge.cssが見つからないとのエラー表示

        といった人為的ミスのおかげでIEでしか見られないページに
        仕上がっているのは勘弁してもらいたい。
        親コメント
        • ・存在しないスタイルシートを指定されてhoge.cssが見つからないとのエラー表示
          少なくとも、Mozilla 0.9.5ではこれはないっす。
          タブ機能もあることだし、乗り換えてみては。
      • そか、それでWindowsUpdateとかTechNetも[無かったものと考える]わけか。
        いつまで経ってもパッチ当てねーわけだ。
        • by anything (2697) on 2001年11月07日 14時10分 (#36311)
          >そか、それでWindowsUpdateとかTechNetも[無かったものと考える]わけか。
          >いつまで経ってもパッチ当てねーわけだ。

          はぁ?

          パッチ当てるのになんでUpdateなんだ?
          Updateサイト行ったところで、必要なパッチ当りきらないでしょ?
          サポートのページは根助でもみれるし。

          #MSNのトップページは見る必要ないしね。
          親コメント
        • ま、ウィルスを送付して来るサイトに繋ぐぐらいなら、Linuxで接続してダウンロードしてパッチを当てるのが正解なもんで。
          WindowsUpdateとかは最初に削除してますし。msn.comは接続されないようにフィルタリングしてますか
        • WindowsUpdateが必要なOSを使ってないので、
          当てる必要もなし。
          幸せ・・。
    • オフトピですが…

      自分ではWin版IEを使うなんてもっての他で、Windows自体極力使わないようにしてますが、他のホストの管理の都合上、どうしても必要なときがあります。

      その代表例がOSのパッチを探すとき。
      Windows Updateのサイトは、MozillaどころかMac版IEですらまともに表示できないのでかなり困ります。

      穴が開いてるから使う前にふさぎたいのに、そのためには穴の開いたツールを使わなければ行けないというループ。
      親コメント
typodupeerror

アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家

読み込み中...