IEの素敵なクリップボード傍受機能 50
ストーリー by wakatono
うーん、確かにステキだ… 部門より
うーん、確かにステキだ… 部門より
ppmarker 曰く,"「スクリプトによる貼り付け処理」機能の能力を検証する によると、 IEのJAVASCRIPTは クリップボード読み取りの独自拡張がほどこされているとか。 たしかにデモを試してみると、 ついさっきコピペした文章が現れるではないか。 しかもリアルタイムに更新される! SUBMITすればこのデータはサーバに送られちゃうのでは? マイクロソフトはこれをバグではなくて仕様だと言っているそうで…。"
ちなみにページの作者は産業技術総合研究所の高木さん。オレも試してみたが、確かにクリップボードの内容が転送される…百歩譲って拡張仕様としてこういったものがあるのはいいとしてもそれをインターネットゾーンでも許可しているというあたりが仕様というのはなぁ…
MSの素敵なセキュリティーホール製造機能 (スコア:2, すばらしい洞察)
そこに脆弱性がある訳ですから、デフォルトでオフにする/せめて警告が出るようにしてくれるといいのですが。「インターネット経由でペーストできるようにすると、クリップボードの中身を第三者が利用できます。パスワードやクレジットカード番号などはクリップボードにコピーしないようにしてください」とでもね。
どうにもMicrosoftは、初心者こそが陥りやすい穴をこそデフォルト値にする傾向があっていや~んですね。ユーザーへの啓蒙が足りないことが、Microsoft製品の一番のセキュリティーホールになっているような。
Re:MSの素敵なセキュリティーホール製造機能 (スコア:3, すばらしい洞察)
>ユーザーへの啓蒙が足りないことが、Microsoft製品の一番のセキュリティーホールになっているような。
悲観的な話になっちゃいますが、例えば危なそうな機能をデフォルト安全側に倒して出荷したとしても、大多数のユーザーは「うざったいなあ」と思うわけですよね。「安全のためにはしょうがないコストなのだ」と納得したりはしないでしょう。で、「うざったい機能を解除する」ための情報はすぐに出回るけど「解除するとどう危ないか」という認識は広まらない、とか、そういうことになりそうな気がするんですよね。
じゃあどうすればいいんだ、って話は…わかりません。_O_
この機能って (スコア:2, すばらしい洞察)
Re:この機能って (スコア:2)
まあ一般に「便利」と「安全」は相反することが多いですし、一般論として私が想像したようなことはあるのではないか、と。そしてそれが続いている限りあんまり未来は明るくないな、と。それだけなんですけどね。
Re:MSの素敵なセキュリティーホール製造機能 (スコア:1)
WordやらExcelやらを最初に起動した時に目障りなイルカを
表示しないようにする人は思ったほど多くないようですから,
安全側に設定してあるものを調べてまで変更する人はさらに
少ないものと思われます.
Re:MSの素敵なセキュリティーホール製造機能 (スコア:2)
まあ、便利は危険と隣り合わせだということに気付いていないだけだろうと思うけど。
コレもいわゆる小手先の技術ってやつですけどね。
べつにインターネット接続のセキュリティはいつものことかもしれんけど、(それはそれで問題がおーありだが)アプリとか(カーネルもご一緒にとか)がバタバタ落ちる作りからして、セキュリティに関心がないなということがあらわになってますよね。
まあ、Windows使うならセーフモードが一番安全だろうね、いわゆる安全モードなんだから。そのかわりネットには一切接続できないみたいだけど。
Re:MSの素敵なセキュリティーホール製造機能 (スコア:1)
Re:MSの素敵なセキュリティーホール製造機能 (スコア:2)
わたしもたまにやるのですが、そういうところは捨てIDなんでまた取り直したりします(ITProとか)。
# あ、/.-Jはちゃんと覚えてますから大丈夫
-- やさいはけんこうにいちば〜ん!
Re:MSの素敵なセキュリティーホール製造機能 (スコア:1)
そこを勘違いしないように。なので、今後仕様変更がなされない限りは、この機能はなくなりません。
だったら、こう言う製品として受け止めるしかないでしょう。
それがいやなら使うのをやめるか、オプションでOFFにするべき。
NetscapeなりMozillaなり代わりのブラウザがあるんだから。
まぁ、そう言うことを周知徹底していないってことには問題ありますけどね。
Re:MSの素敵なセキュリティーホール製造機能 (スコア:1)
ここまで縄張りを広げてきたところがあるから、
今更便利さを犠牲にしてでもセキュリティは意識
しましょうとは言えないのかも。
#でもインターネット戦略とか(ふるっ)180度
#方針転換を簡単にやる会社だからな...
入門解説サイトは危険?! (スコア:1)
ネット上のサービスへのログインの方法を解説するサイトを開いてうっかりコピーをやると,ログイン名やパスワードが漏洩するかもしれない。
ソフトの使用法を解説するサイトを開いて作業すると,テキストや画像など,そっくり漏洩するかもしれない。
ということか。アングラな入門解説サイトには注意。っていうか,これは IE の設定変更は必須ですね。忘れた頃にひっかかる可能性高し。
ちょっと文章を (スコア:0)
マイクロソフトの自信 (スコア:2)
>Internet Explorer 6 は、プライバシー、信頼性、柔軟性に、また新たな基準を提示しました。
というメッセージが表示されます。「新たな基準」ってのは前の基準より上がってないと意味ないのジャガ…。IE6ってIE5より「よくなってる」ところってあるのかな?
Re:マイクロソフトの自信 (スコア:2)
あくまで新たな基準であって、消費者にとって従来より上がっているわけではない。
単に、「s/基準/穴/」とかでもいい。
Re:マイクロソフトの自信 (スコア:1)
cokkie周りじゃないかと。P3Pに対応とかそんなの。
まぁ、サイトのほうがP3Pに対応していないので、
意味無しだったりするんですが…。
IE 6の進歩 (スコア:1)
参考:@IT: IE 6のプライバシ管理機能
だけど、EXEファイルのダウンロードダイアログのデフォルトが「実行する」なので、怖くて使えず、 IE 5.5のまま。
仕様 (スコア:2, すばらしい洞察)
周知させれば仕様として認められるかもしれないが、現状では周知してないのでセキュリティホールと考えるのが妥当なのでは。
こういう、周知しなければセキュリティーホールになってしまう「仕様」について安全側に考えることをしない MS の文化というか態度が問題。MS はよく、MS 製品にも他社製品にもセキュリティホールはありうると言うけど、そういう問題じゃなくて、今回みたいな態度が不信感を呼ぶ。ほかにどんな「仕様」があるか、分かったもんじゃない、って思ってしまう。
もしそれでも「仕様」と言い張るなら、MS は周知させる責任がある。現状では全然責任を果たしていないし、仮に一大キャンペーンを行って周知させることで責任を果たしたとしても、それでも、これらの「仕様」を理解しないと安全に使えない MS 製品は、初心者向けの易しい製品とは言えない。
スクリプトによる貼り付けを有効に? (スコア:1, すばらしい洞察)
Re:スクリプトによる貼り付けを有効に? (スコア:1)
>サイトを構築しているような人たちでも、この設定の意味を理解できていないんでしょうね。
Script を使わなくても記述できるようなページで Script が無効では何もできないサイト構築を Script のセキュリティ ホールやらウィルス拡搬が問題になっていても続けている人達がそんな事を考えるようなタチでないのは明らかだと思います。
「お客様」と言いつつも直接応対していない時は客の立場って軽んじて扱われている事が如何に多い事か。
その事に言及しても無視される事も多いし。
件の処理は例えば script 間で変数の受け渡しをする為にプログラミングの初心者が使ってしまいそうな機能のように感じましたね。
無効にするしかない (スコア:1)
ああ、こんなところがMicrosoftだなと思いつつ「ダイアログを表示する」にして高木さんのデモを再び試しました。
すると…、実装がタコなことに「関数を呼ぶ度に」ダイアログを表示するので、1秒おきに60回ダイアログが呼ばれることに。
JScriptはESCキーで止められませんから、1秒よりも短い間隔だった日にはプロセス単位でしか止められません。
で、結局「無効にする」しかないと。
…申し訳程度の「ダイアログ」だなぁ。
Re:無効にするしかない (スコア:1)
ええ、チョコチョコっと弄れば裏で送信できます。
# 定期的にeのマークが回りますが、IEは送信と
# 認識しないのでダイアログを表示では防げません・・・
# ネスケでもこの送信機能だけは使えると思いますが・・・
ちなみに、実際に1秒間隔以内でやってるページが実際にあります。
なんでも、PrintScreen抑制のためにかなり短い間隔で
クリップボードにNullを代入するという(苦笑)
# すでに、この脆弱性のヤバさに気づいてた私は
# ダイアログが止まらず強制終了させられました(爆死)
このコマンドを呼び出したページのスクリプトを停止
とかいうボタンがあってもいいよなぁ・・・
では。
Re:無効にするしかない (スコア:2, 参考になる)
あとは IFrame をつかって そこのなかで submit() 関数を使うとか。(こっちは eが廻っちゃうのかな)
Re:無効にするしかない (スコア:1)
そういった人を狙い撃ちできますね。
これ、タブが奥に隠れていようと情報は反映されますから、
「~しながら・・・」という人にはかなり危険です。
もしくは、SSTPと組み合わせて使うとアクセスしてきた人の情報を
リアルタイムで悪意を持ったクライアントに送る事も可能ですね。
Re:無効にするしかない (スコア:1)
まぁ、もうひとつ InternetExplorer を起動してそちらの設定を変更してみたところ、両方に設定が行き渡るようなので回避策はありますが。
まぁ、面倒なので無効にしちゃった方が幸せでしょうね。このような機能を必須とするサイトは利用しないでも良いだろうし。
#「これが仕様です」というのは正しいと思います。が、それらの仕様が周知されていない(わかりにくい)というのはどうかと思いますが……。
タブレット中毒者。
Re:無効にするしかない (スコア:1)
一応試しにやってみた。「変更前」に出ていたウィンドウは自前で閉じる必要がありますが、うまくいきました。
cookieを山ほど食わせようとするサイトのセキュリティレベル変更にも効きますので、お試しあれ。
Re:無効にするしかない (スコア:1)
…最近迂闊者だ…。
JavaScriptが問題なのでは?? (スコア:1)
それにしても、Nimda騒ぎでもそうだったんですが、IEにまつわるセキュリティホール云々騒ぎってほとんどJavaScript絡みじゃないですか??私はJavaScript常時OFFしてるんですけど。
#もちろんパッチはスグ当てますが。
皆さんはJavaScriptはどうされてますか??
JavaScript ON・OFFをできるボタンをツールバーに付けてほしいですね。
Re:JavaScriptが問題なのでは?? (スコア:2)
Re:JavaScriptが問題なのでは?? (スコア:1)
私がタブブラウザを使用している一因でもあります。
JavaScript??? (スコア:0)
似てるけど、別物です。
JavaScriptに問題が無いわけではないですが、JScriptよりは、はるかにセキュアです。
よく知っているひと (スコア:0)
よく知っているひと:
普段はNetscape使って、必要なときだけIEを使う。通常は被害なし。
よく知らないひと:
普段からずっとIEを使い続けて被害に遭う。
Re:よく知っているひと (スコア:2, 興味深い)
穴を踏まないようにIEを使いつづける。常に被害なし。
Re:よく知っているひと (スコア:2, おもしろおかしい)
Re:よく知っているひと (スコア:2)
Re:よく知っているひと (スコア:1)
じゃなくて、
>Communicatorの最新バージョンが 4.78
ですね。微妙に意味が違うかも。
推測ですが、
http://home.netscape.com/security/notes/index.html?cp=sciln
はセキュリティ関係のページではありますが、ここぐらいしか、何がどうfixされたかというページが無いのに、4.78のバージョンアップは何故なのかが書かれていないって事じゃないでしょうか。
# 自分が見た限り、無かったので。
# もし存在してたらごめんなさい。
個人的なことを言うと、自分は4.xの初期は知りませんが、例え初期に使用したとしても、CSSの実装あたりからして元々使う価値無しと思ったはずですけどね。実際、今でも4.78に魅力は感じないし。
# と言う今はmozilla派。
っと・・・。
Re:よく知っているひと (スコア:2)
ちょっとたどり着きにくいところにあるのは事実でしょうね。
Re:よく知っているひと (スコア:0)
>今となっては使う価値があまり認められないのも事実
と言うのは、リリース/リビジョンナンバーが細かかったり、多かったりするものは使えないと言いたいのかな。 それともNN6を使えと言うのかな。
Bugffixをこまめに(実効性は横において)実施しているものは信用で
Re:よく知っているひと (スコア:2)
引用された一言のところは、ただし、アップデートするに際してあまりにも安易なエンバグしすぎ、デバッグ能力低すぎ、というのが4.74~4.78あたりで感じた点だよね、と言いたかっただけなんです。bookmark文字化け問題なんかソースがありゃ数分で直るでしょ?バージョン三つくらい上がっても直らなかったからね。
Re:そういえば (スコア:1)
そこで止まってしまったあたり完全に危機感不足で。
Re:よく知っているひと (スコア:2, 参考になる)
http://home.jp.netscape.com/security/notes/
いまいち情報が探しにくいんですけど。
わしもそうよ (スコア:2)
Re:よく知っているひと (スコア:2, すばらしい洞察)
普段はNetscape使って、IEでしか見れないサイトがあった場合、そのサイトは無かったものと考える。
通常は被害なし。
Re:よく知っているひと (スコア:1)
まだ諦めもつくのですが、
・テーブルタグの閉じ忘れでテーブルの中身が表示されない
・フレームタグの挿入位置
・存在しないスタイルシートを指定されてhoge.cssが見つからないとのエラー表示
といった人為的ミスのおかげでIEでしか見られないページに
仕上がっているのは勘弁してもらいたい。
Re:よく知っているひと (スコア:0)
タブ機能もあることだし、乗り換えてみては。
Re:よく知っているひと (スコア:0)
いつまで経ってもパッチ当てねーわけだ。
Re:よく知っているひと (スコア:1)
>いつまで経ってもパッチ当てねーわけだ。
はぁ?
パッチ当てるのになんでUpdateなんだ?
Updateサイト行ったところで、必要なパッチ当りきらないでしょ?
サポートのページは根助でもみれるし。
#MSNのトップページは見る必要ないしね。
Re:よく知っているひと (スコア:0)
WindowsUpdateとかは最初に削除してますし。msn.comは接続されないようにフィルタリングしてますか
Re:よく知っているひと (スコア:0)
当てる必要もなし。
幸せ・・。
Re:よく知っているひと (スコア:1)
自分ではWin版IEを使うなんてもっての他で、Windows自体極力使わないようにしてますが、他のホストの管理の都合上、どうしても必要なときがあります。
その代表例がOSのパッチを探すとき。
Windows Updateのサイトは、MozillaどころかMac版IEですらまともに表示できないのでかなり困ります。
穴が開いてるから使う前にふさぎたいのに、そのためには穴の開いたツールを使わなければ行けないというループ。