パスワードを忘れた? アカウント作成
Close
2085 story

Python for Windows Extensionsにプライバシ問題 6

ストーリー by wakatono
気をつけよう 部門より

yasusii 曰く、 "Mark Hammond氏によるPython拡張ライブラリPython for Windows ExtensionsをインストールしているPCで、Internet Explorerを使用するとローカルハードディスクの内容を読み取られてしまう脆弱性が報告されています。対象となるのは

  • win32all version142以前
  • ActivePython build212以前
の何れかがインストールされたPCです。

対応方法と関連リンクPyJUGのサイトに掲載されています。"

PyJUGのサイトによると、新しいビルドの win32all をインストールすれば問題は解決する模様。インストールした記憶がある人はチェックかな。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Python for Windows Extensionsにプライバシ問題 More

  • 開発者のセキュリティ意識の低さに愕然 (スコア:3, すばらしい洞察)

    by jbeef (1278) on 2002年01月22日 18時35分 (#56253) 日記
    これの開発者は、「Python for Windows Extensions Privacy Concern」 [python.net]のページで、こんなことを言っています。
    It is extremely unlikely that anyone would use this for any kind of privacy invasion. The total number of computers with these extensions installed is so tiny compared to the number of web browsers that no useful information would be able to be gathered. The chances of hitting a user with Python installed is negligible.
    取り急ぎ訳:
    誰かが何らかのプライバシー侵害のためにこれを使うことはまったくありそうもないことだ。これらのextensionsがインストールされたコンピュータの総数は、有用な情報を収集し得そうにないWebブラウザの数に比べて、本当に小さい。Pythonをインストールしているユーザに当たるチャンスは無視できるほどにごくわずかだ。
    この人は、マスな攻撃(ウィルスなどの無差別大量攻撃)しか頭にないようですね。プライバシー侵害は特に、特定の相手を狙って攻撃することが多いのですから、相手がこのモジュールを入れているとわかったら(それもHTMLメールを送ってみれば判定できる)、ファイル盗み放題じゃないですか。そもそも、これは「privacy concern」などと悠長な表現で済まされるものではなく、ズバリセキュリティホールそのものです。ファイルを盗まれたり、ディレクトリのファイル一覧を見られると、その次の攻撃として非常に危険な行為が可能になります。

    このような意識の人が作るものは使わないようにするのがよいでしょう。その態度を見せてあげない限り彼らの意識は変わらないでしょう。 Microsoftだって意識を変えた(らしい) [srad.jp] のですから。

    • > プライバシー侵害は特に、特定の相手を狙って攻撃することが多いのですから、

      そんなことはないでしょう。
      シェア
      親コメント
    • > これらのextensionsがインストールされたコンピュータの総数は、有用な情報を収集し得そうにないWebブラウザの数に比べて、本当に小さい。

      ちょっと意味不明かも…。
      これらのextensionがインストールされたコンピューターの総数はwebブラウザがインストールされたコンピュータの数に比べて非常に小さいので、有用な情報を集めることはできないだろう。
      みたいなことじゃないですかね。so~that...という構文からして。

      でも、ますます、意味不明。根拠レス。何言ってるんでしょうね、この開発者(笑)
      HTMLメールを大量に撒き散らして、反応が返ってきたら個別に攻撃、とかできそうですよね。Pythonユーザーのメーリングリ(以下略)
      シェア
      親コメント

      • Re:開発者のセキュリティ意識の低さに愕然 (スコア:2, 参考になる)

        by jbeef (1278) on 2002年01月22日 19時24分 (#56274) 日記
        みたいなことじゃないですかね。so~that...という構文からして。
        おっと間違えました。「有用な情報を収集し得そうにないほどに、Webブラウザの数に比べて、本当に小さい」と書いたつもりでしたが、「小さいので…収集できないだろう」の方が自然ですね。

        さらにこんなことも書かれていました。

        This rexec module does prevent file writes etc, but allows file reads - it uses a "safety" model rather than a "privacy" model.
        ファイルを書けなくさえすれば読めてしまっても「safety」なモデルだというのは、サーバーサイドでの利用を想定していたのですかね。クライアントサイドの場合、safetyとprivacyを比べたら、safetyを求める場合の方が制限がきつくなるはず。
        After some discussion, it was decided that even if this particular hole was closed, there may be others waiting to appear; the Python rexec module has simply not had enough critical analysis to trust in this environment.
        という結論にはなっていますが…。 ネットワーク接続機能もちゃんと制限されているのだろうか…
        シェア
        親コメント

        • Re:開発者のセキュリティ意識の低さに愕然 (スコア:2, 参考になる)

          by aish (3117) on 2002年01月23日 9時48分 (#56453)
          という結論にはなっていますが…。ネットワーク接続機能もちゃんと制限されているのだろうか…

          されていないと思います。Javaなどのようなsandboxは持っていませんし。Pythonで「rexecにセキュリティホール発見」という報告はそれほど聞かないのですが、これはrexecのセキュリティが優れているからではなく、そもそもあんまりアテにしてないから、ということだと思ってます。このため、Zope [zope.org] のように出所不明なコードを実行する可能性のあるシステムでは、独自のセキュリティ機構を備えているようです。

          こういった環境ですので、rexecモジュールを頼りにしたPythonScriptをIEで実行するのは(おそらく将来に渡って)安全ではありません。開発者のMark Hammondもこの点は認識しており、今後はIEなどのuntrustedな環境ではPythonScriptの実行は禁止(手動で有効にもできる)、とのことです。

          シェア
          親コメント
typodupeerror

計算機科学者とは、壊れていないものを修理する人々のことである