MSが誤って「クラッシャー」メールを配信 129
ストーリー by yourCat
便利さの代償を知らないと 部門より
便利さの代償を知らないと 部門より
Hebikuzure 曰く、 "マイクロソフトが1/16付けで配信した「Microsoft USERS Mail」のHTML版にとんでもない仕掛けが……。HTMLで表示させる画像のリンク先サーバーの設定を誤ったらしく、メールを開くと「ユーザー名」と「パスワード」を尋ねるダイアログが表示され、キャンセルしてもキャンセルしても消えません。結局ユーザーはOutlook Express/Outlookを強制終了させるしかないという事態に陥ります。現在は問題のサーバー設定を直したようで問題のメールを表示させても大丈夫です。MSのサイトにお詫びが掲載されていますが、やはりHTMLメールは危険と隣り合わせという事が実証されたというべきでしょう。"
インターネットには危険がいっぱいあるので、何もHTMLメールに限った話ではないが、TEXTメールよりは危険が増えるのは確かだ。他山の石として「サーバー設定を誤らない」という教訓を得ておく?
単純に (スコア:2, すばらしい洞察)
私は Outlook (含 Express) を使っていないので、とても幸せです。
ちなみに、仕事先の会社では Outlook Express を使ってはいけないというルールがあります。
Re:単純に (スコア:2)
教員や院生が持ち込んで使ってるPC以外(実はこっちの対策が面倒)。
標準のメーラーはAl-Mailです。
(教育機関だと無料で使わせてくれるので。)
シンプルなので機能的に満足ではないけど、なかなか悪くないですよ。
たまーに落ちて泣きます。
今年度は3~4回ほどメール書いてる途中で落ちました。
[udon]
Re:単純に (スコア:1)
「(最新のパッチとワクチンソフトを入れた上で)Outlookを使え」
と言うことになってます。
完全に無視してますが。
#Mozillaのメーラとか
Re:単純に (スコア:1)
は捨ててます。変わりに使ってるメーラの設定もHTMLメールは捨
てるようにしています。
(I can't get no) satisfaction
Re:単純に (スコア:1)
となれば、取り敢えず何らかの運用的な工夫が必須となるようなツールを使用禁止するというのは、組織運用としては正しい方向だと思われます。
全体のレベル、というハナシでなく、少しでも「そういう程度のヒト」が居るならば、ソコにレベルを合わせるというのは当然かと。
#まあ、同情するのは勝手ですが。
-+- 想像力を超え「創造力」をも凌駕する、それが『妄想力』!! -+-
Re:単純に (スコア:1)
まぁ、他のも好きに使ってくれ(個人責任)っていう運用ですがね…
まぁメーラーが何であれ、適切なパッチあて+設定で何とかなると思ってます。
# みんな拒否反応がすごいね。
ヲレは良いソフトだと思うよ>OutlookExpress
Re:単純に (スコア:1)
Re:単純に (スコア:1)
かける手間の分メリットを享受できるんなら話は別だが、そういうこともなさげだし、今後も使うことは無いだろうなぁ。
仕事ではNotesだしね…
Re:知らないってのは… (スコア:1)
そういや、
メール本文に「下記赤字記載の部分を修正願います」と書いて送ってきた馬鹿がいたっけなぁ…
#教育するのも時間が惜しかったので、そのまま添付のHTMLを保存してテキストエディタで開きなおしてCOLORとSTRIKEを探して脳内変換しました。(わざわざそんなことをせんでも>一人ツッコミ)
We are the keepers of the sacred words "ni"!
MAPI対応メーラ (スコア:1)
あったら変えたいなあ…。
サーバーの設定? (スコア:2, すばらしい洞察)
いまでも,おかしな設定のサーバさえ用意できれば,
同じようなイタズラが可能ってことではないのでしょうか。
すでにその時点で「穴」のような気がするのですが。
どんなにサーバが腐っていても,クライアントは正しく
動かないとだめだと思います。
Re:サーバーの設定? (スコア:2, すばらしい洞察)
うまくやれば大量のスパムを投げるだけで任意のサーバに対してDOS攻撃ができるんじゃなかろうか?
Re:サーバーの設定? (スコア:1)
問題の動作からすると、メールを開いたときに、認証の必要なURLへのHTTPリクエストを発行できればいいような気がします。
ですから、特にサーバを用意しなくても見知らぬサイトへとimgタグを張っておくとかで再現できそうな……
教訓 (スコア:2, おもしろおかしい)
-------- tear straight across --------
お詫び (スコア:1)
>本日送信させていただきました HTML版 USERS Newsの画像に一部不備がありまして大変ご迷惑をおかけしました。
>「 Users News 1月号 (HTML 版)」を送信させていただきましたので、訂正版をご覧いただきますようお願い申し上げます。
懲りずにHTMLメールを送りますか…
やめろ とは言わないけど(言っても無駄だし)…無限にパスワード聞いてくる仕様は直さなきゃ駄目だと思うぞ
# どうせ問題が起きたメーラーは嘔吐ルックなんだろうし
トラブルは大きく (スコア:5, すばらしい洞察)
# 不誠実な企業の証
Re:トラブルは大きく (スコア:1)
# mishimaは本田透先生を熱烈に応援しています
Outlook/Outlook Expressが危険なのでは? (スコア:1)
このストーリーの内容からだと、HTMLメールが危険なんじゃなく、単にOutlook/Outlook Expressの仕様が悪いだけだと思うんですが。
Re:Outlook/Outlook Expressが危険なのでは? (スコア:1)
「HTMLメールも危険」であると考えるでしょう。
あんまり「解ってない人」であれば
「Outlook/Outlook Express が危険」であると考えるでしょう。
何れにせよ,メールにも危険があると認識する人が増える事は
サポートさせられる人にとっては良い事でわ?(笑)
貯め込んでたメールが壊滅したとかなら,もっと効果あったかも(ヲィ)
Re:Outlook/Outlook Expressが危険なのでは? (スコア:1)
> 「HTMLメールも危険」であると考えるでしょう。
>
> あんまり「解ってない人」であれば
> 「Outlook/Outlook Express が危険」であると考えるでしょう。
むしろ私の認識は、
「Outlook/OutlookExpress も 危険」です。
HTMLメール自体に危険はありません。
解釈するメーラによって危険が生じるのではありませんか?
Re:Outlook/Outlook Expressが危険なのでは? (スコア:1)
Re:Outlook/Outlook Expressが危険なのでは? (スコア:1)
問題ないと思ったんですが・・・・
# HTMLがプレーンテキストで表示されるだけ・・・・
# 昔(?)はそういうメーラが多かったからという理由で
# HTMLメールを禁止してるMLとかがあったもので
Re:Outlook/Outlook Expressが危険なのでは? (スコア:1)
#昔のメーラはHTMLを解釈しないのではなく、できなかっただけで
#別に安全対策の結果ではないから、ここで挙げるのは不適切でしょう。
Re:Outlook/Outlook Expressが危険なのでは? (スコア:1)
その通り「HTMLを『必ず』解釈するメーラは危険をはらむ」です。
設定で、OFFにできればよいのです、
逆説的というか、それが言いたいことです。
>#昔のメーラはHTMLを解釈しないのではなく、できなかっただけで
>#別に安全対策の結果ではないから、ここで挙げるのは不適切でしょう。
私は製作者に安全対策の意図がなかろうと、
ユーザが安全対策の意図を持って使うかどうかが問題となると考えます。
メーラは道具なんです。包丁も然り。
設定で、OFFにできない? (スコア:1)
数年前使っていたユードラの古い奴は設定があって、OFFにしていました。ところがHTMLメールを送ってきた奴がいて、無視こいていたらえらい非難された記憶があります。
最近のメーラーはOFFに出来ないのですか?現在使用中のNN4やOperaは設定無いようですが。。。
Re:Outlook/Outlook Expressが危険なのでは? (スコア:1)
設定で、OFFにできればよいのです、
逆説的というか、それが言いたいことです。
えーと、『必ず』解釈するメーラが危険なのは強く同意。
私もHTMLメールは素のまま、テキストで表示させてますし。
私がわからないのは
HTMLメール自体に危険はありません。
と断言した理由です。HTMLメールを解釈しなければ安全というのは、
HTMLメール自体の危険を否定はしないと思うのですが。
安全策としてメーラを選ぶとか、メーラの機能制限をかけるとか、その安全策は
HTMLメールに対抗する為なのか、安全でないHTMLエンジンに対抗するためなのか
の違いで『HTMLメールは危ない』の認識理由が異なってきますが。
アンカーの埋め込まれたHTMLメールは、安全でしょうか?
アンカーを解釈するHTMLエンジンは危険でしょうか?
FONTくらいなら安全だとは思いますが・・・
Re:Outlook/Outlook Expressが危険なのでは? (スコア:1)
>
> HTMLメール自体に危険はありません。
>
>と断言した理由です。HTMLメールを解釈しなければ安全というのは、
>HTMLメール自体の危険を否定はしないと思うのですが。
ここに誤解があるようです。
「HTMLメール」とは何かをお考え下さい。
「HTMLメールを送ること」が危険であるというのは
分かりますが、(相手がOutlook等で読む危険性があるから)
「HTMLメール」自体には何ら機能はないのです。
それが「HTMLとして」解釈されて始めて意味がでてくるということです。
たとえ<a href="http://hogehoge/">と書かれたメールが届いても
それがアンカーとなるのはHTMLとして解釈したときのみでしょう?
重ねて言うことになりますが、「HTMLメール」+「HTMLを解釈するメーラ」が
危険なのであって、「HTMLメール」自体は危険ではありません。
もし、危険であるなら sendmail,qmail,postfix 他 全てのMTAに危険が及んでしまいます。
# 単に「安全である」とも言い切れませんがね。
Re:Outlook/Outlook Expressが危険なのでは? (スコア:1)
それが正論なんだけど、メイルが包丁のように危険だと思って使ってるユーザは少ないと思われ。
包丁の場合、刃物の危険を認識していない人(幼児など)がいる所では「包丁は危険」で正しいし、メイルでも同様と思われ。
Re:設定で、OFFにできない? (スコア:1)
もちろん、任意にONにも出来ます(IEコンポーネント使って)。
余談ですが、NNもOperaも、レンダリングに自社のエンジンを使っていると思います。ですので、心配はない、と開発元は思っているんじゃないでしょうか。もちうろん、今のところは、ですが。
Re:Outlook/Outlook Expressが危険なのでは? (スコア:1)
確かに極悪なHTMLメールってウィルスか!って思うこともしばしば。
では、「HTMLメール」は危険という方向で・・・
# いいのか?俺
# ウィルスも実行しなきゃ安全と、俺は思ってんだけどね
# ついつい実行しちゃうしかけがあるから危ないんだし
# でも、ま、一般的にはウィルスは危険だわ。
キャンセルしてもキャンセルしても (スコア:1)
そもそも、ユーザ名とパスワードの入力をキャンセルできないのいは、ウェブブラウザとして失格に近いのでは?
本当なのですか?>インターネットエクスプローラユーザ
Re:キャンセルしてもキャンセルしても (スコア:1)
MS系メーラ(だけに限ったハナシでもないけど)でのHTMLレンダリングはMS-IEのコンポーネントだかを使用しているから、ブラウザ側に問題があるというハナシなのでは?
まあ、メーラ側からの実装がアホなだけかもしれませんが。
#ネタにマジレス?
-+- 想像力を超え「創造力」をも凌駕する、それが『妄想力』!! -+-
Re:キャンセルしてもキャンセルしても (スコア:1)
元記事、つーか「お詫び」を読んでもどういう原因だったのかサパーリなので、推測するしかないんだけど。
HTMLも、「Microsoft USERS Mail」の購読者じゃないとどうなってたかわからんし。
#そういうあなたも読んでないでしょ?
スコア:-1,余計なもの (スコア:1, 興味深い)
Re:スコア:-1,余計なもの (スコア:3, おもしろおかしい)
[udon]
ていうかHTML表示切りたい (スコア:1)
これが,常時設定にできるとありがたいんだけど。
斜点是不是先進的先端的鉄道部長的…有信心
Re:ていうかHTML表示切りたい (スコア:1)
それって、どうなんだろうか??
-+- 想像力を超え「創造力」をも凌駕する、それが『妄想力』!! -+-
Re:ていうかHTML表示切りたい (スコア:1)
斜点是不是先進的先端的鉄道部長的…有信心
ネスケ(4.7x)のメッセンジャーも (スコア:1)
★田舎に生息する時代遅れのFortran&COBOLガイなオタク★
Re:アメリカってなんでこうHTMLメールが多いかな。 (スコア:2, 参考になる)
最近はまたHTMLメールが増えてきているようです。理由は、
それ以外にも、HTMLメールにまつわる危険性を知らない一般の人が急速に増えているというのもあると思います。DMは母数の大きさがナンボということもありますから。
Re:アメリカってなんでこうHTMLメールが多いかな。 (スコア:1)
まあいろいろとね(w
#あの手のメールって表示させたとたんに
#何かしらの情報をぶっこ抜かれそうで怖いのはわたしだけ?
-- 星を目指さない理由は何もない -- 「MISSING GATE」by 米村孝一郎
Re:アメリカってなんでこうHTMLメールが多いかな。 (スコア:1, すばらしい洞察)
生きてるメールアドレスを特定しやすい
んですよね?
Re:アメリカってなんでこうHTMLメールが多いかな。 (スコア:1)
危険すぎない?
だが、いいこともあるぞ、外の天気は上々なんだ
Re:アメリカってなんでこうHTMLメールが多いかな。 (スコア:1, すばらしい洞察)
Re:アメリカってなんでこうHTMLメールが多いかな。 (スコア:1)
#HTMLメールのいたずらは人間関係をも崩しかねない。
Re:アメリカってなんでこうHTMLメールが多いかな。 (スコア:1)
その友人のメールアドレスはわかってるわけだから、
それでフィルタリングすればjunk行きは避けられるわけで。
仮にjunkに行ったとしても、友人なんだから別の方法で連絡取れるでしょ。
危険なくくり方 (スコア:1, すばらしい洞察)
そのくくりだと「俺はアレゲじゃないけど、HTMLメールを送りつけるほど馬鹿でもないぞ!」と怒る友人がたくさん居るかも。
仕事のメールなんて当然HTMLじゃ無いわけだが、アレゲな業界なのか?(苦笑)
Re:危険なくくり方 (スコア:2, 興味深い)
こういう態度がコミュニケーションとして間違っているのは明らかと思いますが、なぜ自称「コンピュータに詳しい人」が件の態度をとるのか不思議でなりません。
/K
Re:危険なくくり方 (スコア:2, 興味深い)
自分が捨てているものが本当に無価値なのか、それとも価値が
あるものなのか、評価する仕組みを組み込んでいないというの
は救い難いことだ。
なお、引用部の「コンピュータに詳しい人」の前には
「(コミュニケーションの道具としての)」を補足する方が分かりやすい。
Re:実はアメリカには (スコア:1)
求められている?
#ンナワケナイ