パスワードを忘れた? アカウント作成
Close
4741 story

MSが誤って「クラッシャー」メールを配信 129

ストーリー by yourCat
便利さの代償を知らないと 部門より

Hebikuzure 曰く、 "マイクロソフトが1/16付けで配信した「Microsoft USERS Mail」のHTML版にとんでもない仕掛けが……。HTMLで表示させる画像のリンク先サーバーの設定を誤ったらしく、メールを開くと「ユーザー名」と「パスワード」を尋ねるダイアログが表示され、キャンセルしてもキャンセルしても消えません。結局ユーザーはOutlook Express/Outlookを強制終了させるしかないという事態に陥ります。現在は問題のサーバー設定を直したようで問題のメールを表示させても大丈夫です。MSのサイトにお詫びが掲載されていますが、やはりHTMLメールは危険と隣り合わせという事が実証されたというべきでしょう。"

インターネットには危険がいっぱいあるので、何もHTMLメールに限った話ではないが、TEXTメールよりは危険が増えるのは確かだ。他山の石として「サーバー設定を誤らない」という教訓を得ておく?

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

MSが誤って「クラッシャー」メールを配信 More

  • 単純に (スコア:2, すばらしい洞察)

    by fuku (1936) on 2003年01月17日 4時25分 (#236941) 日記
    テストしてないだけでしょ。

    私は Outlook (含 Express) を使っていないので、とても幸せです。
    ちなみに、仕事先の会社では Outlook Express を使ってはいけないというルールがあります。
    • うちの大学でもコンピュータ室のPCはOutlookExpress抜いてあります。
      教員や院生が持ち込んで使ってるPC以外(実はこっちの対策が面倒)。

      標準のメーラーはAl-Mailです。
      (教育機関だと無料で使わせてくれるので。)
      シンプルなので機能的に満足ではないけど、なかなか悪くないですよ。

      たまーに落ちて泣きます。
      今年度は3~4回ほどメール書いてる途中で落ちました。
      --
      [udon]
      シェア
      親コメント

    • Re:単純に (スコア:1)

      by Sanjuro (7894) on 2003年01月17日 8時27分 (#237004) 日記
      社内では、何度忠告しようと、よくわからない理由で、
      「(最新のパッチとワクチンソフトを入れた上で)Outlookを使え」
      と言うことになってます。

      完全に無視してますが。
      #Mozillaのメーラとか
      シェア
      親コメント

    • Re:単純に (スコア:1)

      by goro.q (6593) on 2003年01月17日 9時50分 (#237054)
      私の会社はメーラは特に統一されていないので、私はOutlook系
      は捨ててます。変わりに使ってるメーラの設定もHTMLメールは捨
      てるようにしています。
      --

      (I can't get no) satisfaction
      シェア
      親コメント

  • サーバーの設定? (スコア:2, すばらしい洞察)

    by paprika (5024) on 2003年01月17日 10時08分 (#237074) 日記
    「問題のサーバー設定を直した」ってどういうことでしょう。
    いまでも,おかしな設定のサーバさえ用意できれば,
    同じようなイタズラが可能ってことではないのでしょうか。
    すでにその時点で「穴」のような気がするのですが。
    どんなにサーバが腐っていても,クライアントは正しく
    動かないとだめだと思います。

    • Re:サーバーの設定? (スコア:2, すばらしい洞察)

      by Y.. (7829) on 2003年01月17日 12時05分 (#237187) 日記
      そもそも HTMLメールで外部に勝手にリンクしちゃう仕様がまずいと思う
      うまくやれば大量のスパムを投げるだけで任意のサーバに対してDOS攻撃ができるんじゃなかろうか?
      シェア
      親コメント

    • Re:サーバーの設定? (スコア:1)

      by hirata (3986) on 2003年01月17日 11時08分 (#237135)

      問題の動作からすると、メールを開いたときに、認証の必要なURLへのHTTPリクエストを発行できればいいような気がします。

      ですから、特にサーバを用意しなくても見知らぬサイトへとimgタグを張っておくとかで再現できそうな……

      シェア
      親コメント

  • 教訓 (スコア:2, おもしろおかしい)

    by black-hole (9124) on 2003年01月17日 13時14分 (#237254) ホームページ 日記
    信頼できない相手からのHTMLメールはオープンしない。
    --
    -------- tear straight across --------

  • お詫び (スコア:1)

    by Y.. (7829) on 2003年01月17日 1時15分 (#236855) 日記
    小さくのってたので 一部抜粋
    >本日送信させていただきました HTML版 USERS Newsの画像に一部不備がありまして大変ご迷惑をおかけしました。
    >「 Users News 1月号 (HTML 版)」を送信させていただきましたので、訂正版をご覧いただきますようお願い申し上げます。
    懲りずにHTMLメールを送りますか…

    やめろ とは言わないけど(言っても無駄だし)…無限にパスワード聞いてくる仕様は直さなきゃ駄目だと思うぞ

    # どうせ問題が起きたメーラーは嘔吐ルックなんだろうし
  • > やはりHTMLメールは危険と隣り合わせという事が実証されたというべきでしょう。

    このストーリーの内容からだと、HTMLメールが危険なんじゃなく、単にOutlook/Outlook Expressの仕様が悪いだけだと思うんですが。
    • ある程度以上「解っている」人であれば
      「HTMLメール危険」であると考えるでしょう。

      あんまり「解ってない人」であれば
      Outlook/Outlook Express が危険」であると考えるでしょう。

      何れにせよ,メールにも危険があると認識する人が増える事は
      サポートさせられる人にとっては良い事でわ?(笑)


      貯め込んでたメールが壊滅したとかなら,もっと効果あったかも(ヲィ)
      シェア
      親コメント
      • > ある程度以上「解っている」人であれば
        > 「HTMLメールも危険」であると考えるでしょう。
        >
        > あんまり「解ってない人」であれば
        > 「Outlook/Outlook Express が危険」であると考えるでしょう。

        むしろ私の認識は、
        「Outlook/OutlookExpress  危険」です。

        HTMLメール自体に危険はありません。
        解釈するメーラによって危険が生じるのではありませんか?
        シェア
        親コメント
        • 危険な解釈はしない。と言い切れるメーラが存在しないからでは?
          シェア
          親コメント
          • HTMLメールを全く解釈しないメーラでは
            問題ないと思ったんですが・・・・

            # HTMLがプレーンテキストで表示されるだけ・・・・
            # 昔(?)はそういうメーラが多かったからという理由で
            # HTMLメールを禁止してるMLとかがあったもので
            シェア
            親コメント
            • それは、"HTML解釈するメーラは危険をはらむ"を逆説的に言ってるのと同義では?

              #昔のメーラはHTMLを解釈しないのではなく、できなかっただけで
              #別に安全対策の結果ではないから、ここで挙げるのは不適切でしょう。
              シェア
              親コメント
              • >それは、"HTML解釈するメーラは危険をはらむ"を逆説的に言ってるのと同義では?

                その通り「HTMLを『必ず』解釈するメーラは危険をはらむ」です。
                設定で、OFFにできればよいのです、
                逆説的というか、それが言いたいことです。

                >#昔のメーラはHTMLを解釈しないのではなく、できなかっただけで
                >#別に安全対策の結果ではないから、ここで挙げるのは不適切でしょう。

                私は製作者に安全対策の意図がなかろうと、
                ユーザが安全対策の意図を持って使うかどうかが問題となると考えます。
                メーラは道具なんです。包丁も然り。
                シェア
                親コメント
              • そう言えば設定でOFFできるメーラーって少ないのでしょうか?
                数年前使っていたユードラの古い奴は設定があって、OFFにしていました。ところがHTMLメールを送ってきた奴がいて、無視こいていたらえらい非難された記憶があります。
                最近のメーラーはOFFに出来ないのですか?現在使用中のNN4やOperaは設定無いようですが。。。
                シェア
                親コメント
              •  その通り「HTMLを『必ず』解釈するメーラは危険をはらむ」です。
                 設定で、OFFにできればよいのです、
                 逆説的というか、それが言いたいことです。

                えーと、『必ず』解釈するメーラが危険なのは強く同意。
                私もHTMLメールは素のまま、テキストで表示させてますし。
                私がわからないのは

                 HTMLメール自体に危険はありません。

                と断言した理由です。HTMLメールを解釈しなければ安全というのは、
                HTMLメール自体の危険を否定はしないと思うのですが。
                安全策としてメーラを選ぶとか、メーラの機能制限をかけるとか、その安全策は
                HTMLメールに対抗する為なのか、安全でないHTMLエンジンに対抗するためなのか
                の違いで『HTMLメールは危ない』の認識理由が異なってきますが。

                アンカーの埋め込まれたHTMLメールは、安全でしょうか?
                アンカーを解釈するHTMLエンジンは危険でしょうか?
                FONTくらいなら安全だとは思いますが・・・
                シェア
                親コメント
              • >私がわからないのは
                >
                > HTMLメール自体に危険はありません。
                >
                >と断言した理由です。HTMLメールを解釈しなければ安全というのは、
                >HTMLメール自体の危険を否定はしないと思うのですが。

                ここに誤解があるようです。
                「HTMLメール」とは何かをお考え下さい。
                「HTMLメールを送ること」が危険であるというのは
                分かりますが、(相手がOutlook等で読む危険性があるから)
                「HTMLメール」自体には何ら機能はないのです。
                それが「HTMLとして」解釈されて始めて意味がでてくるということです。
                たとえ<a href="http://hogehoge/">と書かれたメールが届いても
                それがアンカーとなるのはHTMLとして解釈したときのみでしょう?

                重ねて言うことになりますが、「HTMLメール」+「HTMLを解釈するメーラ」が
                危険なのであって、「HTMLメール」自体は危険ではありません。
                もし、危険であるなら sendmail,qmail,postfix 他 全てのMTAに危険が及んでしまいます。

                # 単に「安全である」とも言い切れませんがね。
                シェア
                親コメント
              • > メーラは道具なんです。包丁も然り。
                それが正論なんだけど、メイルが包丁のように危険だと思って使ってるユーザは少ないと思われ。
                包丁の場合、刃物の危険を認識していない人(幼児など)がいる所では「包丁は危険」で正しいし、メイルでも同様と思われ。
                シェア
                親コメント
              • Beckyも、EdMaxも、多分、鶴亀も出来ますよ。
                もちろん、任意にONにも出来ます(IEコンポーネント使って)。
                余談ですが、NNもOperaも、レンダリングに自社のエンジンを使っていると思います。ですので、心配はない、と開発元は思っているんじゃないでしょうか。もちうろん、今のところは、ですが。
                シェア
                親コメント
              • そっか。

                確かに極悪なHTMLメールってウィルスか!って思うこともしばしば。

                では、「HTMLメール」は危険という方向で・・・
                # いいのか?俺

                # ウィルスも実行しなきゃ安全と、俺は思ってんだけどね
                # ついつい実行しちゃうしかけがあるから危ないんだし
                # でも、ま、一般的にはウィルスは危険だわ。
                シェア
                親コメント

  • メールを開くと「ユーザー名」と「パスワード」を尋ねるダイアログが表示され、キャンセルしてもキャンセルしても消えません。


    そもそも、ユーザ名とパスワードの入力をキャンセルできないのいは、ウェブブラウザとして失格に近いのでは?

    本当なのですか?>インターネットエクスプローラユーザ

  • スコア:-1,余計なもの (スコア:1, 興味深い)

    by Anonymous Coward on 2003年01月17日 8時49分 (#237014)
    こんなMSですが、こんなことより、このIT不況の中、1人勝ち [yahoo.co.jp]している方がよっぽどニュースだと思われ。
  • このところ,公然わいせつな SPAM がたくさん来るし,HTMLな上に,あやしい ID つきのJPGひっぱってくるんで,アウトルックのファイルからオフライン表示を選んで,それから見てます。

    これが,常時設定にできるとありがたいんだけど。
    --
    斜点是不是先進的先端的鉄道部長的…有信心
  • 似た様なモンで, 結局, メッセンジャーを一端終了させなければなりませんでした. (私の端末の設定がヘンなのかな?) いや~, HTMLメールって本当に怖いですね. それではまた, いっしょに楽しみましょう. (何を?)
    --
    ★田舎に生息する時代遅れのFortran&COBOLガイなオタク★
typodupeerror

Stay hungry, Stay foolish. -- Steven Paul Jobs