米マイクロソフトが「HTMLアプリケーション」の特許を取得する 71
ストーリー by yoosee
利便性と危険性の天秤がゆれる 部門より
利便性と危険性の天秤がゆれる 部門より
Anonymous Component曰く、"
CNETの記事によると、
米マイクロソフトが、HTMLでWindowsアプリケーションを記述する
ことについての特許(登録番号6662341)を取得したようです。
この特許は、ブラウザではない独自のウィンドウで動作する、
標準的なHTMLファイルの記述方法についてのもの
だそうですが、現存の ActiveScript 等に適用されるブラウザの内蔵セキュリティ機能を迂回することが可能になるので、具体的には、ユーザーのローカルコンピュータのデータの読み書きや、
フレームを利用した異なるドメインでのスクリプト実行などが可能になる
ようです。
アプリケーションのファイル拡張子が「.hta」、
プラットフォームに依存せず、
LinuxやUnixなどを含む全てのオペレーティングシステム(OS)
に適用可能だそうですが、
こういうのって、プログラムの安全性とか信頼性は、
誰が決めるんだろう。悪用される危険性ってないんだろうか?"
米特許6,662,341号 (スコア:3, 参考になる)
Re:米特許6,662,341号 (スコア:1, 興味深い)
>> HTMLでWindowsアプリケーションを記述することについての特許
と英語の
>> Method and apparatus for writing a windows application in HTML
は微妙に違う気が。
日本語で書くと Windows プラットホーム限定のように見えるけど、
英語の方では windows と小文字で始まってるので、X, Mac とかの
一般的な windowing system も含まれそう。
わざと曖昧に書いてあるのかな?
Re:米特許6,662,341号 (スコア:1)
タイトルしか見てなくて本文を読んでませんが、タイトルだけ素直に読むと、「ウィンドウアプリケーション」、つまりコンソールアプリケーションでない、窓が出る奴一般、じゃないかと思います。
タレコミの段階で予断が入って意味を限定しちゃってるんじゃないか、みたいな。
Re:米特許6,662,341号 (スコア:1)
タイトルだけでどうこう言うのは浅薄なわけで 本文を見てるんですが、よく分からなくなってきました。 特許をの読み方の心得がないとつらい。
ClaimsにはMicrosoft Windowsにプラットフォームを限定する記載はないですよね。
DescriptionのFIELD OF THE INVENTIONには
とありますが、これもプラットフォームを限定しているわけじゃないですよね。DETAILED DESCRIPTION OF THE PREFERED EMBODIMENTに Microsoft Windowsが出てきますが、 これは実施例であって請求項を構成するものではないですよね。
いかん、教えて君と化している。 勉強し直してきます……
HTAって (スコア:3, 参考になる)
むかし,AcriveScriptRubyを使って,チャットアプリ(http経由でサーバとの間でデータをやりとりするよーなやつ)をHTAで
書いたことがありますが,JavaScript+DHTMLに感覚は近いです。ただHTAは.exeと同じで,なんでもできる(スクリプトの
できることは)ところが違う。
でもどこかのサイトに置いてあっても.exeと同じ扱いだから「ダウンロードしますか」って聞かれるわけで,いきなり実行とか,
そういうことはない。つまりネットワーク越しの実行機能はないので,特に心配することは無いような。
「出力にHTMLレンダリングを使う」というのが焦点ってことです。
Re:HTAって (スコア:1)
出力がHTMLの実行ファイルってだけじゃないですか?
となると、サーバーサイドスクリプトの類に制限を付けたってことになるのかな
これって新規性…あるのかなぁ
なんか実装例が腐るほどありそう
Re:HTAって (スコア:1)
実行ファイルと違うのはスクリプトなんでコンパイル不要って事です。
特許の是非については分りませんが、それなりに使い道はありますけどね。
私はWindows環境での作業用ツールとして時折使います。
・コンパイルは不要だからその場でデバッグ出来る
・WSH(スクリプト)をそのまま使うよりもインターフェースが自由
(HTMLのインターフェースが使えるから)
・WSHと組み合わせて使う分にはIE(5ぐらい?)があれば、ランタイム不要
(HTAからランタイムが必要なexe呼び出せば当然必要ですけど)
なんで、Windowsであれば殆ど実行環境を選ばない
・サーバ不要
・ローカルファイルにアクセス可能
まあ要するに、ローカルスクリプトの入出力画面にIE+HTMLが使えるって
だけの事ですね。他の実装例は・・・私は知りません。
HTML使えると、ボタンやテキストボックス使ったパラメータ入力画面を作れるんで
他人様も使うような作業ツールに使う結構良いんですけどね。
策略 (スコア:2, 参考になる)
- Eolasの特許対策。毒をもって毒を制す式の考え方。
- XAMLのための布石。HTAのインフラをベースにXAMLを持ち込むことを考えているのではないかと推測します。
- セキュリティすれすれの技術を使うことで差別化。確かに現状のHTAはあぶなっかしいですが、XAMLベースだと.NET Framework上のセキュリティ機構を用いることが出来るので、安全を確保しつつもかなりすれすれのところまでアプリケーションのドメインを広げることが出来ます。これが出来ればかなりの差別化です(たぶんJava Web Startよりさらにアプリケーションっぽいものを考えていると思う)。
問題は(そしてたぶんMicrosoftの狙いは)、XAMLに追従もしくは対抗する側(MonoとかJavaとかFlash陣営)に対して、かなりシビアなセキュリティポリシーの微調整を迫ることではないでしょうか。失敗すると脆弱なプラットフォームだという烙印を押される羽目になります。Re:策略 (スコア:1)
運用するには HTA みたいなものが必要ですね
Re:策略 (OT中心) (スコア:0)
が、.NET Frameworkの安全性は、セキュリティ機構の問題なんでしょうか? .NET Frameworkも、1.0 SP2ではネットワーク越しの実行はデフォルトで行われないようにフィルタがかけられましたが、これはいくつかのクラスライブラリのインターフェース自体が脆弱であったためであると思います。実際、.NET Framework 1.1になって、いくつかのクラスにはセキュリティ上の修正が加えられたわけで。クラスライブラリが爆発的に増えるWinFXにおいて、セキュリティホールはいくつも存在しうると思います。
JavaWebStartは別にHTMLアプリケーショ
Re:策略 (OT中心) (スコア:0)
そう思いますよ。だから常にセキュリティが保てるすれすれまでをセキュリティの境界にしていくアプローチなんじゃないでしょうか(実際に保てるかどうかは別ですが)。
HTMLを記述する方法で特許? (スコア:2, 参考になる)
(impressに記事がありました [impress.co.jp])
今度の特許はつまり、「HTMLアプリケーション」を実行する機構で
特許を取ってるのではないでしょうか。
Re:HTMLを記述する方法で特許? (スコア:0)
Re:HTMLを記述する方法で特許? (スコア:1)
HTAが脆弱性になるのなら、 (スコア:1, すばらしい洞察)
MFC等のウィジェットセットで見た目を記述し、C++等でロジックを記述するEXEと、
HTMLで見た目を記述し、Active Script(JScript, VBScript, Ruby, Python, ...)でロジックを記述するHTAにどれほどの差がある?
なんのこっちゃ (スコア:0)
EXE:基本的にダウンロード→ユーザによる実行・起動。
ユーザは実行の可否をコントロールできる。
HTA:URLにアクセスするとそのまま起動。
確認のダイアログぐらいは出るかもしれんが、でないかもしれん。
2.不正なロジックに対する対応
EXE:特に無し。.NETで作成されたEXEなら制限か
Re:なんのこっちゃ (スコア:1)
> 確認のダイアログぐらいは出るかもしれんが、でないかもしれん。
うちのIEでは、開く(実行する)か、ダウンロードするか、キャンセルするか、ってダイアログが出ますが。
Re:なんのこっちゃ (スコア:0)
御指摘感謝。
Re:なんのこっちゃ (スコア:1)
>EXE:基本的にダウンロード→ユーザによる実行・起動。
> ユーザは実行の可否をコントロールできる。
この辺には.Net Frameworkとの兼ね合いで最近変化がありました。
1. ブラウザで.exeへのリンクをクリック
↓
2. 拡張子.exeを判別
↓
3. ノータッチデプロイメント対応か判別(対応ならそのまま実行)
↓
4. ユーザーに実行するか判断をゆだねる。
.Net Frameworkのランタイムをインストールすると3.の判断が新たに加わります。
たとえばこんなリンク [atmarkit.co.jp]とか。
@ITの記事 [atmarkit.co.jp]などが参考になるかと思います。
それって脆弱性そのものじゃ… (スコア:1)
セキュリティを迂回するってことは、例えば
ページを見ただけでHDをフォーマットとか、
今まで出来なかった(悪意のある)行為が
し放題ということではないのだろうか?
というか、HTMLを利用する事に
何の利点があるのかわからない。
というのはさて置き…
>OSは、HTMLアプリケーションのファイル拡張子「.hta」によって、ファイルがアプリケーションとして実行可能なことを識別することになる。
この発想が困るんだよなぁ。MIMEタイプ見てくれないと、
ちゃんとtext/plainにしてるのに.txtなファイル中に
HTMLが記述されてればそれだけでHTMLとして表示しちゃうし。
っと・・・。
Re:それって脆弱性そのものじゃ… (スコア:0)
わお、世の中のどれだけのサイトが不等号記号のページになっちゃうんだろう♪
Re:それって脆弱性そのものじゃ… (スコア:1)
ヘッダで教えてくれない場合に拡張子で判断するぐらいでちょうどいい。
# ネタにマジレスカコワルイ?
っと・・・。
上の方で散々既出なんだが、 (スコア:0)
Re:それって脆弱性そのものじゃ… (スコア:0)
別に最近登場したものでもないし。
表層的な情報だけで、しかも誤解したうえで批判するのはみっともないよホントに。
Re:それって脆弱性そのものじゃ… (スコア:0)
そういう特権命令が使えるかどうかだけど。
>表層的な情報だけで、しかも誤解したうえで批判するのはみっともないよホントに。
てなわけで大丈夫と言い切るのも非常に危険と思うんですが?
Re:それって脆弱性そのものじゃ… (スコア:0)
> ネイティブアプリとして「HDをフォーマットされる」危険性は残るんじゃないかなぁ。
> そういう特権命令が使えるかどうかだけど。
冗談でなければあなたは底抜けの■■でしょう
#include <stdlib.h>
int main()
{
Re:それって脆弱性そのものじゃ… (スコア:0)
・・・誰が脆弱性だと言いました?危険性とはいいましたが。
「底抜けの■■」発言といい別のレスといい、煽りととられてもおかしくない
Re:それって脆弱性そのものじゃ… (スコア:0)
>・・・誰が脆弱性だと言いました?危険性とはいいましたが。
話の大本はあなたのコメントの表題にも付いている「それって脆弱性そのものじゃ」なのですが、まあいいでしょう。
別に「危険性」に置換してもいいですよ。
Re:それって脆弱性そのものじゃ… (スコア:0)
>そういう特権命令が使えるかどうかだけど。
だから、そんなもんはexeでもbatでもvbsでもjsでもwshでも同じだろ。
パーミッションは全然別のレイヤの話。
(まあ、ユーザのパーミッションに従うんだけど。)
# アホですか?
Re:それって脆弱性そのものじゃ… (スコア:0)
このコメント [srad.jp]にあるように、EXEと違って「なんでも実行可能」にしない方法があるのならば、IEの「セキュリティレベル」でカスタマイズ可能とするべきでしょう。もちろんデフォルト設定はより安全な方にふっておくべき。
コマンド実行自体は別のレイヤとはいえ、コマンドはコマンド実行関数経由でないと不可ということにして、.htaをレンダリングする時点でレベルチェックを行
Re:それって脆弱性そのものじゃ… (スコア:0)
IEで受け取るが、インタプリタdllにそのまま流すのかな?
XUL/Sashへの影響は? (スコア:1)
ブラウザwidgetでGUIを、JavaScript(VBScript)でロジックを記述するローカルアプリケーションである。
Tcl/tkあるいはPerl/Qtなんかのアプリと本質的には変わらないと思うが、
ブラウザと同じ言語やノウハウが使えるのがミソなのだろう。
exeを実行するのと同じで脆弱性云々は的外れだと思う。
同様の技術としては
IBMのSash [google.com]やMozillaのXUL [google.com]アプリ
なんかが相当すると思う。
今のところXULはスタンドアロンアプリよりもMozillaブラウザの拡張プラグインとして作られたものが多く、
スタンドアロンのkomodo [activestate.com]やthunderburdではランタイムライブラリ(と起動ランチャ)を自前で抱えているが、
将来的にランタイムがXRE(XUL Runtime Environment)として独立すると、XULだけでスタンドアロンアプリを記述できるようになる(予定、らしい)。
特許がどこまでカバーしているか知らないが、これらが使えなくなるといたいかも。
Re:XUL/Sashへの影響は? (スコア:0)
なぜですか? たとえば脆弱性とは何でしょうか。
インターネットオプションのセキリュティ設定に (スコア:0)
といったチェックボックスが増えて一件落着するものと予想。
Re:インターネットオプションのセキリュティ設定に (スコア:2, 参考になる)
「プログラムの追加と削除」の実体が
実はHTAだったりして「htaファイルを表示しない」で生活するのは結構つらいかもです。
(「プログラムの追加と削除」がハングした時は、タスクマネージャから mshta.exe を終了させる)
Re:インターネットオプションのセキリュティ設定に (スコア:1)
# WindowsUpdate、スタートメニューで、Scriptエラーダイアログが出る場合があるんです
Re:インターネットオプションのセキリュティ設定に (スコア:0)
Re:インターネットオプションのセキリュティ設定に (スコア:1)
ということで、「Rubyを256倍使うための本邪道編」から、``Hello World !''プログラムを引用。以下の通りコマンドプロンプトから入力すべし(エディタを使っても可)
copy con hello.hta
Hello World !
^Z
hello.hta
こんな感じです... って、ちっとも解りませんね(笑)。
htaサンプル (スコア:0)
HTA版キタ━━━━(゚∀゚)━━━━!!!!!! [nifty.com]
Re:htaサンプル (スコア:1)
XULと何が違うの? (スコア:0)
Re:XULと何が違うの? (スコア:0)
とまでは言わなくても、HTMLから.htaの世界に限定するならば(してくれるんだろうか?それ以前に区分が違っているよなぁ)どんな技術を提案してくれても構わないんだけどなぁ。
で、特許じゃないとだめなんですか?製品値上げの方がよくありませんか??
# とか唾棄してみる
バグ予想 (スコア:0)
Re:バグ予想 (スコア:0)
タレコミ内容がおかしすぎる (スコア:0)
おかげでコメントの多くは、さらに出てきた勘違い君の誤りを正すものになってしまっている。
Re:タレコミ内容がおかしすぎる (スコア:0)
これのひとつ上のやつなんかひどすぎる。
なのに、いまだにマイナス付かず・・・
Re:タレコミ内容がおかしすぎる (スコア:0)
タレコミの時点で、
似た様な手法でGUIツールを作成できるXULと比較するとか、
複数のOSで(殆ど?)同じGUIツールを作成できるGTKやTk(他にもあるかも知れないが知らないので御容赦)の話を出すなりすれば判りやすかったかもしれないのにねぇ。
#まあ、俺も詳しかないのでAC
Re:タイトル (スコア:1)
本文の日本語はちゃんとチェックした(はず)なんですけど、タイトルは抜けてました。
Re:タイトル (スコア:0)
Re:タイトル (スコア:1, すばらしい洞察)
駄洒落を言いたかっただけちゃうんかと。