wakatonoによる
2001年11月07日 1時17分の掲載
うーん、確かにステキだ…部門より。
うーん、確かにステキだ…部門より。
ppmarker 曰く,"「スクリプトによる貼り付け処理」機能の能力を検証する によると、 IEのJAVASCRIPTは クリップボード読み取りの独自拡張がほどこされているとか。 たしかにデモを試してみると、 ついさっきコピペした文章が現れるではないか。 しかもリアルタイムに更新される! SUBMITすればこのデータはサーバに送られちゃうのでは? マイクロソフトはこれをバグではなくて仕様だと言っているそうで…。"
ちなみにページの作者は産業技術総合研究所の高木さん。オレも試してみたが、確かにクリップボードの内容が転送される…百歩譲って拡張仕様としてこういったものがあるのはいいとしてもそれをインターネットゾーンでも許可しているというあたりが仕様というのはなぁ…
この議論は賞味期限が過ぎたので、保存されている。
新たにコメントを書くことはできない。
MSの素敵なセキュリティーホール製造機能 (スコア:2, すばらしい洞察)
そこに脆弱性がある訳ですから、デフォルトでオフにする/せめて警告が出るようにしてくれるといいのですが。「インターネット経由でペーストできるようにすると、クリップボードの中身を第三者が利用できます。パスワードやクレジットカード番号などはクリップボードにコピーしないようにしてください」とでもね。
どうにもMicrosoftは、初心者こそが陥りやすい穴をこそデフォルト値にする傾向があっていや~んですね。ユーザーへの啓蒙が足りないことが、Microsoft製品の一番のセキュリティーホールになっているような。
Re:MSの素敵なセキュリティーホール製造機能 (スコア:3, すばらしい洞察)
>ユーザーへの啓蒙が足りないことが、Microsoft製品の一番のセキュリティーホールになっているような。
悲観的な話になっちゃいますが、例えば危なそうな機能をデフォルト安全側に倒して出荷したとしても、大多数のユーザーは「うざったいなあ」と思うわけですよね。「安全のためにはしょうがないコストなのだ」と納得したりはしないでしょう。で、「うざったい機能を解除する」ための情報はすぐに出回るけど「解除するとどう危ないか」という認識は広まらない、とか、そういうことになりそうな気がするんですよね。
じゃあどうすればいいんだ、って話は…わかりません。_O_
親コメント
この機能って (スコア:2, すばらしい洞察)
親コメント
Re:この機能って (スコア:2)
まあ一般に「便利」と「安全」は相反することが多いですし、一般論として私が想像したようなことはあるのではないか、と。そしてそれが続いている限りあんまり未来は明るくないな、と。それだけなんですけどね。
親コメント
Re:MSの素敵なセキュリティーホール製造機能 (スコア:2)
まあ、便利は危険と隣り合わせだということに気付いていないだけだろうと思うけど。
コレもいわゆる小手先の技術ってやつですけどね。
べつにインターネット接続のセキュリティはいつものことかもしれんけど、(それはそれで問題がおーありだが)アプリとか(カーネルもご一緒にとか)がバタバタ落ちる作りからして、セキュリティに関心がないなということがあらわになってますよね。
まあ、Windows使うならセーフモードが一番安全だろうね、いわゆる安全モードなんだから。そのかわりネットには一切接続できないみたいだけど。
景気なんて飾りです。偉い人にはそれがわからんのです。
親コメント
Re:MSの素敵なセキュリティーホール製造機能 (スコア:2)
わたしもたまにやるのですが、そういうところは捨てIDなんでまた取り直したりします(ITProとか)。
# あ、/.-Jはちゃんと覚えてますから大丈夫
-- やさいはけんこうにいちば〜ん!
親コメント
マイクロソフトの自信 (スコア:2)
>Internet Explorer 6 は、プライバシー、信頼性、柔軟性に、また新たな基準を提示しました。
というメッセージが表示されます。「新たな基準」ってのは前の基準より上がってないと意味ないのジャガ…。IE6ってIE5より「よくなってる」ところってあるのかな?
Re:マイクロソフトの自信 (スコア:2)
あくまで新たな基準であって、消費者にとって従来より上がっているわけではない。
単に、「s/基準/穴/」とかでもいい。
景気なんて飾りです。偉い人にはそれがわからんのです。
親コメント
仕様 (スコア:2, すばらしい洞察)
周知させれば仕様として認められるかもしれないが、現状では周知してないのでセキュリティホールと考えるのが妥当なのでは。
こういう、周知しなければセキュリティーホールになってしまう「仕様」について安全側に考えることをしない MS の文化というか態度が問題。MS はよく、MS 製品にも他社製品にもセキュリティホールはありうると言うけど、そういう問題じゃなくて、今回みたいな態度が不信感を呼ぶ。ほかにどんな「仕様」があるか、分かったもんじゃない、って思ってしまう。
もしそれでも「仕様」と言い張るなら、MS は周知させる責任がある。現状では全然責任を果たしていないし、仮に一大キャンペーンを行って周知させることで責任を果たしたとしても、それでも、これらの「仕様」を理解しないと安全に使えない MS 製品は、初心者向けの易しい製品とは言えない。
スクリプトによる貼り付けを有効に? (スコア:1, すばらしい洞察)
無効にするしかない (スコア:1)
ああ、こんなところがMicrosoftだなと思いつつ「ダイアログを表示する」にして高木さんのデモを再び試しました。
すると…、実装がタコなことに「関数を呼ぶ度に」ダイアログを表示するので、1秒おきに60回ダイアログが呼ばれることに。
JScriptはESCキーで止められませんから、1秒よりも短い間隔だった日にはプロセス単位でしか止められません。
で、結局「無効にする」しかないと。
…申し訳程度の「ダイアログ」だなぁ。
Re:無効にするしかない (スコア:2, 参考になる)
あとは IFrame をつかって そこのなかで submit() 関数を使うとか。(こっちは eが廻っちゃうのかな)
親コメント
JavaScriptが問題なのでは?? (スコア:1)
それにしても、Nimda騒ぎでもそうだったんですが、IEにまつわるセキュリティホール云々騒ぎってほとんどJavaScript絡みじゃないですか??私はJavaScript常時OFFしてるんですけど。
#もちろんパッチはスグ当てますが。
皆さんはJavaScriptはどうされてますか??
JavaScript ON・OFFをできるボタンをツールバーに付けてほしいですね。
Re:JavaScriptが問題なのでは?? (スコア:2)
親コメント
Re:よく知っているひと (スコア:1)
自分ではWin版IEを使うなんてもっての他で、Windows自体極力使わないようにしてますが、他のホストの管理の都合上、どうしても必要なときがあります。
その代表例がOSのパッチを探すとき。
Windows Updateのサイトは、MozillaどころかMac版IEですらまともに表示できないのでかなり困ります。
穴が開いてるから使う前にふさぎたいのに、そのためには穴の開いたツールを使わなければ行けないというループ。
親コメント
Re:よく知っているひと (スコア:2, 興味深い)
穴を踏まないようにIEを使いつづける。常に被害なし。
親コメント
Re:よく知っているひと (スコア:2, おもしろおかしい)
親コメント
Re:よく知っているひと (スコア:2)
親コメント
Re:よく知っているひと (スコア:2)
ちょっとたどり着きにくいところにあるのは事実でしょうね。
親コメント
Re:よく知っているひと (スコア:2)
引用された一言のところは、ただし、アップデートするに際してあまりにも安易なエンバグしすぎ、デバッグ能力低すぎ、というのが4.74~4.78あたりで感じた点だよね、と言いたかっただけなんです。bookmark文字化け問題なんかソースがありゃ数分で直るでしょ?バージョン三つくらい上がっても直らなかったからね。
親コメント
Re:よく知っているひと (スコア:2, 参考になる)
http://home.jp.netscape.com/security/notes/
いまいち情報が探しにくいんですけど。
親コメント
わしもそうよ (スコア:2)
- ふつうの「読む、見る」ためのブラウジング=Mozilla
- 「Netscape6には対応していません」と書いてあるECサイト=M$IE5.5の「信頼済み」に登録してJAVAスクを許可
安全には、これしか無いと思うんですけど。親コメント
Re:よく知っているひと (スコア:2, すばらしい洞察)
普段はNetscape使って、IEでしか見れないサイトがあった場合、そのサイトは無かったものと考える。
通常は被害なし。
親コメント