Opera 7.03リリース、長いファイル名の脆弱性を修正 48
ストーリー by Oliver
さっさとアップグレード 部門より
さっさとアップグレード 部門より
k3c 曰く、 "先日、Operaにダウンロード時の長いファイル名でバッファオーバーフローが起きる脆弱性があることをタレコんだが、この脆弱性をFixした新しいバージョン7.03がリリースされた。Changelogによれば、このほかにMacromedia Flash Playerも脆弱性を修正した新しいバージョンに置き換えているとのこと。
Flash Playerなんか同梱するなよ…Linux版はどうなってるの…というツッコミは置いといて、日本語版もすでに出ているので、さっさと新しいバージョンを使うことをお奨めします。"
Most UNSECURE browser you can use (スコア:2, 参考になる)
Re:Most UNSECURE browser you can use (スコア:2, 興味深い)
このへん [xrea.com]とか見ると、事の顛末を窺い知る事が出来ます。
Re:Most UNSECURE browser you can use (スコア:0)
周りからも相当不信感があるというより、周り(OJUGメンバー)に対して
相当不信感があるように感じられます。
部外者なのでこの顛末を読む限りでは判断できませんが、正しいことをしたために
嫌われることってあるよねーって思ったり、それには該当しないかもーと思ったり。
Re:Most UNSECURE browser you can use (スコア:0)
脆弱性がちゃんと見つかってちゃんと対処されたことは嬉しい。
そんなとこ。
Re:Most UNSECURE browser you can use (スコア:1)
#でもこっちの方が「Opera の安全性の実態」なんだと思わないといけませんね。
そう思いたくなるのはある程度理解できますが、脆弱性については、開発元が対処法を発表したり、対応パッチを配布するまでは、普通は開発元に連絡をしてあとは黙っておくのがいいかと。
そうしないと発見した人間にとっては自サイトでの情報発信は利益になるけど、不利益をこうむるのは一般ユーザーのような気がするんですが。
おいらの考えは間違ってますかねぇ。
---- あのー( ̄△ ̄;
Re:Most UNSECURE browser you can use (スコア:0)
Re:Most UNSECURE browser you can use (スコア:2, 参考になる)
> もし、Operaユーザーが悪意ある細工されたURLを開こうとする時、それによって
> ウィルスやトロイの木馬への感染、システム破壊、ネットワークへのデータ漏洩等の
> 被害に遭う危険性があります。
Operaにおける長いユーザー名で起こるバッファオーバーフローによる脆弱性
http://opera.rainyblue.org/adv/opera01-unbof.php
というのが、元々の指摘。
これが、
> 「http://」で始まる長いユーザー名を含むURLを開くと、バッファオーバーフローが
> 発生し、Operaの操作・利用に支障が出る問題が指摘されています。
> この問題を利用した、悪意のあるURLを開く事で、前記の問題が発生する事があります。
Opera6.05 for Windowsにオーバーフローによる脆弱性の可能性
http://jp.opera.com/cgi-bin/supsearch2.cgi?options=index&name=j010
(これは「日本語サイトにて追加された質問です」だそうです)
こうなるってのは、意図的に問題を矮小化し、隠蔽しようとしているわけで、
容認できるものではありません。
Re:Most UNSECURE browser you can use (スコア:0)
Re:Most UNSECURE browser you can use (スコア:0)
問題発見者さん、ご本人ですか?
いや、違うと思うんだけど、ひらめいてしまった。
上書き注意 (スコア:2, 参考になる)
確か Opera 6.xx も同じように初期化されてた気が。
ついでに、バグなのか仕様なのかわからないんだけど、ページスタイルの設定で「作成者モードを標準で使用する」のチェックを外すと、メール表示用のCSSまで解除されてメールがとても読み辛くなるんですが。
ユーザーCSSにメール関連のCSSを記入してやれば戻りますけど、逆に今度は通常のWEBページ表示に支障が(改行コードが<BR>に置き換わってしまう)。
更に、デフォルトで画像類を一切読み込まないようにすると広告画像まで表示されなくなってしまうのですが、それはマズくないですか?
使う方にとっちゃ有り難いですけど。
#お客様番号書き忘れたんでライセンスキーがまだ届かない・・・。
Re:上書き注意 (スコア:1)
Re:上書き注意 (スコア:1)
>ユーザーCSSにメール関連のCSSを記入してやれば戻りますけど、逆に今度は通常のWEBページ表示に支障が(改行コードが<BR>に置き換わってしまう)。
実際は<BR>に置き換わるのではなくて、 white-space: -o-pre-wrap スタイルが適用されるためでした。
# -o-pre-wrap は Opera 特有の CSS 拡張らしい。
Re:上書き注意 (スコア:1)
ところが Opera ではボタンひとつで画像の表示・非表示の切り替えができてしまうんですなぁ。
新規ウィンドウを開く際のデフォルト表示で、画像が表示されないだけで。
#なぜ画像を表示しない設定にしているかと言うと、会社でこっそりWEB見てるから、なんだな。
ツッコミ (スコア:2)
もともと入ってるPlug-inだから これについては素直にほめちゃっていいと思う
もともとはいってるPlug-inなんかいちいちチェックする気にはなれないし
アップデートする立場としては喜ばしいと思う
…デフォで入れるべきかどうかはこの場では問わないことにしよう
> Linux版はどうなってるの
BeOS版は…
Re:ツッコミ (スコア:1)
Macromediaの新サイトに、「ブラウザ締め出し」の苦情 [zdnet.co.jp]
全面的にFlashを採用したMacromediaの新サイト。しかしSafariとOperaに対応していないとの苦情や、障害を持つ人が使えないという批判も
って記事があったけど関係あるのかな?
おふとぴ (スコア:1)
Opera自体は ネスケプラグインに対応してるにすぎないからあんまり関係ないかも
Operaで見れないなら Opera側のネスケプラグイン対応が弱いってだけだしブラウザ締めだしは関係ないかな たぶん
…ネスケプラグインの出来が悪い場合は除く
ただ、トップページにフラッシュ使うのはプラグインの配布サイトとしては不適切かも
一応 プラグインOFFにしてても フラッシュプラグインのダウンロードページにたどり着けたからよかったものの
ShockWaveプラグインがほしくてフラッシュプラグインいらないって人には不親切かなぁ
ただOperaと認識させるとトップページ見れなかったからフラッシュ使用以前の根本的な問題は潜んでそうな感じ
iso-2022-jp問題、未だ対策せずか (スコア:1)
iso-2022-jpのチルダの文字化け問題は、未だ解決してなくてがっかりでした。
全部のiso-2022-jpのページで問題が出るわけではないんですが、
漢字コードのエスケープの際に、"ESC ( J" (JISローマ字)を
使った場合に、"~"が化けてしまいます。
アッパーバーになります。Operaは生真面目ですね(苦笑)。
"~"がURLに含まれる場合は、リンク先に行けません。
iso-2022-jpの文字コードのWebページを作成する場合、
FTPソフトなどで、漢字変換を行って転送する人も多いと
思うんですけど、例えば、FFFTPの漢字変換は
エスケープに"ESC ( B"(ASCII)を使うから問題ないのですが、
FFFTPが登場する以前に、広く使われていたNextFTPなどは、
今のバージョンは知らないけど、JISのコード変換の時に、
"ESC ( J"を使っていたので問題が出ます。
私は昔、NextFTP使っていたので、過去に作った多くのページが
Opera7では未だに問題が出るわけで、かなり、しょんぼりです。
確かにそりゃ理屈じゃOperaの実装が正しいかもしれないけど、
アッパーバーに変換するのはどう考えても合理的ではありません。
せめて、設定で回避できるようにして欲しいものです。
6.03の頃に対策要望を出したし、Imagine氏などは以前から
対策パッチを出し続けてるんだけど、一向に対策してくれないんですね。
わかってて知らないふりなんでしょうか。
ShurikenPro3とのコラボパック版を買う予定なんで、
その後にまた対策要望出してみます。製品版を持ってる相手なら、
対応が違うかもしれません(苦笑)。
Re:iso-2022-jp問題、未だ対策せずか (スコア:1)
> 今のバージョンは知らないけど、
…などと書きましたが、その後、調べてみると、
現在の最新版、NextFTPバージョン3.52でも、JISコード変換は、
以前のバージョンと同じ仕様のままでした。
そこで、この問題を開発者のサイトのサポート掲示板に
報告したところ、早くも次回バージョンでは対策するという返事が
頂けました。
Re:iso-2022-jp問題、未だ対策せずか (スコア:0)
もともと JIS コードが非合理的だからこうなる話なんで。
現実にあわせた対応を求む、なら賛成だけどね。
Re:iso-2022-jp問題、未だ対策せずか (スコア:1)
検索バーのamazonが… (スコア:1)
7.x になってから amazon.com になってて変更できない。
google は .com でも .co.jp でもいいんだけどさ。
amazon は co.jp が便利なんだけど…
DLなんかのタグのネスト (スコア:1)
謝々々々 台湾宮廷料理海味館 名●屋市熊の前二丁目 ( MiniStop 対面 )
6to7 (スコア:0)
サイトへのアクセスログではなく実態調査としてお聞きしたい。
出戻りました (スコア:2, 参考になる)
いましばらくは 6.05 を使うことにしました。
うちの環境に依存する問題かもしれませんが、メニューバーや
ホットリストなどが少々文字化けするので。
例えば、ブックマ┌ク とか メ┌ル とか 履┌ という感じです。
それから、相変わらず MS のサイトとは相性が悪いようで、
TechNet などで左側に出てくるはずのリストが見えません。
まぁ、それ以外には目立った不満もないし、Opera 6 のレジストも
してあるんで、そういう不具合を解消できたらたぶん移行すると
思います。
-- 環境負荷に配慮して言葉のオブラートを少なめにしています --
Re:6to7 (スコア:0)
処理も速いままで、表示関連がかなり改善されてるのに。
Re:6to7 (スコア:1)
一時 7 の方をメインに切り替えようと思ったんですが、画面の描画周りが妙にカクカクしたりおそかったりしてます。
これならまあいいや、と 6.05 に戻してます。使ってるのはブラウザ機能のみ。
まあ、そもそもが Crusoe な C1 VAIO (PCG-C1VR/BP) なんで、単純にそっちに引っ張られてるだけという話も。
Re:6to7 (スコア:0)
そんな人は多分300人くらいだと思うが(笑)
Re:6to7 (スコア:0)
# 今、verを見たらver6.05 Build1140だったりしたわけです。
インストールしてみましたが・・・ (スコア:0)
私にゃサイトデザインの表示確認ぐらいにしか使えないかな。
ところで、
jp.opera.com/linux/にアクセスするとjp.opera.com/に飛ばされますね。
Linux版はもう出さないということかな。残念。
Re:インストールしてみましたが・・・ (スコア:2, 参考になる)
コレが出来るようになっただけでも、100歩以上前進かも。
# いま、Opera7.03から書き込み実験中
Re:インストールしてみましたが・・・ (スコア:1, 参考になる)
ふつ~「サイトデザインの表示確認」と言う場合、 「ブラウザによって致命的におかしな表示になっていないか」 を確認するという意味であって、コレができないものはブラウザを名乗ってはいけないのではないかと思います:-)
Re:インストールしてみましたが・・・ (スコア:2, 参考になる)
おっしゃるとおりですね。
ところで、Opera6 -> Opera7での大きな変更の一つに、CSS2対応があるようです。
他にも色々あるでしょうが、まだよく分かってません。
これで、やっとOperaもCSS2対応の表示確認に使えるということを、皮肉っぽく書いただけです。
あと、Opera7で画像を非表示にしていると、IMGタグのサイズ属性に関わらず、ALT属性の文字列を表示する為にブロックサイズを拡張するようです。
スラドJPも含めて、かなりレイアウトが崩れます。
(ZDNetなんか、凄い事になってます)
このあたり、Mozとは違いますね。
やはり、「当たり前」な機能でも確認できるブラウザは多い方が良いと思います。^^
Re:インストールしてみましたが・・・ (スコア:1)
Re:インストールしてみましたが・・・ (スコア:1)
でも、え~と、
>>ところで、Opera6 -> Opera7での大きな変更の一つに、CSS2対応があるようです。
>>他にも色々あるでしょうが、まだよく分かってません。
というコメントに、
>嘘ですね。
は勘弁してください。
「間違ってます」くらいのほうが、うれしいです。
で、僕の言いたいことは伝わりませんでしたでしょうか?
Opera6のころは、CSS2に対応していると言おうものなら非難轟々になるくらい、サポートの程度が低かったと思います。
(Opera5の頃は、一度も使ったことがないので分かりませんが、6よりマシってことはなかったのでは?)
Opera7になって、そこそこ表示できるようになった、よりCSS2対応が進んでいるようだ、と言いたかったわけです。
>>これで、やっとOperaもCSS2対応の表示確認に使えるということを、皮肉っぽく書いただけです。
というのは、そういう意味です。
間違った書き方をして、すみませんでした。
Re:インストールしてみましたが・・・ (スコア:1)
Re:インストールしてみましたが・・・ (スコア:0)
Re:インストールしてみましたが・・・ (スコア:0)
Opera7 をトラックポイントでスクロールさせる方法 [dti.ne.jp]
Re:インストールしてみましたが・・・ (スコア:1)
うろ覚えだけど、Opera6でもそうだったかな? ZDnetはレイアウト目的で <IMG SRC="/images_top/spacer.gif" WIDTH=... HEIGHT=... BORDER="0"> というやつを多用してますからね。先ほどあるページ内で数えたら58ヶ所ありました。
レイアウト目的の画像挿入の是非は置いといて、とりあえず[Show Images]ボタンを「半分欠けているやつ(キャッシュにある画像だけを表示する)」にしておくと、widthやheightを考慮してレンダリングしてくれますよね。画像自体の本来のサイズ頼りだとだめなんですけども。
まあ「画像の読み込みを省く」「画像を表示しない」両方の目的を兼ねるとなると、妥協点はこんな感じになるかなと思います。個人的には実用レベル。
Re:インストールしてみましたが・・・ (スコア:1)
なるほど。
この手は使えますね。
>個人的には実用レベル。
たしかに、使用者側としては、実用に耐えるかもしれません。
でも、HTMLを書く側としては、神経を使うことになるかも。
まあ、Opera7が、常用ブラウザとして使い物になるのかどうかは、まだ分かりません。
バグもあるようですし、判断を下すには早すぎるでしょう。
でも、少しづつでも標準に準拠しようとしているブラウザが増えることは、喜ばしいことですね。
Re:インストールしてみましたが・・・ (スコア:0)
表示確認の結果「デザインボロボロだけど読めるからいいか。どうせユーザ少ないんだし」というのもあるかもしれませ
Re:インストールしてみましたが・・・ (スコア:0)
> コレが出来るようになっただけでも、100歩以上前進かも。
そんなもんを値段付けて売ってるのですか....
Re:インストールしてみましたが・・・ (スコア:1)
他の価値としては、
ひろ~い心で、また~りと遊びましょうよ。
Re:インストールしてみましたが・・・ (スコア:0)
ソフトに不満な人が1人でもいたらタダにしろとでも言うわけですか?
Re:インストールしてみましたが・・・ (スコア:0)
Re:インストールしてみましたが・・・ (スコア:0)
スピード(おふとぴ?) (スコア:0)
P4 Xeon 1.7 Dual で linux 版 Opera 6 (static link) を使っているのですが,いまいち「速さ」を実感できません.
マウスの中クリックで新規タブをつくったとき(バックグラウンドで開くっていうのでしょうか?),今見ているタブが固まるのはなぜ???
# phoenix の方がよっぽど体感速度がいいのでACおや (スコア:0)
「今回のリリースは場当たり的で…」
とかかいてるぞ
言われたとこしか直して無くて他にも同種の穴あったっての勘弁な