OpenOffice.orgのセキュリティリスクは高い 94
ストーリー by kazekiri
最新の状態を保ちましょう 部門より
最新の状態を保ちましょう 部門より
Anonymous Coward曰く、"
フランス国防省がまとめた報告によれば、OpenOffice.orgの
ウイルス感染の危険性は、少なくともMicrosoft Officeと同じくらい
高いとのこと(
Open Tech Press記事)。
この原因は、稼働させているソフトウェアに対して
セキュリティ・チェックを行う仕組みが整っていないことと、
OpenOffice.orgの構造的な柔軟性があまりにも高いために
悪意のあるマクロを作成する方法も数多く存在するとのことだ。
この
OpenOffice.orgのコミュニティ・マネージャのインタビューでも
「マクロがしっかりサポートされていないので、Microsoft Officeの
マクロ・ウイルスをOpenOffice.orgで抑えることができない」という発言がある。
結局、この手のアプリケーションのセキュリティリスクはOSSだろうがなんだろうが変わらないということだろうか。"
便利さと安全さ (スコア:3, すばらしい洞察)
便利さと安全さってのはトレードオフな部分があるから仕方ないですね。開発者側もユーザはMSのOfficeと同等のマクロを求められて仕方なく実装しているのではないでしょうか(実際のところは全く知りませんが)。要望するユーザが悪いのか、実装する開発者が悪いのか...。
ACL的な設定があると良いかも。マクロ毎、関数毎に使わせないとか警告を出すとか。
# FirefoxのCookieの設定法が好きです。
# 基本的に受け入れる/受け入れない があり、
# 例外としてドメイン毎の設定で 受け入れる/受け入れない
# があるという感じ。
Re:便利さと安全さ (スコア:1)
デフォルト設定はどうするか?とか、設定画面の文言はどうするか?とか課題はあると思いますが。
個人的なイメージはFirefoxのJavaScript詳細設定みたいな感じ。
「ステータスバーのテキストを変更する」とか許可/不許可したい操作というか動作が分かりやすいもの。
#オフトピだけど、FirefoxにはOnUnloadイベントハンドラの抑止機能が欲しかったりする。
Re:便利さと安全さ (スコア:1, すばらしい洞察)
Re:便利さと安全さ (スコア:1)
絞り込んだ機能をのみ提供し、必要な人だけが拡張を入れる。
そうすれば個人が操作できるセキリュティの範囲がひろがりますし、ユーザーのスタイルに対して柔軟に対応できます。
そしてなにより、そっちの方が面白いでしょう。
# FirefoxがIEよりいじくりまわせるから好きって人は、 結構多いと思う。
OpenOffice.orgそのものの問題じゃないけれど (スコア:3, 参考になる)
送り主はodtなファイルをいくつかzipで同封したらしいですが、odtなファイル自体(結構こまこま入ってる)zip形式だったという真相でした。
Re:OpenOffice.orgそのものの問題じゃないけれど (スコア:1)
ODF と同様に複数の XML ファイルなどを zip 圧縮したものになる予定です。
従って、そのメールサーバのウィルス検査機構は ODF のみならず
Microsoft Office Open XML Format (と呼ばれるらしい) のファイルでも
障害を起こすことになりそうだと思います。
絶対的なリスクだけが問題ではない (スコア:2, 興味深い)
# そういった観点でMSOfficeやOpenOfficeを評価した
# 記事ってどこかにないですかね?
Re:絶対的なリスクだけが問題ではない (スコア:0, フレームのもと)
MS製品は、アンチ君が頑張ってキャンペーンはってくれるから、比較的耳に入りやすいが、オープンソースは、そんなキャンペーンしてくれる暇人もいないしユーザーグループは隠蔽体質を持ってるからな。
MSアンチはMSのMVP (スコア:2, 興味深い)
これがMSの競争力の源泉。
「たくさんの人がソースを読んでるから大丈夫」なんてデマゴギーよりずっと信用できる。
Re:MSアンチはMSのMVP (スコア:4, 興味深い)
なので、オープンソースだから誰かがバグや悪意あるコードを見つけられると盲信している人を見ると、無知って幸せだなと思ってしまいます。
ユーザが増えてくればそれなりに検証もされるようになるのでしょうが、MS製品の圧倒的シェアを考えれば、検証する側の数だって少なくなるし、当然見つかりにくくなるでしょう。
Firefoxなんていい例で、ユーザが増えてきたらどんどん脆弱性が見つかるようになってきてますよね。
それまではほとんど見つからなかったわけですが。
なので、バグが見つかるソフトがイコールそのまま危険というわけではないと思います。
むしろ、既知でない脆弱性が密かに裏で突かれることの方が遙かに危険だと思う。
別にOOoが嫌いなわけでも何でもないんだが、やっぱりMS Officeとの互換性も中途半端だし、リスクが特別減るわけでもないし、無料であること以外にはLinuxで動くくらいしか自分には利点がないですね。
Re:MSアンチはMSのMVP (スコア:1)
・login そのものはソースコードレベルではバックドアは入っていませんが、
細工されたCコンパイラでコンパイルすると、バックドア入りのオブジェクトが出力されるようになっています。
・Cコンパイラの方も、ソースコードレベルでは上記のような細工は入っていませんが、自身をコンパイルすると
・login にバックドアを仕込む
・cc に、バックドアを仕込む機能を付加する
ような動作をするコンパイラができあがるようになっています。
そのため、ソースコードレベルでは cc にも login にもバックドアは入っていませんが、
ソースコードから再構築しなおしたとしても、あいかわらずlogin はバックドア入りになります。
でも、これは当時の「自身がCコンパイラの制作者」であり、「CコンパイラはK&Rただ一つしか存在しない」という状況から生まれた特殊な例だと思うので、
今となってはこういった細工はもう成立しないと思います。
#だからといって「ソースを見るだけで問題ない」と安心してけないと思いますが、
#「こういう例もあるからソースがあっても安心できない」という論調になってはだめでしょう。
#ソースがあるほうがより安全よりなのは確かなわけで。
Re:MSアンチはMSのMVP (スコア:1, 参考になる)
Google さん、スポンサーになって(はぁと)
安全性もそうだけど (スコア:2, すばらしい洞察)
誰だよ、あんなのが「直感的で分かりやすい」なんて言った奴は。
Re:安全性もそうだけど (スコア:4, すばらしい洞察)
すぐに見付からない機能は無いものと考えよう
誤記 FireFox
巫女 Firefox [mozdev.org]
Re:安全性もそうだけど (スコア:3, すばらしい洞察)
初心者以外にとっては、使いづらくなるかもしれません。
# いまどき、「保存」のアイコンがフロッピーなのは直感的なんだろうか?
FDドライブ (スコア:4, おもしろおかしい)
かなり直感的です!
以前、FDドライブなしのPCのCD-ROMドライブにフロッピー突っ込まれた事件以来、
うちのオフィスのPCには必ずFDドライブが付いたものが設置されておりますから
Re:安全性もそうだけど (スコア:3, 興味深い)
Re:安全性もそうだけど (スコア:1, おもしろおかしい)
Re:安全性もそうだけど (スコア:1, 興味深い)
というのは本当だろうか?
言葉で表現すれば、文字さえ読めれば誰にでも分かる。
でも、アイコンは、そのアイコンのことを知らなければ分からない。
しかも、ひとに聞こうと思っても読み方も分からない。
アイコンなら、文字を読めない人でも分かるかもしれない。
でも、文字を読める人しか使わないであろうワープロとかにも
アイコンが多用されているのは、どういうことだ?
Re:安全性もそうだけど (スコア:1)
どのメディアの形にするのが問題だが...
USBメモリだと決まった形ないな...
色の選択は MS Office の方がわかりやすい (スコア:2, 参考になる)
なので使いづらさを忠実に再現するのはやめてほしいですが、いいところで取り込める可能性のあるインターフェイスは取り込んでほしいですね。
屍体メモ [windy.cx]
Re:色の選択は MS Office の方がわかりやすい (スコア:1)
#うちはネットでアクティできるけど、軽いので2003入れずにずっと2000のままです。追加機能いらないし。
#という事でOOoも重厚なOffice2003以降バージョンと、ライトなOffice2000バージョン作ってほしいな。
Re:色の選択は MS Office の方がわかりやすい (スコア:1, おもしろおかしい)
Re:安全性もそうだけど (スコア:2, すばらしい洞察)
Re:安全性もそうだけど (スコア:1)
1を聞いて0を知れ!
Re:安全性もそうだけど (スコア:0, オフトピック)
いやあ「直感的」なんて言葉を理解しやすいことの意味で使えるのは, 人によって物事の理解の方法が異なっていることを理解していないことが前提ですから. むしろ「直感的」と書かれてあったら「分かりにくい」「場当たり的」「首尾一貫していない」と解釈すべきなんですよ.
Re:安全性もそうだけど (スコア:1)
Re:安全性もそうだけど (スコア:1)
その様に考えるのも極一部です. むしろ首尾一貫しているからこそ, 直感と矛盾することも多々あります. 多くの人にとっては首尾一貫していることが重要なのではなく, 日常的に接している事象に直接的に相似していることが重要なのです.
経験を構造化された知識として蓄えるのか, あるいはフラットな無構造な知識として蓄えるのかは各人によって異なっているので, 軽々と「直感的」なんて言葉は使うべきではないのです.
もっと前向きに (スコア:2, すばらしい洞察)
前向きに捕らえれば良いじゃないですか。
「Microsoft Officeと同じくらい」ってのはなかなか
凄いことだと思いますよ。
あとはお互い切磋琢磨して前進していけば良いじゃないですか!
といいつつ、OOOは使っていないんですが。
--- (´-`)。oO(平和な日常は私を鈍くする) ---
どこまで似せるべきか (スコア:1, 興味深い)
エラーが発生してエクセルで読めなくなりました。
助けを求められたので、駄目元でそのファイルを calc で
読み込んでみると、かなり時間がかかったものの (互換性も
どのくらい保持されていたのかも不明ですが)、とにかく読み
込めました。
それを改めて xls ファイルとして書き出した所かなりの部分を
回復できたようです。OOo は MS Office のマクロ復旧機能を
謳ってはいないでしょうが、コンパチビリティが高ければ役に
立つことを実感しました。まぁエクセルがマクロ修復機能を
持っていれば OOo は不要ということにもなりますが。
Re:どこまで似せるべきか (スコア:1)
OOoは、マクロ付きファイルを読み込むと、マクロ部分をコメントアウトします。で、xlsファイルで保存するときに、設定によってはコメントアウトのままで保存できます。
OOoはマクロ復旧機能を持っていませんが、この機能を使って、エラーのマクロを動作しないようにしたのではないでしょうか。
(パワポのファイルを修復してしまうという事例を、聞いたことがあります)
互換性なんて捨てれば良いのに (スコア:0)
が、ライトなユーザーが事務文書作成などに使うには明らかにオーバースペック。
機能をもっとシンプルに絞り込んで、使いやすさを前面に押し出せば良いのに。
FirefoxユーザーだってOSのアップデートではIE使ってるんだから。
Re:互換性なんて捨てれば良いのに (スコア:1)
日頃から
Firefox
Thunderbird
OOffice
を使っていればいつでもWindowsを捨てられます。
ゲーム用OSとしてのWindowsの価値はそうそう崩せないでしょうが…
#apt-get update
#apt-get upgrade
誤記 FireFox
巫女 Firefox [mozdev.org]
Re:互換性なんて捨てれば良いのに (スコア:1, 参考になる)
ユーザは別に「Windowsを捨てること」を望んでいるわけではない。
Re:互換性なんて捨てれば良いのに (スコア:3, すばらしい洞察)
OSS信者の「Windowsを捨てよ」という主張には、ダメなもの、使ってはいけないものを排除するという意味ではなくて、自分が嫌いなものを排除し、好きなものを押し付けたいという目的でしかないものが多すぎます。
実際のユーザは「Windowsを捨てたい」のではなく、単純に「安全で使いやすいものが欲しい」というだけなんです。
自分勝手なイデオロギーによる「OOoを使え」という布教活動をみてると、鬱陶しく感じます。
「OOoのほうが安全だからMSOfficeを捨てろというが、それは事実か?」といえば、それは嘘なわけで。
Re:互換性なんて捨てれば良いのに (スコア:0)
さらに突然、Windows以外も、自分が望んでいるものではない事に気がつく可能性も捨てられません。
さらに突然、自分が望んでいるものが明白になってしまう日がきてしまう可能性も捨てられません。
# 可能性にかけてると、永遠に終わらない事に気がついた今日。
Re:互換性なんて捨てれば良いのに (スコア:0)
>ユーザは別に「Windowsを捨てること」を望んでいるわけではない。
でも企業の場合、代替を全く検討していない事も無いですよ。
Windowsであっても、新バージョン毎にある意味捨ててるわけだから、それほど特殊ではないです。
Windowsが業務に適してるのであれば使うしMacが適しているなら使ってます。
Re:互換性なんて捨てれば良いのに (スコア:1)
OSSでエロゲーを作りまくれば良いんだ。
「なんとかインチキできんのか?」
Re:互換性なんて捨てれば良いのに (スコア:0)
業務用なんて捨てればいいのに、と思います。
他企業や官公庁との互換性から結局企業ではMS Officeを
捨てられないけど、家庭で家計簿やゲームの点数計算したり
町内会のお知らせ作るのにMS Officeはオーバースペックだし。
Re:互換性なんて捨てれば良いのに (スコア:2, 興味深い)
「入力してEnter押したあとのカーソルの移動方向を変える」
といったあってもなくてもよいように見える機能に限って、存在しないと作業効率がとんでもなく落ちたりします。
+=======------
| K.Hamaura a.k.a. SeyfertSluw
| 「SFはどこまで実現するか」 復刊希望は→http://www.fukkan.com/vote.php3?no=4901
Re:互換性なんて捨てれば良いのに (スコア:1, 興味深い)
日本での選択肢はMS Officeとそれ以外しかないんですよ。残念ながら。
Re:互換性なんて捨てれば良いのに (スコア:1)
今はLotusのSuperOfficeが自宅ではメインですねぇ。機能的には断然良いし、123あたりはMS-Officeと一応互換性がありますので。
Re:互換性なんて捨てれば良いのに (スコア:0)
Re:vn氏の (スコア:0)
今頃はゲシュタルト崩壊でも起こしてるんじゃない?
仏国防省の指摘に基づく改善はいつ始まったか? (スコア:1, 興味深い)
OTP の記事の元になったのは8月11日付の InfoWorld の記事 [infoworld.com]
だと思いますが、これを読んでも "OpenOffice.org 開発チームはいつの時点で
脆弱性の指摘を受けたか" という肝心な情報が欠落しています。
ただし関連する情報として、OpenOffice.org のポッツ氏のコメントを
次のように紹介しています: また指摘を受けたバグを修正したとの記述もありますので、
指摘事項のうち幾つかは 2.0.3 で直っているものと考えて良さそうです。
となると、InfoWorld は脆弱性指摘のタイミングをぼかすことによって
ニュース価値を実際より大きく見せる、という過ちを犯しているのかも
知れません。
Re:仏国防省の指摘に基づく改善はいつ始まったか? (スコア:2, 参考になる)
遅くとも6月に着手されていたということですね。(なぜ InfoWorld は
今頃記事にしたんだろう?)
また、フランス国防省の研究者から脆弱性の指摘があったという報道は
遅くとも7月11日付のものがあります。 [zdnet.fr]
これに対応する OpenOffice.org Team からの声明は7月20日付です。 [openoffice.org]
従って InfoWorld の報道は、第一報からまるまる1ヶ月経った内容の焼き直しで
あるばかりか、先行報道に一切言及していないという、問題の多いものです。
このような記事を載せた意図は計りかねます。
InfoWorld による印象操作? (スコア:1)
InfoWorld の記事にはこれらの日付がひとつも出てこない、というのが問題です。
日付を出した場合に、古新聞なみに鮮度のない情報を記事にしているのが
バレてしまうから、ではないでしょうか?
InfoWorld の問題です (スコア:1)
日付です。内容はほとんど同じです。IDG Network 内部での転載に過ぎません。
いかに AC とはいえ、勘違いに基づく記事はみっともないものです。
Re:仏国防省の指摘に基づく改善はいつ始まったか? (スコア:1)
急いで直さなきゃならないような脆弱性の指摘はそもそも含まれて
いなかった、という情報もあります。中長期的な課題として残っているのは、
そもそもマクロを実行する前に Java のサンドボックスみたいな機構を
通した方が根本的にいいんじゃないか、という点です。
セキュリティに関して、Microsoft Office に明確な差をつけるためには
それくらいの対策が必要だろうと私も思います。
Re:仏国防省の指摘に基づく改善はいつ始まったか? (スコア:1, おもしろおかしい)
> ところが、指摘を受けて直したのは「バグ」であって、
反論になってません。
> 急いで直さなきゃならないような脆弱性の指摘はそもそも含まれて
> いなかった、という情報もあります。中長期的な課題として残っているのは、
その情報はどこにありますか?
確かな話ですか?
妄想ですか?
> セキュリティに関して、Microsoft Office に明確な差をつけるためには
> それくらいの対策が必要だろうと私も思います。
正)Microsoft Officeとの差を縮めるためには
誤)Microsoft Office に明確な差をつけるためには