ITmedia記事が危険なHTAで外部サイトの表示を薦めている 47
ストーリー by yourCat
性善説の危険性 部門より
性善説の危険性 部門より
ITmediaの記事「「ファイル名を指定して実行」の便利な使い方(その1)」は、Windowsの同機能をtips風に解説したもので、なかなか好評のようだ。ところがこの記事、最後になって mshta.exe の話が出てくる。
Anonymous Coward曰く、
記事の最後のほうで、mshtaコマンドにURLを指定してHTAとして外部サイトの表示を薦めてしまっている。記者はツールバーやアドレスバーが表示されないだけだと紹介しているが、大きな間違いで大変危険だ。mshtaはIEからセキュリティー制限をはずした物だということを知らないようだ。
「良く解らないものを無理して使うからよ」と聞こえてきそうだ。
mshta.exe は HTA ホストであり、ゾーンを無視して警告なしにスクリプトや ActiveX コントロールなどを動かすことができるアレでナニなモジュールだ (参考: 「ITMediaにとんでもなく危険なLifeHackが載ってる件」)。記事題名に「(その1)」とあるので、その2以降でセキュリティー上の問題点も解説してくれることを期待しよう。
その2で、じゃなくて訂正すべき (スコア:3, すばらしい洞察)
それを言うならば、、、 (スコア:3, 興味深い)
http://opentechpress.jp/security/article.pl?sid=07/02/28/0125204 [opentechpress.jp]
いったい何年前の常識だ!と頭を抱えた。
#セキュリティってサーバがクラックされないことだけ
#ではないよね。
Linuxにもウィルス対策は必要 (スコア:2)
悪意のあるソフトウェアに対抗する機構は別にWindowsだけではなく他のOSにも必要ですね。
暗号化されたzipファイルに入ったウィルス(Bagle-KL)を実行してしまう人がいる今日の状況を考えると、『パーミッションがあるから安全』というのは過去の発想だと思います。この記事を書いた人にとっては、メール中で管理者を語る人に指示された通りにrootになり、メールに添付されたソフトを実行してしまうということは考えられないことかも知れませんが、Linuxが今後一般利用者に普及をすればそのような事態は十分起きえるでしょう。実際、最近のウィルスにはメールにて管理者を語りで添付ファイルを実行させようとするものが多々ありますね。
それに、ネットワークワーム、ルートキットもウィルスに入れるとするとLinux上で動くウィルスは幾つでもありますから、対策は強ち不要でもないですね。Lupperに感染しているらしいホストからのスキャンは未だにやってきますし、管理者権限を奪取するようなカーネルセキュリティホールは最近でも時々見付かりますから。
Re:Linuxにもウィルス対策は必要 (スコア:0)
UNIX系OSに必要なものはアンチウイルスソフト(あるの?)なるものではなく、きっちりとした設定と可能な限り迅速な(バグ発覚したソフトの)更新です。設定は難しいけど、アンチなんとかで代わりをさせようなんてダメ。
-- A.C., nothing more, nothing less.
Re:それを言うならば、、、 (スコア:0)
> #セキュリティってサーバがクラックされないことだけ
> #ではないよね。
そうですね。スカートの中のぱんつをみられないのもセキュリティ。Linuxでそこまで守ることはできません。
-- A.C., nothing more, nothing less.
Re:それを言うならば、、、 (スコア:0)
#ぱんつはいてない
Re:それを言うならば、、、 (スコア:0)
LifeHacking (スコア:2, おもしろおかしい)
まぁ、色々あるわな。
存在することが悪? (スコア:2, すばらしい洞察)
Re:存在することが悪? (スコア:4, おもしろおかしい)
# いや、あの、冗談ですからね。
Re:存在することが悪? (スコア:1, おもしろおかしい)
#ごめんなさいごめんなさい
Re:存在することが悪? (スコア:0)
Re:存在することが悪? (スコア:0)
Re:存在することが悪? (スコア:0)
どうせ10年前から進歩してませんよーだ。
Re:存在することが悪? (スコア:0)
Re:存在することが悪? (スコア:0)
#1120989 [srad.jp]と混ざって大変なことになりました。
#下品なのでAC
Re:存在することが悪? (スコア:3, 参考になる)
WSHスクリプトでは作れないGUI付きのスクリプトといったイメージ。
でも、危険であることには変わりないので、.htaの関連付けを外すことを薦めている事も多いですね。
Re:存在することが悪? (スコア:1, 興味深い)
GUIをhtmlで作れるし、wshも呼び出せるため、簡単なアプリだったら作成可能です。
.htaのアプリとかがそうですね。
mshtaとは関係ありませんが、、、
クライアントアプリでもhtmlでGUIが作れるってのは、個人的に理想的なGUI作成環境だと思います。
凝ったGUIをオーナドローとかでガリガリ作るぐらいだったら、こっちの方が簡単です。
デザイナーとプログラマーの分業も出来ますし、保守も楽チンです(多分)。
#実は、某社の有名なソフトのGUIもhtmlだったりする(w
mshtaがネットワーク越しに呼びさせることは今まで知りませんでしたが、
この使い方は、exeファイルを開くで実行しろって事と同じですよね、、
便利なツールも愚かな使い方をされると大変です。
Re:存在することが悪? (スコア:1)
HTML は視覚制御の面からも機能面からもプアであることは否めないので、WPF の方が理想的じゃないですか? これですら「HTML を置き換えて Web の世界を独占しようとしている」とか言われちゃってるのがアレでナニですが。
.NET Framework 3.0 になってしまうので、Windows 2000 を視野に入れると厳しいというのはありますが、GUI 定義をコードレベルで分離できる点はかなり大きいと思います。
# Orcas が出てくると作業が進めやすいのでしょうけど……。
Re:存在することが悪? (スコア:0)
#もちろんでまかせ
将来のための営業努力 (スコア:0)
Re:存在することが悪? (スコア:0)
なんとなく死んでいく。
そんな私にも存在意義があると思ってました。
Re:存在することが悪? (スコア:0)
君にも存在意義はある。
たとえ ACだろうともだ。
嘘を嘘と見抜けない人には難しい (スコア:1, おもしろおかしい)
mshta.exe自体が危険、であるならば... (スコア:1)
自分で検証できる環境じゃないんであんまり自身がないんですが、実際にセキュリティゾーンとかを無視してweb pageを開いたり、スクリプトを実行したりすることが可能、ということでいいんですよね?
だとすればそれ自体、Windowsのセキュリティホールじゃないかという気がしたりもするんですが、その点はどうなんでしょう?
ひょっとしてmshtaの存在自体(もしくはmshtaをユーザが勝手に使えること)について、Microsoftにクレームをつけるべき?
Re:mshta.exe自体が危険、であるならば... (スコア:3, すばらしい洞察)
だって、そもそもセキュリティがないんですから。
しかし、このmshta.exe自体は基本的にローカルでしか開けないし、
ユーザー自らが実行するものですから、ユーザー自身が
自分が何やっているかを理解していれば済む話。
企業のPCとかだったら、管理者が適切な実行権限を与えていればよい。
しかし常識的な人だけが読む記事じゃないんだから、「危険ですから
自己責任で!」という注意が全くもって足りないですね。
うかつです。
jbeef高木センセイがつっこみそう。
Re:mshta.exe自体が危険、であるならば... (スコア:0)
>自己責任で!」という注意が全くもって足りないですね。
「悪用厳禁」雑誌でやってれば問題なかったと。
Re:mshta.exe自体が危険、であるならば... (スコア:2, すばらしい洞察)
Firefox では Windows の設定にあるセキュリティゾーンの設定を無視して Web サイトの閲覧を行ったり、スクリプトを実行することが可能なわけですが、これ自体が Windows のセキュリティホールになるのですかね?
という話となんら差がない程度には、IE と mshta の存在に差はあります。
Windows 標準コンポーネントじゃないかと言われても、telnet で 80 番叩いた時にも適用されなかったらセキュリティホールだとかと言われると、頭を抱えたくなります。
mshta をユーザが勝手に使えることは、perl や cc をユーザが勝手に使えることとどのくらいの差があるのかとか。
Re:mshta.exe自体が危険、であるならば... (スコア:1)
Re:mshta.exe自体が危険、であるならば... (スコア:1)
>ゾーンを無視して警告なしにスクリプトや ActiveX コントロールなどを動かすことができるアレでナニなモジュールだ
とある訳で、スクリプトは普通として、ActiveXコントロールが警告なしで動くあたりは明らかにPerlなどよりはリスクが高いように思いますけど。
Unix系で言うならばユーザ権限で動くPerlやPythonのスクリプトが外部からのバッチなどを勝手に読み込んでsudoしてroot権限でアレコレ悪さするのを許すようなもので、root権限に遷移するときに、警告もrootのパスワードを尋ねる事もなければ、そりゃ危なすぎるでしょう。ということで。
確かに、管理者が管理者アカウントでは入れなくなったときなどの危機的な状況で使えるような、ある種の「万能ナイフ」的な使われ方を想定して入れられているんで、mshta.exe自体は「必要なもの」ではあるのでしょうけど、
Windowsはシステム管理に関する権限が(Unix系上がりから見ると)細かいというか入り組んで見えてわかりにくいですし、
それ以前にITProのようなメジャーなサイトでこの手の取扱い注意な物を推奨するのは、初心者が真似したらやばすぎるでしょう。と言うか、「便利なスクリプト」と称する、斜め読みしただけだと安全に見える、バックドア開いて本体を読み込んで暴れさせるようなtrojanに引っかかる人が続出するのは目に見えてるでしょうに…と言うことで。
# それ以前にadministrator権限付いたユーザでないとインストールできなくて、インストールした
# ユーザしか使用できないアプリケーションが多すぎる方がさらに問題だとは思いますけどね。
## なんでusers権限でのアカウント単位での限定インストール出来ないのよ?と言うアプリが
## 多い…多過ぎる…
Re:mshta.exe自体が危険、であるならば... (スコア:3, すばらしい洞察)
GCC や Perl が入っているがために、侵入後に httpd や IRC bot がインストールされて……とかいう観点から見たら、cc や perl の方がリスクが高いもののように見えるわけで、そこは視点の差でいくらでも言える話でしょう。
元コメントが記事の是非を置いた上での話をしているのでソフトウェア単体の話として、存在自体は「そのままでいいんじゃないの?」と考えています。ローカル HTA ファイルのホストとしては ActiveX コントロールの警告なんてものが出る事の方が困りますから。
コメントの部分に関しては、ソフトウェアベンダ側の問題としかいい様がありませんね。インストールしたユーザしか利用できないっていうのは、ライセンス上の制約もあるかもしれませんが。
で、ユーザ権限でのアカウント単位の限定インストールって、どこにインストールするんですか? Program Files 以下へ書き込んで Windows のシステム管理下に置きたいなら、Windows のパッケージシステムを利用する話になるので管理者権限が必要になるのは全く不思議はありませんし、ユーザフォルダに置く「野良アプリ」という話であれば、パッケージシステムの範囲外で行うことですから Windows Installer を使っていないものを使う、という話になるように思います。
一般ユーザで apt-get install lv とかやったら ~/bin に lv が入るって話だとしたら、OS のパッケージシステムを利用する場合ユーザ単位での限定インストールができるシステムの方が希少というか、存在しないように思いますがどうでしょうか。
Re:mshta.exe自体が危険、であるならば... (スコア:1, すばらしい洞察)
侵入された時点で、バイナリを後から送り込むことも出来るわけで、ローカルにコンパイルできることがリスクの面でそんな大きな差になるとは思えないのですが。
できないほうが良いのは分かりますが。
Re:mshta.exe自体が危険、であるならば... (スコア:1)
mshta.exe "res://%SystemRoot%\system32\nusrmgr.cpl /nusrmgr.hta"
で標準のユーザーアカウント設定画面出せますからな。
ドメイン環境でも使用可。
Re:mshta.exe自体が危険、であるならば... (スコア:1)
もっといえばただ単に知らないexeを実行してるのと同じ事。
IEでふつうにWeb閲覧してるときに、閲覧しているページからローカルでexeが動いたらもちろん脆弱性ですが、
exeをダウンロードしてダブルクリックで実行したらファイルが消された!っていうのは脆弱性ではないですよね。
まぁWSHがあるので現状あえてこれ経由でバッチ処理する必要はないと思いますが、GUI付きの簡易アプリの作成は楽にできます。
そもそもローカルのファイルを処理するためのホストなのでActiveXのセキュリティ云々も関係ありません。
まぁ外部ページ閲覧の時に一言くらいあってもいいような気もしますけど…
あのー、過剰反応な気がするんですが… (スコア:1)
/K
Re:あのー、過剰反応な気がするんですが… (スコア:3, すばらしい洞察)
FWでmshta.exeを弾いとけばおk (スコア:1)
普通mshtaで外部参照することなんてないですし
実はこの記事・・・ (スコア:0)
で、ITmediaは余裕でスルーですか (スコア:0)
訂正されました (スコア:0)
が、元の文章はそのまま残り(<del>等もなし)、訂正文は文章末の画像のさらに下。
訂正文の存在に気付かない人が出そうな気も。
Re:ITMediaクオリティー (スコア:1, すばらしい洞察)
+D,@IT,Mobile,エンタープライズなどは、大衆向けの中では詳細に立ち入っている方かと。
Re:ITMediaクオリティー (スコア:1, 興味深い)
中途半端に通ぶった文字通りの半可通を量産するだけ。
Re:ITMediaクオリティー (スコア:0)
ITmediaも運営費稼がにゃならんし広告記事やめろというのも無茶では。
# って、最初数回見たっきり +D Style はクリックしなくなったので
# 今でも最初期と同じようなスタンスなのかは知りません。
Re:ITMediaクオリティー (スコア:0)
CNet Japanにはオピニオンを書けるような専属記者なり編集者っているんですかね? あそこって本家CNetの翻訳と国内のプレスリリースまとめ屋から買った記事しかやってないように見えるんですが。CNet Japan外の人間が書いてるBlogを「オピニオン」とは言いがたいし。
以前私のところで大規模なイベントがあったとき、ITmedia,インプレス,(ITProの)日経BP,MYCOMはもちろん 一般紙の記者まで来てたのにCNet Japanだけは記事すら載ってないのでがっかり。
Re:ITMediaクオリティー (スコア:0)
#まず結論ありきで語る「オピニオン」なら、読まなくても同じだしね