アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり
それって脆弱性そのものじゃ… (スコア:1)
セキュリティを迂回するってことは、例えば
ページを見ただけでHDをフォーマットとか、
今まで出来なかった(悪意のある)行為が
し放題ということではないのだろうか?
というか、HTMLを利用する事に
何の利点があるのかわからない。
というのはさて置き…
>OSは、HTMLアプリケーションのファイル拡張子「.hta
っと・・・。
Re:それって脆弱性そのものじゃ… (スコア:0)
別に最近登場したものでもないし。
表層的な情報だけで、しかも誤解したうえで批判するのはみっともないよホントに。
Re:それって脆弱性そのものじゃ… (スコア:0)
そういう特権命令が使えるかどうかだけど。
>表層的な情報だけで、しかも誤解したうえで批判するのはみっともないよホントに。
てなわけで大丈夫と言い切るのも非常に危険と思うんですが?
Re:それって脆弱性そのものじゃ… (スコア:0)
>そういう特権命令が使えるかどうかだけど。
だから、そんなもんはexeでもbatでもvbsでもjsでもwshでも同じだろ。
パーミッションは全然別のレイヤの話。
(まあ、ユーザのパーミッションに従うんだけど。)
# アホですか?
Re:それって脆弱性そのものじゃ… (スコア:0)
このコメント [srad.jp]にあるように、EXEと違って「なんでも実行可能」にしない方法があるのならば、IEの「セキュリティレベル」でカスタマイズ可能とするべきでしょう。もちろんデフォルト設定はより安全な方にふっておくべき。
コマンド実行自体は別のレイヤとはいえ、コマンドはコマンド実行関数経由でないと不可ということにして、.htaをレンダリングする時点でレベルチェックを行えばいい、と思うんですが。
(仕様を把握してないので既に実現されてるかも知れませんが)
phpみたいにコマンドライン実行を許すのなら実行レベル管理が困難になるけど、IEからの実行しか許さないのならば「別のレイヤだから知らん振り」しなくてもいいんじゃないかと。
# 否定しかせずに代案提示もしない人にアホ呼ばわりされたくないなー
Re:それって脆弱性そのものじゃ… (スコア:0)
IEで受け取るが、インタプリタdllにそのまま流すのかな?
Re: (スコア:0)
Re:それって脆弱性そのものじゃ… (スコア:0)
だから、IE上じゃ動かないってっば・・・。
(このトピック内で、何度同様の事が書かれてるだろか・・・)
HTAはあくまでも、MSHTA.EXEを通して実行されるローカルスクリプトだって。
そんな代物が、IEのセキュリティーゾーンに従って動いたら、それこそ脆弱性の元だ。
つまるところ「コマンドラインからしか動かない」代物なんだって。
他のローカルスクリプトにない、特徴は画面をHTMLの作成出来る
Re:それって脆弱性そのものじゃ… (スコア:0)
別の代案を提示していただけませんか?