アカウント名:
パスワード:
結局、攻撃の狼煙をあげるための媒体と言うか実行環境がWEBブラウザのスクリプト実行環境になっただけで、目新しい部分は無いです。それですら少し前ならばJavaScript+(ActiveX|Javaアプレット)で出来たことでしょうね。
と書いておきながら、
Web 2.0のアーキテクチャ自体の根本的な問題だと思いますよ。
というのを読むと、 Web 2.0 という言葉で何を指しているのかよくわからないのですが、 JavaScript も ActiveX も、 Netscape Navigator の「新機能」だったプラグインも、すべてサーバーからコードをダウンロードして実行する仕組みです。細部は違えども、サーバーからコードをダウンロードして実行する仕組み自体は最近出てきたわけではありません。
コードをサーバーからダウンロードして実行するのは、素朴に考えればもちろん危険です。でも、それが便利だからこそ、ブラウザーのメーカーはどうやって安全性を確保しながら同じ目的を実現するかということに知恵を絞ってきたのだと思います。その結果、ブラウザーのバグがセキュリティー上問題になるかどうかによって大きく扱いを変えるという常識を生んだし、独自のプラグインや ActiveX コントロールよりも Flash Player など有名な ActiveX コントロールと JavaScript の組合せに移行してきたのだと思います。コードをダウンロード・実行するのを否定することは、 Web 1.0 の時代ではなくプラグインもない Mosaic ブラウザーの時代に逆戻りすることだと思います。
便利さと安全性を対立するものだと捉えて、安全性を選んで便利さを捨てようと考える人がいてもかまいません。一般に便利さと安全性が対立する場面というのはよくありますし。でも僕はこの件に関しては、便利さと安全性を両立させようという努力が既にかなりの成果を挙げてきたと思っていますし、今後もその努力を続けるほうに将来性を感じます。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
普通のやつらの下を行け -- バッドノウハウ専門家
IEの脆弱性? (スコア:2, すばらしい洞察)
そもそもこんなものが CreateObject できてしまうことが脆弱性なのか…
非常に簡単な手法で、ページを閲覧するだけで任意のプログラムをダウンロードして実行させることができるため、このスクリプトが本当に動くなら危険すぎです。
Micorosoftの告知はどれなんだろう…、微妙に違うのしか見当たらない。
Web 2.0自体の脆弱性では?(Re:IEの脆弱性?) (スコア:1)
WEBブラウザの世界が、今もてはやされているWeb 2.0、特にAJAXやSpiderMoknkey(でよかったでしたっけ?)のように、相手のサーバ上に置かれたスクリプトを読み込んで解釈する事で色々なギミックを行えるような方向で発展していく以上は、こういう偽装ドメインやブラウザのコード実行機能とのコンボで突撃をかけるというのはいづれ表に出てくる物では無かったでしょうかね。
実際、やりかたと言うか根本にある考えとしては重要そうに偽装された電子メールに添付されたWordなどの文書を開くと中のワームが悪さをしていた時期の「それ」と変わらないと思いますし…目新しい所があるとすれば、Webでセッションを張った直後に外部サーバから攻撃コードを自力で読み込むというように、WWWブラウジングや上接続可能なインフラを逆手にとっているのでわかりにくくなっている程度ではないかと。
結局、攻撃の狼煙をあげるための媒体と言うか実行環境がWEBブラウザのスクリプト実行環境になっただけで、目新しい部分は無いです。それですら少し前ならばJavaScript+(ActiveX|Javaアプレット)で出来たことでしょうね。
どちらかというと、Web 2.0と言う風に呼ばれている技術の中で多く使われているような要素を悪用して、攻撃されているのをわかりにくく隠蔽する事が簡単にできてしまっている訳で、Web 2.0のアーキテクチャ自体の根本的な問題だと思いますよ。
今のように、何でもブラウザで出来てブラウザ自体スクリプトで機能拡張できるような便利さを取るべきか、完璧な安全性に舵を取りなおすためにスクリプト実行環境を撤廃同然にすべきか…悩ましい所です。
# まーどっちもあればいいんでしょうけどね。ブラウザの設定で実行の可否を決める程度では、
# ブラウザ自体のバグを突破される可能性を考えると無意味な状況ではないかと。
Re:Web 2.0自体の脆弱性では?(Re:IEの脆弱性?) (スコア:2, すばらしい洞察)
と書いておきながら、
というのを読むと、 Web 2.0 という言葉で何を指しているのかよくわからないのですが、 JavaScript も ActiveX も、 Netscape Navigator の「新機能」だったプラグインも、すべてサーバーからコードをダウンロードして実行する仕組みです。細部は違えども、サーバーからコードをダウンロードして実行する仕組み自体は最近出てきたわけではありません。
コードをサーバーからダウンロードして実行するのは、素朴に考えればもちろん危険です。でも、それが便利だからこそ、ブラウザーのメーカーはどうやって安全性を確保しながら同じ目的を実現するかということに知恵を絞ってきたのだと思います。その結果、ブラウザーのバグがセキュリティー上問題になるかどうかによって大きく扱いを変えるという常識を生んだし、独自のプラグインや ActiveX コントロールよりも Flash Player など有名な ActiveX コントロールと JavaScript の組合せに移行してきたのだと思います。コードをダウンロード・実行するのを否定することは、 Web 1.0 の時代ではなくプラグインもない Mosaic ブラウザーの時代に逆戻りすることだと思います。
便利さと安全性を対立するものだと捉えて、安全性を選んで便利さを捨てようと考える人がいてもかまいません。一般に便利さと安全性が対立する場面というのはよくありますし。でも僕はこの件に関しては、便利さと安全性を両立させようという努力が既にかなりの成果を挙げてきたと思っていますし、今後もその努力を続けるほうに将来性を感じます。