パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

niftyに偽装した悪意のあるサイトが登場」記事へのコメント

  • IEの脆弱性? (スコア:2, すばらしい洞察)

    by Anonymous Coward
    これは Adodb.Stream と Shell.Application か WScript.Shell の脆弱性なんですかね。
    そもそもこんなものが CreateObject できてしまうことが脆弱性なのか…
    非常に簡単な手法で、ページを閲覧するだけで任意のプログラムをダウンロードして実行させることができるため、このスクリプトが本当に動くなら危険すぎです。
    Micorosoftの告知はどれなんだろう…、微妙に違うのしか見当たらない。
    • 確かに、最初に穴を明ける元コード(タレコミにあるリンク参照)自体がActiveXでもXHTMLでも動くように細工されていますけど(ってその方面の物を書いたことが無いし、言語自体のドキュメントを読んだ訳でもないので、山勘でロジックを探った上で言っていますが ^^;)、
      WEBブラウザの世界が、今もてはやされているWeb 2.0、特にAJAXやSpiderMoknkey(でよかったでしたっけ?)のように、相手のサーバ上に置かれたスクリプトを読み込んで解釈する事で色々なギミックを行えるような方向で発展していく以上は、こういう偽装ドメインやブラウザのコード実行機能との
      • 結局、攻撃の狼煙をあげるための媒体と言うか実行環境がWEBブラウザのスクリプト実行環境になっただけで、目新しい部分は無いです。それですら少し前ならばJavaScript+(ActiveX|Javaアプレット)で出来たことでしょうね。

        と書いておきながら、

        Web 2.0のアーキテクチャ自体の根本的な問題だと思いますよ。

        というのを読むと、 Web 2.0 という言葉で何を指しているのかよくわからないのですが、 JavaScript も ActiveX も、 Netscape Navigator の「新機能」だったプラグインも、すべてサーバーからコードをダウンロードして実行する仕組みです。細部は違えども、サーバーからコードをダウンロードして実行する仕組み自体は最近出てきたわけではありません。

        コードをサーバーからダウンロードして実行するのは、素朴に考えればもちろん危険です。でも、それが便利だからこそ、ブラウザーのメーカーはどうやって安全性を確保しながら同じ目的を実現するかということに知恵を絞ってきたのだと思います。その結果、ブラウザーのバグがセキュリティー上問題になるかどうかによって大きく扱いを変えるという常識を生んだし、独自のプラグインや ActiveX コントロールよりも Flash Player など有名な ActiveX コントロールと JavaScript の組合せに移行してきたのだと思います。コードをダウンロード・実行するのを否定することは、 Web 1.0 の時代ではなくプラグインもない Mosaic ブラウザーの時代に逆戻りすることだと思います。

        便利さと安全性を対立するものだと捉えて、安全性を選んで便利さを捨てようと考える人がいてもかまいません。一般に便利さと安全性が対立する場面というのはよくありますし。でも僕はこの件に関しては、便利さと安全性を両立させようという努力が既にかなりの成果を挙げてきたと思っていますし、今後もその努力を続けるほうに将来性を感じます。

        親コメント

私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike

処理中...