言いがかりだろ・・・・ (#1354903) | 「Safari Carpet Bomb」問題、MSが危険性を警告

「「Safari Carpet Bomb」問題、MSが危険性を警告」記事へのコメント

記事ページを表示すべてのコメント取得

検索52コメント Log In/Create an Account

言いがかりだろ・・・・ (スコア:0, フレームのもと)

by Anonymous Coward on 2008年06月02日 20時21分 (#1354903)

ダウンロードしただけでは、脆弱性とは言えず
それが、Windowsの脆弱性か何かで実行されて初めて問題になるんじゃないのかね？

exeファイルがダウンロードされたらいやかな、とは思うが・・・
そこが問題と言えば問題か。

# やっぱ、MS社内じゃ、Firefox,Opera,Safariの問題を探す部隊とかいるんだろうか・・・・
- Re:言いがかりだろ・・・・ (スコア:5, 参考になる)
  
  by T.Sawamoto (4142) on 2008年06月02日 21時09分 (#1354946)
  
  少し前のITmediaにSafariの「じゅうたん爆撃」問題、StopBadware.orgも対処を要求 [itmedia.co.jp]という記事がありましたけど、正直これはかなりまずいんじゃないかと。
  
  シェア
  
  親コメント
- Re:言いがかりだろ・・・・ (スコア:1)
  
  by nezuku (25740) on 2008年06月02日 21時16分 (#1354952)
  
  ダウンロードされたファイルのアイコンが、デスクトップにあるシステム既定のものと同じor似ている場合、
  デスクトップ上へダウンロード->デスクトップ上に同じアイコンが複数出現->ユーザが間違って開いてしまう可能性が
  あるのではないでしょうか。
  この場合Windowsというよりも、ユーザという複合的要因になりますが
  
  Leopardでダウンロードファイルの実行前問い合わせが実装されましたが、
  XPSP2以降に実装されたZoneIDを付加するなど近いことはできるのに、とは思ってしまいます。
  
  ＃デスクトップ上にファイルが作成されたら、自動的にZoneIDを付加するのがMS側の取れる対策かな?
  
  シェア
  
  親コメント
  - Re:言いがかりだろ・・・・ (スコア:1)
    
    by kei100 (5854) on 2008年06月02日 22時43分 (#1355026)
    
    実際その危険性がありますよね。
    正直、Winnyのトロイが利用してるフォルダや画像と同じアイコンの実行ファイルと同じ手口が使えるわけで。
    
    >＃デスクトップ上にファイルが作成されたら、自動的にZoneIDを付加するのがMS側の取れる対策かな?
    「ネットワーク通信を使用したアプリケーションがファイルを作成しようとするとZoneIDが自動的に付与される。」とかならアリかもしれません。
    ただし、影響範囲が広くなりすぎるので無理でしょうが。
    ブラックリスト方式で設定した名前のアプリケーションが作成するファイルにZoneIDが付与されるでも良いかもしれない。
    安全側に振った場合はホワイトリスト方式にしてセットアッププログラムが所定の手続きで登録してねって感じかな。
    
    シェア
    
    親コメント
    - Re:言いがかりだろ・・・・ (スコア:3, 参考になる)
      
      by nezuku (25740) on 2008年06月02日 22時55分 (#1355034)
      
      返事を書いていただいてからで申しわけないのですが、SafariでもZoneIDの付加が実装されていました。すみません。
      コマンドプロンプトから
      
      more < ダウンロードしたファイル:Zone.Identifier
      
      で表示可能です。
      
      ということで、親コメントのような誤クリックを誘発する方法は回避できるようです。
      
      シェア
      
      親コメント
      - Re:言いがかりだろ・・・・ (スコア:1)
        
        by kei100 (5854) on 2008年06月03日 15時47分 (#1355499)
        
        なるほど。
        FAT32環境じゃなければ大丈夫なようですね。
        
        最近じゃFAT32なWinNT系もあまり見なくなったしなぁ
        
        シェア
        
        親コメント
- Re:言いがかりだろ・・・・ (スコア:1)
  
  by soltiox (25610) on 2008年06月02日 21時17分 (#1354954) 日記
  
  ＞Firefox,Opera,Safariの問題を探す部隊
  他人のアラを嗅ぎ回る前に、彼らにはするべき事がありそうな気もしますが：）
  
  ただ、他のプロダクトとの差異を洗い出す作業は、やってるんじゃないですかね。
  そこら辺の絡みで、かなり深く挙動を探る、というのはアリな気がします。
  
  シェア
  
  親コメント
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    サファリだけにサイを洗い出すか、がはは
    
    #自分のウマシカさを河馬ーできないAC
- Re:言いがかりだろ・・・・ (スコア:1, すばらしい洞察)
  
  by Anonymous Coward on 2008年06月02日 22時03分 (#1354995)
  
  # やっぱ、MS社内じゃ、Firefox,Opera,Safariの問題を探す部隊とかいるんだろうか・・・・
  いてくれたらうれしいですね。
  bugzilla [mozilla.org]にsecurityフラグ立てて登録してくれたら、サイコーじゃないですか?
  
  シェア
  
  親コメント
- Re:言いがかりだろ・・・・ (スコア:1, 興味深い)
  
  by Anonymous Coward on 2008年06月03日 12時01分 (#1355311)
  
  ># やっぱ、MS社内じゃ、Firefox,Opera,Safariの問題を探す部隊とかいるんだろうか・・・・
  
  言いがかりとは君のような意見のほうを言う。
  
  Safariの脆弱性による攻撃被害がMSにクレームとして集まり、調べたところ
  当然Safariに問題があることがわかっただけ。
  
  Appleがとっとと対応してくれれば別にMSが動き出さなくても問題は無いのに、
  Appleの脆弱性修正は非常に時間がかかる。
  素直に脆弱性であると聞き入れないことも多いし。
  
  その間も被害者は増え続けてしまうので、ユーザのことを考慮してMSのほうから
  アドバイザリーを公開しただけ。
  
  前にもMySpaceでAppleは同じようなことがあった。
  QuickTimeの脆弱性を認めないせいで、MySpace側が独自に対処策を公開した。
  
  シェア
  
  親コメント
- Re: (スコア:0)
  
  by Anonymous Coward
  
  「絨毯爆撃」は、発見者のセンス不足というか、単にわかりやすく示しているだけで、実際にはWinnyと同じくらい危険です。それを証明したのが、例の大阪電気通信大の大学院生です。全く同じ現象、つまり情報漏洩もふくめて、が起こりうるわけで、放置すれば、確実に社会現象になるでしょう。これもWinnyが証明してくれました。
  
  しかも、これは、別にWindows版だけが危ないわけではなく、Macでも同じくらい危ないですよ。「仕様」ですから、OSXでも同様の挙動です。
  - Re:言いがかりだろ・・・・ (スコア:1, おもしろおかしい)
    
    by Anonymous Coward on 2008年06月02日 22時13分 (#1355007)
    
    Macの場合、勝手にファイルをダウンロードされたとしても大丈夫。
    そもそも、ウィルス等が存在しないので、どんなファイルがダウンロードされても安全なのだ。
    
    シェア
    
    親コメント
    - 児童ポルノ画像がダウンロードされたら終わり (スコア:2, すばらしい洞察)
      
      by Anonymous Coward on 2008年06月02日 23時57分 (#1355088)
      
      ウイルスのせいじゃないからよけいに悪質ですね
      
      シェア
      
      親コメント
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    なぜここでWinnyが引き合いに出されるんだ?
    - Re:言いがかりだろ・・・・ (スコア:3, すばらしい洞察)
      
      by Anonymous Coward on 2008年06月02日 22時32分 (#1355019)
      
      ウィルス史にWinnyが特異な位置にあるのは、如何なる方法でトロイを踏ませるか、という点のブレイクスルーにありました。気がついたら、ダウンンロードフォルダにトロイが入っていて、その危険を知りながらもユーザーがそれを実行してしまう、それがWinnyの怖さです。逆に言うなら、そういう点がなければ、著作権絡みに問題が起きるだけで、ユーザーにとっての危険はありませんから、それが元で情報が漏洩する、ということもなかったはずです。トロイ設置スタイルの確立としてのWinnyは一定の意味があり、当時の総務省の注意 [soumu.go.jp]なども、著作権云々ではなく、トロイの危険性に重点を置いて「使わないように」推奨しています。Winnyにはトロイの温床としての実績があるのです。
      
      このSafariの機能は、ダウンロードフォルダ(Windowsではデスクトップ)にトロイ置き放題なので、Winnyに酷似していますし、他のどのようなソフトウェアの挙動とも似ていません。さらに、この手のトロイはその作成の容易さから鑑みて、ウィルス対策ソフトでは防げません。ユーザーの高い意識とベンダに改良の意思が必要です。
      
      シェア
      
      親コメント
      - Re: (スコア:0)
        
        by Anonymous Coward
        
        Safari（に限りませんけど）でダウンロードしたファイルを開こうとすればアラートが表示されて警告文とダウンロード元のURIが表示されるので、知らずに開いてしまったなんてことはそう起きないと思うんですが。
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        それは大抵無視してる。
        安全だと認識してるファイルに対しても警告出すからね。
  - - Re:言いがかりだろ・・・・ (スコア:2, 参考になる)
      
      by Anonymous Coward on 2008年06月02日 22時56分 (#1355036)
      
      >Leopardではセキュリティホールになり得ないし、危険ではない。
      
      usroリソースの話を知ってれば、とても言えた台詞じゃない。
      ダウンロードしたjpgファイルのダブルクリックで個人ドキュメント全削除なんて状況が、
      ごく最近修正されるまで、放置されてる世界。
      
      シェアが小さすぎて、狙う価値が無い、という事実で守られてるだけだってのを知るべき。
      
      シェア
      
      親コメント
      - Re:言いがかりだろ・・・・ (スコア:1, 参考になる)
        
        by Anonymous Coward on 2008年06月03日 0時06分 (#1355096)
        
        そんなことすら知らないアホでも現実問題として痛い目に遭ってない以上、安全と言って過言では無いでしょう。
        神話が崩れるまでは。
        
        シェア
        
        親コメント
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        >安全と言って過言では無いでしょう。神話が崩れるまでは。
        
        「死ぬまで不死身」って言葉を思い出しました。
      - Re: (スコア:0)
        
        by Anonymous Coward
        
        >ダウンロードしたjpgファイルのダブルクリックで個人ドキュメント全削除なんて状況
        
        そんなのWindowsでは当たり前の話じゃないか。
      - Re: (スコア:0)
        
        by Anonymous Coward
        
        自らダウンロードしたファイルをダブルクリックすれば当たり前だろう。それで
        セキュリティホールというなら、どんなファイルも開くこと自体が問題となる。
        Leopardと違って、警告無しに開くのはWindowsの責任。
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        自らダウンロードしたファイル
        で、safariではwinでもmacでも”自らダウンロードしたファイル”以外のファイルがダウンロードされるってのがこのストーリーですが？
        
        それを間違って実行して全削除になるのは、ユーザーの責任？
        自分が知らないファイルを作成、実行出来ちゃうのにmacは安全？
        
        馬鹿ですか？
      - Re: (スコア:0)
        
        by Anonymous Coward
        
        既に修正されている問題を取り上げ下らないことを言うんじゃない。
        セキュリティホールではないという事実を曲げることは出来ない。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  >exeファイルがダウンロードされたらいやかな、とは思うが・・・
  
  Windows版は使ったことないので知っている人がいたら教えて欲しいのだが、
  Mac版だと.phpみたいなファイルでもダウンロード時に「実行ファイルですよ?」みたいな警告がでるんだけど、
  Windows版ではでないの?
  - Re:言いがかりだろ・・・・ (スコア:1)
    
    by oyajismel (32045) on 2008年06月05日 9時24分 (#1356825) 日記
    
    普通のリンククリックでのダウンロードでは、
    winでもmacでも”ダウンロードしますか”の警告がでます。
    safari以外では。
    
    今回のストーリーは特殊なhpの書き方により、winでもmacでもsafari使用時に
    ”ダウンロードしますか”も「実行ファイルですよ?」も出ずに勝手に
    ダウンロードされてしまう。
    
    というストーリーだと思います。
    
    シェア
    
    親コメント
- Re: (スコア:0)
  
  by Anonymous Coward
  
  > ダウンロードしただけでは、脆弱性とは言えず
  
  幸いにして我が国ではまだだけど、児童ポルノの単純所持が犯罪になる国であれば、これは所有者を犯罪者に仕立て上げるという大きな脆弱性になるんでは?
  
  所有者に全く意識させず、勝手に任意のファイルをダウンロードさせることができるわけでしょう?
  ユーザーに気づかれないように画像をダウンロードさせておいて、かつ、ダウンロードしたIPを自動的に通報する仕組みをサーバー側に入れておけば犯罪者の大量生産が可能ですな。
  
  その点では、デスクトップ上にファイルが作られるWindows版よりも、Mac版の方がさらに極悪かも..

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

「Safari Carpet Bomb」問題、MSが危険性を警告 More ログイン

「「Safari Carpet Bomb」問題、MSが危険性を警告」記事へのコメント

言いがかりだろ・・・・ (スコア:0, フレームのもと)

Re:言いがかりだろ・・・・ (スコア:5, 参考になる)

Re:言いがかりだろ・・・・ (スコア:1)

Re:言いがかりだろ・・・・ (スコア:1)

Re:言いがかりだろ・・・・ (スコア:3, 参考になる)

Re:言いがかりだろ・・・・ (スコア:1)

Re:言いがかりだろ・・・・ (スコア:1)

Re: (スコア:0)

Re:言いがかりだろ・・・・ (スコア:1, すばらしい洞察)

Re:言いがかりだろ・・・・ (スコア:1, 興味深い)

Re: (スコア:0)

Re:言いがかりだろ・・・・ (スコア:1, おもしろおかしい)

児童ポルノ画像がダウンロードされたら終わり (スコア:2, すばらしい洞察)

Re: (スコア:0)

Re:言いがかりだろ・・・・ (スコア:3, すばらしい洞察)

Re: (スコア:0)

Re: (スコア:0)

Re:言いがかりだろ・・・・ (スコア:2, 参考になる)

Re:言いがかりだろ・・・・ (スコア:1, 参考になる)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re:言いがかりだろ・・・・ (スコア:1)

Re: (スコア:0)

スラド