パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Adobe Readerの未修正の脆弱性を突いた攻撃が確認される 」記事へのコメント

  • 今回に限らず、JAVAScriptの脆弱性が発見されるたびにJAVAScriptを切れと言われますが
    もう、デフォルトでオフにしてほしい……

    アドビリーダーのJAVAScriptって、使っている人は多いんでしょうか?
    あるいはオフに出来ない理由がある?

    • by Technical Type (3408) on 2009年12月28日 21時58分 (#1695296)
      Adobe は「デフォルトでオンにしているのは企業ユーザーがそれを求めているからだ」と説明するの事で、I've always loved how Adobe claims that Reader's scripting is enabled by default, due to claims that "enterprise customers require it". [sans.org] と利用者はため息をついていますが。

      企業ユーザーだったら逆に脆弱性でヤラれたら大変だから、オフにすると思いますが。まあ、意識の高い所限定で。

      後はそう…JavaScriptをオフる以外にIEから自動で起動しないようにする [cert.org]と安全性が増す模様。よってさらに念の入った方法としては
      1. Acrobat / Adobe Reader を起動する
      2. メニューバーから "編集" -> "環境設定" を選択する
      3. 分類の中から "JavaScript" を選択する
      4. "Acrobat JavaScriptを使用" のチェックを解除する
      5. 分類の中から "インターネット" を選択する
      6. "PDFをブラウザに表示" のチェックを解除する
      7. "OK"を押して、設定を反映する

      するとなぜかインストーラーが起動する。場合によってはIEを閉じるように促すダイアログが出たり、設定の反映に再起動を求められる。

      親コメント
      • by Sukoya (33993) on 2009年12月28日 22時07分 (#1695300) 日記

        アドビはそんなことを言ってるのか……
        かと言って、現状はPDFを使わない訳にもいかないので、今まで通り、新規クライアントを構築するたびにアドビリーダーのJAVAScriptをオフにする仕事が始まる……

        その対策は知らなかったので参考になります

        親コメント
        • by Anonymous Coward

          >現状はPDFを使わない訳にもいかないので
          ってのが痛いですよね。Adobeにはもう少しデファクトスタンダードとしてのあるべき姿ってのを自覚して頂きたい。
          Adobeが改心するのが先か、XPS(等の競合規格)の普及が先か。
          正直、Adobeにはあまり期待していないんですが、XPSの普及ってのもまだまだ課題が多い。
          # 他でいわれているような代替PDFビューア類はセキュリティを向上させるためのものではないし。

          >新規クライアントを構築するたび
          というか、設定ってユーザごとに必要ですよね。
          新しいアカウントを作るたびに設定しないといけない。

      • by Anonymous Coward

        >場合によってはIEを閉じるように促すダイアログが出たり
        そりゃPDF表示のプラグインを無効化するためでしょ

      • by Anonymous Coward
        東京三菱UFJの企業用サイトがIEで自動起動+JavascriptONでないと、帳票印刷できなかった気がするんだ。。
      • by Anonymous Coward
        >企業ユーザーだったら逆に脆弱性でヤラれたら大変だから、オフにすると思いますが。まあ、意識の高い所限定で。

        多分逆です。
        PDFを発行する企業がそれを閲覧する対象に「AcrobatReaderでJavaScriptをオンにする」ことを望んでいる、ということだと思います。
    • by Dobon (7495) on 2009年12月29日 1時35分 (#1695384) 日記
      JIS規格 [jisc.go.jp]を参照するとき、
      何が何でもONにさせられます。(しかも、何故かIEでしか閲覧できない……)

      Opera10.10で閲覧するとプラグインがブラウザを巻き込んで異常終了します。
      firefoxだと『ダウンロード禁止』と言われて終了...

      規格なんてものは周知・普及させなければ意味のない物なんだから無料でダウンロードさせても問題なかろうに……
      --
      notice : I ignore an anonymous contribution.
      親コメント
      • by Anonymous Coward on 2009年12月29日 8時56分 (#1695444)

        Firefoxだけど普通に表示できたよ。
        Adobe Reader 9.2では有効にしろというダイアログが情報バー類似のUIに変わった。しかもそこから有効にしてもその文書でだけ有効になるから、たいして危険ではない。
        http://www.st.ryukoku.ac.jp/~kjm/security/memo/2009/10.html#20091014_tuiki [ryukoku.ac.jp]
        デフォルトでJavaScriptを無効にしておけばFirefoxのNoscriptのような運用が可能。

        親コメント
        • 情報ありがとうございます。

          firefoxのオプション->プログラムの設定を
          「Adobe Reader 9.2 を使用(標準設定)」から「Adobe Acrobatを使用(Firefox内で表示)」に変更したら表示できました。
          こんな箇所を変更した記憶は無いのですが……
          --
          notice : I ignore an anonymous contribution.
          親コメント
      • by Anonymous Coward

        あぁ、それFirefoxでダウンロードはできるんだけど、evinceだと読めないんだよね。

    • by mola (29791) on 2009年12月29日 9時21分 (#1695449)
      10年くらい前から業務アプリで使っています。

      いや、結構便利なんですよ。Excel等で作られた帳票イメージをPDFにして、そこにフォームを載せるだけでCGIと組み合わせてデータ入出力ができますから。
      キッチリした帳票出力が必要な場合に、HTMLの入力フォームと帳票イメージを分けて作らなくて済むのが利点です。使う方としてもシンプルで分かりやすいです。

      JavaScriptは入力チェックや計算に利用します。
      PDFオープン時やマウスイベント等に応じた処理を書くことも可能なので、このあたりが狙われてしまうんでしょうね。
      親コメント
      • > Excel等で作られた帳票イメージを ... JavaScriptは入力チェックや計算に

        あー、Excel で計算じゃないのか。

        PDF って、Portable Document Format でしたっけ。ODF が Open Document Format だから、PDF で計算できてもおかしくはないのか。

        いっそのこと、Printable Document Format に改名して、その機能に徹して欲しい。

        親コメント
        •  PDFなかなか侮れませんよ。
           CGIと組み合わせてWeb入力フォーム(兼、帳票イメージ)として使う他に、オフラインでも動作しますし。

           例えば、PDF入力フォームをメール添付で送るとします。
           フォームに入力してもらった内容を、ボタン押下でXMLの添付ファイルにしてメール返送させるとか、コードを書くことなく実装できます。

           XMLファイルは元のPDFフォームと関連付いているので、ファイルを開くだけで元のPDFフォームにデータ入力されます。つまりデータ入力のコードも書く必要がありません。
          親コメント
          • by Anonymous Coward
            いや、あの…
            便利だろうが侮れなかろうが、危険だったら何の意味も無いって分ってる?

            準印刷物の扱いしてるところが多くて、その用途では確かに有用だしそれを見れないのが不便だから仕方なくインストールしてるわけで…

            欲しいのは文鎮なんです。暴発しかねない銀の弾丸なんて願い下げです。
    • by Anonymous Coward
      もう4年前から迷惑がられておりました。
      http://srad.jp/comments.pl?sid=280648&cid=814401

      電子申請モノで見かけたことがあるくらいでしょうか。
      個人的には無くても全く困りません。
    • by Anonymous Coward

      動くはずのものが動かない→不具合だ! ってクレームに対応するのが面倒だとかですかね。
      いちいちオフにしなきゃって人は、オフにできるのを知っているが、理由もなくオンまま使っているような人は、オン・オフがあるのも知らないし、へんなとこ触るのもヤダとか。

私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike

処理中...