一応、ぼくが心配しているのは、悪意ある Web ページによって古い Flash Player をダウンロードさせられる可能性です。
ちょっと自信がないのですが、たしか Web ページはクライアントにどのバージョンの Flash Player を使うかを指示できたと思います。ページに書いてあるより新しいバージョンの Flash Player が既にクライアントにインストールされていたら、既にインストールされているものが使われますが、クライアントに Flash Player がインストールされていなかったり、ページに書かれているのより古いのがインストールされている場合、 Web ページに書いてあるバージョンを取りに行くことになると思います。
このとき表示される「ActiveX コントロールのダウンロード」の確認ダイアログボックスには、 Macromedia によって正しく署名された Flash Player バージョン x.xx をダウンロードしようとしている旨表示されるでしょう。ユーザはここで、 Flash Player バージョン x.xx が最新でないことに気付かなければならないのです。ぼくが書いた
ちゃんと読むようにしないと、却って危険になったりします。
というのは、そういう意味です。
……と書きながら、本当にそうだったっけ、 Windows の MS02-065 の話 [ryukoku.ac.jp]か何かと混乱しているのではないか、と今一つ自信がないのですが、今、調べたり試したりしている余裕なし (T_T)
安全なのは消してしまえ (スコア:3, 参考になる)
ナローバンド系の方は非常に辛いですが、そもそもFlash系のコンテンツは見ないという前提で…
※IEでのFlash Playerの消し方
1.[ツール]メニューから[インターネットオプション]をクリック。
2.[設定]ボタンをクリック。
3.[オブジェクトの表示]ボタンをクリック。
4.リスト中の「Shockwave Flash Object」を削除
Re:安全なのは消してしまえ (スコア:1)
chi さんはご存じなのでしょうけど、念のため。
もちろん、 Flash Player に限った話ではありませんが。
鵜呑みにしてみる?
Re:安全なのは消してしまえ (スコア:1)
常に最新のFlash Playerを使い続けるためには、毎回On Demandインストールさせるの
が良いかと思って記述した訳なのですが。
勿論ActiveXコントロールのダウンロード画面は、皆さんよく読んでからボタンを押して
下さい。
Re:安全なのは消してしまえ (スコア:1)
一応、ぼくが心配しているのは、悪意ある Web ページによって古い Flash Player をダウンロードさせられる可能性です。
ちょっと自信がないのですが、たしか Web ページはクライアントにどのバージョンの Flash Player を使うかを指示できたと思います。ページに書いてあるより新しいバージョンの Flash Player が既にクライアントにインストールされていたら、既にインストールされているものが使われますが、クライアントに Flash Player がインストールされていなかったり、ページに書かれているのより古いのがインストールされている場合、 Web ページに書いてあるバージョンを取りに行くことになると思います。
このとき表示される「ActiveX コントロールのダウンロード」の確認ダイアログボックスには、 Macromedia によって正しく署名された Flash Player バージョン x.xx をダウンロードしようとしている旨表示されるでしょう。ユーザはここで、 Flash Player バージョン x.xx が最新でないことに気付かなければならないのです。ぼくが書いたというのは、そういう意味です。
……と書きながら、本当にそうだったっけ、 Windows の MS02-065 の話 [ryukoku.ac.jp]か何かと混乱しているのではないか、と今一つ自信がないのですが、今、調べたり試したりしている余裕なし (T_T)
鵜呑みにしてみる?
Re:安全なのは消してしまえ (スコア:2, 参考になる)
いえ、できません。
codebaseを指定する時に、
http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=5,0,0,0
と書いても、常に最新版のFlash playerがインストールされます。このフラグメントIDは、バージョンの指定ではなく、ブラウザのキャッシュ防止のためについているものだからです。
既にインストールされているFlash playerよりも古いFlash playerをインストールするためには、IEのオブジェクトファイルを直接削除してもいいのですが、手順としては
ということになります(結構面倒です)。
Webページ側でクライアントにどのバージョンを使わせるかを指示するためには、Flash playerがインストールされていない環境やあれば、#220656 [srad.jp]に書いたページでのやり方のように、直接古いcabをcodepageに書いておく必要があります。そのcabよりも新しいFlash playerがインストールされていれば、その指定は無視されますが。
したがって、codepageに6,0,47,0のcab(たぶん6,0,65,0のひとつ前がこれだと思うので。6,0,64,0とかあるようなら、むしろそれ)を指定しておくことで、最新の6,0,65,0をインストールしていない全てのIEユーザーに対して、攻撃することが可能といえます。
やり方が変わらない限りは、既に出ている結論ですが、常に最新のFlash playerを使うか、全く使わないかのどちらかしか対応策が無いということですね。
Re:安全なのは消してしまえ (スコア:1)
「できません」というのは嘘というか、“指示する”の意味を少し取り違えました。
“指示する”というのを、一般的な(?)
http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=hogehoge
というcodebaseの時に設定できるというような意味に捉えてしまったというかです。
すみません。
Re:安全なのは消してしまえ (スコア:1)
確認ダイアログの画面を見てみましたが、日付は記載してありましたが、バージョン番号まで
は載ってないですね。
どうやら常に最新版を追っかけて入れておくか、まったく使用しないかの二択しか無いようです…
Re:安全なのは消してしまえ (スコア:1)
鵜呑みにしてみる?
Re:安全なのは消してしまえ (スコア:1)
Re:安全なのは消してしまえ (スコア:1)
ご参考までに。
なお、上記URLにて古いFlashをインストールするには、あらかじめFlashをアンインストールしておく必要があります。
Re:安全なのは消してしまえ (スコア:1)
// 最近突っ込まれまくりだ。こんなんじゃいかんなぁ。
ということは、
- 常に Flash Player の最新版を入れておく
- Flash Player を使わない
くらいしか手はないようですね。そして、同じことが Flash Player 以外の様々な ActiveX コントロールにも言えるわけで。 IE がもう少し賢くなってくれないと……。鵜呑みにしてみる?
Re:安全なのは消してしまえ (スコア:0)
>ナローバンド系の方は非常に辛いですが、そもそもFlash系の
>コンテンツは見ないという前提で…
なぜにIE限定なのかわかりませんが、最近は表現力の強化や、ブラウザ等の
プラットホームの違いによる見え方の違いをなくすためにFlashにしてしまう
サイトも多いようです。
専用のプラグ