パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Flashにいろいろ出来ちゃう脆弱性」記事へのコメント

  • 毎回IEを落とす度に、Flashは消してしまった方が良いかなぁ。
    ナローバンド系の方は非常に辛いですが、そもそもFlash系のコンテンツは見ないという前提で…

    ※IEでのFlash Playerの消し方
    1.[ツール]メニューから[インターネットオプショ
    • Flash Player を消したら、さらに ActiveX コントロールのダウンロードを禁止するか、「ActiveX コントロールをダウンロードするか?」という旨のダイアログボックスが出てきたときちゃんと読むようにしないと、却って危険になったりします。

      chi さんはご存じなのでしょうけど、念のため。

      もちろん、 Flash Player に限った話ではありませんが。
      --
      鵜呑みにしてみる?
      • フォローありがとうございます。
        常に最新のFlash Playerを使い続けるためには、毎回On Demandインストールさせるの
        が良いかと思って記述した訳なのですが。

        勿論ActiveXコントロールのダウンロード画面は、皆さんよく読んでからボタンを押して
        下さい。
        • ええっと……大丈夫なのかな? ちょっとわからなくなってきました。

          一応、ぼくが心配しているのは、悪意ある Web ページによって古い Flash Player をダウンロードさせられる可能性です。

          ちょっと自信がないのですが、たしか Web ページはクライアントにどのバージョンの Flash Player を使うかを指示できたと思います。ページに書いてあるより新しいバージョンの Flash Player が既にクライアントにインストールされていたら、既にインストールされているものが使われますが、クライアントに Flash Player がインストールされていなかったり、ページに書かれているのより古
          --
          鵜呑みにしてみる?
          • ちょっと自信がないのですが、たしか Web ページはクライアントにどのバージョンの Flash Player を使うかを指示できたと思います。

            いえ、できません。
            codebaseを指定する時に、
            http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=5,0,0,0
            と書いても、常に最新版のFlash playerがインストールされます。このフラグメントIDは、バージョンの指定ではなく、ブラウザのキャッシュ防止のためについているものだからです。

            既にインストールされているFlash playerよりも古いFlash playerをインストールするためには、IEのオブジェクトファイルを直接削除してもいいのですが、手順としては

            1. まずMacromedia - その他の Web Player [macromedia.com]を参照。
            2. アンインストーラーを入手して、アンインストールします。
            3. 次にMacromedia - Flash TechNotes: Archived Macromedia Flash Players available for testing purposes [macromedia.com]を参照。
            4. 古いバージョンのFlash playerのcabを入手してインストール。

            ということになります(結構面倒です)。

            Webページ側でクライアントにどのバージョンを使わせるかを指示するためには、Flash playerがインストールされていない環境やあれば、#220656 [srad.jp]に書いたページでのやり方のように、直接古いcabをcodepageに書いておく必要があります。そのcabよりも新しいFlash playerがインストールされていれば、その指定は無視されますが。

            したがって、codepageに6,0,47,0のcab(たぶん6,0,65,0のひとつ前がこれだと思うので。6,0,64,0とかあるようなら、むしろそれ)を指定しておくことで、最新の6,0,65,0をインストールしていない全てのIEユーザーに対して、攻撃することが可能といえます。

            やり方が変わらない限りは、既に出ている結論ですが、常に最新のFlash playerを使うか、全く使わないかのどちらかしか対応策が無いということですね。

            親コメント
            • あ、なんかちょっとトンチンカンな書き出しになっちゃってますね。
              「できません」というのは嘘というか、“指示する”の意味を少し取り違えました。
              “指示する”というのを、一般的な(?)
              http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=hogehoge
              というcodebaseの時に設定できるというような意味に捉えてしまったというかです。
              すみません。
              親コメント

普通のやつらの下を行け -- バッドノウハウ専門家

処理中...