アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日々是ハック也 -- あるハードコアバイナリアン
HTAが脆弱性になるのなら、 (スコア:1, すばらしい洞察)
MFC等のウィジェットセットで見た目を記述し、C++等でロジックを記述するEXEと、
HTMLで見た目を記述し、Active Script(JScript, VBScript, Ruby, Python, ...)でロジックを記述するHTAにどれほどの差がある?
なんのこっちゃ (スコア:0)
EXE:基本的にダウンロード→ユーザによる実行・起動。
ユーザは実行の可否をコントロールできる。
HTA:URLにアクセスするとそのまま起動。
確認のダイアログぐらいは出るかもしれんが、でないかもしれん。
2.不正なロジックに対する対応
EXE:特に無し。.NETで作成されたEXEなら制限かけられるようだが。
HTA:スクリプトベースならインタプリタにセキュリティ機構を
組み込むことで対応可能。Rubyにはもうあるでしょ?
少なくともこれぐらいの差はあると思うが。
Re:なんのこっちゃ (スコア:1)
> 確認のダイアログぐらいは出るかもしれんが、でないかもしれん。
うちのIEでは、開く(実行する)か、ダウンロードするか、キャンセルするか、ってダイアログが出ますが。
Re:なんのこっちゃ (スコア:0)
御指摘感謝。
Re:なんのこっちゃ (スコア:1)
>EXE:基本的にダウンロード→ユーザによる実行・起動。
> ユーザは実行の可否をコントロールできる。
この辺には.Net Frameworkとの兼ね合いで最近変化がありました。
1. ブラウザで.exeへのリンクをクリック
↓
2. 拡張子.exeを判別
↓
3. ノータッチデプロイメント対応か判別(対応ならそのまま実行)
↓
4. ユーザーに実行するか判断をゆだねる。
.Net Frameworkのランタイムをインストールすると3.の判断が新たに加わります。
たとえばこんなリンク [atmarkit.co.jp]とか。
@ITの記事 [atmarkit.co.jp]などが参考になるかと思います。