アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー
それって脆弱性そのものじゃ… (スコア:1)
セキュリティを迂回するってことは、例えば
ページを見ただけでHDをフォーマットとか、
今まで出来なかった(悪意のある)行為が
し放題ということではないのだろうか?
というか、HTMLを利用する事に
何の利点があるのかわからない。
というのはさて置き…
>OSは、HTMLアプリケーションのファイル拡張子「.hta
っと・・・。
Re:それって脆弱性そのものじゃ… (スコア:0)
別に最近登場したものでもないし。
表層的な情報だけで、しかも誤解したうえで批判するのはみっともないよホントに。
Re:それって脆弱性そのものじゃ… (スコア:0)
そういう特権命令が使えるかどうかだけど。
>表層的な情報だけで、しかも誤解したうえで批判するのはみっともないよホントに。
てなわけで大丈夫と言い切るのも非常に危険と思うんですが?
Re:それって脆弱性そのものじゃ… (スコア:0)
>そういう特権命令が使えるかどうかだけど。
だから、そんなもんはexeでもbatでもvbsでもjsでもwshでも同じだろ。
パーミッションは全然別のレイヤの話。
(まあ、ユーザのパーミッションに従うんだけど。)
# アホですか?
Re:それって脆弱性そのものじゃ… (スコア:0)
このコメント [srad.jp]にあるように、EXEと違って「なんでも実行可能」にしない方法があるのならば、IEの「セキュリティレベル」でカスタマイズ可能とするべきでしょう。もちろんデフォルト設定はより安全な方にふっておくべき。
コマンド実行自体は別のレイヤとはいえ、コマンドはコマンド実行関数経由でないと不可ということにして、.htaをレンダリングする時点でレベルチェックを行
Re:それって脆弱性そのものじゃ… (スコア:0)
IEで受け取るが、インタプリタdllにそのまま流すのかな?