アカウント名:
パスワード:
>でもなんで誰も「致命的」とか言わないんだろ。
回避策(例えばssh等)が有るからじゃないですか? IEでダイアログを出さずにファイルをダウンロードできる方法が有れば致命的ではありませんが, 回避策が無ければダウンロード機能を一切使わないことのみが対策になるので致命的との判断が下されたのだと思います. もちろんブラウザでファイルをダウンロードするのは邪道だ! とかダウンロードにはIEとは別のツールを使っているとかの話なら致命的という判断は間違っていると思いますが.
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー
これこそ本当に致命的脆弱性 (スコア:0)
でもなんで誰も「致命的」とか言わないんだろ。
ダイアログの件ではあんなに散々言ったのに。
Re:これこそ本当に致命的脆弱性 (スコア:1)
>でもなんで誰も「致命的」とか言わないんだろ。
回避策(例えばssh等)が有るからじゃないですか? IEでダイアログを出さずにファイルをダウンロードできる方法が有れば致命的ではありませんが, 回避策が無ければダウンロード機能を一切使わないことのみが対策になるので致命的との判断が下されたのだと思います. もちろんブラウザでファイルをダウンロードするのは邪道だ! とかダウンロードにはIEとは別のツールを使っているとかの話なら致命的という判断は間違っていると思いますが.
Re:これこそ本当に致命的脆弱性 (スコア:0)
良く分からないのですが、どうしてIEでダウンロードまでしなければならないのですか? 代わりに ssh を使うように wget for Win32 を使うのは駄目なのでしょうか?
私はそうしてますけど・・・
Re:これこそ本当に致命的脆弱性 (スコア:0)
いいけれど、それはどこにありますか?
#開発環境もってないの
Re:これこそ本当に致命的脆弱性 (スコア:0)
>#開発環境もってないの
http://www.interlog.com/~tcharron/wgetwin.html
に binary があります。
これが致命的? (スコア:0)
100%管理者の責任になるとおもうけどなぁ
そんなもん外から使えるようになってるのが悪い
次元の違う話でーす
Re:これが致命的? (スコア:2, 参考になる)
それは管理者のセキュリティポリシーによると思います。
rlogindが動いていても、例えば tcpwrapperやワンタイムパスワードを使うなどしてある程度のレベルのセキュリティを確保することはできますよね。コマンド等が平文で流れるという問題はありますが、それはそれとして、とりあえずログインはできないようにできる。
で、そういう運用になっているサーバーで、パスワードを持たずにexploitコードでrootを取られてしまうというのは、やはり不味いと思うのですが…?
致命的、という言葉の意味がなんか問題になっているようですが、じゃあ「致命的」って何?という話に帰着してしまう(そしてあまり意味のない議論である)ことはミエミエなので、それについてはワタシは議論に参加しません。悪しからずご了承ください :-)