アカウント名:
パスワード:
そもそも default 設定で script が動くようになっている という事自体に疑問を感じます (これは IE に限らず Mozilla なんかもそうなんですが)。
IE の穴の多くが script 関係に端を発していることを考えると
IEにセキュリティホールがあるから、他のブラウザにもあるに違いないということでしょうか。
もちろん否です。 但し、砂場から漏れ得る (あるいはそもそも砂場という概念がない) 機能は HTML ビューアとしての本来の機能とは別立てで提供されるべきだと考えています。 Java applet はそれなりに砂場の中に納まるように設計されていますし flash etc.は単に見えるだけです (だと思う。事実誤認の場合は指摘願いたし)。
で、私の見るところ、IE の (というより WSH の、というべき?) script という機能は
もちろん、現状で script が default 無効化されてしまうと、世に蔓延する script どっぷりサイトのユーザが困るのは事実ですから 以下、上で愚痴ってる通りです。
# その延長線上で cookie も邪魔者ではあるんだが # セッションの維持を実現する方策がいかんとも...。 # まあ IE での cookie はサイト毎に有効/無効を選択できるから # script に比べればはるかに許容範囲だと思う。
IEのclient side scriptingモジュールをブラウザから切り離せるようにし、拡張モジュールとして配布すべきだということですね。異論はありません。
# #51836 [srad.jp]にもありますが、# defaultで無効にしていても(その機能が存在すれば)有効にできるようですし。
| Java applet はそれなりに砂場の中に納まるように設計されていますし | flash etc.は単に見えるだけです (だと思う。事実誤認の場合は指摘願いたし)。
Netscape pluginは砂場という概念が登場する前に設計された技術です。セキュリティ面では、認証がない分だけ、ActiveXよりも劣っています。
| で、私の見るところ、IE の (というより WSH の、というべき?) script という機能は| o 無効化されていても表現上致命的に困る理由があるとは思えない。| o WSH の提供する機能は「過剰に」便利に見える。
WSH/VBScript/JScriptはIE特有のscriptingであって、MozillaのJavaScript/XULなどとは別ものですよね。ですから、なぜ一律に全てのブラウザがscriptingをdefaultで無効にすべきなのか理解できないということです。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー
script は必要? (スコア:2, すばらしい洞察)
そもそも default 設定で script が動くようになっている という事自体に疑問を感じます (これは IE に限らず Mozilla なんかもそうなんですが)。
IE の穴の多くが script 関係に端を発していることを考えると
Re:script は必要? (スコア:1)
,----[http://srad.jp/comments.pl?sid=7629&cid=51782]
| IE の穴の多くが script 関係に端を発していることを考えると
| o Web browser の初期設定では script を動かさないようにする
`----
IEにセキュリティホールがあるから、他のブラウザにもあるに違いないということでしょうか。
JScriptの問題は、sandboxを前提としないIEの基本設計、およびバグを見逃してしまう
品質管理体制の問題であって、他のブラウザを開発しているカンパニー/グループには
必ずしも当てはまるものではないと思うのですが。
# 単に、"MicrosoftはIEからバグを追放すべきだ" or "IEを使用してはいけない" という
# 意味で書かれたのでしたら、諸手を挙げて賛成します。
Re:script は必要? (スコア:2, 参考になる)
IEにつづきOperaにもCookie漏洩の穴 [srad.jp]
Re:script は必要? (スコア:1)
通信路のトラフィック量/サーバの負荷を軽減できるメリットは大きいと思います。
いや、思っていました。
,----[#51963 [srad.jp]]
| MicrosoftよりもOperaの方が、より初歩的なJavaScript実装のセキュリティ
| 欠陥が発覚しているという事実がありますよ。
その件 [securityfocus.com]はOpera Softwareの実装技術の問題ですし、
修正された後 [searchengineworld.com]、同種の問題は報告されていません。
"一回躓いたから今後も躓き続けるだろう"とは言えないと思います。
# ただ、Operaには、こんなバグ [insecure.org]も
# あったようです。こちらは修正されたのでしょうか…。
しかしながら、この件 [securityfocus.com]を見て、
リソースを消費し尽くす攻撃に利用できること、
また他のバグの影響を拡大する手軽な道具となること、
以上を考慮すると"defaultで無効"の方が適切な設定だということは理解しました。
お付き合いいただきましたokuさん、jbeefさんに感謝申し上げます。
Re:script は必要? (スコア:1)
もちろん否です。 但し、砂場から漏れ得る (あるいはそもそも砂場という概念がない) 機能は HTML ビューアとしての本来の機能とは別立てで提供されるべきだと考えています。 Java applet はそれなりに砂場の中に納まるように設計されていますし flash etc.は単に見えるだけです (だと思う。事実誤認の場合は指摘願いたし)。
で、私の見るところ、IE の (というより WSH の、というべき?) script という機能は
- 無効化されていても表現上致命的に困る理由があるとは思えない。
- WSH の提供する機能は「過剰に」便利に見える。
なので、初期状態で無効 (で、使いたい人だけ有効にする) で何がまずいんでしょう? という趣旨です。もちろん、現状で script が default 無効化されてしまうと、世に蔓延する script どっぷりサイトのユーザが困るのは事実ですから 以下、上で愚痴ってる通りです。
# その延長線上で cookie も邪魔者ではあるんだが
# セッションの維持を実現する方策がいかんとも...。
# まあ IE での cookie はサイト毎に有効/無効を選択できるから
# script に比べればはるかに許容範囲だと思う。
Re:script は必要? (スコア:1)
| 但し、砂場から漏れ得る (あるいはそもそも砂場という概念がない) 機能は
| HTML ビューアとしての本来の機能とは別立てで提供されるべきだと考えています。
IEのclient side scriptingモジュールをブラウザから切り離せるようにし、
拡張モジュールとして配布すべきだということですね。異論はありません。
# #51836 [srad.jp]にもありますが、
# defaultで無効にしていても(その機能が存在すれば)有効にできるようですし。
| Java applet はそれなりに砂場の中に納まるように設計されていますし
| flash etc.は単に見えるだけです (だと思う。事実誤認の場合は指摘願いたし)。
Netscape pluginは砂場という概念が登場する前に設計された技術です。
セキュリティ面では、認証がない分だけ、ActiveXよりも劣っています。
| で、私の見るところ、IE の (というより WSH の、というべき?) script という機能は
| o 無効化されていても表現上致命的に困る理由があるとは思えない。
| o WSH の提供する機能は「過剰に」便利に見える。
WSH/VBScript/JScriptはIE特有のscriptingであって、MozillaのJavaScript/XULなどとは別ものですよね。
ですから、なぜ一律に全てのブラウザがscriptingをdefaultで無効にすべきなのか理解できないということです。
Re:script は必要? (スコア:1)
読みにくくなってしまいまして申し訳ありません。