アカウント名:
パスワード:
#!/bin/shecho "hello :-)"
"test.mov.sh"はアプリケーションです。アプリケーション"test.mov.sh"をダウンロードしてもよろしいですか?(キャンセル) (ダウンロード)
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ
不完全? (スコア:1)
Re:不完全? (スコア:0)
zipをターミナルに関連付けたらそうなるのは当たり前の気がするが…
Re:不完全? (スコア:1)
--
とりあえず feedback はしてみた
Re:不完全? (スコア:2, 興味深い)
中身が のみのtest.movにchmod +xして、FinderでTerminal.app書類に
してからzipアーカイブ作成。これを「安全なファイルを開く」Safariで
落としたら、
"test.mov.sh"はアプリケーションです。
というシートが出ました。(何故か.shが付いている)アプリケーション"test.mov.sh"をダウンロードしてもよろしいですか?
(キャンセル) (ダウンロード)
キャンセルを押すとディスク上に保存されず、ダウンロードを押すと
test.zipを解凍したtest.movがディスク上に保存されました。
自動実行はされませんでした。
というわけで一応対策されているように思いますが、どのような
方法でzipアーカイブを作成されたのでしょうか?
Re:不完全? (スコア:1)
また、アップデート適用後は、すでに公開されている実証コードをダウンロードしても自動実行されないことも確認済みです。
で、
| どのような方法でzipアーカイブを作成されたのでしょうか?
違うのはスクリプトの中身です。Zip アーカイブを作るところとかの手順は(たぶん)同じ。
--
そこに書かれている「中身」をちょいと変えると再現できると思います
Re:不完全? (スコア:1)
先ほどのtest.movのshebangを削ってみたところ、表示される
シートの内容は若干違いましたが、やはり自動実行されませんでした。
(中身によるのかも知れませんね)
しかし、中身を見るにも限界がある気がするので、やはり属性による
厳しいチェック(推奨アプリケーション以外で開かせようとする実行可能書類を
安全と見なさない、等)が必要な気がします。
Re:不完全? (スコア:3, 興味深い)
> 厳しいチェック(推奨アプリケーション以外で開かせようとする実行可能書類を
> 安全と見なさない、等)が必要な気がします。
そこは同意します。
ところで、ここで具体的な再現方法を書くべきか否かをずっと悩んでいるのですがどうするのが良いでしょうねぇ...。
未知であれば黙っているべきでしょうけど、今回のような
--
公開したとして責任を他の誰かにもかぶせるような意図はないですよ