アカウント名:
パスワード:
Firefox では Windows の設定にあるセキュリティゾーンの設定を無視して Web サイトの閲覧を行ったり、スクリプトを実行することが可能なわけですが、これ自体が Windows のセキュリティホールになるのですかね?
という話となんら差がない程度には、IE と mshta の存在に差はあります。
Windows 標準コンポーネントじゃないかと言われても、telnet で 80 番叩いた時にも適用されなかったらセキュリティホールだとかと言われると、頭を抱えたくなります。
mshta をユーザが勝手に使えることは、perl や cc をユーザが勝手に使えることとどのくらいの差があるのかとか。
とある訳で、スクリプトは普通として、ActiveXコントロールが警告なしで動くあたりは明らかにPerlなどよりはリスクが高いように思いますけど。
GCC や Perl が入っているがために、侵入後に httpd や IRC bot がインストールされて……とかいう観点から見たら、cc や perl の方がリスクが高いもののように見えるわけで、そこは視点の差でいくらでも言える話でしょう。
元コメントが記事の是非を置いた上での話をしているのでソフトウェア単体の話として、存在自体は「そのままでいいんじゃないの?」と考えています。ローカル HTA ファイルのホストとしては ActiveX コントロールの警告なんてものが出る事の方が困りますから。
コメントの部分に関しては、ソフトウェアベンダ側の問題としかいい様がありませんね。インストールしたユーザしか利用できないっていうのは、ライセンス上の制約もあるかもしれませんが。
で、ユーザ権限でのアカウント単位の限定インストールって、どこにインストールするんですか? Program Files 以下へ書き込んで Windows のシステム管理下に置きたいなら、Windows のパッケージシステムを利用する話になるので管理者権限が必要になるのは全く不思議はありませんし、ユーザフォルダに置く「野良アプリ」という話であれば、パッケージシステムの範囲外で行うことですから Windows Installer を使っていないものを使う、という話になるように思います。
一般ユーザで apt-get install lv とかやったら ~/bin に lv が入るって話だとしたら、OS のパッケージシステムを利用する場合ユーザ単位での限定インストールができるシステムの方が希少というか、存在しないように思いますがどうでしょうか。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」
mshta.exe自体が危険、であるならば... (スコア:1)
自分で検証できる環境じゃないんであんまり自身がないんですが、実際にセキュリティゾーンとかを無視してweb pageを開いたり、スクリプトを実行したりすることが可能、ということでいいんですよね?
だとすればそれ自体、Windowsのセキュリティホールじゃないかという気がしたりもするんですが、その点はどうなんでしょう?
ひょっとしてmshtaの存在自体(もしくはmshtaをユーザが勝手に使えること)について、Microsoftにクレームをつけるべき?
Re:mshta.exe自体が危険、であるならば... (スコア:2, すばらしい洞察)
Firefox では Windows の設定にあるセキュリティゾーンの設定を無視して Web サイトの閲覧を行ったり、スクリプトを実行することが可能なわけですが、これ自体が Windows のセキュリティホールになるのですかね?
という話となんら差がない程度には、IE と mshta の存在に差はあります。
Windows 標準コンポーネントじゃないかと言われても、telnet で 80 番叩いた時にも適用されなかったらセキュリティホールだとかと言われると、頭を抱えたくなります。
mshta をユーザが勝手に使えることは、perl や cc をユーザが勝手に使えることとどのくらいの差があるのかとか。
Re:mshta.exe自体が危険、であるならば... (スコア:1)
>ゾーンを無視して警告なしにスクリプトや ActiveX コントロールなどを動かすことができるアレでナニなモジュールだ
とある訳で、スクリプトは普通として、ActiveXコントロールが警告なしで動くあたりは明らかにPerlなどよりはリスクが高いように思いますけど。
Unix系で言うならばユーザ権限で動くPerlやPythonのスクリプトが外部からのバッチなどを勝手に読み込んでsudoしてroot権限でアレコレ悪さするのを許すようなもので、root権限に遷移するときに、警告もrootのパスワードを尋ねる事もなければ、そりゃ危なすぎるでしょう。ということで。
Re:mshta.exe自体が危険、であるならば... (スコア:3, すばらしい洞察)
GCC や Perl が入っているがために、侵入後に httpd や IRC bot がインストールされて……とかいう観点から見たら、cc や perl の方がリスクが高いもののように見えるわけで、そこは視点の差でいくらでも言える話でしょう。
元コメントが記事の是非を置いた上での話をしているのでソフトウェア単体の話として、存在自体は「そのままでいいんじゃないの?」と考えています。ローカル HTA ファイルのホストとしては ActiveX コントロールの警告なんてものが出る事の方が困りますから。
コメントの部分に関しては、ソフトウェアベンダ側の問題としかいい様がありませんね。インストールしたユーザしか利用できないっていうのは、ライセンス上の制約もあるかもしれませんが。
で、ユーザ権限でのアカウント単位の限定インストールって、どこにインストールするんですか? Program Files 以下へ書き込んで Windows のシステム管理下に置きたいなら、Windows のパッケージシステムを利用する話になるので管理者権限が必要になるのは全く不思議はありませんし、ユーザフォルダに置く「野良アプリ」という話であれば、パッケージシステムの範囲外で行うことですから Windows Installer を使っていないものを使う、という話になるように思います。
一般ユーザで apt-get install lv とかやったら ~/bin に lv が入るって話だとしたら、OS のパッケージシステムを利用する場合ユーザ単位での限定インストールができるシステムの方が希少というか、存在しないように思いますがどうでしょうか。
Re:mshta.exe自体が危険、であるならば... (スコア:1, すばらしい洞察)
侵入された時点で、バイナリを後から送り込むことも出来るわけで、ローカルにコンパイルできることがリスクの面でそんな大きな差になるとは思えないのですが。
できないほうが良いのは分かりますが。