アカウント名:
パスワード:
「LZH形式対応の解凍ソフトが必要」とは書いてあるけど、「LHAがまだ使われている」なんてどこに書いてあるの?解凍ソフト(ウイルス対策ソフト含む)のバグ・脆弱性の問題なので、解凍ソフトが改善されていれば使って問題ないんじゃないの?改善されているかどうかは知らんけど。
1. 安全ではない解凍ソフトが存在するから非推奨2. メジャーな解凍ソフトに脆弱性があるから非推奨3. メジャーな解凍ソフトの脆弱性が解決されたけど、それを役所が確認せず非推奨のまま放置4. セキュリティソフトが対応していないことがあるから非推奨
1ではないよな。それじゃ使えるアーカイブ形式なんて存在し得ない。
リンク先を読むと、2から3に遷移したような話なのかな?差し迫った実在の危険が有るわけではないけど、「こっちの役所が危ないと言ってるのに、こっちの役所は使えと言いよる」というツッコミ。あるいは、少なくともオリジナルのソフトについては直ってるけど、直ってないメジャーなソフトが多いから2のまま?
4は、セキュリティソフトのベンダーが悪いと言うことになるかな。どマイナーな形式にまで対応しろとは言わないけど、日本のお役所様が使うとおっしゃってるソフトぐらいには対応しやがれよ、と。…うわぁ、市場価値が小さそうなお仕事。
「企業等での使用は非推奨」と言ったのはUNLHA32.DLL作者(役所が追従して宣言したかまでは軽く調べただけでは確認取れませんでした)非推奨の理由は4及びその状況を改善しようと脆弱性情報のっけてとJVNに言ったが却下されたため(約10年前の時点で)現役のメジャーな解凍ソフトではほぼ脆弱性は修正対応されているのであとはセキュリティソフトが10年近く経過した今でも非対応だった場合に中身に危険なファイルがあっても圧縮ファイルを実際に展開するまで走査が正常にされない可能性がある添付ファイルをメールサーバー上でのみ走査して展開作業するPCはノーガードなんて場合は危険かもしれないと言う点が問題ですが役所から事業者に向けて入札用の書類ファイルをLHAで圧縮して送るからそれ開けるようにしといてねって話に対して具体的な問題としてどう絡むのかはよくわかんないです
「企業等での使用は非推奨」と言ったのはUNLHA32.DLL作者(役所が追従して宣言したかまでは軽く調べただけでは確認取れませんでした)
使用の非推奨はしていないけど、JVNがCERT/CCから提供された情報を公表している。http://jvn.jp/vu/JVNVU545953/ [jvn.jp]http://bakera.jp/ebi/topic/4161 [bakera.jp]
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー
LHAがまだ使われている模様? (スコア:0)
「LZH形式対応の解凍ソフトが必要」とは書いてあるけど、「LHAがまだ使われている」なんてどこに書いてあるの?
解凍ソフト(ウイルス対策ソフト含む)のバグ・脆弱性の問題なので、解凍ソフトが改善されていれば使って問題ないんじゃないの?改善されているかどうかは知らんけど。
Re:LHAがまだ使われている模様? (スコア:0)
1. 安全ではない解凍ソフトが存在するから非推奨
2. メジャーな解凍ソフトに脆弱性があるから非推奨
3. メジャーな解凍ソフトの脆弱性が解決されたけど、それを役所が確認せず非推奨のまま放置
4. セキュリティソフトが対応していないことがあるから非推奨
1ではないよな。それじゃ使えるアーカイブ形式なんて存在し得ない。
リンク先を読むと、2から3に遷移したような話なのかな?
差し迫った実在の危険が有るわけではないけど、「こっちの役所が危ないと言ってるのに、こっちの役所は使えと言いよる」というツッコミ。
あるいは、少なくともオリジナルのソフトについては直ってるけど、直ってないメジャーなソフトが多いから2のまま?
4は、セキュリティソフトのベンダーが悪いと言うことになるかな。
どマイナーな形式にまで対応しろとは言わないけど、日本のお役所様が使うとおっしゃってるソフトぐらいには対応しやがれよ、と。
…うわぁ、市場価値が小さそうなお仕事。
Re: (スコア:0)
「企業等での使用は非推奨」と言ったのはUNLHA32.DLL作者
(役所が追従して宣言したかまでは軽く調べただけでは確認取れませんでした)
非推奨の理由は4及びその状況を改善しようと脆弱性情報のっけてとJVNに言ったが却下されたため(約10年前の時点で)
現役のメジャーな解凍ソフトではほぼ脆弱性は修正対応されているので
あとはセキュリティソフトが10年近く経過した今でも非対応だった場合に
中身に危険なファイルがあっても圧縮ファイルを実際に展開するまで走査が正常にされない可能性がある
添付ファイルをメールサーバー上でのみ走査して展開作業するPCはノーガードなんて場合は危険かもしれない
と言う点が問題ですが
役所から事業者に向けて入札用の書類ファイルをLHAで圧縮して送るからそれ開けるようにしといてねって話に対して
具体的な問題としてどう絡むのかはよくわかんないです
Re: (スコア:0)
「企業等での使用は非推奨」と言ったのはUNLHA32.DLL作者
(役所が追従して宣言したかまでは軽く調べただけでは確認取れませんでした)
使用の非推奨はしていないけど、JVNがCERT/CCから提供された情報を公表している。
http://jvn.jp/vu/JVNVU545953/ [jvn.jp]
http://bakera.jp/ebi/topic/4161 [bakera.jp]