アカウント名:
パスワード:
なぜMicrosoftは、Active XやHTAファイルなどといった狂った規格を作りたがるのか?他人に易々とVBScript実行を許可させておきながら、微塵も不安を感じないのか?
誰がどう見ても、こんなもんエクスプロイト上等のために存在してるとしか思えない。そもそもHTML ApplicationなどというシロモノをWindowsに取り入れようと決めた時。Microsoft社内からは誰一人「おいこれ悪用されたら非常に危険じゃね?」と声を上げる人は居なかったのか?
性善説信仰とかマジ勘弁。せめてHTAファイルには、どこから実行される場合であっても漏れ無く「この発行元による、お使いのコンピューターでのソフトウェアの実行はブロックされています。」警告出すくらいやって。
い ま さ ら か よ w
Windows 98の頃からある仕様だぞ?15年前にツッコんどけよ
当時は他人が作ったexe易々と実行してた時代なので、HTAだけ特別扱いしても意味は無かったでしょう。皆ネットから落としたexeを、警告も無しでそのまま実行していた時代ですから。
当時、Netscape他がやろうとしてたことと同じだから歴史を知らないと理解できない
だからあなたは自由にアプリケーションを実行できないWindowsRTを使ってるんですね!
いや、Windows10なのかも。
もちろん教育向けのWindows10 Sなんだろうね
electronとかコンセプトは同じ。後だしドヤ顔で狂って文句言ってる様にしか見えないぞ。
この手の怪しいファイルを開くような人は大抵警告を読まずに開く。ひどい場合で警告を読んだ上で開く。最悪以前も読んだことがある警告文なので読まずに開く。それにガジェットはVistaからあるけどね。# 叩きや煽りは根拠の裏取りしないと恥かくだけですよ
>でHTAがelectronより後出しってどこの世界の話でしょうだれもそんなこと言ってない。ちゃんと読んで。
当然セキュリティはHTAやGadgetはIEベースでセキュリティ ゾーン無視でローカル権限electronはChromiumとNode.jsのセキュリティに依存となります
Electronも、メインプロセスで実行するコード(main.js側)はローカル(実行しているユーザー)の権限で、そこはHTAと同じではありませんか?そこから隔離されたレンダラプロセスが用意されているなど、Electronが進化している点はありますが。
Electronの初期にXSSで超簡単に電卓起動まで持っていけるみたいなデモがサクサク公開されてたなー。さすがに修正されてるだろうけど根本対処しない(できない)ままツギハギを繰り返してるのはHTAと変わらないし
VBScriptがダメなら、UNIXのPythonもダメなんだな
実行権限が無いから何もおきないのでは?
Windowsでpythonを書いて、zipに固めてUnixで解凍すると、実行権限がついてるんだよな。
マジで?!安全性とは逆方向の筋が悪いメタデータ操作ですな。
今のWindows10とかではやったことないけど、Windows XPは、エクスプローラの「送る」→「圧縮」でzipを作ると、テキストファイルにも実行権限が付くってのがあるあるネタ。
Windowsで作成したzipファイルに実行権限の概念あるの? UNIX側の展開ツールが忖度してるんじゃないの?
ググったら、zipファイル内にUnixパーミッションを記録することは可能らしいことをたった今知りました。Windows側でzip作るときに、故意かバグで実行ビット付けてしまう可能性があるということですね。The zip format's external file attribute - Unix & Linux Stack Exchange [stackexchange.com]
似たような問題として、Windows上の7-Zipでtar作ると、中身のパーミッションが777になることに困っています。
便利だな
http://www.itmedia.co.jp/enterprise/articles/0703/02/news010.html [itmedia.co.jp]こういう記事とかも原因なんだろうけど、マジでxbitを誤解(過信)してる人多すぎだろ
ユーザーの権限でユーザーのファイルにxbit立てるのに特別な権限なんて要らないしtarとかは中で元のpermissionを保持してるから伸長した時点でxbitも再現されるしもし仮にxbit立てられなくても「/usr/lib/ld-linux-x86-64.so.2 ./maliciousfile」みたいに直接ローダを起動してやればmaliciousfile自体にはxbitなんて立ってなくても実行出来るし
実行ファイルのxbitにセキュリティ上の効果なんて実質的にはほぼ無いせいぜい誤操作防止ぐらい
UACを無効にしようとする馬鹿ばっかりなのに?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア
HTAファイルは百害あって一理なし (スコア:-1)
なぜMicrosoftは、Active XやHTAファイルなどといった狂った規格を作りたがるのか?
他人に易々とVBScript実行を許可させておきながら、微塵も不安を感じないのか?
誰がどう見ても、こんなもんエクスプロイト上等のために存在してるとしか思えない。
そもそもHTML ApplicationなどというシロモノをWindowsに取り入れようと決めた時。
Microsoft社内からは誰一人「おいこれ悪用されたら非常に危険じゃね?」と声を上げる人は居なかったのか?
性善説信仰とかマジ勘弁。
せめてHTAファイルには、どこから実行される場合であっても漏れ無く「この発行元による、お使いのコンピューターでのソフトウェアの実行はブロックされています。」警告出すくらいやって。
Re:HTAファイルは百害あって一理なし (スコア:3, すばらしい洞察)
い ま さ ら か よ w
Windows 98の頃からある仕様だぞ?15年前にツッコんどけよ
Re:HTAファイルは百害あって一理なし (スコア:1)
当時は他人が作ったexe易々と実行してた時代なので、HTAだけ特別扱いしても意味は無かったでしょう。
皆ネットから落としたexeを、警告も無しでそのまま実行していた時代ですから。
Re: (スコア:0)
当時、Netscape他がやろうとしてたことと同じだから
歴史を知らないと理解できない
Re: (スコア:0)
だからあなたは自由にアプリケーションを実行できないWindowsRTを使ってるんですね!
Re: (スコア:0)
いや、Windows10なのかも。
Re: (スコア:0)
もちろん教育向けのWindows10 Sなんだろうね
Re: (スコア:0)
electronとかコンセプトは同じ。
後だしドヤ顔で狂って文句言ってる様にしか見えないぞ。
Re: (スコア:0)
この手の怪しいファイルを開くような人は大抵警告を読まずに開く。ひどい場合で警告を読んだ上で開く。最悪以前も読んだことがある警告文なので読まずに開く。
それにガジェットはVistaからあるけどね。
# 叩きや煽りは根拠の裏取りしないと恥かくだけですよ
Re: (スコア:0)
>でHTAがelectronより後出しってどこの世界の話でしょう
だれもそんなこと言ってない。ちゃんと読んで。
Re: (スコア:0)
当然セキュリティは
HTAやGadgetはIEベースでセキュリティ ゾーン無視でローカル権限
electronはChromiumとNode.jsのセキュリティに依存
となります
Electronも、メインプロセスで実行するコード(main.js側)はローカル(実行しているユーザー)の権限で、そこはHTAと同じではありませんか?そこから隔離されたレンダラプロセスが用意されているなど、Electronが進化している点はありますが。
Re: (スコア:0)
Electronの初期にXSSで超簡単に電卓起動まで持っていけるみたいなデモがサクサク公開されてたなー。
さすがに修正されてるだろうけど根本対処しない(できない)ままツギハギを繰り返してるのはHTAと変わらないし
Re: (スコア:0)
VBScriptがダメなら、UNIXのPythonもダメなんだな
Re: (スコア:0)
VBScriptがダメなら、UNIXのPythonもダメなんだな
実行権限が無いから何もおきないのでは?
Re: (スコア:0)
Windowsでpythonを書いて、zipに固めてUnixで解凍すると、実行権限がついてるんだよな。
Re: (スコア:0)
マジで?!
安全性とは逆方向の筋が悪いメタデータ操作ですな。
Re:HTAファイルは百害あって一理なし (スコア:1)
今のWindows10とかではやったことないけど、Windows XPは、エクスプローラの「送る」→「圧縮」でzipを作ると、テキストファイルにも実行権限が付くってのがあるあるネタ。
Re: (スコア:0)
Windowsで作成したzipファイルに実行権限の概念あるの? UNIX側の展開ツールが忖度してるんじゃないの?
Re: (スコア:0)
ググったら、zipファイル内にUnixパーミッションを記録することは可能らしいことをたった今知りました。Windows側でzip作るときに、故意かバグで実行ビット付けてしまう可能性があるということですね。The zip format's external file attribute - Unix & Linux Stack Exchange [stackexchange.com]
似たような問題として、Windows上の7-Zipでtar作ると、中身のパーミッションが777になることに困っています。
Re: (スコア:0)
便利だな
Re: (スコア:0)
http://www.itmedia.co.jp/enterprise/articles/0703/02/news010.html [itmedia.co.jp]
こういう記事とかも原因なんだろうけど、マジでxbitを誤解(過信)してる人多すぎだろ
ユーザーの権限でユーザーのファイルにxbit立てるのに特別な権限なんて要らないし
tarとかは中で元のpermissionを保持してるから伸長した時点でxbitも再現されるし
もし仮にxbit立てられなくても「/usr/lib/ld-linux-x86-64.so.2 ./maliciousfile」みたいに直接ローダを起動してやればmaliciousfile自体にはxbitなんて立ってなくても実行出来るし
実行ファイルのxbitにセキュリティ上の効果なんて実質的にはほぼ無い
せいぜい誤操作防止ぐらい
Re: (スコア:0)
UACを無効にしようとする馬鹿ばっかりなのに?